Zum Hauptinhalt springen
Invoice-Converter.comInvoice-Converter
BlogPreise
Rechnung umwandelnUmwandeln
UmwandelnRechnung umwandeln

Dieser Datenverarbeitungsvertrag ist in Deutsch und Englisch verfügbar. Bei Abweichungen ist die deutsche Version rechtlich bindend.

English|Deutsch

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Präambel

Zwischen dem Invoice-Converter.com Kunden(im Folgenden "Verantwortlicher") und Felix Graeber, CAYA Postbox 652326, 96035 Bamberg, E-Mail: contact@invoice-converter.com(im Folgenden "Auftragsverarbeiter") wird nachfolgender Vertrag geschlossen.

1. Gegenstand, Dauer und Spezifikation der Auftragsverarbeitung

1.1 Gegenstand des Auftrags

Gegenstand des Auftrags ist die Durchführung der im Hauptvertrag vereinbarten Leistungen, insbesondere die automatisierte Konvertierung von Rechnungsdokumenten (z.B. PDF, XML) in strukturierte elektronische Rechnungsformate (z.B. ZUGFeRD, XRechnung) mittels künstlicher Intelligenz (KI). Dies umfasst die Extraktion, Validierung, Standardisierung und Konvertierung von Rechnungsdaten.

1.2 Dauer des Auftrags

Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrages zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Er endet automatisch mit der Beendigung des Hauptvertrages.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

2.1 Art und Zweck der Verarbeitung

Der Zweck der Verarbeitung ist die Ermöglichung der im Hauptvertrag beschriebenen Funktionalitäten von Invoice-Converter.com, primär die Umwandlung von Rechnungsdokumenten. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Leistungserbringung gemäß dem Hauptvertrag und den Weisungen des Verantwortlichen.

2.2 Art der personenbezogenen Daten

Im Rahmen der Nutzung von Invoice-Converter.com können folgende Arten personenbezogener Daten verarbeitet werden, soweit sie in den vom Verantwortlichen hochgeladenen Rechnungsdokumenten enthalten sind oder bei der Nutzung anfallen:

  • Stammdaten von Rechnungsstellern und -empfängern (Name, Firma, Adresse)
  • Kontaktdaten (Telefonnummer, E-Mail-Adresse)
  • Bankverbindungsdaten (IBAN, BIC)
  • Steuerliche Identifikationsnummern (Steuernummer, USt-IdNr.)
  • Rechnungsdetails (Rechnungsnummer, Datum, Beträge, Leistungsbeschreibungen)
  • Nutzerdaten des Verantwortlichen (Name, E-Mail-Adresse für den Account)
  • Technische Metadaten (IP-Adresse bei Upload, Zeitstempel der Verarbeitung)

2.3 Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

  • Kunden (Rechnungsempfänger) des Verantwortlichen
  • Lieferanten (Rechnungssteller) des Verantwortlichen
  • Ansprechpartner bei Kunden und Lieferanten
  • Gegebenenfalls Mitarbeiter des Verantwortlichen, sofern deren Daten in Rechnungen enthalten sind
  • Nutzer des Invoice-Converter.com-Accounts beim Verantwortlichen

3. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Diese Maßnahmen sind in Anlage 2 dieses Vertrages detailliert beschrieben und umfassen insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.

4. Berichtigung, Einschränkung und Löschung von Daten

Der Auftragsverarbeiter wird Daten, die im Auftrag verarbeitet werden, nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird dieses Ersuchen unverzüglich, spätestens innerhalb von 24 Stunden, an den Verantwortlichen weitergeleitet. Nach Beendigung des Hauptvertrages werden die Daten gemäß den Regelungen in Ziffer 11 dieses AVV gelöscht.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter gewährleistet insbesondere:

  • Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung des Verantwortlichen.
  • Sicherstellung, dass die zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit verpflichtet wurden.
  • Umsetzung und Einhaltung der in Anlage 2 beschriebenen TOMs.
  • Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten (z.B. bei Betroffenenrechten, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen).
  • Ermöglichung und Unterstützung von Kontrollen durch den Verantwortlichen gemäß Ziffer 8.
  • Keine eigenmächtige Korrektur, Löschung oder Einschränkung der Verarbeitung von Daten.
  • Information des Verantwortlichen, falls eine Weisung seiner Meinung nach gegen Datenschutzvorschriften verstößt.
  • Verpflichtung zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde im Rahmen der Möglichkeiten und Bereitstellung aller erforderlichen Informationen für den Verantwortlichen.

Beim Auftragsverarbeiter ist kein Datenschutzbeauftragter bestellt, da die Voraussetzungen des Art. 37 DSGVO nicht vorliegen. Ansprechpartner: Felix Graeber, contact@invoice-converter.com.

6. Unterauftragsverhältnisse

Der Auftragsverarbeiter ist berechtigt, zur Erbringung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen. Die aktuell eingesetzten und vom Verantwortlichen genehmigten Unterauftragsverarbeiter sind in Anlage 1 dieses Vertrages aufgeführt. Der Auftragsverarbeiter informiert den Verantwortlichen 14 Kalendertage vor Einsatz eines neuen Unterauftragsverarbeiters per E-Mail und gibt dem Verantwortlichen die Möglichkeit, innerhalb dieser Frist schriftlich Einspruch zu erheben. Mit den Unterauftragsverarbeitern werden Verträge geschlossen, die den Anforderungen des Art. 28 DSGVO entsprechen.

7. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich. Der Verantwortliche erteilt alle Aufträge oder Weisungen dokumentiert. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

8. Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und der vertraglichen Vereinbarungen durch den Auftragsverarbeiter im erforderlichen Umfang zu kontrollieren. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die notwendigen Auskünfte zu erteilen und Nachweise (z.B. über TOMs, Zertifizierungen) zur Verfügung zu stellen.

Reichen die Remote-Nachweise objektiv nicht aus, kann der Verantwortliche nach mindestens 14 Tagen Vorankündigung eine Vor-Ort-Kontrolle während der üblichen Geschäftszeiten durchführen. Die Kosten hierfür trägt der Verantwortliche, es sei denn, die Kontrolle ergibt einen wesentlichen Verstoß des Auftragsverarbeiters gegen diesen Vertrag oder geltende Datenschutzgesetze. Der Arbeitsaufwand des Auftragsverarbeiters ist dabei auf vier (4) Arbeitsstunden begrenzt.

9. Mitteilung bei Verstößen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jeden Verstoß gegen Datenschutzvorschriften oder die getroffenen vertraglichen Vereinbarungen im Zusammenhang mit der Verarbeitung von dessen Daten. Dies gilt insbesondere für Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

10. Weisungsbefugnis des Verantwortlichen

Der Auftragsverarbeiter darf Daten nur im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen verarbeiten. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen anwendbare Datenschutzgesetze verstößt.

11. Löschung und Rückgabe von personenbezogenen Daten

Nach Beendigung des Hauptvertrages oder jederzeit auf Aufforderung des Verantwortlichen wird der Auftragsverarbeiter alle personenbezogenen Daten, die Gegenstand dieses AVV sind, nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht für den Auftragsverarbeiter besteht. Sofern der Verantwortliche innerhalb von 30 Tagen nach Vertragsende keine Weisung erteilt, werden sämtliche personenbezogenen Daten standardmäßig gelöscht.
Hochgeladene Quelldokumente werden nach Abschluss der Verarbeitung gelöscht. Für asynchrone Verarbeitung, Download-Bereitstellung, Validierungsnachweise und Fehleranalyse können erzeugte Artefakte und begrenzte technische Metadaten für kurze Zeit zwischengespeichert werden. Ein dauerhaftes zentrales Archiv von Kundendokumenten wird nicht betrieben.

12. Haftung

Die Parteien haften gegen Betroffenen gemäß Art. 82 DSGVO als Gesamtschuldner. Im Innenverhältnis gilt: Jede Partei ersetzt der anderen die Schaden, die sie zu vertreten hat; der Auftragsverarbeiter stellt den Verantwortlichen von Ansprüchen frei, soweit diese auf einer schuldhaften Pflichtverletzung des Auftragsverarbeiters beruhen.

13. Schlussbestimmungen

  • Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
  • Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  • Es gilt deutsches Recht.
  • Die Parteien sind sich einig, dass der Abschluss dieses Vertrages auch in elektronischer Form durch Anklicken einer Checkbox sowie Protokollierung von Datum, Uhrzeit, IP-Adresse und Benutzer-ID erfolgt und damit das Schriftformerfordernis des Art. 28 Abs. 9 DSGVO erfüllt
  • Gerichtsstand ist, soweit zulässig, München.

Stand: 28. April 2025

Anlage 1: Genehmigte Unterauftragsverarbeiter

Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragsverarbeiter unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zu:

Nr.FirmaAnschriftLeistungVerarbeitungsortDatenzugriff
1OpenAI Ireland Ltd. / OpenAI, L.L.C.6th Floor, South Bank House, Barrow Street, Dublin 4, Irland / 3180 18th St, San Francisco, CA 94110, USABereitstellung KI-API (GPT-Modelle) zur DatenextraktionEU/EWR (primär), USA (mit SCC)Inhalts- und Metadaten
2Mistral AI15 Rue des Halles, 75001 Paris, FrankreichBereitstellung KI-API zur DatenextraktionEUInhalts- und Metadaten
3Google Ireland Ltd. / Google LLCGordon House, Barrow Street, Dublin 4, Irland / 1600 Amphitheatre Parkway, Mountain View, CA 94043, USABereitstellung KI-API zur DatenextraktionEU/EWR, USA (mit SCC)Inhalts- und Metadaten
4Cloudflare, Inc.101 Townsend St, San Francisco, CA 94107, USAContent Delivery Network (CDN), Web Application Firewall (WAF), DDoS-SchutzGlobal (Datenverarbeitung primär in EU/EWR, USA mit SCC)Metadaten
5Stripe Technology Europe, Limited / Stripe, Inc.The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland / 354 Oyster Point Blvd, South San Francisco, CA 94080, USAZahlungsabwicklung für AbonnementsEU/EWR, USA (mit SCC)Metadaten
6Supabase, Inc.970 Terra Bella Ave, Mountain View, CA 94043, USAAuthentifizierung, BenutzerdatenbankFrankfurt (Deutschland), USA (mit SCC für Support/Admin)Metadaten
7PostHog, Inc.2261 Market Street #4008, San Francisco, CA 94114, USAProduktanalyse, Session-Replay (EU Cloud)EU (Frankfurt, Deutschland)Metadaten
8Vercel, Inc.340 S Lemon Ave #4133, Walnut, CA 91789, USAFrontend-HostingEU/EWR, USA (mit SCC)Metadaten
9Koyeb SAS15 Rue des Halles, 75001 Paris, FrankreichHosting der Webanwendung und Backend-InfrastrukturEUInhalts- und Metadaten
10Brevo106 boulevard Haussmann, 75008 Paris, FrankreichVersand transaktionaler und marketingbezogener E-MailsEUMetadaten

Bei Übermittlung in Drittländer (z.B. USA) erfolgt dies auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO, ergänzt um zusätzliche Maßnahmen, wo erforderlich.

Anlage 2: Technische und organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Physischer Zutritt zu Servern wird durch die Rechenzentrumsbetreiber der vertraglich eingebundenen Hosting-Anbieter mittels branchenüblicher Maßnahmen (Sicherheitsdienst, Videoüberwachung, Zutrittssysteme) kontrolliert. Kein direkter physischer Zutritt für Auftragsverarbeiterpersonal.
  • Zugangskontrolle: Schutz der Systeme vor unbefugter Nutzung durch: Einsatz von Firewalls (Cloudflare WAF, System-Firewalls), Verschlüsselung der Kommunikation (SSL/TLS), starke Passwortrichtlinien und Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge, rollenbasiertes Berechtigungskonzept mit Minimalberechtigung.
  • Zugriffskontrolle: Sicherstellung, dass Berechtigte nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen, und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können durch: Detailliertes Berechtigungskonzept, Protokollierung von Zugriffen auf Systemebene, Verschlüsselung von Datenträgern (wo relevant, obwohl keine persistente Speicherung von Kundendaten erfolgt), Verpflichtung der Mitarbeiter auf Vertraulichkeit.
  • Trennungskontrolle: Logische Trennung von Kundendaten durch Mandantenfähigkeit in der Anwendung. Strikte Trennung von Produktions-, Test- und Entwicklungssystemen.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: Sicherstellung, dass Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können durch: Verschlüsselung der Datenübertragung (SSL/TLS) für alle externen Verbindungen (Nutzer-Frontend, API-Calls zu Unterauftragnehmern). Nutzung sicherer Protokolle (HTTPS, SSH).
  • Eingabekontrolle: Nachvollziehbarkeit, ob und von wem Daten eingegeben, verändert oder entfernt wurden durch: Protokollierung wesentlicher Verarbeitungsschritte und Systemereignisse (Audit-Logs). Keine direkte Änderungsmöglichkeit hochgeladener Daten durch den Nutzer nach Verarbeitungsstart.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle: Schutz vor zufälliger Zerstörung oder Verlust durch: Einsatz redundanter Systeme bei den vertraglich eingebundenen Hosting-Anbietern, regelmäßige Sicherung der Systemkonfiguration und Anwendungsdaten (nicht jedoch der verarbeiteten Kundendokumente), Monitoring der Systemverfügbarkeit, DDoS-Schutz durch Cloudflare.
  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO): Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen durch: Backup- und Recovery-Prozesse für Systemkomponenten, Nutzung von Infrastructure-as-Code zur schnellen Wiederherstellung der Umgebung.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Regelmäßige Überprüfung der Sicherheitseinstellungen und TOMs.
  • Einsatz von Tools zur Schwachstellenerkennung und automatisiertem Patch-Management.
  • Datenschutzfreundliche Voreinstellungen (Privacy by Design/Default): Datenminimierung (keine Speicherung verarbeiteter Dokumente über den Verarbeitungsvorgang hinaus), Zweckbindung.
  • Incident-Response-Management zur Reaktion auf Sicherheitsvorfälle.
  • Auftragskontrolle: Sicherstellung der weisungsgebundenen Verarbeitung durch klare Prozesse und Dokumentation.

Invoice-Converter.com

Wir unterstützen Unternehmen in ganz Europa bei der mühelosen Einhaltung der XRechnung-Vorschriften. Schließen Sie sich hunderten Firmen an, die ihre Rechnungsumwandlung automatisiert haben.

Jetzt umwandeln

Features

PDF umwandeln & erstellen

  • PDF zu XRechnung
  • PDF zu UBL
  • PDF zu XRechnung (CII)
  • PDF zu ZUGFeRD
  • PDF zu Factur-X
  • XRechnung erstellen
  • XRechnung zu PDF

Ansehen & validieren

  • XRechnung/XML Viewer
  • XRechnung Validator

Schnellzugriff

  • Ressourcen
  • Trust & Security Center
  • Developer-API-Dokumentation
  • Blog
  • Über uns
  • Preise
  • Kostenlose Testphase
  • Klimabeitrag

Rechtliches

  • Impressum
  • Datenschutz
  • Auftragsverarbeitungs-Vertrag
  • AGB
  • Geld-zurück-Garantie

Kontakt aufnehmen

contact@invoice-converter.com
© 2026 Invoice-Converter.com.Gemacht mit in Europa
DSGVO-konform
Deutsche Server