Auftragsverarbeitungsvertrag (AVV)
Nach Art. 28 DSGVO zwischen Auftraggeber (Kunde) und Auftragnehmer (Delta Forge EOOD).
Pro-Tarif: AVV ist in der Vertragsstrecke integriert und wird automatisch geschlossen. Für Starter und Steuerkanzlei können Sie diesen AVV gerne separat per E-Mail anfragen.
§ 1Gegenstand, Dauer
Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Belegbrücke-Dienste. Dauer: für die Laufzeit des Hauptvertrags.
§ 2Art der Daten, betroffene Personen
Verarbeitet werden hochgeladene PDF-Kontoauszüge, extrahierte Buchungsdaten, IBAN, Buchungstexte. Betroffene: Mandanten des Auftraggebers, Kontoinhaber.
§ 3Technische und organisatorische Maßnahmen
Verschlüsselung im Transit (TLS 1.3) und in Ruhe (AES-256). Zugriffsbeschränkung auf Auftragnehmer-Mitarbeitende mit Vertraulichkeitsverpflichtung. Server in Frankfurt (Hetzner FRA-04). Audit-Log gemäß GoBD. Anhang 1 beschreibt die TOM detailliert.
§ 4Unter-Auftragnehmer
Es bestehen AVV mit folgenden Unter-Auftragnehmern: Supabase Inc., Vercel Inc., Resend Inc., Stripe Payments Europe Ltd., Anthropic PBC (für die LLM-Fallback-Funktion). Eine Änderung der Liste wird mit 30 Tagen Vorlauf angekündigt.
§ 5Weisungsbefugnis, Berichtspflicht
Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Bei Datenpannen wird der Auftraggeber unverzüglich und spätestens binnen 24 Stunden informiert.
§ 6Rechte der Betroffenen
Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Übertragbarkeit) durch geeignete technische und organisatorische Maßnahmen.
§ 7Löschung, Rückgabe
Nach Beendigung des Hauptvertrags löscht Auftragnehmer alle personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.