Stand: Juni 2026 · nach Art. 28 DSGVO
Diese Vereinbarung konkretisiert die Verpflichtungen zur Auftragsverarbeitung zwischen dem Verantwortlichen (Kunde) und der SBS Deutschland GmbH & Co. KG als Auftragsverarbeiter („FlowCheck AI+“).
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von FlowCheck AI+ zur Eingangsrechnungsverarbeitung. Die Dauer entspricht der Laufzeit des Hauptvertrags.
2. Art und Zweck der Verarbeitung
Extraktion, Validierung, Kontierung, Freigabe und Export von Rechnungsdaten sowie zugehörige Protokollierung. Zweck ist die Automatisierung der Kreditorenbuchhaltung des Kunden.
3. Kategorien betroffener Personen und Daten
Betroffene: Mitarbeitende des Kunden, Ansprechpartner von Lieferanten. Datenkategorien: Stammdaten, Rechnungs- und Zahlungsdaten, Kontaktdaten, Nutzungs- und Protokolldaten.
4. Technisch-organisatorische Maßnahmen (TOM)
- Verschlüsselung (TLS 1.3 in Transit, AES-256 at Rest)
- Zutritts-, Zugangs- und Zugriffskontrolle (rollenbasiert)
- Revisionssichere Protokollierung (Audit-Trail, GoBD)
- Verfügbarkeit und Belastbarkeit (Backups, Monitoring)
- Trennungs- und Weisungskontrolle
5. Sub-Processor
- Anthropic — KI-Extraktion (USA, SCC)
- Hetzner Online GmbH — Hosting (Deutschland)
- Vercel Inc. — CDN (USA, SCC)
- Stripe Payments Europe — Zahlungen (EU/USA, SCC)
6. Weisungsbefugnis
Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, eine gesetzliche Verpflichtung besteht.
7. Löschung nach Auftragsende
Nach Beendigung werden personenbezogene Daten gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht (GoBD, § 147 AO) entgegensteht.
8. Audit-Recht
Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen — durch Auskünfte, Nachweise oder Inspektionen nach vorheriger Ankündigung.
Die rechtsverbindliche AVV wird auf Anfrage unter ki@sbsdeutschland.de bereitgestellt und gegengezeichnet.