Vertrag zur Auftragsverarbeitung (AVV)

Der Auftragsverarbeiter stellt dem Verantwortlichen den SaaS-Dienst „Belegbrücke" zur Verfügung. Im Rahmen dieser Dienstleistung verarbeitet der Auftragsverarbeiter personenbezogene Daten, für die der Verantwortliche datenschutzrechtlich verantwortlich ist. Dieser Vertrag konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO.

Soweit dieser Vertrag und der Hauptvertrag widersprüchliche Regelungen treffen, gehen die Regelungen dieses Vertrages für datenschutzrechtliche Fragen vor. Für alle übrigen Regelungen, insbesondere zur Haftung, zum anwendbaren Recht und zum Gerichtsstand, gelten die Bestimmungen des Hauptvertrages.

1.1 Gegenstand

Konvertierung von PDF-Kontoauszügen in Buchhaltungs-Importformate sowie die zur Erbringung dieser Leistung erforderlichen Hilfstätigkeiten (Speicherung, Audit-Log, Export).

1.2 Dauer

Der Vertrag gilt für die Laufzeit des Hauptvertrages und endet automatisch mit dessen Beendigung.

1.3 Art und Zweck der Verarbeitung

• Extraktion strukturierter Buchungsdaten aus PDF-Dokumenten
• Validierung der extrahierten Daten gegen den Saldo der Originaldatei
• Konvertierung in das vom Verantwortlichen gewählte Zielformat
• Bereitstellung der Konvertierungsergebnisse zum Download
• Protokollierung der Verarbeitungsvorgänge im Audit-Log

1.4 Art der personenbezogenen Daten

• Bankverbindungsdaten der Mandanten (IBAN, Kontoinhaber, ggf. Verwendungszweck mit personenbezogenen Bezügen)
• Transaktionsdaten (Datum, Betrag, Empfänger, Zahlungspflichtiger, Zweck)
• Saldenstände
• Optional vom Verantwortlichen hinterlegte Stammdaten (Mandantenname, Sachkonten-Zuordnung)

1.5 Kategorien betroffener Personen

• Mandanten des Verantwortlichen (bei Nutzung durch Steuerberater oder Buchhalter)
• Geschäftspartner der Mandanten (Zahlungsempfänger und -pflichtige aus Kontoauszügen)
• Mitarbeitende des Verantwortlichen, die den Dienst bedienen

(1) Die Verarbeitung der Daten durch den Auftragsverarbeiter erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Hauptweisungen ergeben sich aus diesem Vertrag und aus der Nutzung des Dienstes durch den Verantwortlichen (z.B. durch Upload eines PDFs zur Konvertierung).

(2) Zusätzliche oder abweichende Weisungen erteilt der Verantwortliche in Textform an datenschutz@belegbruecke.com.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Bis zur Klärung ist er berechtigt, die Ausführung der entsprechenden Weisung auszusetzen.

(4) Weisungen, die über die im Hauptvertrag und in diesem AVV beschriebenen Leistungen hinausgehen, gelten als Antrag auf eine Vertragsänderung und können vom Auftragsverarbeiter gegen angemessene Vergütung umgesetzt oder abgelehnt werden.

Der Auftragsverarbeiter ergreift technische und organisatorische Maßnahmen, die dem Stand der Technik und der Art, dem Umfang und den Zwecken der Verarbeitung angemessen sind. Hierzu gehören insbesondere:

3.1 Vertraulichkeit

• Zugang zu den Verarbeitungssystemen nur für autorisierte Personen
• Authentifizierung über Magic-Link-E-Mail-Verfahren ohne Passwort-Speicherung
• Row-Level-Security auf Datenbankebene zur Mandantentrennung
• Verschlüsselung sämtlicher gespeicherter Daten (AES-256 at Rest)
• TLS 1.3 für die Übertragung sämtlicher Daten

3.2 Integrität

• SHA-256-Hash-Verkettung im Audit-Log zur Manipulationserkennung
• Reconciliation-Gate: Exporte werden nur freigegeben, wenn Eröffnungs- und Schlussbestand des Kontoauszuges mit der Summe der Buchungen übereinstimmen (Toleranz 0,01 €)
• Byte-exakte Validierung der DATEV-CSV-Ausgabe gegen die DATEV-Spezifikation

3.3 Verfügbarkeit

• Hosting in der EU (Frankfurt, Region eu-central-1)
• Tägliche Backups der Datenbank
• Monitoring der Verfügbarkeit und Fehlerraten
• Angestrebte Verfügbarkeit von 99,5 % im Jahresmittel (nicht-bindendes Ziel gemäß § 7 des Hauptvertrages)

3.4 Belastbarkeit und Wiederherstellung

• Angestrebte Wiederherstellungszeit nach Vorfall: 24 Stunden (Recovery Time Objective)
• Angestrebter maximaler Datenverlust bei Wiederherstellung: 24 Stunden (Recovery Point Objective)
• Backups innerhalb der EU

3.5 Verfahren zur regelmäßigen Überprüfung

• Periodische interne Sicherheitsüberprüfungen entsprechend dem Stand der Technik
• Jährliche Überprüfung der eingesetzten Sub-Auftragsverarbeiter
• Sicherheits-Updates aller Komponenten nach Verfügbarkeit der Hersteller

3.6 Spezielle Schutzmaßnahmen für hochgeladene PDFs

• Automatische Löschung aller hochgeladenen PDFs nach 60 Minuten ab Upload
• Kein langfristiger Speicher der Original-PDFs
• Nur extrahierte strukturierte Daten werden persistiert, gemäß Aufbewahrungsfrist des gewählten Tarifs

3.7 Audit-Log

• Sämtliche Verarbeitungsvorgänge werden protokolliert (Upload, Konvertierung, Export, Download, Account-Änderungen, Login-Vorgänge)
• Audit-Log ist hash-verkettet und nicht durch Endnutzer modifizierbar
• Aufbewahrungsdauer abhängig vom Tarif:
  • Starter: 7 Tage
  • Pro: 24 Monate
  • Steuerkanzlei: 10 Jahre (gemäß § 147 AO)

3.8 Anpassung der TOMs

Der Auftragsverarbeiter ist berechtigt, die TOMs während der Vertragslaufzeit dem fortschreitenden technischen Stand anzupassen, sofern das Schutzniveau insgesamt nicht herabgesetzt wird. Wesentliche Änderungen werden dem Verantwortlichen in Textform mitgeteilt.

(1) Der Verantwortliche erteilt hiermit allgemein die Einwilligung zur Beauftragung der nachfolgenden Sub-Auftragsverarbeiter:

(2) Der Auftragsverarbeiter unterrichtet den Verantwortlichen mit einer Frist von mindestens 14 Tagen vor jeder beabsichtigten Änderung im Hinblick auf das Hinzuziehen oder die Ersetzung von Sub-Auftragsverarbeitern in Textform.

(3) Der Verantwortliche kann der Änderung innerhalb der 14-tägigen Frist aus wichtigem Grund in Textform widersprechen. Ein wichtiger Grund liegt insbesondere dann vor, wenn der vorgeschlagene neue Sub-Auftragsverarbeiter erkennbar nicht in der Lage ist, die DSGVO-Anforderungen zu erfüllen.

(4) Erhebt der Verantwortliche keinen begründeten Widerspruch innerhalb der 14-tägigen Frist, gilt seine Zustimmung zur Änderung als erteilt.

(5) Im Falle eines begründeten Widerspruchs werden die Parteien eine einvernehmliche Lösung anstreben. Kommt eine solche binnen 30 Tagen nicht zustande, steht beiden Parteien ein außerordentliches Kündigungsrecht des Hauptvertrages zu.

(6) Der Auftragsverarbeiter stellt sicher, dass jeder Sub-Auftragsverarbeiter zu mindestens denselben Datenschutzpflichten verpflichtet ist wie er selbst.

(1) Soweit personenbezogene Daten im Rahmen der Auftragsverarbeitung in ein Drittland außerhalb des Europäischen Wirtschaftsraums übermittelt werden, sichert der Auftragsverarbeiter zu, dass dies nur auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO) oder geeigneter Garantien (Art. 46 DSGVO, insbesondere Standardvertragsklauseln) erfolgt.

(2) Die jeweils aktuell gültigen Standardvertragsklauseln mit den Sub-Auftragsverarbeitern in den USA werden dem Verantwortlichen auf Anforderung in Kopie zur Verfügung gestellt.

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen (Art. 12 bis 23 DSGVO), soweit dies dem Auftragsverarbeiter mit angemessenem Aufwand möglich ist.

(2) Wenden sich betroffene Personen direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht selbst, es sei denn, der Verantwortliche weist ihn ausdrücklich an, dies zu tun.

(3) Bei Anforderungen des Verantwortlichen zur Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung wird der Auftragsverarbeiter binnen 14 Tagen reagieren.

(4) Erfordert die Unterstützung des Verantwortlichen einen Aufwand, der den üblichen Rahmen der vertraglichen Leistungen übersteigt, ist der Auftragsverarbeiter berechtigt, hierfür eine angemessene Vergütung gemäß seinem jeweils gültigen Stundensatz zu verlangen.

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung.

(2) Die Meldung enthält mindestens:

• Beschreibung der Art der Verletzung
• Wenn möglich: Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
• Voraussichtliche Folgen der Verletzung
• Bereits ergriffene oder vorgeschlagene Maßnahmen
• Kontakt für Rückfragen (datenschutz@belegbruecke.com)

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten nach Art. 33 und 34 DSGVO.

(1) Der Verantwortliche hat das Recht, die Einhaltung der vertraglichen Verpflichtungen durch den Auftragsverarbeiter zu überprüfen.

(2) Die Kontrolle erfolgt primär auf Basis der vom Auftragsverarbeiter zur Verfügung gestellten Dokumentation, insbesondere:

• dieses AVV
• der Datenschutzerklärung des Auftragsverarbeiters
• der Beschreibung der technischen und organisatorischen Maßnahmen (§ 3)
• etwaiger Zertifizierungen oder Audit-Berichte des Auftragsverarbeiters oder seiner Sub-Auftragsverarbeiter

(3) Eine darüber hinausgehende Vor-Ort-Kontrolle ist nur bei Vorliegen eines konkreten und begründeten Anlasses zulässig. Sie erfolgt:

• nach Voranmeldung mit einer Frist von mindestens 30 Tagen
• während der üblichen Geschäftszeiten am Sitz des Auftragsverarbeiters in Plovdiv, Bulgarien
• maximal einmal pro Kalenderjahr
• unter Wahrung der Betriebsabläufe des Auftragsverarbeiters

(4) Die Kosten einer Vor-Ort-Kontrolle (einschließlich der Personalkosten des Auftragsverarbeiters für die Begleitung) trägt der Verantwortliche, es sei denn, die Kontrolle deckt eine wesentliche Pflichtverletzung des Auftragsverarbeiters auf.

(5) Der Verantwortliche stellt sicher, dass mit der Durchführung der Kontrolle betraute Personen zur Verschwiegenheit verpflichtet sind. Wettbewerber des Auftragsverarbeiters sind als Kontrollpersonen ausgeschlossen.

(6) Der Auftragsverarbeiter ist nicht verpflichtet, im Rahmen einer Kontrolle Geschäftsgeheimnisse oder Informationen offenzulegen, die andere Kundinnen und Kunden betreffen.

(1) Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung betrauten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit (Art. 28 Abs. 3 lit. b und Art. 29 DSGVO) bzw. stellt sicher, dass eine angemessene gesetzliche Verschwiegenheitspflicht besteht.

(2) Die Verpflichtung wirkt auch nach Beendigung des Arbeits- oder Dienstverhältnisses fort.

(1) Nach Beendigung des Hauptvertrages und nach Wahl des Verantwortlichen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Die Wahl ist innerhalb von 30 Tagen nach Beendigung des Hauptvertrages mitzuteilen. Macht der Verantwortliche von seinem Wahlrecht nicht Gebrauch, wird der Auftragsverarbeiter sämtliche Daten innerhalb weiterer 30 Tage löschen.

(3) Hochgeladene PDFs werden — wie bereits im laufenden Betrieb — innerhalb von 60 Minuten nach Upload automatisch gelöscht.

(4) Daten im Audit-Log werden gemäß der für den jeweiligen Tarif geltenden Aufbewahrungsfrist gelöscht (siehe § 3.7).

(5) Der Auftragsverarbeiter weist die Löschung auf Anforderung in Textform nach.

(6) Datenexporte oder umfangreiche Datenrückgaben, die über die im Dienst standardmäßig verfügbaren Exportfunktionen hinausgehen, sind gegen angemessene Vergütung möglich.

(1) Es gelten die Haftungsregelungen des Hauptvertrages (§ 10 der AGB), soweit dieser AVV nichts Abweichendes regelt.

(2) Die Haftung des Auftragsverarbeiters für Schäden, die aus einer Verletzung dieses AVV oder der DSGVO resultieren, ist — vorbehaltlich zwingender gesetzlicher Vorschriften — der Höhe nach auf die im Hauptvertrag vereinbarte Haftungshöchstgrenze begrenzt.

(3) Eine Haftung für mittelbare Schäden, Folgeschäden, entgangenen Gewinn oder Datenverlust ist ausgeschlossen, soweit der Schaden nicht auf Vorsatz oder grober Fahrlässigkeit beruht.

(4) Im Innenverhältnis haftet jede Partei für Schäden aus einer Verletzung dieses Vertrages oder der DSGVO entsprechend ihrem Verursachungsbeitrag.

(5) Art. 82 DSGVO im Außenverhältnis bleibt unberührt.

(1) Änderungen dieses Vertrages bedürfen der Textform. Mündliche Nebenabreden bestehen nicht.

(2) Auf diesen Vertrag findet bulgarisches Recht unter Ausschluss des UN-Kaufrechts (CISG) Anwendung.

(3) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Plovdiv, Bulgarien.

(4) Vertragssprache ist Deutsch. Bei Auslegungsfragen ist die deutsche Fassung dieses AVV maßgeblich.

(5) Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmungen gelten die gesetzlichen Regelungen.

(6) Eine Übertragung von Rechten und Pflichten aus diesem AVV bedarf der vorherigen schriftlichen Zustimmung der jeweils anderen Partei. Der Auftragsverarbeiter ist jedoch berechtigt, diesen Vertrag auf ein verbundenes Unternehmen oder einen Rechtsnachfolger zu übertragen.