Dieser AVV regelt die Verarbeitung personenbezogener Daten durch den Anbieter No Basic Shick (im Folgenden „Auftragsverarbeiter") im Auftrag des Kunden (im Folgenden „Verantwortlicher") gemäß Art. 28 DSGVO. Er ist Bestandteil des Hauptvertrags (AGB) zwischen den Parteien.
§ 1 Gegenstand und Dauer
Gegenstand der Verarbeitung sind die im Rahmen der Nutzung von InvoiceFlow verarbeiteten Daten (insb. Beleginhalte, Lieferanten- Stammdaten, Audit-Logs, Benutzerkonten). Die Verarbeitung erfolgt für die Dauer des Hauptvertrags zuzüglich gesetzlicher Aufbewahrungspflichten.
§ 2 Art und Zweck der Verarbeitung
Empfang, Klassifikation, Extraktion und Archivierung von Eingangsrechnungen sowie Bereitstellung von Workflows zur Freigabe und zum Export an Buchhaltungs- und Zahlungssysteme.
§ 3 Art der Daten und Kategorien betroffener Personen
- Stammdaten von Mitarbeitern des Verantwortlichen (Name, dienstliche E-Mail)
- Stammdaten von Lieferanten / Geschäftspartnern des Verantwortlichen
- Beleg-Inhalte (Beträge, Verwendungszwecke, IBAN, ggf. Vor- und Nachnamen)
- Audit- und Protokolldaten (User-IDs, Aktion, Zeitpunkt)
§ 4 Pflichten des Auftragsverarbeiters
- Verarbeitung ausschließlich nach dokumentierter Weisung des Verantwortlichen.
- Wahrung der Vertraulichkeit (Art. 28(3)(b) DSGVO) — alle Mitarbeiter sind auf Vertraulichkeit verpflichtet.
- Umsetzung der technisch-organisatorischen Maßnahmen (Anhang 1).
- Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 12–22 DSGVO).
- Unverzügliche Meldung von Datenpannen gem. Art. 33(2) DSGVO an den Verantwortlichen.
- Löschung oder Rückgabe der Daten nach Beendigung des Hauptvertrags, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen.
- Nachweis der Einhaltung dieser Pflichten auf Anfrage des Verantwortlichen, einmal jährlich kostenfrei.
§ 5 Unterauftragsverarbeiter
Der Verantwortliche stimmt dem Einsatz der in Anhang 2 genannten Unterauftragsverarbeiter zu. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über jede beabsichtigte Änderung in Bezug auf Hinzufügen oder Ersetzen anderer Unterauftragsverarbeiter; der Verantwortliche kann gegen solche Änderungen Einspruch erheben.
§ 6 Drittlandübermittlung
Soweit eine Übermittlung in Drittländer erfolgt, geschieht dies ausschließlich auf Basis der EU-Standardvertragsklauseln (SCC, Art. 46 DSGVO) und – soweit anwendbar – auf Basis des EU-US Data Privacy Framework. Aktueller Stand und Liste der betroffenen Unterauftragsverarbeiter siehe Anhang 2.
§ 7 Haftung
Es gelten die Regelungen der Art. 82 DSGVO sowie die Haftungsregelung des Hauptvertrags.
Anhang 1 — Technisch-organisatorische Maßnahmen (TOM)
- Vertraulichkeit: Zutrittskontrolle in Rechenzentren der Hosting-Anbieter (Supabase, Netlify); rollenbasierter Zugriff (RBAC) im Anwendungs-Backend; Mandantentrennung über Row-Level-Security in der Datenbank.
- Integrität: TLS 1.2+ für sämtliche Datenübertragungen; getrennte Storage-Buckets pro Tenant; Audit-Log aller schreibenden Operationen mit User-, Tenant- und Zeitstempel.
- Verfügbarkeit und Belastbarkeit: Tägliche automatische Backups durch den Datenbank-Anbieter, Wiederherstellungstests mindestens jährlich.
- Wiederherstellbarkeit: RTO ≤ 24h, RPO ≤ 24h.
- Regelmäßige Überprüfung: Mindestens jährliche Schwachstellen-Reviews und Dependency-Audits; sicherheitskritische Updates werden zeitnah eingespielt.
- Pseudonymisierung / Verschlüsselung: API-Schlüssel und Zahlungsdaten werden ausschließlich serverseitig verarbeitet und nicht im Client-Code gespeichert.
Anhang 2 — Unterauftragsverarbeiter
| Anbieter | Leistung | Sitz / Region | Rechtsgrundlage Drittland |
|---|---|---|---|
| Supabase Inc. | Datenbank, Auth, Storage | USA / EU (Frankfurt) | SCC + DPF |
| Netlify Inc. | Application Hosting | USA / EU-Edge | SCC + DPF |
| Mollie B.V. | Zahlungsabwicklung | Niederlande, EU | — |
| Anthropic PBC | LLM-Extraktion (optional) | USA | SCC |
| OpenAI L.L.C. | LLM-Extraktion (optional, tenantspezifisch) | USA | SCC + DPF |
| Mailgun Technologies, Inc. | Transaktionaler E-Mail-Versand | USA / EU | SCC + DPF |
| [Hosting-Anbieter Meilisearch-Server einsetzen, z. B. Hetzner Online GmbH] | Server-Infrastruktur für selbst betriebene Volltextsuch-Komponente (Meilisearch), nur bei aktiviertem Zusatzpaket „Volltextsuche im Archiv" | Deutschland/EU | — |