This Data Processing Agreement is available in English and German. In case of any discrepancy, the German version is legally binding. | Dieser Auftragsverarbeitungsvertrag ist in Deutsch und Englisch verfügbar. Bei Abweichungen hat die deutsche Version rechtliche Gültigkeit.

Go to English Version|Zur deutschen Version

Data Processing Agreement (DPA) according to Art. 28 GDPR

Preamble

Between the Invoice-Converter.com Customer (hereinafter referred to as "Controller") and Felix Graeber, CAYA Postbox 652326, 96035 Bamberg, Germany, Email: (hereinafter referred to as "Processor"), the following agreement is concluded.

1. Subject Matter, Duration, and Specification of the Data Processing

1.1 Subject Matter of the Order

The subject matter of the order is the performance of the services agreed upon in the Main Agreement, in particular the automated conversion of invoice documents (e.g., PDF, XML) into structured electronic invoice formats (e.g., ZUGFeRD, XRechnung) using artificial intelligence (AI). This includes the extraction, validation, standardization, and conversion of invoice data.

1.2 Duration of the Order

The term of this DPA corresponds to the term of the Main Agreement between the Controller and the Processor. It automatically terminates upon the termination of the Main Agreement.

2. Type and Purpose of Processing, Type of Personal Data, and Categories of Data Subjects

2.1 Type and Purpose of Processing

The purpose of the processing is to enable the functionalities of Invoice-Converter.com described in the Main Agreement, primarily the conversion of invoice documents. The Processor processes personal data exclusively for the purpose of providing the services according to the Main Agreement and the instructions of the Controller.

2.2 Type of Personal Data

Within the scope of using Invoice-Converter.com, the following types of personal data may be processed, insofar as they are contained in the invoice documents uploaded by the Controller or arise during use:

Master data of invoice issuers and recipients (Name, Company, Address)
Contact details (Phone number, Email address)
Bank account details (IBAN, BIC)
Tax identification numbers (Tax number, VAT ID)
Invoice details (Invoice number, Date, Amounts, Service descriptions)
User data of the Controller (Name, Email address for the account)
Technical metadata (IP address upon upload, Timestamp of processing)

2.3 Categories of Data Subjects

The categories of data subjects affected by the processing include:

Customers (invoice recipients) of the Controller
Suppliers (invoice issuers) of the Controller
Contact persons at customers and suppliers
Possibly employees of the Controller, if their data is contained in invoices
Users of the Invoice-Converter.com account at the Controller

3. Technical and Organizational Measures (TOMs)

In accordance with Art. 32 GDPR, the Processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk for the processed personal data. These measures are detailed in Annex 2 of this agreement and include, in particular, measures to ensure the confidentiality, integrity, availability, and resilience of the systems.

4. Rectification, Restriction, and Erasure of Data

The Processor will rectify, erase, or restrict the processing of data processed on behalf of the Controller only upon documented instruction from the Controller. If a data subject contacts the Processor directly, this request will be forwarded to the Controller immediately, at the latest within 24 hours. Upon termination of the Main Agreement, the data will be deleted in accordance with the provisions in Section 11 of this DPA.

5. Obligations of the Processor

The Processor ensures in particular:

Processing of personal data only on documented instructions from the Controller.
Ensuring that persons authorized to process the personal data have committed themselves to confidentiality in writing.
Implementation and compliance with the TOMs described in Annex 2.
Assisting the Controller in fulfilling its obligations (e.g., regarding data subject rights, notification of data breaches, data protection impact assessments).
Enabling and supporting audits by the Controller according to Section 8.
No unauthorized correction, deletion, or restriction of the processing of data.
Informing the Controller if, in its opinion, an instruction infringes data protection regulations.
Obligation to cooperate with the competent supervisory authority to the extent possible and to provide all necessary information to the Controller.

No Data Protection Officer has been appointed at the Processor, as the requirements of Art. 37 GDPR are not met. Contact person: Felix Graeber, .

6. Sub-processing Relationships

The Processor is entitled to engage sub-processors to provide the contractual services. The sub-processors currently engaged and approved by the Controller are listed in Annex 1 of this agreement. The Processor shall inform the Controller 14 calendar days before engaging a new sub-processor via email and give the Controller the opportunity to object in writing within this period. Contracts that meet the requirements of Art. 28 GDPR will be concluded with the sub-processors.

7. Rights and Obligations of the Controller

The Controller is solely responsible for assessing the lawfulness of the processing and for safeguarding the rights of the data subjects. The Controller shall issue all orders or instructions in documented form. Oral instructions must be confirmed immediately in writing or text form.

8. Audit Rights of the Controller

The Controller has the right to audit the Processor's compliance with the statutory data protection provisions and the contractual agreements to the necessary extent. The Processor undertakes to provide the Controller with the necessary information upon request and to make available evidence (e.g., regarding TOMs, certifications).

If the remote evidence is objectively insufficient, the Controller may conduct an on-site audit after at least 14 days' notice during usual business hours. The costs of an on-site audit shall be borne by the Controller, unless the audit reveals a significant breach of this agreement or applicable data protection laws by the Processor. The Processor's effort is limited to four (4) working hours.

9. Notification of Breaches

The Processor shall notify the Controller without undue delay of any breach of data protection provisions or the contractual agreements made in connection with the processing of its data. This applies in particular to personal data breaches pursuant to Art. 33 GDPR.

10. Controller's Right of Instruction

The Processor may process data only within the framework of the agreements made and according to the instructions of the Controller. The Processor shall immediately inform the Controller if it believes that an instruction infringes applicable data protection laws.

11. Deletion and Return of Personal Data

Upon termination of the Main Agreement or at any time upon request by the Controller, the Processor shall, at the choice of the Controller, either delete or return all personal data subject to this DPA, unless there is a statutory obligation for the Processor to retain the data. If the Controller does not issue an instruction within 30 days after the end of the contract, all personal data will be deleted by default.
Uploaded documents are deleted immediately after processing as part of normal operation and are not stored persistently.

12. Liability

The parties shall be liable towards data subjects pursuant to Art. 82 GDPR as joint and several debtors. In the internal relationship, the following applies: Each party shall compensate the other for damages for which it is responsible; the Processor shall indemnify the Controller against claims insofar as these are based on a culpable breach of duty by the Processor.

13. Final Provisions

Amendments and additions to this DPA must be made in writing.
Should individual provisions of this DPA be or become invalid, the validity of the remaining provisions shall remain unaffected.
German law shall apply.
The parties agree that the conclusion of this agreement also occurs in electronic form by clicking a checkbox and logging the date, time, IP address, and User ID, thereby fulfilling the written form requirement of Art. 28 (9) GDPR.
The place of jurisdiction, insofar as permissible, is Bamberg.

Version: April 28, 2025

Annex 1: Approved Sub-processors

The Controller agrees to the engagement of the following sub-processors on the condition of a contractual agreement in accordance with Art. 28 (2-4) GDPR:

No.	Company	Address	Service	Processing Location	Data Access
1	Render, Inc.	525 Brannan St STE 300, San Francisco, CA 94107, USA	Hosting of the web application and backend infrastructure	Frankfurt (Germany)	Content and metadata
2	OpenAI Ireland Ltd. / OpenAI, L.L.C.	6th Floor, South Bank House, Barrow Street, Dublin 4, Ireland / 3180 18th St, San Francisco, CA 94110, USA	Provision of AI API (GPT models) for data extraction	EU/EEA (primary), USA (with SCC)	Content and metadata
3	Mistral AI	15 Rue des Halles, 75001 Paris, France	Provision of AI API for data extraction	EU	Content and metadata
4	Google Ireland Ltd. / Google LLC	Gordon House, Barrow Street, Dublin 4, Ireland / 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Provision of AI API for data extraction	EU/EEA, USA (with SCC)	Content and metadata
5	Cloudflare, Inc.	101 Townsend St, San Francisco, CA 94107, USA	Content Delivery Network (CDN), Web Application Firewall (WAF), DDoS Protection	Global (Data processing primarily in EU/EEA, USA with SCC)	Metadata
6	Stripe Technology Europe, Limited / Stripe, Inc.	The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland / 354 Oyster Point Blvd, South San Francisco, CA 94080, USA	Payment processing for subscriptions	EU/EEA, USA (with SCC)	Metadata
7	Supabase, Inc.	970 Terra Bella Ave, Mountain View, CA 94043, USA	Authentication, User Database	Frankfurt (Germany), USA (with SCC for support/admin)	Metadata
8	Google Ireland Ltd. / Google LLC	Gordon House, Barrow Street, Dublin 4, Ireland / 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Google Tag Manager & Google Analytics (Web analytics, Tag management)	EU/EEA, USA (with SCC)	Metadata
9	Vercel, Inc.	340 S Lemon Ave #4133, Walnut, CA 91789, USA	Frontend hosting	EU/EWR, USA (mit SCC)	Metadata
10	Koyeb SAS	15 Rue des Halles, 75001 Paris, France	Hosting of web application and backend infrastructure	EU	Content and metadata

Transfers to third countries (e.g., USA) are based on Standard Contractual Clauses (SCC) according to Art. 46 GDPR, supplemented by additional measures where necessary.

Annex 2: Technical and Organizational Measures (TOMs)

1. Confidentiality (Art. 32 para. 1 lit. b GDPR)

Access Control (Physical): Physical access to servers is controlled by the data center operator (Render via AWS Frankfurt) using industry-standard measures (security service, video surveillance, access systems). No direct physical access for Processor personnel.
Access Control (Logical): Protection of systems against unauthorized use through: Use of firewalls (Cloudflare WAF, system firewalls), encryption of communication (SSL/TLS), strong password policies and multi-factor authentication (MFA) for administrative access, role-based authorization concept with least privilege.
Access Control (Data): Ensuring that authorized persons can only access the data for which they have access authorization, and that data cannot be read, copied, modified, or removed without authorization during processing, use, and after storage through: Detailed authorization concept, logging of system-level access, encryption of data carriers (where relevant, although no persistent storage of customer data occurs), commitment of employees to confidentiality.
Separation Control: Logical separation of customer data through multi-tenancy in the application. Strict separation of production, testing, and development systems.

2. Integrity (Art. 32 para. 1 lit. b GDPR)

Transmission Control: Ensuring that data cannot be read, copied, modified, or removed without authorization during electronic transmission or transport through: Encryption of data transmission (SSL/TLS) for all external connections (user frontend, API calls to sub-processors). Use of secure protocols (HTTPS, SSH).
Input Control: Traceability of whether and by whom data has been entered, modified, or removed through: Logging of essential processing steps and system events (audit logs). No possibility for the user to directly modify uploaded data after processing starts.

3. Availability and Resilience (Art. 32 para. 1 lit. b GDPR)

Availability Control: Protection against accidental destruction or loss through: Use of redundant systems at the hosting provider (Render via AWS), regular backup of system configuration and application data (but not processed customer documents), monitoring of system availability, DDoS protection by Cloudflare.
Rapid Recovery (Art. 32 para. 1 lit. c GDPR): Ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident through: Backup and recovery processes for system components, use of Infrastructure-as-Code for rapid environment restoration.

4. Procedures for Regular Testing, Assessment, and Evaluation (Art. 32 para. 1 lit. d GDPR; Art. 25 para. 1 GDPR)

Regular review of security settings and TOMs.
Use of tools for vulnerability detection and automated patch management.
Data protection by design and by default (Privacy by Design/Default): Data minimization (no storage of processed documents beyond the processing operation), purpose limitation.
Incident Response Management to react to security incidents.
Order Control: Ensuring processing is bound by instructions through clear processes and documentation.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Präambel

Zwischen dem Invoice-Converter.com Kunden (im Folgenden "Verantwortlicher") und Felix Graeber, CAYA Postbox 652326, 96035 Bamberg, E-Mail: (im Folgenden "Auftragsverarbeiter") wird nachfolgender Vertrag geschlossen.

1. Gegenstand, Dauer und Spezifikation der Auftragsverarbeitung

1.1 Gegenstand des Auftrags

Gegenstand des Auftrags ist die Durchführung der im Hauptvertrag vereinbarten Leistungen, insbesondere die automatisierte Konvertierung von Rechnungsdokumenten (z.B. PDF, XML) in strukturierte elektronische Rechnungsformate (z.B. ZUGFeRD, XRechnung) mittels künstlicher Intelligenz (KI). Dies umfasst die Extraktion, Validierung, Standardisierung und Konvertierung von Rechnungsdaten.

1.2 Dauer des Auftrags

Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrages zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Er endet automatisch mit der Beendigung des Hauptvertrages.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

2.1 Art und Zweck der Verarbeitung

Der Zweck der Verarbeitung ist die Ermöglichung der im Hauptvertrag beschriebenen Funktionalitäten von Invoice-Converter.com, primär die Umwandlung von Rechnungsdokumenten. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Leistungserbringung gemäß dem Hauptvertrag und den Weisungen des Verantwortlichen.

2.2 Art der personenbezogenen Daten

Im Rahmen der Nutzung von Invoice-Converter.com können folgende Arten personenbezogener Daten verarbeitet werden, soweit sie in den vom Verantwortlichen hochgeladenen Rechnungsdokumenten enthalten sind oder bei der Nutzung anfallen:

Stammdaten von Rechnungsstellern und -empfängern (Name, Firma, Adresse)
Kontaktdaten (Telefonnummer, E-Mail-Adresse)
Bankverbindungsdaten (IBAN, BIC)
Steuerliche Identifikationsnummern (Steuernummer, USt-IdNr.)
Rechnungsdetails (Rechnungsnummer, Datum, Beträge, Leistungsbeschreibungen)
Nutzerdaten des Verantwortlichen (Name, E-Mail-Adresse für den Account)
Technische Metadaten (IP-Adresse bei Upload, Zeitstempel der Verarbeitung)

2.3 Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

Kunden (Rechnungsempfänger) des Verantwortlichen
Lieferanten (Rechnungssteller) des Verantwortlichen
Ansprechpartner bei Kunden und Lieferanten
Gegebenenfalls Mitarbeiter des Verantwortlichen, sofern deren Daten in Rechnungen enthalten sind
Nutzer des Invoice-Converter.com-Accounts beim Verantwortlichen

3. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Diese Maßnahmen sind in Anlage 2 dieses Vertrages detailliert beschrieben und umfassen insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.

4. Berichtigung, Einschränkung und Löschung von Daten

Der Auftragsverarbeiter wird Daten, die im Auftrag verarbeitet werden, nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird dieses Ersuchen unverzüglich, spätestens innerhalb von 24 Stunden, an den Verantwortlichen weitergeleitet. Nach Beendigung des Hauptvertrages werden die Daten gemäß den Regelungen in Ziffer 11 dieses AVV gelöscht.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter gewährleistet insbesondere:

Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung des Verantwortlichen.
Sicherstellung, dass die zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit verpflichtet wurden.
Umsetzung und Einhaltung der in Anlage 2 beschriebenen TOMs.
Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten (z.B. bei Betroffenenrechten, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen).
Ermöglichung und Unterstützung von Kontrollen durch den Verantwortlichen gemäß Ziffer 8.
Keine eigenmächtige Korrektur, Löschung oder Einschränkung der Verarbeitung von Daten.
Information des Verantwortlichen, falls eine Weisung seiner Meinung nach gegen Datenschutzvorschriften verstößt.
Verpflichtung zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde im Rahmen der Möglichkeiten und Bereitstellung aller erforderlichen Informationen für den Verantwortlichen.

Beim Auftragsverarbeiter ist kein Datenschutzbeauftragter bestellt, da die Voraussetzungen des Art. 37 DSGVO nicht vorliegen. Ansprechpartner: Felix Graeber, .

6. Unterauftragsverhältnisse

Der Auftragsverarbeiter ist berechtigt, zur Erbringung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen. Die aktuell eingesetzten und vom Verantwortlichen genehmigten Unterauftragsverarbeiter sind in Anlage 1 dieses Vertrages aufgeführt. Der Auftragsverarbeiter informiert den Verantwortlichen 14 Kalendertage vor Einsatz eines neuen Unterauftragsverarbeiters per E-Mail und gibt dem Verantwortlichen die Möglichkeit, innerhalb dieser Frist schriftlich Einspruch zu erheben. Mit den Unterauftragsverarbeitern werden Verträge geschlossen, die den Anforderungen des Art. 28 DSGVO entsprechen.

7. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich. Der Verantwortliche erteilt alle Aufträge oder Weisungen dokumentiert. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

8. Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und der vertraglichen Vereinbarungen durch den Auftragsverarbeiter im erforderlichen Umfang zu kontrollieren. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die notwendigen Auskünfte zu erteilen und Nachweise (z.B. über TOMs, Zertifizierungen) zur Verfügung zu stellen.

Reichen die Remote-Nachweise objektiv nicht aus, kann der Verantwortliche nach mindestens 14 Tagen Vorankündigung eine Vor-Ort-Kontrolle während der üblichen Geschäftszeiten durchführen. Die Kosten hierfür trägt der Verantwortliche, es sei denn, die Kontrolle ergibt einen wesentlichen Verstoß des Auftragsverarbeiters gegen diesen Vertrag oder geltende Datenschutzgesetze. Der Arbeitsaufwand des Auftragsverarbeiters ist dabei auf vier (4) Arbeitsstunden begrenzt.

9. Mitteilung bei Verstößen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jeden Verstoß gegen Datenschutzvorschriften oder die getroffenen vertraglichen Vereinbarungen im Zusammenhang mit der Verarbeitung von dessen Daten. Dies gilt insbesondere für Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

10. Weisungsbefugnis des Verantwortlichen

Der Auftragsverarbeiter darf Daten nur im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen verarbeiten. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen anwendbare Datenschutzgesetze verstößt.

11. Löschung und Rückgabe von personenbezogenen Daten

Nach Beendigung des Hauptvertrages oder jederzeit auf Aufforderung des Verantwortlichen wird der Auftragsverarbeiter alle personenbezogenen Daten, die Gegenstand dieses AVV sind, nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht für den Auftragsverarbeiter besteht. Sofern der Verantwortliche innerhalb von 30 Tagen nach Vertragsende keine Weisung erteilt, werden sämtliche personenbezogenen Daten standardmäßig gelöscht.
Hochgeladene Dokumente werden im Rahmen des normalen Betriebs unmittelbar nach der Verarbeitung gelöscht und nicht persistent gespeichert.

12. Haftung

Die Parteien haften gegen Betroffenen gemäß Art. 82 DSGVO als Gesamtschuldner. Im Innenverhältnis gilt: Jede Partei ersetzt der anderen die Schaden, die sie zu vertreten hat; der Auftragsverarbeiter stellt den Verantwortlichen von Ansprüchen frei, soweit diese auf einer schuldhaften Pflichtverletzung des Auftragsverarbeiters beruhen.

13. Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Es gilt deutsches Recht.
Die Parteien sind sich einig, dass der Abschluss dieses Vertrages auch in elektronischer Form durch Anklicken einer Checkbox sowie Protokollierung von Datum, Uhrzeit, IP-Adresse und Benutzer-ID erfolgt und damit das Schriftformerfordernis des Art. 28 Abs. 9 DSGVO erfüllt
Gerichtsstand ist, soweit zulässig, München.

Stand: 28. April 2025

Anlage 1: Genehmigte Unterauftragsverarbeiter

Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragsverarbeiter unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zu:

Nr.	Firma	Anschrift	Leistung	Verarbeitungsort	Datenzugriff
1	Render, Inc.	525 Brannan St STE 300, San Francisco, CA 94107, USA	Hosting der Webanwendung und Backend-Infrastruktur	Frankfurt (Deutschland)	Inhalts- und Metadaten
2	OpenAI Ireland Ltd. / OpenAI, L.L.C.	6th Floor, South Bank House, Barrow Street, Dublin 4, Irland / 3180 18th St, San Francisco, CA 94110, USA	Bereitstellung KI-API (GPT-Modelle) zur Datenextraktion	EU/EWR (primär), USA (mit SCC)	Inhalts- und Metadaten
3	Mistral AI	15 Rue des Halles, 75001 Paris, Frankreich	Bereitstellung KI-API zur Datenextraktion	EU	Inhalts- und Metadaten
4	Google Ireland Ltd. / Google LLC	Gordon House, Barrow Street, Dublin 4, Irland / 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Bereitstellung KI-API zur Datenextraktion	EU/EWR, USA (mit SCC)	Inhalts- und Metadaten
5	Cloudflare, Inc.	101 Townsend St, San Francisco, CA 94107, USA	Content Delivery Network (CDN), Web Application Firewall (WAF), DDoS-Schutz	Global (Datenverarbeitung primär in EU/EWR, USA mit SCC)	Metadaten
6	Stripe Technology Europe, Limited / Stripe, Inc.	The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland / 354 Oyster Point Blvd, South San Francisco, CA 94080, USA	Zahlungsabwicklung für Abonnements	EU/EWR, USA (mit SCC)	Metadaten
7	Supabase, Inc.	970 Terra Bella Ave, Mountain View, CA 94043, USA	Authentifizierung, Benutzerdatenbank	Frankfurt (Deutschland), USA (mit SCC für Support/Admin)	Metadaten
8	Google Ireland Ltd. / Google LLC	Gordon House, Barrow Street, Dublin 4, Irland / 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Google Tag Manager & Google Analytics (Webanalyse, Tag-Management)	EU/EWR, USA (mit SCC)	Metadaten
9	Vercel, Inc.	340 S Lemon Ave #4133, Walnut, CA 91789, USA	Frontend-Hosting	EU/EWR, USA (mit SCC)	Metadaten
10	Koyeb SAS	15 Rue des Halles, 75001 Paris, Frankreich	Hosting der Webanwendung und Backend-Infrastruktur	EU	Inhalts- und Metadaten

Bei Übermittlung in Drittländer (z.B. USA) erfolgt dies auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO, ergänzt um zusätzliche Maßnahmen, wo erforderlich.

Anlage 2: Technische und organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Physischer Zutritt zu Servern wird durch den Rechenzentrumsbetreiber (Render über AWS Frankfurt) mittels branchenüblicher Maßnahmen (Sicherheitsdienst, Videoüberwachung, Zutrittssysteme) kontrolliert. Kein direkter physischer Zutritt für Auftragsverarbeiterpersonal.
Zugangskontrolle: Schutz der Systeme vor unbefugter Nutzung durch: Einsatz von Firewalls (Cloudflare WAF, System-Firewalls), Verschlüsselung der Kommunikation (SSL/TLS), starke Passwortrichtlinien und Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge, rollenbasiertes Berechtigungskonzept mit Minimalberechtigung.
Zugriffskontrolle: Sicherstellung, dass Berechtigte nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen, und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können durch: Detailliertes Berechtigungskonzept, Protokollierung von Zugriffen auf Systemebene, Verschlüsselung von Datenträgern (wo relevant, obwohl keine persistente Speicherung von Kundendaten erfolgt), Verpflichtung der Mitarbeiter auf Vertraulichkeit.
Trennungskontrolle: Logische Trennung von Kundendaten durch Mandantenfähigkeit in der Anwendung. Strikte Trennung von Produktions-, Test- und Entwicklungssystemen.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: Sicherstellung, dass Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können durch: Verschlüsselung der Datenübertragung (SSL/TLS) für alle externen Verbindungen (Nutzer-Frontend, API-Calls zu Unterauftragnehmern). Nutzung sicherer Protokolle (HTTPS, SSH).
Eingabekontrolle: Nachvollziehbarkeit, ob und von wem Daten eingegeben, verändert oder entfernt wurden durch: Protokollierung wesentlicher Verarbeitungsschritte und Systemereignisse (Audit-Logs). Keine direkte Änderungsmöglichkeit hochgeladener Daten durch den Nutzer nach Verarbeitungsstart.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle: Schutz vor zufälliger Zerstörung oder Verlust durch: Einsatz redundanter Systeme beim Hosting-Provider (Render über AWS), regelmäßige Sicherung der Systemkonfiguration und Anwendungsdaten (nicht jedoch der verarbeiteten Kundendokumente), Monitoring der Systemverfügbarkeit, DDoS-Schutz durch Cloudflare.
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO): Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen durch: Backup- und Recovery-Prozesse für Systemkomponenten, Nutzung von Infrastructure-as-Code zur schnellen Wiederherstellung der Umgebung.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Regelmäßige Überprüfung der Sicherheitseinstellungen und TOMs.
Einsatz von Tools zur Schwachstellenerkennung und automatisiertem Patch-Management.
Datenschutzfreundliche Voreinstellungen (Privacy by Design/Default): Datenminimierung (keine Speicherung verarbeiteter Dokumente über den Verarbeitungsvorgang hinaus), Zweckbindung.
Incident-Response-Management zur Reaktion auf Sicherheitsvorfälle.
Auftragskontrolle: Sicherstellung der weisungsgebundenen Verarbeitung durch klare Prozesse und Dokumentation.