Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
Stand: 10. Juni 2026
Präambel
Dieser Auftragsverarbeitungsvertrag ("AVV") ergänzt den Hauptvertrag zwischen dem Kunden als Verantwortlichem ("Verantwortlicher") und der Sine Aspera Ad Astra GmbH, Adalbertstraße 56, 80799 München, Deutschland, vertreten durch Felix Graeber. Handelsregister: Amtsgericht München, HRB 313338. Die Gesellschaft handelt als Auftragsverarbeiter ("Auftragsverarbeiter").
Dieser AVV gilt, soweit der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit Rechnungskonvertierung, Validierung, Review, External API-Nutzung, Support, Diagnosen und verbundenen Leistungen verarbeitet.
1. Gegenstand, Dauer und Weisungen
Gegenstand ist die automatisierte und unterstützte Konvertierung von Rechnungen und rechnungsähnlichen Dokumenten in strukturierte elektronische Rechnungsformate, einschließlich Extraktion, Validierung, Standardisierung, Artefakterzeugung, strikter API-Ausstellung, Support und Fehleranalyse.
Die Laufzeit dieses AVV folgt der Laufzeit des Hauptvertrags. Dokumentierte Weisungen des Verantwortlichen sind der Hauptvertrag, diese AGB, der AVV, Order Forms, API-Dokumentation und vom Auftragsverarbeiter akzeptierte schriftliche Weisungen. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzrecht verstößt.
2. Einzelheiten der Verarbeitung
Zweck: Bereitstellung von Rechnungskonvertierung, Validierung, Download, External API, Abrechnungssupport, Sicherheit, Fehleranalyse, Incident-Bearbeitung und Kundensupport.
Datenkategorien: Rechnungsinhalte, Lieferanten- und Käuferstammdaten, Kontaktdaten, Steuerkennzeichen, USt-IDs, Bankdaten, Rechnungsnummern, Positionen, Beträge, Leistungsbeschreibungen, Account-Nutzerdaten, Mandanten-IDs, API-Key-IDs und Präfixe, Idempotency Keys, Request Hashes, Korrelations-IDs, Nutzungs- und Audit- Ereignisse, Credit-Ledger-Daten, Validierungsnachweise, Artefakt-Hashes, Dateinamen, Supportdiagnosen und technische Metadaten.
Betroffene Personen: Nutzer, Beschäftigte oder Auftragnehmer des Verantwortlichen, Rechnungsaussteller, Rechnungsempfänger, Lieferanten, Kunden, Ansprechpartner und andere in Rechnungsinhalten genannte Personen.
Beschränkte Daten: Der Verantwortliche darf keine besonderen Kategorien personenbezogener Daten, Daten über Straftaten, Zahlungskartendaten, Ausweisdokumente, Passwörter, Geheimnisse, HR-Unterlagen, Gesundheitsakten oder sachfremde sensible Datensätze hochladen, sofern dies nicht zwingend erforderlich und ausdrücklich schriftlich vereinbart ist.
3. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung, verpflichtet Personal zur Vertraulichkeit, setzt angemessene technische und organisatorische Maßnahmen um, unterstützt den Verantwortlichen bei Betroffenenanfragen soweit zumutbar und löscht oder gibt personenbezogene Daten wie unten beschrieben zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Kunden-Rechnungsinhalte werden nicht für Modelltraining, wiederverwendbare Datensätze, Benchmarking oder Produktanalyse genutzt, sofern der Verantwortliche nicht ausdrücklich schriftlich zustimmt.
4. Pflichten des Verantwortlichen
Der Verantwortliche ist verantwortlich für Rechtmäßigkeit der hochgeladenen Daten, Datenminimierung, Transparenz gegenüber Betroffenen, Richtigkeit der Quelldaten, Prüfung, Übermittlung, Archivierung, Steuer- und Buchhaltungsentscheidungen und dafür, dass der Dienst nicht als alleiniger Prozess für fristkritische Rechnungspflichten genutzt wird.
5. Unterauftragsverarbeitung und Transfers
Der Verantwortliche genehmigt die in Anhang 1 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter kann Unterauftragsverarbeiter ersetzen oder ergänzen, wenn er mindestens 14 Kalendertage vorher per E-Mail, Account-Hinweis, Changelog oder über einen anderen angemessenen Kanal informiert. Der Verantwortliche kann aus wesentlichen Datenschutzgründen widersprechen. Drittlandtransfers werden, soweit erforderlich, durch Standardvertragsklauseln und zusätzliche Schutzmaßnahmen abgesichert.
6. Sicherheitsmaßnahmen
- Transportverschlüsselung über HTTPS/TLS für externe Servicekommunikation.
- Rollenbasierter administrativer Zugriff und Least-Privilege-Zugriffskontrollen.
- Logische Mandantentrennung für Konto-, API-, Task-, Abrechnungs- und Artefaktdaten.
- Gehashte API-Keys; Klartext-Live-API-Keys werden nur bei Erstellung angezeigt.
- Rate Limits, Request-Größenlimits, Missbrauchskontrollen und Sicherheits-Audit-Logging.
- Temporäre Artefaktaufbewahrung statt dauerhafter Archivierung von Rechnungsinhalten.
- Trennung von Produktions- und Nicht-Produktionsumgebungen, soweit betrieblich anwendbar.
- Fehlerfilterung und Telemetrie-Minimierung, soweit technisch möglich.
- Auswahl von Unterauftragsverarbeitern mit vertraglichen Schutzmaßnahmen und Transfermechanismen.
- Incident-Prüfung und Kundenbenachrichtigung, soweit gesetzlich erforderlich.
7. Audits und Nachweise
Der Auftragsverarbeiter stellt angemessene Remote-Nachweise zur Verfügung, zum Beispiel diesen AVV, Unterauftragsverarbeiterliste, TOMs, Aufbewahrungsübersicht, Incident-Prozess und schriftliche Antworten auf Sicherheitsfragebögen. Vor-Ort-Audits, Quellcodezugriff, Infrastrukturzugriff, Secrets, Zugangsdaten, nicht kundenbezogene Logs oder Zugriff auf andere Mandanten sind nicht enthalten, sofern nicht separat schriftlich vereinbart.
8. Verletzungen personenbezogener Daten
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bestätigung einer Verletzung personenbezogener Daten, die personenbezogene Daten des Verantwortlichen betrifft, und stellt verfügbare Informationen für gesetzliche Meldungen des Verantwortlichen bereit, sobald diese verfügbar sind. Es gilt keine harte 12- oder 24-Stunden-Frist, Vertragsstrafe oder Service Credit, sofern nicht ausdrücklich schriftlich vereinbart.
9. Löschung, Rückgabe und Aufbewahrung
Der Auftragsverarbeiter betreibt kein dauerhaftes zentrales Archiv von Kunden-Rechnungsdokumenten. Abgeschlossene Verarbeitungstasks sind in der Regel etwa 10 Minuten nach Abschluss oder Fehlschlag verfügbar. External API-Idempotenzdaten laufen standardmäßig nach 24 Stunden ab. Debug-Bundles werden standardmäßig bis zu 14 Tage aufbewahrt. Event-Logs folgen der deployten Retention-Einstellung, derzeit voraussichtlich 30 Tage, sofern nicht geändert; aggregierte Logs können standardmäßig bis zu 365 Tage aufbewahrt werden. Abrechnungs- und Buchhaltungsdaten werden aufbewahrt, soweit gesetzlich erforderlich.
Nach Vertragsende löscht oder gibt der Auftragsverarbeiter personenbezogene Daten innerhalb einer angemessenen Frist zurück, sofern keine gesetzlichen Aufbewahrungs-, Sicherheits-, Betrugspräventions-, Streitbeilegungs-, Backup- oder Audit-Integritätsgründe eine längere Aufbewahrung rechtfertigen.
10. Haftung
Zwingende Haftung gegenüber Betroffenen nach Art. 82 DSGVO bleibt unberührt. Im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter unterliegen vertragliche und interne Ersatzansprüche aus oder im Zusammenhang mit diesem AVV den Haftungsbeschränkungen des Hauptvertrags und anwendbarer Order Forms, soweit gesetzlich zulässig. Der Auftragsverarbeiter akzeptiert keine unbeschränkten Freistellungen, Vertragsstrafen oder pauschalierten Schadensersatz, sofern dies nicht in einer separaten unterzeichneten Vereinbarung ausdrücklich geregelt ist.
11. Schlussbestimmungen
Es gilt deutsches Recht. Änderungen dieses AVV müssen in Textform dokumentiert werden, sofern keine strengere Form vorgeschrieben ist. Sollten einzelne Bestimmungen unwirksam sein, bleiben die übrigen Bestimmungen wirksam. Soweit gesetzlich zulässig, sind die Gerichte am Sitz des Auftragsverarbeiters zuständig.
Anhang 1: Genehmigte Unterauftragsverarbeiter
| Nr. | Unterauftragsverarbeiter | Leistung | Verarbeitungsort | Datenzugriff |
|---|---|---|---|---|
| 1 | OpenAI Ireland Ltd. / OpenAI, L.L.C. | KI-API für Rechnungsextraktion und Transformation strukturierter Daten | EU/EWR und USA mit Transfer-Schutzmaßnahmen | Rechnungsinhalte und Metadaten, wenn der Workflow OpenAI-Modelle nutzt |
| 2 | Mistral AI | KI-API für Rechnungsextraktion und Transformation strukturierter Daten | EU/EWR | Rechnungsinhalte und Metadaten, wenn der Workflow Mistral-Modelle nutzt |
| 3 | Google Ireland Ltd. / Google LLC | OCR- und KI-Verarbeitung, wenn Gemini-/OCR-Workflows aktiviert sind | EU/EWR und USA mit Transfer-Schutzmaßnahmen | Rechnungsinhalte und Metadaten, wenn der Workflow Google-Dienste nutzt |
| 4 | Koyeb SAS | Backend-Hosting und Laufzeitinfrastruktur | EU/EWR | Rechnungsinhalte, erzeugte Artefakte und technische Metadaten |
| 5 | Vercel, Inc. | Frontend-Hosting, Edge-Auslieferung und Preview-/Runtime-Infrastruktur | EU/EWR und USA mit Transfer-Schutzmaßnahmen | Request-Metadaten und je nach Route begrenzte Inhalte |
| 6 | Cloudflare, Inc. | DNS, CDN, WAF, DDoS-Schutz und Netzwerksicherheit | Global mit Transfer-Schutzmaßnahmen | Request-Metadaten und vorübergehende Verkehrsdaten |
| 7 | Supabase, Inc. | Authentifizierung, Datenbank, Speicher, Audit-Datensätze und Mandantendaten | Hosting in EU/EWR mit Schutzmaßnahmen für Support-/Adminzugriffe | Kontodaten, Mandantenmetadaten, Artefakte, Logs und API-Datensätze |
| 8 | Stripe Technology Europe, Limited / Stripe, Inc. | Zahlungsabwicklung, Rechnungsstellung, Abonnement- und Credit-Abrechnung | EU/EWR und USA mit Transfer-Schutzmaßnahmen | Abrechnungs-, Zahlungs-, Kunden-, Rechnungs- und Transaktionsmetadaten |
| 9 | Brevo | Transaktionale und zulässige Marketing-E-Mail-Zustellung | EU/EWR | E-Mail-Adresse, Nachrichtenmetadaten, Sprache und Abmeldestatus |
| 10 | PostHog, Inc. | Einwilligungsbasierte Produktanalyse und Session Replay | EU/EWR-Cloud mit Support-Schutzmaßnahmen | Produkttelemetrie und Metadaten; Rechnungsinhalte werden konzeptionell vermieden |
| 11 | Sentry | Fehlerüberwachung, Performance-Telemetrie und Incident-Diagnostik | EU/EWR-Ingestion, soweit konfiguriert, sowie USA/Support mit Schutzmaßnahmen | Fehlermetadaten, Stacktraces, Pfade, Korrelations-IDs und Diagnosen |