Vereinbarung zur Auftragsverarbeitung
§ 1 Gegenstand und Dauer des Auftrags
1.1 Gegenstand
Diese Vereinbarung zur Auftragsverarbeitung („AVV“) konkretisiert die Pflichten der Parteien im Hinblick auf die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Software Invoice-Collect durch den Kunden.
Die Kiwimo-Product GmbH (im Folgenden „Auftragsverarbeiter“) verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Kunden (im Folgenden „Verantwortlicher“) gemäß den Bestimmungen dieser Vereinbarung und den anwendbaren Datenschutzgesetzen, insbesondere der Datenschutz-Grundverordnung (DSGVO).
1.2 Dauer
Die Verarbeitung beginnt mit Wirksamwerden des Hauptvertrages über die Nutzung von Invoice-Collect und endet mit Beendigung dieses Vertrages, soweit in dieser AVV nichts Abweichendes geregelt ist.
Die Regelungen zur Löschung oder Rückgabe der personenbezogenen Daten nach Vertragsende bleiben unberührt.
§ 2 Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen
2.1 Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung, Wartung und Weiterentwicklung der Software Invoice-Collect, zur Durchführung der im Hauptvertrag vereinbarten Leistungen sowie zur Erfüllung gesetzlicher Pflichten. Eine Verarbeitung zu anderen Zwecken erfolgt nicht.
2.2 Art der verarbeiteten Daten
Je nach Nutzung der Software durch den Verantwortlichen können insbesondere folgende Arten personenbezogener Daten verarbeitet werden:
- Stammdaten (z. B. Name, Anschrift, Kontaktdaten)
- Vertrags- und Abrechnungsdaten
- Kommunikationsinhalte (z. B. E-Mails, Supportanfragen)
- Zahlungsinformationen (z. B. Bankverbindung, Rechnungsdaten)
- Beleg- und Rechnungsdaten, soweit diese personenbezogene Informationen enthalten
- Nutzungs- und Protokolldaten, die bei der Verwendung der Software anfallen
2.3 Kategorien betroffener Personen
Die Verarbeitung kann sich insbesondere auf folgende Kategorien betroffener Personen beziehen:
- Kunden und deren Mitarbeiter
- Lieferanten und Geschäftspartner des Verantwortlichen
- Ansprechpartner und sonstige natürliche Personen, deren Daten im Rahmen der Nutzung der Software verarbeitet werden
§ 3 Weisungsrecht des Verantwortlichen
3.1
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen. Die Weisungen ergeben sich aus dem Hauptvertrag, dieser Vereinbarung sowie aus einzelnen, vom Verantwortlichen erteilten Anweisungen.
3.2
Weisungen des Verantwortlichen sind in Textform zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen, damit sie verbindlich werden.
3.3
Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen unverzüglich zu informieren, wenn er der Ansicht ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt. Der Auftragsverarbeiter ist in diesem Fall berechtigt, die Umsetzung der Weisung bis zu einer Klarstellung oder Änderung durch den Verantwortlichen auszusetzen.
.§ 4 Pflichten des Auftragsverarbeiters
4.1 Verarbeitung nach Weisung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit keine anderweitige Verpflichtung nach dem Recht der Europäischen Union oder der Mitgliedstaaten besteht. In einem solchen Fall informiert der Auftragsverarbeiter den Verantwortlichen vor Beginn der Verarbeitung über diese Verpflichtung, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.
4.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
4.3 Sicherheit der Verarbeitung
Der Auftragsverarbeiter setzt die in Kapitel 16 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um. Anpassungen sind zulässig, sofern das Schutzniveau nicht unterschritten wird.
4.4 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen im Rahmen des Erforderlichen bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DSGVO. Die Unterstützung erfolgt ausschließlich in dem Umfang, wie sie gesetzlich zwingend vorgeschrieben ist, und – soweit darüber hinausgehend – gemäß § 14.5.
4.5 Nachweispflichten und Audits
Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung. Audits oder Inspektionen dürfen nur nach vorheriger, angemessener Ankündigung während der üblichen Geschäftszeiten und ohne unverhältnismäßige Beeinträchtigung des Geschäftsbetriebs durchgeführt werden. Der Verantwortliche trägt die Kosten für von ihm veranlasste Audits, soweit nicht gesetzlich zwingend anders vorgeschrieben.
§ 5 Pflichten des Verantwortlichen
5.1 Rechtsgrundlagen
Der Verantwortliche ist allein dafür verantwortlich, dass die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter auf einer geeigneten Rechtsgrundlage gemäß den geltenden Datenschutzgesetzen beruht.
5.2 Weisungen
Der Verantwortliche erteilt Weisungen ausschließlich in Textform. Er hat sicherzustellen, dass alle Weisungen im Einklang mit den geltenden Datenschutzbestimmungen stehen. Der Verantwortliche trägt die alleinige Verantwortung für die Rechtmäßigkeit seiner Weisungen.
5.3 Betroffenenrechte
Der Verantwortliche bearbeitet sämtliche Anfragen betroffener Personen eigenständig. Der Auftragsverarbeiter unterstützt den Verantwortlichen hierbei nur, soweit dies gesetzlich vorgeschrieben und vertraglich vereinbart ist.
5.4 Datensicherheit
Der Verantwortliche ist verpflichtet, die in der Leistungsbeschreibung genannten technischen Voraussetzungen für eine sichere Nutzung von Invoice-Collect einzuhalten und geeignete Maßnahmen zu treffen, um die Sicherheit der übermittelten personenbezogenen Daten zu gewährleisten.
5.5 Informationspflichten
Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über fehlerhafte oder geänderte Daten sowie über unrechtmäßige Datenverarbeitungen oder Datenschutzverletzungen, die im Zusammenhang mit dieser Vereinbarung stehen.
5.6 Kosten
Sofern die Unterstützung des Auftragsverarbeiters über die gesetzlich zwingenden Anforderungen hinausgeht, trägt der Verantwortliche die dafür anfallenden Kosten gemäß § 14.5.
§ 6 Einsatz von Unterauftragsverarbeitern
6.1 Genehmigung
Der Auftragsverarbeiter darf zur Erfüllung seiner vertraglichen Pflichten Unterauftragsverarbeiter einsetzen. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung zum Einsatz oder Austausch von Unterauftragsverarbeitern.
6.2 Verzeichnis
Die jeweils aktuellen Unterauftragsverarbeiter sind in Kapitel 15 dieser Vereinbarung aufgeführt. Der Auftragsverarbeiter informiert den Verantwortlichen in Textform über geplante Änderungen an dieser Liste. Änderungen treten nur dann in Kraft, wenn sie nach Maßgabe von § 6.3 zulässig sind.
6.3 Widerspruchsrecht
Der Verantwortliche kann einer geplanten Änderung nur aus wichtigem datenschutzrechtlichem Grund widersprechen. Ein Widerspruch muss innerhalb von 14 Kalendertagen nach Mitteilung in Textform beim Auftragsverarbeiter eingehen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt.
6.4 Pflichten der Unterauftragsverarbeiter
Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich dazu, die gleichen Datenschutzpflichten einzuhalten, die in dieser Vereinbarung festgelegt sind.
§ 7 Internationale Datenübermittlung
7.1
Der Auftragsverarbeiter verarbeitet personenbezogene Daten grundsätzlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR).
7.2
Eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU/des EWR erfolgt nur, wenn hierfür die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dazu zählt insbesondere:
- Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO, oder
- Abschluss von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, ggf. mit ergänzenden technischen und organisatorischen Maßnahmen, oder
-Vorliegen einer der in Art. 49 DSGVO genannten Ausnahmen.
7.3
Der Auftragsverarbeiter stellt sicher, dass auch bei einer Übermittlung in ein Drittland die vertraglich vereinbarten Datenschutzpflichten durch den Empfänger eingehalten werden.
§ 8 Technische und organisatorische Maßnahmen
8.1
Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die zum Zeitpunkt des Vertragsschlusses bestehenden Maßnahmen sind in Kapitel 16 dieser Vereinbarung beschrieben.
8.2
Der Auftragsverarbeiter ist berechtigt, die technischen und organisatorischen Maßnahmen jederzeit anzupassen, sofern das Schutzniveau nicht unterschritten wird. Änderungen werden dem Verantwortlichen in Textform mitgeteilt, sofern sie wesentliche Auswirkungen auf die Datensicherheit haben.
8.3
Die Auswahl der konkreten Maßnahmen obliegt dem Auftragsverarbeiter unter Berücksichtigung der gesetzlichen Anforderungen, des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.
§ 9 Meldung von Datenschutzverletzungen
9.1
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, sobald ihm eine bestätigte Verletzung des Schutzes personenbezogener Daten bekannt wird, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
9.2
Die Meldung enthält die dem Auftragsverarbeiter zu diesem Zeitpunkt verfügbaren Informationen, die der Verantwortliche zur Erfüllung seiner gesetzlichen Meldepflichten nach Art. 33 und 34 DSGVO benötigt. Der Auftragsverarbeiter wird weitere relevante Informationen, sobald diese vorliegen, ohne unangemessene Verzögerung nachreichen.
9.3
Die Meldung erfolgt ausschließlich in Textform an die im Hauptvertrag oder dieser Vereinbarung benannte Kontaktadresse des Verantwortlichen.
§ 10 Unterstützung bei Betroffenenanfragen
10.1
Der Verantwortliche ist alleiniger Ansprechpartner für betroffene Personen. Der Auftragsverarbeiter ist nicht verpflichtet, Anfragen betroffener Personen eigenständig zu beantworten. Er wird solche Anfragen unverzüglich an den Verantwortlichen weiterleiten.
10.2
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bearbeitung von Anträgen betroffener Personen gemäß Kapitel III DSGVO, soweit dies gesetzlich vorgeschrieben ist. Die Unterstützung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen und – soweit über die gesetzlichen Pflichten hinausgehend – gemäß § 14.5.
10.3
Der Auftragsverarbeiter gibt personenbezogene Daten betroffener Personen nur dann an diese heraus, wenn er hierzu durch zwingende gesetzliche Vorschriften verpflichtet ist oder eine ausdrückliche schriftliche Weisung des Verantwortlichen vorliegt.
10.4
Die Unterstützung erfolgt stets unter Berücksichtigung der gesetzlichen Fristen, insbesondere der Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO.
§ 11 Datenschutz-Folgenabschätzung und Konsultation
11.1
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO und gegebenenfalls bei vorherigen Konsultationen der Aufsichtsbehörde gemäß Art. 36 DSGVO, soweit dies unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen gesetzlich erforderlich ist.
11.2
Die Unterstützung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen und – soweit über die gesetzlichen Pflichten hinausgehend – gemäß § 14.5.
§ 12 Löschung und Rückgabe von Daten
12.1
Nach Abschluss der vertraglich vereinbarten Verarbeitung oder auf dokumentierte Weisung des Verantwortlichen löscht oder gibt der Auftragsverarbeiter sämtliche personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
12.2
Die Rückgabe erfolgt ausschließlich in einem gängigen, maschinenlesbaren Format. Die Auswahl des konkreten Formats obliegt dem Auftragsverarbeiter.
12.3
Eine Herausgabe in speziellen Formaten, in aufbereiteter Form oder mit zusätzlicher Datenaufbereitung erfolgt nur nach gesonderter Vereinbarung und gegen Vergütung gemäß § 14.5.
12.4
Die Löschung personenbezogener Daten wird dem Verantwortlichen auf dessen Anforderung in Textform bestätigt.
§ 13 Nachweise und Audits
13.1
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anforderung die zur Einhaltung dieser Vereinbarung erforderlichen Informationen in angemessenem Umfang zur Verfügung.
13.2
Audits oder Inspektionen beim Auftragsverarbeiter dürfen nur durchgeführt werden, wenn sie gesetzlich vorgeschrieben sind oder zur Überprüfung zwingend erforderlich sind. Sie sind vom Verantwortlichen mindestens 30 Kalendertage im Voraus in Textform anzukündigen und erfolgen während der üblichen Geschäftszeiten ohne wesentliche Störung des Geschäftsbetriebs.
13.3
Der Auftragsverarbeiter kann den Verantwortlichen auf gleichwertige Prüfberichte externer Auditoren, Zertifikate oder andere geeignete Nachweise verweisen, um die Einhaltung der vereinbarten Maßnahmen zu belegen.
13.4
Der Verantwortliche trägt alle Kosten für von ihm veranlasste Audits, einschließlich eventueller interner Aufwände des Auftragsverarbeiters, gemäß § 14.5.
§ 14 Schlussbestimmungen
14.1 Änderungen und Ergänzungen
Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform und müssen ausdrücklich als solche gekennzeichnet sein.
14.2 Salvatorische Klausel
Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck der ursprünglichen Bestimmung am nächsten kommt und rechtlich zulässig ist.
14.3 Gerichtsstand
Diese Vereinbarung unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.14.4 Geltung
Diese Vereinbarung gilt nur in Verbindung mit dem zwischen den Parteien geschlossenen Hauptvertrag über die Nutzung der Software Invoice-Collect.
14.5 Vergütung zusätzlicher Leistungen
Soweit der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung gesetzlicher Pflichten (z. B. im Zusammenhang mit Betroffenenrechten, Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden, Datenrückgabe in Sonderformaten oder Audits) unterstützt und diese Unterstützung über die gesetzlich zwingenden Anforderungen hinausgeht, ist der Auftragsverarbeiter berechtigt, hierfür eine Vergütung nach Aufwand zu verlangen. Grundlage ist der jeweils gültige, vorab mitgeteilte Stundensatz des Auftragsverarbeiters.
§ 15 Verzeichnis der Unterauftragsverarbeiter
15.1 tawk.to
Sitz: USA
Zweck: Live-Chat, Support-Tickets
Kategorien betroffener Personen: Kunden, Endnutzer
Kategorien personenbezogener Daten: Kommunikationsinhalte, Kontaktdaten, Supportanfragen
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Standardvertragsklauseln (Art. 46 DSGVO), Verschlüsselung
Tawk.to ist ein US-amerikanischer Dienstleister, der zur Bereitstellung von Live-Chat-Funktionen sowie zur Bearbeitung von Support-Tickets eingesetzt wird. Hierbei werden Kommunikationsinhalte, Kontaktdaten und Supportanfragen von Kunden oder Endnutzern verarbeitet. Da es sich um personenbezogene Daten handelt, erfolgt die Übermittlung ausschließlich auf Grundlage von Standardvertragsklauseln nach Art. 46 DSGVO, ergänzt durch den Einsatz von Verschlüsselung.
15.2 Posthog
Sitz: EU/USA
Zweck: Produktanalyse, Verbesserung der Nutzererfahrung
Kategorien betroffener Personen: Kunden, Endnutzer
Kategorien personenbezogener Daten: Nutzungsdaten, Protokolldaten, pseudonymisierte Identifikatoren, ggf. IP-Adressen
Personenbezug: Ja (pseudonymisiert)
Rechtsgrundlage/Absicherung: Standardvertragsklauseln bei Übermittlung in die USA
Posthog wird zur Analyse des Nutzerverhaltens innerhalb der Software eingesetzt, um die Benutzererfahrung kontinuierlich zu verbessern. Dabei werden Nutzungs- und Protokolldaten verarbeitet, wie beispielsweise Klickverhalten oder pseudonymisierte Identifikatoren, die in Einzelfällen auch Rückschlüsse auf Personen zulassen können. Betroffen sind in erster Linie Kunden und Endnutzer. Der Dienst verarbeitet Daten innerhalb der EU, nutzt jedoch in Teilen auch US-Infrastruktur, sodass eine Absicherung über Standardvertragsklauseln erfolgt.
15.3 Hotjar
Sitz: EU
Zweck: Optimierung der Benutzerfreundlichkeit
Kategorien betroffener Personen: Kunden, Endnutzer
Kategorien personenbezogener Daten: Nutzungsdaten, Interaktionsdaten, Klickverhalten, IP-Adressen
Personenbezug: Ja
Rechtsgrundlage/Absicherung: EU-Hosting, ggf. Standardvertragsklauseln
Hotjar ist ein europäischer Anbieter, der zur Optimierung der Benutzerfreundlichkeit eingesetzt wird. Der Dienst erstellt Heatmaps und Session-Recordings, um das Nutzerverhalten innerhalb der Anwendung besser zu verstehen. Dabei werden Nutzungs- und Interaktionsdaten wie Mausbewegungen, Klicks und IP-Adressen verarbeitet. Da es sich um personenbezogene Daten handelt, erfolgt die Verarbeitung überwiegend innerhalb der EU. Sollte in Ausnahmefällen eine Übermittlung in Drittländer stattfinden, wird diese über Standardvertragsklauseln abgesichert.
15.4 Stripe Payments Europe Ltd.
Sitz: Irland/USA
Zweck: Zahlungsabwicklung, Betrugsprävention
Kategorien betroffener Personen: Kunden
Kategorien personenbezogener Daten: Zahlungsinformationen, Rechnungsdaten, Identifikationsdaten
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag, Standardvertragsklauseln, zusätzliche Schutzmaßnahmen
Stripe übernimmt die Zahlungsabwicklung und Betrugsprävention. Dabei werden Zahlungsinformationen, Rechnungsdaten sowie Identifikationsdaten von Kunden verarbeitet. Diese Daten haben eindeutigen Personenbezug. Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags und, soweit Daten in die USA übermittelt werden, zusätzlich auf Grundlage von Standardvertragsklauseln sowie weiteren technischen Schutzmaßnahmen.
15.5 OpenAI, L.L.C.
Sitz: USA
Zweck: Automatisches Auslesen von Rechnungsdaten
Kategorien betroffener Personen: Kunden, deren Mitarbeiter
Kategorien personenbezogener Daten: Rechnungsinhalte, personenbezogene Daten in Belegen
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Standardvertragsklauseln, Datenminimierung, Verschlüsselung
OpenAI wird eingesetzt, um Rechnungsdokumente automatisch auszulesen und zu strukturieren. Da Rechnungen regelmäßig personenbezogene Informationen wie Namen, Anschriften oder Kontaktdaten enthalten, verarbeitet OpenAI solche Daten im Auftrag. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln nach Art. 46 DSGVO. Ergänzend wird auf Datenminimierung und Verschlüsselung gesetzt, sodass nur die für den konkreten Zweck erforderlichen Informationen verarbeitet werden.
15.6 Supabase
Sitz: EU/teilweise USA
Zweck: Datenbank-Hosting
Kategorien betroffener Personen: Kunden, Mitarbeiter, Geschäftspartner
Kategorien personenbezogener Daten: Stammdaten, Vertrags- und Abrechnungsdaten, Kommunikationsinhalte, Rechnungsdaten
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag, Standardvertragsklauseln, EU-Server bevorzugt
Supabase stellt Datenbankdienste bereit. Dort werden sämtliche von der Software benötigten Stammdaten, Vertrags- und Abrechnungsdaten sowie Kommunikationsinhalte und Rechnungsdaten gespeichert und verarbeitet. Betroffen sind sowohl Kunden als auch deren Mitarbeiter und Geschäftspartner. Aufgrund des Personenbezugs erfolgt die Verarbeitung auf Grundlage eines Auftragsverarbeitungsvertrags; für Übermittlungen in Drittländer werden Standardvertragsklauseln verwendet.
15.7 Strato AG
Sitz: Deutschland
Zweck: Server-Hosting
Kategorien betroffener Personen: Kunden, Mitarbeiter, Geschäftspartner
Kategorien personenbezogener Daten: Alle in der Anwendung gespeicherten personenbezogenen Daten
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, Verarbeitung ausschließlich in der EU
Die Strato AG mit Sitz in Deutschland stellt die Serverinfrastruktur bereit, auf der die Anwendung gehostet wird. Alle personenbezogenen Daten, die im Rahmen von Invoice-Collect verarbeitet werden, können dort gespeichert und verarbeitet werden. Betroffen sind Kunden, deren Mitarbeiter sowie Geschäftspartner. Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union und auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.
15.8 Mailjet (Sinch)
Sitz: EU
Zweck: Versand und Empfang von E-Mails
Kategorien betroffener Personen: Kunden, Endnutzer, Geschäftspartner
Kategorien personenbezogener Daten: E-Mail-Adressen, Kommunikationsinhalte
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag, EU-Hosting
Mailjet wird für den Versand und Empfang von E-Mails genutzt. Dabei werden personenbezogene Daten wie E-Mail-Adressen und Kommunikationsinhalte verarbeitet. Betroffen sind Kunden, deren Mitarbeiter sowie Geschäftspartner. Die Verarbeitung erfolgt ausschließlich innerhalb der EU. Grundlage bildet ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
15.9 ConvertAPI
Sitz: EU
Zweck: Sichere PDF-Aufbereitung, Virenentfernung
Kategorien betroffener Personen: Kunden, deren Mitarbeiter
Kategorien personenbezogener Daten: Rechnungs- und Belegdaten, personenbezogene Informationen in Dokumenten
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag, EU-Server
ConvertAPI wird zur sicheren Aufbereitung von PDF-Dokumenten sowie zur Virenentfernung eingesetzt. Dabei werden Rechnungs- und Belegdaten verarbeitet, die regelmäßig personenbezogene Informationen enthalten können. Betroffen sind vor allem Kunden und deren Mitarbeiter. Grundlage der Verarbeitung ist ein Auftragsverarbeitungsvertrag, die Datenverarbeitung erfolgt innerhalb der EU.
15.10 Nylas Inc.
Sitz: USA
Zweck: Anbindung von E-Mail-Postfächern
Kategorien betroffener Personen: Kunden, deren Mitarbeiter
Kategorien personenbezogener Daten: E-Mail-Inhalte, Kontakte, Kalenderinformationen
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Standardvertragsklauseln
Nylas wird verwendet, um E-Mail-Postfächer an die Anwendung anzubinden. Der Dienst hat Zugriff auf E-Mail-Inhalte, Kontakte und Kalenderinformationen, die allesamt personenbezogene Daten darstellen können. Betroffen sind Kunden und deren Mitarbeiter. Aufgrund der Drittstaatenübermittlung erfolgt die Verarbeitung ausschließlich auf Grundlage von Standardvertragsklauseln nach Art. 46 DSGVO.
15.11 frankfurter.dev
Sitz: Deutschland
Zweck: Umrechnung von Währungswerten
Kategorien betroffener Personen: Keine
Kategorien personenbezogener Daten: Keine
Personenbezug: Nein
Rechtsgrundlage/Absicherung: Nicht erforderlich
Der Dienst frankfurter.dev wird genutzt, um Währungswerte zu berechnen und zu konvertieren. Im Rahmen dieser Tätigkeit werden ausschließlich technische Umrechnungswerte verarbeitet. Personenbezogene Daten sind hiervon nicht betroffen, sodass keine weitere datenschutzrechtliche Absicherung erforderlich ist.
15.12 Brandfetch
Sitz: USA
Zweck: Abruf von Unternehmenslogos
Kategorien betroffener Personen: Keine
Kategorien personenbezogener Daten: Keine
Personenbezug: Nein
Rechtsgrundlage/Absicherung: Nicht erforderlich
Brandfetch wird eingesetzt, um Unternehmenslogos automatisch aus externen Quellen abzurufen. Dabei werden keine personenbezogenen Daten verarbeitet, sondern ausschließlich öffentlich verfügbare Unternehmensinformationen. Da kein Personenbezug besteht, ist keine zusätzliche datenschutzrechtliche Absicherung erforderlich.
§ 16 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei werden insbesondere folgende Maßnahmen umgesetzt und regelmäßig überprüft:
Allgemeine Maßnahmen
• Betrieb eines internen Datenschutz-Managements mit regelmäßiger Evaluation.
• Einrichtung von Verfahren zur Wahrung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit etc.).
• Verfahren zur Reaktion auf Datenschutzverletzungen (Meldung, Dokumentation, Information der Betroffenen).
• Berücksichtigung von „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ (Art. 25 DSGVO).
• Regelmäßige Updates und Sicherheits-Patches für eingesetzte Systeme.
• Verarbeitung ausschließlich in zertifizierten Rechenzentren innerhalb der EU (z. B. ISO 27001 oder gleichwertig).
• Verpflichtung aller Mitarbeitenden auf Vertraulichkeit sowie regelmäßige Schulungen.
Zutritts- und Zugangskontrolle
• Zutrittskontrolle zu Gebäuden und Serverräumen (Schlüssel-/Kartensysteme, Besucherregelung).
• Zugangskontrolle zu IT-Systemen durch individuelle Benutzeraccounts.
• Starke Authentifizierung (z. B. Zwei-Faktor-Authentifizierung, wo technisch möglich).
• Automatische Sperrung von Endgeräten nach kurzer Inaktivität.
• Regelungen zur sicheren Nutzung von Hardware (Passwortrichtlinien, Verschlüsselung mobiler Geräte).
Zugriffskontrolle
• Rollenbasiertes Berechtigungskonzept mit Zugriff nur nach dem „Need-to-know“ -Prinzip.
• Anwendungsbezogene Authentifizierung mit Benutzername und Passwort.
• Protokollierung und Nachvollziehbarkeit von Eingaben, Änderungen und Löschungen.
• Datenschutzkonforme Löschung oder Vernichtung von Datenträgern und Papierdokumenten.
Eingabekontrolle
• Nachvollziehbarkeit, wer personenbezogene Daten wann eingegeben, verändert oder gelöscht hat.
• Protokollierung der Vergabe, Änderung und Löschung von Benutzerrechten.
• Klare Aufgabenzuweisung für Eingaben, Änderungen und Löschungen.
Pseudonymisierung und Trennung
• Pseudonymisierung oder Anonymisierung von Daten, soweit technisch möglich und zweckmäßig.
• Mandantentrennung innerhalb der Systeme.
• Trennung von Produktiv- und Testsystemen.
Weitergabe- und Übermittlungskontrolle
• Verschlüsselung bei Datenübertragungen (Transportverschlüsselung, TLS).
• Verbot der Speicherung von Kundendaten auf privaten oder unverschlüsselten Speichermedien.
• Auswahl von Unterauftragsverarbeitern nach strengen Kriterien; Einsatz nur auf Grundlage eines AV-Vertrags.
Verfügbarkeitskontrolle und Belastbarkeit
• Regelmäßige Backups, Prüfung auf Wiederherstellbarkeit.
• Notfall- und Wiederanlaufkonzepte.
• Einsatz redundanter Systeme und Schutzmaßnahmen (z. B. USV, Monitoring).
• Sicherstellung der Belastbarkeit der Systeme, um auch bei physischen oder technischen Zwischenfällen die Verfügbarkeit und den Zugriff auf personenbezogene Daten schnell wiederherzustellen.
Regelmäßige Überprüfung, Bewertung und Evaluierung
• Bestellung eines Datenschutzbeauftragten (soweit gesetzlich erforderlich).
• Regelmäßige Schulungen und Sensibilisierungen der Mitarbeitenden.
• Regelmäßige Überprüfung der Wirksamkeit der getroffenen Maßnahmen, einschließlich Tests, Bewertungen und Evaluierungen gemäß Art. 32 Abs. 1 lit. d DSGVO.
1.1 Gegenstand
Diese Vereinbarung zur Auftragsverarbeitung („AVV“) konkretisiert die Pflichten der Parteien im Hinblick auf die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Software Invoice-Collect durch den Kunden.
Die Kiwimo-Product GmbH (im Folgenden „Auftragsverarbeiter“) verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Kunden (im Folgenden „Verantwortlicher“) gemäß den Bestimmungen dieser Vereinbarung und den anwendbaren Datenschutzgesetzen, insbesondere der Datenschutz-Grundverordnung (DSGVO).
1.2 Dauer
Die Verarbeitung beginnt mit Wirksamwerden des Hauptvertrages über die Nutzung von Invoice-Collect und endet mit Beendigung dieses Vertrages, soweit in dieser AVV nichts Abweichendes geregelt ist.
Die Regelungen zur Löschung oder Rückgabe der personenbezogenen Daten nach Vertragsende bleiben unberührt.
§ 2 Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen
2.1 Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung, Wartung und Weiterentwicklung der Software Invoice-Collect, zur Durchführung der im Hauptvertrag vereinbarten Leistungen sowie zur Erfüllung gesetzlicher Pflichten. Eine Verarbeitung zu anderen Zwecken erfolgt nicht.
2.2 Art der verarbeiteten Daten
Je nach Nutzung der Software durch den Verantwortlichen können insbesondere folgende Arten personenbezogener Daten verarbeitet werden:
- Stammdaten (z. B. Name, Anschrift, Kontaktdaten)
- Vertrags- und Abrechnungsdaten
- Kommunikationsinhalte (z. B. E-Mails, Supportanfragen)
- Zahlungsinformationen (z. B. Bankverbindung, Rechnungsdaten)
- Beleg- und Rechnungsdaten, soweit diese personenbezogene Informationen enthalten
- Nutzungs- und Protokolldaten, die bei der Verwendung der Software anfallen
2.3 Kategorien betroffener Personen
Die Verarbeitung kann sich insbesondere auf folgende Kategorien betroffener Personen beziehen:
- Kunden und deren Mitarbeiter
- Lieferanten und Geschäftspartner des Verantwortlichen
- Ansprechpartner und sonstige natürliche Personen, deren Daten im Rahmen der Nutzung der Software verarbeitet werden
§ 3 Weisungsrecht des Verantwortlichen
3.1
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen. Die Weisungen ergeben sich aus dem Hauptvertrag, dieser Vereinbarung sowie aus einzelnen, vom Verantwortlichen erteilten Anweisungen.
3.2
Weisungen des Verantwortlichen sind in Textform zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen, damit sie verbindlich werden.
3.3
Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen unverzüglich zu informieren, wenn er der Ansicht ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt. Der Auftragsverarbeiter ist in diesem Fall berechtigt, die Umsetzung der Weisung bis zu einer Klarstellung oder Änderung durch den Verantwortlichen auszusetzen.
.§ 4 Pflichten des Auftragsverarbeiters
4.1 Verarbeitung nach Weisung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit keine anderweitige Verpflichtung nach dem Recht der Europäischen Union oder der Mitgliedstaaten besteht. In einem solchen Fall informiert der Auftragsverarbeiter den Verantwortlichen vor Beginn der Verarbeitung über diese Verpflichtung, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.
4.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
4.3 Sicherheit der Verarbeitung
Der Auftragsverarbeiter setzt die in Kapitel 16 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um. Anpassungen sind zulässig, sofern das Schutzniveau nicht unterschritten wird.
4.4 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen im Rahmen des Erforderlichen bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DSGVO. Die Unterstützung erfolgt ausschließlich in dem Umfang, wie sie gesetzlich zwingend vorgeschrieben ist, und – soweit darüber hinausgehend – gemäß § 14.5.
4.5 Nachweispflichten und Audits
Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung. Audits oder Inspektionen dürfen nur nach vorheriger, angemessener Ankündigung während der üblichen Geschäftszeiten und ohne unverhältnismäßige Beeinträchtigung des Geschäftsbetriebs durchgeführt werden. Der Verantwortliche trägt die Kosten für von ihm veranlasste Audits, soweit nicht gesetzlich zwingend anders vorgeschrieben.
§ 5 Pflichten des Verantwortlichen
5.1 Rechtsgrundlagen
Der Verantwortliche ist allein dafür verantwortlich, dass die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter auf einer geeigneten Rechtsgrundlage gemäß den geltenden Datenschutzgesetzen beruht.
5.2 Weisungen
Der Verantwortliche erteilt Weisungen ausschließlich in Textform. Er hat sicherzustellen, dass alle Weisungen im Einklang mit den geltenden Datenschutzbestimmungen stehen. Der Verantwortliche trägt die alleinige Verantwortung für die Rechtmäßigkeit seiner Weisungen.
5.3 Betroffenenrechte
Der Verantwortliche bearbeitet sämtliche Anfragen betroffener Personen eigenständig. Der Auftragsverarbeiter unterstützt den Verantwortlichen hierbei nur, soweit dies gesetzlich vorgeschrieben und vertraglich vereinbart ist.
5.4 Datensicherheit
Der Verantwortliche ist verpflichtet, die in der Leistungsbeschreibung genannten technischen Voraussetzungen für eine sichere Nutzung von Invoice-Collect einzuhalten und geeignete Maßnahmen zu treffen, um die Sicherheit der übermittelten personenbezogenen Daten zu gewährleisten.
5.5 Informationspflichten
Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über fehlerhafte oder geänderte Daten sowie über unrechtmäßige Datenverarbeitungen oder Datenschutzverletzungen, die im Zusammenhang mit dieser Vereinbarung stehen.
5.6 Kosten
Sofern die Unterstützung des Auftragsverarbeiters über die gesetzlich zwingenden Anforderungen hinausgeht, trägt der Verantwortliche die dafür anfallenden Kosten gemäß § 14.5.
§ 6 Einsatz von Unterauftragsverarbeitern
6.1 Genehmigung
Der Auftragsverarbeiter darf zur Erfüllung seiner vertraglichen Pflichten Unterauftragsverarbeiter einsetzen. Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung zum Einsatz oder Austausch von Unterauftragsverarbeitern.
6.2 Verzeichnis
Die jeweils aktuellen Unterauftragsverarbeiter sind in Kapitel 15 dieser Vereinbarung aufgeführt. Der Auftragsverarbeiter informiert den Verantwortlichen in Textform über geplante Änderungen an dieser Liste. Änderungen treten nur dann in Kraft, wenn sie nach Maßgabe von § 6.3 zulässig sind.
6.3 Widerspruchsrecht
Der Verantwortliche kann einer geplanten Änderung nur aus wichtigem datenschutzrechtlichem Grund widersprechen. Ein Widerspruch muss innerhalb von 14 Kalendertagen nach Mitteilung in Textform beim Auftragsverarbeiter eingehen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt.
6.4 Pflichten der Unterauftragsverarbeiter
Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich dazu, die gleichen Datenschutzpflichten einzuhalten, die in dieser Vereinbarung festgelegt sind.
§ 7 Internationale Datenübermittlung
7.1
Der Auftragsverarbeiter verarbeitet personenbezogene Daten grundsätzlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR).
7.2
Eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU/des EWR erfolgt nur, wenn hierfür die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dazu zählt insbesondere:
- Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO, oder
- Abschluss von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, ggf. mit ergänzenden technischen und organisatorischen Maßnahmen, oder
-Vorliegen einer der in Art. 49 DSGVO genannten Ausnahmen.
7.3
Der Auftragsverarbeiter stellt sicher, dass auch bei einer Übermittlung in ein Drittland die vertraglich vereinbarten Datenschutzpflichten durch den Empfänger eingehalten werden.
§ 8 Technische und organisatorische Maßnahmen
8.1
Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die zum Zeitpunkt des Vertragsschlusses bestehenden Maßnahmen sind in Kapitel 16 dieser Vereinbarung beschrieben.
8.2
Der Auftragsverarbeiter ist berechtigt, die technischen und organisatorischen Maßnahmen jederzeit anzupassen, sofern das Schutzniveau nicht unterschritten wird. Änderungen werden dem Verantwortlichen in Textform mitgeteilt, sofern sie wesentliche Auswirkungen auf die Datensicherheit haben.
8.3
Die Auswahl der konkreten Maßnahmen obliegt dem Auftragsverarbeiter unter Berücksichtigung der gesetzlichen Anforderungen, des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.
§ 9 Meldung von Datenschutzverletzungen
9.1
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, sobald ihm eine bestätigte Verletzung des Schutzes personenbezogener Daten bekannt wird, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
9.2
Die Meldung enthält die dem Auftragsverarbeiter zu diesem Zeitpunkt verfügbaren Informationen, die der Verantwortliche zur Erfüllung seiner gesetzlichen Meldepflichten nach Art. 33 und 34 DSGVO benötigt. Der Auftragsverarbeiter wird weitere relevante Informationen, sobald diese vorliegen, ohne unangemessene Verzögerung nachreichen.
9.3
Die Meldung erfolgt ausschließlich in Textform an die im Hauptvertrag oder dieser Vereinbarung benannte Kontaktadresse des Verantwortlichen.
§ 10 Unterstützung bei Betroffenenanfragen
10.1
Der Verantwortliche ist alleiniger Ansprechpartner für betroffene Personen. Der Auftragsverarbeiter ist nicht verpflichtet, Anfragen betroffener Personen eigenständig zu beantworten. Er wird solche Anfragen unverzüglich an den Verantwortlichen weiterleiten.
10.2
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bearbeitung von Anträgen betroffener Personen gemäß Kapitel III DSGVO, soweit dies gesetzlich vorgeschrieben ist. Die Unterstützung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen und – soweit über die gesetzlichen Pflichten hinausgehend – gemäß § 14.5.
10.3
Der Auftragsverarbeiter gibt personenbezogene Daten betroffener Personen nur dann an diese heraus, wenn er hierzu durch zwingende gesetzliche Vorschriften verpflichtet ist oder eine ausdrückliche schriftliche Weisung des Verantwortlichen vorliegt.
10.4
Die Unterstützung erfolgt stets unter Berücksichtigung der gesetzlichen Fristen, insbesondere der Frist von einem Monat gemäß Art. 12 Abs. 3 DSGVO.
§ 11 Datenschutz-Folgenabschätzung und Konsultation
11.1
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO und gegebenenfalls bei vorherigen Konsultationen der Aufsichtsbehörde gemäß Art. 36 DSGVO, soweit dies unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen gesetzlich erforderlich ist.
11.2
Die Unterstützung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen und – soweit über die gesetzlichen Pflichten hinausgehend – gemäß § 14.5.
§ 12 Löschung und Rückgabe von Daten
12.1
Nach Abschluss der vertraglich vereinbarten Verarbeitung oder auf dokumentierte Weisung des Verantwortlichen löscht oder gibt der Auftragsverarbeiter sämtliche personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
12.2
Die Rückgabe erfolgt ausschließlich in einem gängigen, maschinenlesbaren Format. Die Auswahl des konkreten Formats obliegt dem Auftragsverarbeiter.
12.3
Eine Herausgabe in speziellen Formaten, in aufbereiteter Form oder mit zusätzlicher Datenaufbereitung erfolgt nur nach gesonderter Vereinbarung und gegen Vergütung gemäß § 14.5.
12.4
Die Löschung personenbezogener Daten wird dem Verantwortlichen auf dessen Anforderung in Textform bestätigt.
§ 13 Nachweise und Audits
13.1
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anforderung die zur Einhaltung dieser Vereinbarung erforderlichen Informationen in angemessenem Umfang zur Verfügung.
13.2
Audits oder Inspektionen beim Auftragsverarbeiter dürfen nur durchgeführt werden, wenn sie gesetzlich vorgeschrieben sind oder zur Überprüfung zwingend erforderlich sind. Sie sind vom Verantwortlichen mindestens 30 Kalendertage im Voraus in Textform anzukündigen und erfolgen während der üblichen Geschäftszeiten ohne wesentliche Störung des Geschäftsbetriebs.
13.3
Der Auftragsverarbeiter kann den Verantwortlichen auf gleichwertige Prüfberichte externer Auditoren, Zertifikate oder andere geeignete Nachweise verweisen, um die Einhaltung der vereinbarten Maßnahmen zu belegen.
13.4
Der Verantwortliche trägt alle Kosten für von ihm veranlasste Audits, einschließlich eventueller interner Aufwände des Auftragsverarbeiters, gemäß § 14.5.
§ 14 Schlussbestimmungen
14.1 Änderungen und Ergänzungen
Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform und müssen ausdrücklich als solche gekennzeichnet sein.
14.2 Salvatorische Klausel
Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck der ursprünglichen Bestimmung am nächsten kommt und rechtlich zulässig ist.
14.3 Gerichtsstand
Diese Vereinbarung unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.14.4 Geltung
Diese Vereinbarung gilt nur in Verbindung mit dem zwischen den Parteien geschlossenen Hauptvertrag über die Nutzung der Software Invoice-Collect.
14.5 Vergütung zusätzlicher Leistungen
Soweit der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung gesetzlicher Pflichten (z. B. im Zusammenhang mit Betroffenenrechten, Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden, Datenrückgabe in Sonderformaten oder Audits) unterstützt und diese Unterstützung über die gesetzlich zwingenden Anforderungen hinausgeht, ist der Auftragsverarbeiter berechtigt, hierfür eine Vergütung nach Aufwand zu verlangen. Grundlage ist der jeweils gültige, vorab mitgeteilte Stundensatz des Auftragsverarbeiters.
§ 15 Verzeichnis der Unterauftragsverarbeiter
15.1 tawk.to
Sitz: USA
Zweck: Live-Chat, Support-Tickets
Kategorien betroffener Personen: Kunden, Endnutzer
Kategorien personenbezogener Daten: Kommunikationsinhalte, Kontaktdaten, Supportanfragen
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Standardvertragsklauseln (Art. 46 DSGVO), Verschlüsselung
Tawk.to ist ein US-amerikanischer Dienstleister, der zur Bereitstellung von Live-Chat-Funktionen sowie zur Bearbeitung von Support-Tickets eingesetzt wird. Hierbei werden Kommunikationsinhalte, Kontaktdaten und Supportanfragen von Kunden oder Endnutzern verarbeitet. Da es sich um personenbezogene Daten handelt, erfolgt die Übermittlung ausschließlich auf Grundlage von Standardvertragsklauseln nach Art. 46 DSGVO, ergänzt durch den Einsatz von Verschlüsselung.
15.2 Posthog
Sitz: EU/USA
Zweck: Produktanalyse, Verbesserung der Nutzererfahrung
Kategorien betroffener Personen: Kunden, Endnutzer
Kategorien personenbezogener Daten: Nutzungsdaten, Protokolldaten, pseudonymisierte Identifikatoren, ggf. IP-Adressen
Personenbezug: Ja (pseudonymisiert)
Rechtsgrundlage/Absicherung: Standardvertragsklauseln bei Übermittlung in die USA
Posthog wird zur Analyse des Nutzerverhaltens innerhalb der Software eingesetzt, um die Benutzererfahrung kontinuierlich zu verbessern. Dabei werden Nutzungs- und Protokolldaten verarbeitet, wie beispielsweise Klickverhalten oder pseudonymisierte Identifikatoren, die in Einzelfällen auch Rückschlüsse auf Personen zulassen können. Betroffen sind in erster Linie Kunden und Endnutzer. Der Dienst verarbeitet Daten innerhalb der EU, nutzt jedoch in Teilen auch US-Infrastruktur, sodass eine Absicherung über Standardvertragsklauseln erfolgt.
15.3 Hotjar
Sitz: EU
Zweck: Optimierung der Benutzerfreundlichkeit
Kategorien betroffener Personen: Kunden, Endnutzer
Kategorien personenbezogener Daten: Nutzungsdaten, Interaktionsdaten, Klickverhalten, IP-Adressen
Personenbezug: Ja
Rechtsgrundlage/Absicherung: EU-Hosting, ggf. Standardvertragsklauseln
Hotjar ist ein europäischer Anbieter, der zur Optimierung der Benutzerfreundlichkeit eingesetzt wird. Der Dienst erstellt Heatmaps und Session-Recordings, um das Nutzerverhalten innerhalb der Anwendung besser zu verstehen. Dabei werden Nutzungs- und Interaktionsdaten wie Mausbewegungen, Klicks und IP-Adressen verarbeitet. Da es sich um personenbezogene Daten handelt, erfolgt die Verarbeitung überwiegend innerhalb der EU. Sollte in Ausnahmefällen eine Übermittlung in Drittländer stattfinden, wird diese über Standardvertragsklauseln abgesichert.
15.4 Stripe Payments Europe Ltd.
Sitz: Irland/USA
Zweck: Zahlungsabwicklung, Betrugsprävention
Kategorien betroffener Personen: Kunden
Kategorien personenbezogener Daten: Zahlungsinformationen, Rechnungsdaten, Identifikationsdaten
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag, Standardvertragsklauseln, zusätzliche Schutzmaßnahmen
Stripe übernimmt die Zahlungsabwicklung und Betrugsprävention. Dabei werden Zahlungsinformationen, Rechnungsdaten sowie Identifikationsdaten von Kunden verarbeitet. Diese Daten haben eindeutigen Personenbezug. Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags und, soweit Daten in die USA übermittelt werden, zusätzlich auf Grundlage von Standardvertragsklauseln sowie weiteren technischen Schutzmaßnahmen.
15.5 OpenAI, L.L.C.
Sitz: USA
Zweck: Automatisches Auslesen von Rechnungsdaten
Kategorien betroffener Personen: Kunden, deren Mitarbeiter
Kategorien personenbezogener Daten: Rechnungsinhalte, personenbezogene Daten in Belegen
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Standardvertragsklauseln, Datenminimierung, Verschlüsselung
OpenAI wird eingesetzt, um Rechnungsdokumente automatisch auszulesen und zu strukturieren. Da Rechnungen regelmäßig personenbezogene Informationen wie Namen, Anschriften oder Kontaktdaten enthalten, verarbeitet OpenAI solche Daten im Auftrag. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln nach Art. 46 DSGVO. Ergänzend wird auf Datenminimierung und Verschlüsselung gesetzt, sodass nur die für den konkreten Zweck erforderlichen Informationen verarbeitet werden.
15.6 Supabase
Sitz: EU/teilweise USA
Zweck: Datenbank-Hosting
Kategorien betroffener Personen: Kunden, Mitarbeiter, Geschäftspartner
Kategorien personenbezogener Daten: Stammdaten, Vertrags- und Abrechnungsdaten, Kommunikationsinhalte, Rechnungsdaten
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag, Standardvertragsklauseln, EU-Server bevorzugt
Supabase stellt Datenbankdienste bereit. Dort werden sämtliche von der Software benötigten Stammdaten, Vertrags- und Abrechnungsdaten sowie Kommunikationsinhalte und Rechnungsdaten gespeichert und verarbeitet. Betroffen sind sowohl Kunden als auch deren Mitarbeiter und Geschäftspartner. Aufgrund des Personenbezugs erfolgt die Verarbeitung auf Grundlage eines Auftragsverarbeitungsvertrags; für Übermittlungen in Drittländer werden Standardvertragsklauseln verwendet.
15.7 Strato AG
Sitz: Deutschland
Zweck: Server-Hosting
Kategorien betroffener Personen: Kunden, Mitarbeiter, Geschäftspartner
Kategorien personenbezogener Daten: Alle in der Anwendung gespeicherten personenbezogenen Daten
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, Verarbeitung ausschließlich in der EU
Die Strato AG mit Sitz in Deutschland stellt die Serverinfrastruktur bereit, auf der die Anwendung gehostet wird. Alle personenbezogenen Daten, die im Rahmen von Invoice-Collect verarbeitet werden, können dort gespeichert und verarbeitet werden. Betroffen sind Kunden, deren Mitarbeiter sowie Geschäftspartner. Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union und auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.
15.8 Mailjet (Sinch)
Sitz: EU
Zweck: Versand und Empfang von E-Mails
Kategorien betroffener Personen: Kunden, Endnutzer, Geschäftspartner
Kategorien personenbezogener Daten: E-Mail-Adressen, Kommunikationsinhalte
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag, EU-Hosting
Mailjet wird für den Versand und Empfang von E-Mails genutzt. Dabei werden personenbezogene Daten wie E-Mail-Adressen und Kommunikationsinhalte verarbeitet. Betroffen sind Kunden, deren Mitarbeiter sowie Geschäftspartner. Die Verarbeitung erfolgt ausschließlich innerhalb der EU. Grundlage bildet ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
15.9 ConvertAPI
Sitz: EU
Zweck: Sichere PDF-Aufbereitung, Virenentfernung
Kategorien betroffener Personen: Kunden, deren Mitarbeiter
Kategorien personenbezogener Daten: Rechnungs- und Belegdaten, personenbezogene Informationen in Dokumenten
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Auftragsverarbeitungsvertrag, EU-Server
ConvertAPI wird zur sicheren Aufbereitung von PDF-Dokumenten sowie zur Virenentfernung eingesetzt. Dabei werden Rechnungs- und Belegdaten verarbeitet, die regelmäßig personenbezogene Informationen enthalten können. Betroffen sind vor allem Kunden und deren Mitarbeiter. Grundlage der Verarbeitung ist ein Auftragsverarbeitungsvertrag, die Datenverarbeitung erfolgt innerhalb der EU.
15.10 Nylas Inc.
Sitz: USA
Zweck: Anbindung von E-Mail-Postfächern
Kategorien betroffener Personen: Kunden, deren Mitarbeiter
Kategorien personenbezogener Daten: E-Mail-Inhalte, Kontakte, Kalenderinformationen
Personenbezug: Ja
Rechtsgrundlage/Absicherung: Standardvertragsklauseln
Nylas wird verwendet, um E-Mail-Postfächer an die Anwendung anzubinden. Der Dienst hat Zugriff auf E-Mail-Inhalte, Kontakte und Kalenderinformationen, die allesamt personenbezogene Daten darstellen können. Betroffen sind Kunden und deren Mitarbeiter. Aufgrund der Drittstaatenübermittlung erfolgt die Verarbeitung ausschließlich auf Grundlage von Standardvertragsklauseln nach Art. 46 DSGVO.
15.11 frankfurter.dev
Sitz: Deutschland
Zweck: Umrechnung von Währungswerten
Kategorien betroffener Personen: Keine
Kategorien personenbezogener Daten: Keine
Personenbezug: Nein
Rechtsgrundlage/Absicherung: Nicht erforderlich
Der Dienst frankfurter.dev wird genutzt, um Währungswerte zu berechnen und zu konvertieren. Im Rahmen dieser Tätigkeit werden ausschließlich technische Umrechnungswerte verarbeitet. Personenbezogene Daten sind hiervon nicht betroffen, sodass keine weitere datenschutzrechtliche Absicherung erforderlich ist.
15.12 Brandfetch
Sitz: USA
Zweck: Abruf von Unternehmenslogos
Kategorien betroffener Personen: Keine
Kategorien personenbezogener Daten: Keine
Personenbezug: Nein
Rechtsgrundlage/Absicherung: Nicht erforderlich
Brandfetch wird eingesetzt, um Unternehmenslogos automatisch aus externen Quellen abzurufen. Dabei werden keine personenbezogenen Daten verarbeitet, sondern ausschließlich öffentlich verfügbare Unternehmensinformationen. Da kein Personenbezug besteht, ist keine zusätzliche datenschutzrechtliche Absicherung erforderlich.
§ 16 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei werden insbesondere folgende Maßnahmen umgesetzt und regelmäßig überprüft:
Allgemeine Maßnahmen
• Betrieb eines internen Datenschutz-Managements mit regelmäßiger Evaluation.
• Einrichtung von Verfahren zur Wahrung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit etc.).
• Verfahren zur Reaktion auf Datenschutzverletzungen (Meldung, Dokumentation, Information der Betroffenen).
• Berücksichtigung von „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ (Art. 25 DSGVO).
• Regelmäßige Updates und Sicherheits-Patches für eingesetzte Systeme.
• Verarbeitung ausschließlich in zertifizierten Rechenzentren innerhalb der EU (z. B. ISO 27001 oder gleichwertig).
• Verpflichtung aller Mitarbeitenden auf Vertraulichkeit sowie regelmäßige Schulungen.
Zutritts- und Zugangskontrolle
• Zutrittskontrolle zu Gebäuden und Serverräumen (Schlüssel-/Kartensysteme, Besucherregelung).
• Zugangskontrolle zu IT-Systemen durch individuelle Benutzeraccounts.
• Starke Authentifizierung (z. B. Zwei-Faktor-Authentifizierung, wo technisch möglich).
• Automatische Sperrung von Endgeräten nach kurzer Inaktivität.
• Regelungen zur sicheren Nutzung von Hardware (Passwortrichtlinien, Verschlüsselung mobiler Geräte).
Zugriffskontrolle
• Rollenbasiertes Berechtigungskonzept mit Zugriff nur nach dem „Need-to-know“ -Prinzip.
• Anwendungsbezogene Authentifizierung mit Benutzername und Passwort.
• Protokollierung und Nachvollziehbarkeit von Eingaben, Änderungen und Löschungen.
• Datenschutzkonforme Löschung oder Vernichtung von Datenträgern und Papierdokumenten.
Eingabekontrolle
• Nachvollziehbarkeit, wer personenbezogene Daten wann eingegeben, verändert oder gelöscht hat.
• Protokollierung der Vergabe, Änderung und Löschung von Benutzerrechten.
• Klare Aufgabenzuweisung für Eingaben, Änderungen und Löschungen.
Pseudonymisierung und Trennung
• Pseudonymisierung oder Anonymisierung von Daten, soweit technisch möglich und zweckmäßig.
• Mandantentrennung innerhalb der Systeme.
• Trennung von Produktiv- und Testsystemen.
Weitergabe- und Übermittlungskontrolle
• Verschlüsselung bei Datenübertragungen (Transportverschlüsselung, TLS).
• Verbot der Speicherung von Kundendaten auf privaten oder unverschlüsselten Speichermedien.
• Auswahl von Unterauftragsverarbeitern nach strengen Kriterien; Einsatz nur auf Grundlage eines AV-Vertrags.
Verfügbarkeitskontrolle und Belastbarkeit
• Regelmäßige Backups, Prüfung auf Wiederherstellbarkeit.
• Notfall- und Wiederanlaufkonzepte.
• Einsatz redundanter Systeme und Schutzmaßnahmen (z. B. USV, Monitoring).
• Sicherstellung der Belastbarkeit der Systeme, um auch bei physischen oder technischen Zwischenfällen die Verfügbarkeit und den Zugriff auf personenbezogene Daten schnell wiederherzustellen.
Regelmäßige Überprüfung, Bewertung und Evaluierung
• Bestellung eines Datenschutzbeauftragten (soweit gesetzlich erforderlich).
• Regelmäßige Schulungen und Sensibilisierungen der Mitarbeitenden.
• Regelmäßige Überprüfung der Wirksamkeit der getroffenen Maßnahmen, einschließlich Tests, Bewertungen und Evaluierungen gemäß Art. 32 Abs. 1 lit. d DSGVO.
🌟 +10.000 anbindbare Portale
Nie wieder
Rechnungen
suchen.
