Zum Inhalt springen

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO zwischen dem Nutzer der Plattform FakturaCloud (nachfolgend „Verantwortlicher“) und dem Betreiber der Plattform (nachfolgend „Auftragsverarbeiter“).

1. Gegenstand und Dauer

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform FakturaCloud.

Der Vertrag beginnt mit der Registrierung des Verantwortlichen auf der Plattform und endet mit der vollständigen Löschung des Accounts und aller damit verbundenen Daten. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Nutzungsvertrags.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Firmen-/Markenprofilen des Verantwortlichen
  • Speicherung von Kundendaten (Adressbuch) des Verantwortlichen
  • Erstellung, Speicherung und Bereitstellung von Geschäftsdokumenten (Angebote, Rechnungen)
  • Generierung und Speicherung von PDF-Dateien
  • Speicherung hochgeladener Dateien (Firmenlogos, Belege)
  • Verwaltung von Bestellungen, Produkten und Lagerbeständen (Faktura Trade)
  • Verwaltung von Buchungen, Belegen und Steuerauswertungen (Faktura Books)
  • Versand von transaktionalen E-Mails (Dokumente per E-Mail)
  • Erstellung von Versandlabels und Sendungsverfolgung (DHL)
  • Authentifizierung und Zugriffskontrolle

Zweck der Verarbeitung ist die Bereitstellung der vertraglich vereinbarten SaaS-Dienstleistung zur Dokumentenerstellung.

3. Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Anschrift)
  • Unternehmensdaten (Firmenname, USt-IdNr., Handelsregisternummer)
  • Kundendaten des Verantwortlichen (Name, Anschrift, Kontaktdaten seiner Kunden)
  • Finanzdaten (Rechnungsbeträge, Steuersätze, Bankverbindungen in Dokumenten)
  • Authentifizierungsdaten (E-Mail, verschlüsselte Passwörter)
  • Technische Daten (IP-Adresse, Session-Daten)

4. Kategorien betroffener Personen

  • Registrierte Nutzer der Plattform (Verantwortliche)
  • Kunden der registrierten Nutzer (deren Geschäftskontakte/Rechnungsempfänger)
  • Ansprechpartner und Mitarbeiter, die in Dokumenten genannt werden

5. Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

  • sicherzustellen, dass die Verarbeitung personenbezogener Daten auf einer zulässigen Rechtsgrundlage erfolgt
  • die betroffenen Personen über die Verarbeitung ihrer Daten durch den Auftragsverarbeiter zu informieren
  • den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung feststellt
  • keine personenbezogenen Daten besonderer Kategorien (Art. 9 DSGVO) in die Plattform einzugeben

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten
  • alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten
  • geeignete technische und organisatorische Maßnahmen zu ergreifen (siehe Abschnitt 7)
  • den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 Abs. 2 DSGVO)
  • den Verantwortlichen bei der Erfüllung von Betroffenenanfragen zu unterstützen
  • nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben (nach Wahl des Verantwortlichen), sofern keine gesetzliche Aufbewahrungspflicht besteht
  • dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen/Audits zu ermöglichen

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende Maßnahmen implementiert:

Zutrittskontrolle

Serverinfrastruktur wird von spezialisierten Cloud-Anbietern betrieben (siehe Abschnitt 8), die über zertifizierte Rechenzentren mit physischen Zugangskontrollen verfügen.

Zugangskontrolle

Authentifizierung über Supabase Auth mit verschlüsselter Passwortspeicherung (bcrypt). Unterstützung von Magic Link (passwortlose Anmeldung).

Zugriffskontrolle

Row Level Security (RLS) auf Datenbankebene stellt sicher, dass jeder Nutzer ausschließlich auf seine eigenen Daten zugreifen kann. Dateien im Storage werden in benutzerspezifischen Ordnern gespeichert.

Weitergabekontrolle

Alle Datenübertragungen erfolgen verschlüsselt (TLS 1.2+). API-Zugriffe sind authentifiziert und autorisiert.

Eingabekontrolle

Änderungen an Daten sind dem jeweiligen authentifizierten Benutzer zuordenbar. Dokumentenhistorie mit Zeitstempeln.

Verfügbarkeitskontrolle

Regelmäßige Backups der Datenbank durch Supabase. Hosting auf Vercel mit globaler Infrastruktur und automatischer Skalierung.

Trennungsgebot

Mandantentrennung durch Row Level Security. Daten verschiedener Verantwortlicher werden logisch voneinander getrennt in derselben Datenbankinstanz gespeichert.

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen und räumt ein Einspruchsrecht ein.

Derzeit eingesetzte Unterauftragsverarbeiter:

Supabase Inc.

970 Toa Payoh North #07-04, Singapore 318992

Zweck: Datenbank (PostgreSQL), Authentifizierung, Dateispeicherung

Daten: Alle in der Plattform gespeicherten Daten

Standort: EU (Irland)

Vercel Inc.

340 S Lemon Ave #4133, Walnut, CA 91789, USA

Zweck: Hosting der Webanwendung, Serverless Functions

Daten: IP-Adressen, technische Verbindungsdaten, temporäre Verarbeitung von Anfragedaten

Garantien: EU-Standardvertragsklauseln

Stripe Inc.

354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Zweck: Zahlungsabwicklung, Abo-Verwaltung

Daten: E-Mail-Adresse, Zahlungsinformationen, Abo-Status

Garantien: EU-Standardvertragsklauseln, PCI DSS Level 1

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy, L-1855 Luxemburg

Zweck: Infrastruktur für KI-gestützte Belegerkennung (Amazon Bedrock). Ausführung der Anthropic Claude KI-Modelle in europäischen Rechenzentren.

Daten: Beleg-Bilder und -PDFs zur Extraktion von Rechnungsdaten (werden an das KI-Modell weitergeleitet, nicht dauerhaft bei AWS gespeichert)

Standort: EU (Irland, Frankfurt, Paris, Stockholm)

Garantien: AWS Data Processing Addendum (DPA), automatisch Teil der AWS-Nutzungsbedingungen (aws.amazon.com/compliance/gdpr-center). EU-Datenresidenz durch EU Cross-Region Inference Profiles — Daten verlassen die EU nicht. CloudWatch-Logging ist deaktiviert (keine Speicherung von Prompt-Inhalten). CloudTrail protokolliert nur API-Metadaten (wer, wann, welches Modell), nicht den Inhalt.

Anthropic PBC

548 Market St, San Francisco, CA 94104, USA

Zweck: KI-Modell für Belegerkennung (Datenextraktion aus hochgeladenen Rechnungen und Belegen). Anthropic stellt das KI-Modell (Claude) bereit, das über AWS Bedrock in der EU ausgeführt wird.

Daten: Beleg-Bilder und -PDFs werden zur Verarbeitung an das Claude-Modell übermittelt

Standort: EU (Ausführung über AWS Bedrock in europäischen Rechenzentren)

Garantien: Auftragsverarbeitungsvertrag (DPA) mit EU-Standardvertragsklauseln (SCCs), automatisch in den Anthropic Commercial Terms enthalten. Übermittelte Daten werden nicht für KI-Training verwendet. Maximale Speicherdauer bei Anthropic: 30 Tage (Trust & Safety).

Verarbeitungskette: FakturaCloud → AWS Bedrock (EU-Infrastruktur) → Anthropic Claude (KI-Modell). Beide Auftragsverarbeiter verfügen über eigene DPAs mit EU-Standardvertragsklauseln.

Zoho Corporation B.V. (ZeptoMail)

Hoogoorddreef 15, 1101 BA Amsterdam, Niederlande

Zweck: Transaktionaler E-Mail-Versand (Versand von Geschäftsdokumenten per E-Mail über SMTP)

Daten: Empfänger-E-Mail-Adresse, Betreff, E-Mail-Inhalt, Anhänge (PDF-Dokumente)

Standort: EU (Niederlande)

Garantien: DSGVO-konformer Sitz in der EU, Auftragsverarbeitungsvertrag (DPA) mit Zoho

Functional Software Inc. (Sentry)

45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA

Zweck: Fehlererkennung, Performance-Monitoring (Web-Vitals: LCP, CLS, INP, TTFB, FCP — 10 %-Stichprobe) und Sicherheitsüberwachung (u. a. Brute-Force-Detection bei Login-Fehlversuchen)

Daten: Technische Fehlerdaten (Stack-Trace, Fehlermeldung), Browser- und Geräteinformationen, URL des Aufrufs, Performance-Traces (anonyme Stichprobe); IP-Adressen werden vor Speicherung serverseitig entfernt (IP-Scrubbing); bei Login-Fehlversuchen ausschließlich die E-Mail-Domain (nie der Local-Part). Sensible Felder (Passwörter, Tokens, Cookies, Kreditkartendaten) werden automatisch entfernt. Kein Session-Replay.

Standort: Datenhosting in der EU (Frankfurt); Mutterkonzern in den USA

Aufbewahrungsdauer: 90 Tage (Sentry-Standard)

Garantien: Standard-Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO der Functional Software Inc. (sentry.io/legal/dpa) inklusive EU-Standardvertragsklauseln (SCCs) für etwaige konzerninterne US-Mutter-Zugriffe; EU-Datenresidenz (Frankfurt), aktivierter Data Scrubber, IP-Scrubbing, kein Session-Replay

Deutsche Post DHL Group

Charles-de-Gaulle-Str. 20, 53113 Bonn, Deutschland

Zweck: Erstellung von Versandlabels (Parcel DE Shipping API) und Sendungsverfolgung (Parcel DE Tracking API)

Daten: Empfängeradresse (Name, Straße, PLZ, Ort, Land), Absenderadresse, Paketgewicht/-maße

Standort: Deutschland

Etsy Inc.

117 Adams Street, Brooklyn, NY 11201, USA

Zweck: Bestellabruf über die Etsy Open API v3, automatische Versandbestätigung mit Tracking-Nummern sowie Bestandssynchronisation für Etsy-Listings des Verantwortlichen.

Daten: Käufer-Name und Lieferadresse, Bestellpositionen und Beträge, Tracking-Nummern, Listing- und Bestandsdaten

Standort: USA

Garantien: EU-Standardvertragsklauseln (SCCs) als Transfer-Grundlage, Etsy API Terms of Use mit Service-Provider-Klauseln. Ergänzend — soweit Etsy Inc. unter dem EU-US Data Privacy Framework zertifiziert ist — der DPF-Schutz. Käufer-bezogene personenbezogene Daten werden in FakturaCloud nach maximal 90 Tagen ab Bestellzustellung automatisch gelöscht.

Amazon EU S.à r.l.

38 Avenue John F. Kennedy, L-1855 Luxemburg

(Seit 01.08.2024 die Contracting Party für die Amazon Selling Partner API. Nicht zu verwechseln mit Amazon Web Services EMEA SARL, siehe eigener Eintrag oben — gleiche Anschrift, aber eigenständige Rechtspersönlichkeit und unterschiedlicher Verarbeitungszweck.)

Zweck: Bestellabruf über die Amazon Selling Partner API (SP-API), automatische Versandbestätigung mit Tracking-Nummern und Bestandssynchronisation für Amazon-Angebote des Verantwortlichen.

Daten: Käufer-Lieferadressen (Name, Straße, PLZ, Ort, Land), Bestelldaten (Bestellnummer, Artikel, Mengen, Beträge), Tracking-Nummern

Standort: EU (Luxemburg)

Garantien: Amazon SP-API Data Protection Policy, Amazon Acceptable Use Policy. Für etwaige konzerninterne Übermittlungen an Amazon.com Services LLC (USA): EU-Standardvertragsklauseln im Rahmen des Amazon Data Processing Addendum. Käufer-bezogene personenbezogene Daten werden in FakturaCloud nach maximal 30 Tagen automatisch gelöscht (siehe Datenschutzerklärung, Abschnitt Amazon-Integration).

9. Rechte der betroffenen Personen

Soweit der Auftragsverarbeiter direkt von betroffenen Personen kontaktiert wird, leitet er die Anfrage unverzüglich an den jeweiligen Verantwortlichen weiter.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen, insbesondere bei Auskunfts-, Berichtigungs- und Löschungsanfragen, durch geeignete technische und organisatorische Maßnahmen.

Die Plattform bietet dem Verantwortlichen Self-Service-Funktionen zur Einsicht, Änderung und Löschung der von ihm eingegebenen Daten.

10. Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags wird der Auftragsverarbeiter:

  • dem Verantwortlichen die Möglichkeit geben, seine Daten zu exportieren (sofern technisch verfügbar)
  • sämtliche personenbezogene Daten des Verantwortlichen innerhalb von 30 Tagen nach Account-Löschung unwiderruflich löschen
  • Daten in Backups werden im Rahmen des regulären Backup-Zyklus überschrieben (maximal 90 Tage)
  • gesetzliche Aufbewahrungspflichten (insbesondere steuerrechtliche nach § 147 AO, § 257 HGB) bleiben unberührt – betroffene Daten werden nach Ablauf der Frist gelöscht

Kontakt

Bei Fragen zum Auftragsverarbeitungsvertrag wenden Sie sich bitte an:

Jürgen Lichtenauer
Am Hasel 11b
85139 Wettstetten
E-Mail: info@fakturacloud.de

Stand: 07.05.2026