Dieser Auftragsverarbeitungsvertrag ist in Deutsch, Englisch und Italienisch verfügbar. Bei Abweichungen ist die deutsche Version rechtlich bindend.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Präambel

Zwischen dem Invoice-Converter.com Kunden (im Folgenden "Verantwortlicher") und Felix Graeber, CAYA Postbox 652326, 96035 Bamberg, E-Mail: (im Folgenden "Auftragsverarbeiter") wird nachfolgender Vertrag geschlossen.

1. Gegenstand, Dauer und Spezifikation der Auftragsverarbeitung

1.1 Gegenstand des Auftrags

Gegenstand des Auftrags ist die Durchführung der im Hauptvertrag vereinbarten Leistungen, insbesondere die automatisierte Konvertierung von Rechnungsdokumenten (z.B. PDF, XML) in strukturierte elektronische Rechnungsformate (z.B. ZUGFeRD, XRechnung) mittels künstlicher Intelligenz (KI). Dies umfasst die Extraktion, Validierung, Standardisierung und Konvertierung von Rechnungsdaten.

1.2 Dauer des Auftrags

Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrages zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Er endet automatisch mit der Beendigung des Hauptvertrages.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

2.1 Art und Zweck der Verarbeitung

Der Zweck der Verarbeitung ist die Ermöglichung der im Hauptvertrag beschriebenen Funktionalitäten von Invoice-Converter.com, primär die Umwandlung von Rechnungsdokumenten. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Leistungserbringung gemäß dem Hauptvertrag und den Weisungen des Verantwortlichen.

2.2 Art der personenbezogenen Daten

Im Rahmen der Nutzung von Invoice-Converter.com können folgende Arten personenbezogener Daten verarbeitet werden, soweit sie in den vom Verantwortlichen hochgeladenen Rechnungsdokumenten enthalten sind oder bei der Nutzung anfallen:

Stammdaten von Rechnungsstellern und -empfängern (Name, Firma, Adresse)
Kontaktdaten (Telefonnummer, E-Mail-Adresse)
Bankverbindungsdaten (IBAN, BIC)
Steuerliche Identifikationsnummern (Steuernummer, USt-IdNr.)
Rechnungsdetails (Rechnungsnummer, Datum, Beträge, Leistungsbeschreibungen)
Nutzerdaten des Verantwortlichen (Name, E-Mail-Adresse für den Account)
Technische Metadaten (IP-Adresse bei Upload, Zeitstempel der Verarbeitung)

2.3 Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

Kunden (Rechnungsempfänger) des Verantwortlichen
Lieferanten (Rechnungssteller) des Verantwortlichen
Ansprechpartner bei Kunden und Lieferanten
Gegebenenfalls Mitarbeiter des Verantwortlichen, sofern deren Daten in Rechnungen enthalten sind
Nutzer des Invoice-Converter.com-Accounts beim Verantwortlichen

3. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Diese Maßnahmen sind in Anlage 2 dieses Vertrages detailliert beschrieben und umfassen insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.

4. Berichtigung, Einschränkung und Löschung von Daten

Der Auftragsverarbeiter wird Daten, die im Auftrag verarbeitet werden, nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird dieses Ersuchen unverzüglich, spätestens innerhalb von 24 Stunden, an den Verantwortlichen weitergeleitet. Nach Beendigung des Hauptvertrages werden die Daten gemäß den Regelungen in Ziffer 11 dieses AVV gelöscht.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter gewährleistet insbesondere:

Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung des Verantwortlichen.
Sicherstellung, dass die zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit verpflichtet wurden.
Umsetzung und Einhaltung der in Anlage 2 beschriebenen TOMs.
Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten (z.B. bei Betroffenenrechten, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen).
Ermöglichung und Unterstützung von Kontrollen durch den Verantwortlichen gemäß Ziffer 8.
Keine eigenmächtige Korrektur, Löschung oder Einschränkung der Verarbeitung von Daten.
Information des Verantwortlichen, falls eine Weisung seiner Meinung nach gegen Datenschutzvorschriften verstößt.
Verpflichtung zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde im Rahmen der Möglichkeiten und Bereitstellung aller erforderlichen Informationen für den Verantwortlichen.

Beim Auftragsverarbeiter ist kein Datenschutzbeauftragter bestellt, da die Voraussetzungen des Art. 37 DSGVO nicht vorliegen. Ansprechpartner: Felix Graeber, .

6. Unterauftragsverhältnisse

Der Auftragsverarbeiter ist berechtigt, zur Erbringung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen. Die aktuell eingesetzten und vom Verantwortlichen genehmigten Unterauftragsverarbeiter sind in Anlage 1 dieses Vertrages aufgeführt. Der Auftragsverarbeiter informiert den Verantwortlichen 14 Kalendertage vor Einsatz eines neuen Unterauftragsverarbeiters per E-Mail und gibt dem Verantwortlichen die Möglichkeit, innerhalb dieser Frist schriftlich Einspruch zu erheben. Mit den Unterauftragsverarbeitern werden Verträge geschlossen, die den Anforderungen des Art. 28 DSGVO entsprechen.

7. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich. Der Verantwortliche erteilt alle Aufträge oder Weisungen dokumentiert. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

8. Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und der vertraglichen Vereinbarungen durch den Auftragsverarbeiter im erforderlichen Umfang zu kontrollieren. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die notwendigen Auskünfte zu erteilen und Nachweise (z.B. über TOMs, Zertifizierungen) zur Verfügung zu stellen.

Reichen die Remote-Nachweise objektiv nicht aus, kann der Verantwortliche nach mindestens 14 Tagen Vorankündigung eine Vor-Ort-Kontrolle während der üblichen Geschäftszeiten durchführen. Die Kosten hierfür trägt der Verantwortliche, es sei denn, die Kontrolle ergibt einen wesentlichen Verstoß des Auftragsverarbeiters gegen diesen Vertrag oder geltende Datenschutzgesetze. Der Arbeitsaufwand des Auftragsverarbeiters ist dabei auf vier (4) Arbeitsstunden begrenzt.

9. Mitteilung bei Verstößen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jeden Verstoß gegen Datenschutzvorschriften oder die getroffenen vertraglichen Vereinbarungen im Zusammenhang mit der Verarbeitung von dessen Daten. Dies gilt insbesondere für Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

10. Weisungsbefugnis des Verantwortlichen

Der Auftragsverarbeiter darf Daten nur im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen verarbeiten. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen anwendbare Datenschutzgesetze verstößt.

11. Löschung und Rückgabe von personenbezogenen Daten

Nach Beendigung des Hauptvertrages oder jederzeit auf Aufforderung des Verantwortlichen wird der Auftragsverarbeiter alle personenbezogenen Daten, die Gegenstand dieses AVV sind, nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht für den Auftragsverarbeiter besteht. Sofern der Verantwortliche innerhalb von 30 Tagen nach Vertragsende keine Weisung erteilt, werden sämtliche personenbezogenen Daten standardmäßig gelöscht.
Hochgeladene Dokumente werden im Rahmen des normalen Betriebs unmittelbar nach der Verarbeitung gelöscht und nicht persistent gespeichert.

12. Haftung

Die Parteien haften gegen Betroffenen gemäß Art. 82 DSGVO als Gesamtschuldner. Im Innenverhältnis gilt: Jede Partei ersetzt der anderen die Schaden, die sie zu vertreten hat; der Auftragsverarbeiter stellt den Verantwortlichen von Ansprüchen frei, soweit diese auf einer schuldhaften Pflichtverletzung des Auftragsverarbeiters beruhen.

13. Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Es gilt deutsches Recht.
Die Parteien sind sich einig, dass der Abschluss dieses Vertrages auch in elektronischer Form durch Anklicken einer Checkbox sowie Protokollierung von Datum, Uhrzeit, IP-Adresse und Benutzer-ID erfolgt und damit das Schriftformerfordernis des Art. 28 Abs. 9 DSGVO erfüllt
Gerichtsstand ist, soweit zulässig, München.

Stand: 28. April 2025

Anlage 1: Genehmigte Unterauftragsverarbeiter

Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragsverarbeiter unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zu:

Nr.	Firma	Anschrift	Leistung	Verarbeitungsort	Datenzugriff
1	Render, Inc.	525 Brannan St STE 300, San Francisco, CA 94107, USA	Hosting der Webanwendung und Backend-Infrastruktur	Frankfurt (Deutschland)	Inhalts- und Metadaten
2	OpenAI Ireland Ltd. / OpenAI, L.L.C.	6th Floor, South Bank House, Barrow Street, Dublin 4, Irland / 3180 18th St, San Francisco, CA 94110, USA	Bereitstellung KI-API (GPT-Modelle) zur Datenextraktion	EU/EWR (primär), USA (mit SCC)	Inhalts- und Metadaten
3	Mistral AI	15 Rue des Halles, 75001 Paris, Frankreich	Bereitstellung KI-API zur Datenextraktion	EU	Inhalts- und Metadaten
4	Google Ireland Ltd. / Google LLC	Gordon House, Barrow Street, Dublin 4, Irland / 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Bereitstellung KI-API zur Datenextraktion	EU/EWR, USA (mit SCC)	Inhalts- und Metadaten
5	Cloudflare, Inc.	101 Townsend St, San Francisco, CA 94107, USA	Content Delivery Network (CDN), Web Application Firewall (WAF), DDoS-Schutz	Global (Datenverarbeitung primär in EU/EWR, USA mit SCC)	Metadaten
6	Stripe Technology Europe, Limited / Stripe, Inc.	The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland / 354 Oyster Point Blvd, South San Francisco, CA 94080, USA	Zahlungsabwicklung für Abonnements	EU/EWR, USA (mit SCC)	Metadaten
7	Supabase, Inc.	970 Terra Bella Ave, Mountain View, CA 94043, USA	Authentifizierung, Benutzerdatenbank	Frankfurt (Deutschland), USA (mit SCC für Support/Admin)	Metadaten
8	Google Ireland Ltd. / Google LLC	Gordon House, Barrow Street, Dublin 4, Irland / 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Google Tag Manager & Google Analytics (Webanalyse, Tag-Management)	EU/EWR, USA (mit SCC)	Metadaten
9	Vercel, Inc.	340 S Lemon Ave #4133, Walnut, CA 91789, USA	Frontend-Hosting	EU/EWR, USA (mit SCC)	Metadaten
10	Koyeb SAS	15 Rue des Halles, 75001 Paris, Frankreich	Hosting der Webanwendung und Backend-Infrastruktur	EU	Inhalts- und Metadaten

Bei Übermittlung in Drittländer (z.B. USA) erfolgt dies auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO, ergänzt um zusätzliche Maßnahmen, wo erforderlich.

Anlage 2: Technische und organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Physischer Zutritt zu Servern wird durch den Rechenzentrumsbetreiber (Render über AWS Frankfurt) mittels branchenüblicher Maßnahmen (Sicherheitsdienst, Videoüberwachung, Zutrittssysteme) kontrolliert. Kein direkter physischer Zutritt für Auftragsverarbeiterpersonal.
Zugangskontrolle: Schutz der Systeme vor unbefugter Nutzung durch: Einsatz von Firewalls (Cloudflare WAF, System-Firewalls), Verschlüsselung der Kommunikation (SSL/TLS), starke Passwortrichtlinien und Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge, rollenbasiertes Berechtigungskonzept mit Minimalberechtigung.
Zugriffskontrolle: Sicherstellung, dass Berechtigte nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen, und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können durch: Detailliertes Berechtigungskonzept, Protokollierung von Zugriffen auf Systemebene, Verschlüsselung von Datenträgern (wo relevant, obwohl keine persistente Speicherung von Kundendaten erfolgt), Verpflichtung der Mitarbeiter auf Vertraulichkeit.
Trennungskontrolle: Logische Trennung von Kundendaten durch Mandantenfähigkeit in der Anwendung. Strikte Trennung von Produktions-, Test- und Entwicklungssystemen.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: Sicherstellung, dass Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können durch: Verschlüsselung der Datenübertragung (SSL/TLS) für alle externen Verbindungen (Nutzer-Frontend, API-Calls zu Unterauftragnehmern). Nutzung sicherer Protokolle (HTTPS, SSH).
Eingabekontrolle: Nachvollziehbarkeit, ob und von wem Daten eingegeben, verändert oder entfernt wurden durch: Protokollierung wesentlicher Verarbeitungsschritte und Systemereignisse (Audit-Logs). Keine direkte Änderungsmöglichkeit hochgeladener Daten durch den Nutzer nach Verarbeitungsstart.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle: Schutz vor zufälliger Zerstörung oder Verlust durch: Einsatz redundanter Systeme beim Hosting-Provider (Render über AWS), regelmäßige Sicherung der Systemkonfiguration und Anwendungsdaten (nicht jedoch der verarbeiteten Kundendokumente), Monitoring der Systemverfügbarkeit, DDoS-Schutz durch Cloudflare.
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO): Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen durch: Backup- und Recovery-Prozesse für Systemkomponenten, Nutzung von Infrastructure-as-Code zur schnellen Wiederherstellung der Umgebung.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Regelmäßige Überprüfung der Sicherheitseinstellungen und TOMs.
Einsatz von Tools zur Schwachstellenerkennung und automatisiertem Patch-Management.
Datenschutzfreundliche Voreinstellungen (Privacy by Design/Default): Datenminimierung (keine Speicherung verarbeiteter Dokumente über den Verarbeitungsvorgang hinaus), Zweckbindung.
Incident-Response-Management zur Reaktion auf Sicherheitsvorfälle.
Auftragskontrolle: Sicherstellung der weisungsgebundenen Verarbeitung durch klare Prozesse und Dokumentation.