Auftragsverarbeitungsvereinbarung

§ 1 Gegenstand und Dauer

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der Software FlowCheck AI+. Die Vereinbarung gilt für die Dauer des zugrunde liegenden Hauptvertrags und endet mit dessen Beendigung.

§ 2 Art und Zweck der Verarbeitung

Zweck ist die automatisierte Verarbeitung von Eingangsrechnungen: Extraktion, Validierung, Kontierung, Freigabe und DATEV-Export sowie die zugehörige revisionssichere Protokollierung. Die Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen.

§ 3 Art der personenbezogenen Daten

• Rechnungsdaten (Name, Adresse, IBAN, USt-IdNr.)
• Buchhaltungsdaten (Kontierung, Freigaben, Zahlungsstatus)
• Nutzerdaten (E-Mail-Adresse, Name, Rolle)
• Protokolldaten (Audit-Trail, Zeitstempel)

§ 4 Kategorien betroffener Personen

• Mitarbeitende des Auftraggebers
• Lieferanten und Geschäftspartner des Auftraggebers

§ 5 Rechte und Pflichten des Auftraggebers

Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und allein für die Rechtmäßigkeit der Verarbeitung verantwortlich. Er erteilt Weisungen grundsätzlich schriftlich oder in dokumentierter elektronischer Form und ist berechtigt, die Verarbeitung jederzeit im vereinbarten Rahmen zu kontrollieren.

§ 6 Pflichten des Auftragnehmers

• Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (Weisungsgebundenheit).
• Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
• Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 12–22 DSGVO).
• Unterstützung bei Meldepflichten (Art. 33, 34 DSGVO) und Datenschutz-Folgenabschätzung (Art. 35).
• Umsetzung der technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO.

§ 7 Technisch-organisatorische Maßnahmen

Der Auftragnehmer trifft die in den Technisch-organisatorischen Maßnahmen (TOM) beschriebenen Maßnahmen nach Art. 32 DSGVO. Die TOM sind Bestandteil dieser Vereinbarung.

§ 8 Unterauftragnehmer (Sub-Processor)

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragnehmer zu:

• Anthropic — KI-Extraktion (USA, EU-Standardvertragsklauseln, Zero Data Retention)
• Hetzner Online GmbH — Hosting (Deutschland)
• Neon — Datenbank (Frankfurt, Deutschland)
• Vercel Inc. — Frontend-CDN (Global Edge, ohne Datenzugriff, SCC)
• Stripe Payments Europe — Zahlungsabwicklung (EU/USA, SCC)

Der Auftragnehmer informiert den Verantwortlichen über beabsichtigte Änderungen und räumt ein Widerspruchsrecht ein.

§ 9 Rechte des Auftraggebers (Audit, Kontrolle)

Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen — durch Auskünfte, Vorlage von Nachweisen oder Inspektionen nach vorheriger angemessener Ankündigung.

§ 10 Löschung nach Auftragsende

Nach Beendigung der Verarbeitung werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht (insbesondere GoBD, § 147 AO) entgegensteht.

§ 11 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO sowie den Regelungen des Hauptvertrags. Im Innenverhältnis haftet jede Partei für die ihr zuzurechnenden Verstöße.

§ 12 Schlussbestimmungen

Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Änderungen bedürfen der Textform.