# Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO *Stand: 18. Februar 2026* --- ## Präambel Zwischen dem **RechneX.de Kunden** (im Folgenden "Verantwortlicher") und **Tom Trögler**, Schutterstr. 36/5, 77743 Neuried, E-Mail: kontakt@RechneX.de (im Folgenden "Auftragsverarbeiter") wird nachfolgender Vertrag geschlossen. --- ## 1. Gegenstand, Dauer und Spezifikation der Auftragsverarbeitung ### 1.1 Gegenstand des Auftrags Gegenstand des Auftrags ist die Durchführung der im Hauptvertrag vereinbarten Leistungen, insbesondere die automatisierte Konvertierung, Validierung und Ansicht von Rechnungsdokumenten (z.B. PDF, XML) in strukturierte elektronische Rechnungsformate (z.B. ZUGFeRD, XRechnung) mittels künstlicher Intelligenz (KI). Dies umfasst die Extraktion, Validierung, Standardisierung und Konvertierung von Rechnungsdaten. ### 1.2 Dauer des Auftrags Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrages zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Er endet automatisch mit der Beendigung des Hauptvertrages. --- ## 2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen ### 2.1 Art und Zweck der Verarbeitung Der Zweck der Verarbeitung ist die Ermöglichung der im Hauptvertrag beschriebenen Funktionalitäten von RechneX.de, primär die Umwandlung, Validierung und Ansicht von Rechnungsdokumenten. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Leistungserbringung gemäß dem Hauptvertrag und den Weisungen des Verantwortlichen. ### 2.2 Art der personenbezogenen Daten Im Rahmen der Nutzung von RechneX.de können folgende Arten personenbezogener Daten verarbeitet werden, soweit sie in den vom Verantwortlichen hochgeladenen Rechnungsdokumenten enthalten sind oder bei der Nutzung anfallen: - Stammdaten von Rechnungsstellern und -empfängern (Name, Firma, Adresse) - Kontaktdaten (Telefonnummer, E-Mail-Adresse) - Bankverbindungsdaten (IBAN, BIC) - Steuerliche Identifikationsnummern (Steuernummer, USt-IdNr.) - Rechnungsdetails (Rechnungsnummer, Datum, Beträge, Leistungsbeschreibungen) - Nutzerdaten des Verantwortlichen (Name, E-Mail-Adresse für den Account) - Technische Metadaten (IP-Adresse bei Upload, Zeitstempel der Verarbeitung) ### 2.3 Kategorien betroffener Personen Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: - Kunden (Rechnungsempfänger) des Verantwortlichen - Lieferanten (Rechnungssteller) des Verantwortlichen - Ansprechpartner bei Kunden und Lieferanten - Gegebenenfalls Mitarbeiter des Verantwortlichen, sofern deren Daten in Rechnungen enthalten sind - Nutzer des RechneX.de-Accounts beim Verantwortlichen --- ## 3. Technische und organisatorische Maßnahmen (TOMs) Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Diese Maßnahmen sind in Anlage 2 dieses Vertrages detailliert beschrieben und umfassen insbesondere Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. --- ## 4. Berichtigung, Einschränkung und Löschung von Daten Der Auftragsverarbeiter wird Daten, die im Auftrag verarbeitet werden, nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird dieses Ersuchen unverzüglich, spätestens innerhalb von 24 Stunden, an den Verantwortlichen weitergeleitet. Nach Beendigung des Hauptvertrages werden die Daten gemäß den Regelungen in Ziffer 11 dieses AVV gelöscht. --- ## 5. Pflichten des Auftragsverarbeiters Der Auftragsverarbeiter gewährleistet insbesondere: - Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung des Verantwortlichen. - Sicherstellung, dass die zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit verpflichtet wurden. - Umsetzung und Einhaltung der in Anlage 2 beschriebenen TOMs. - Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten (z.B. bei Betroffenenrechten, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen). - Ermöglichung und Unterstützung von Kontrollen durch den Verantwortlichen gemäß Ziffer 8. - Keine eigenmächtige Korrektur, Löschung oder Einschränkung der Verarbeitung von Daten. - Information des Verantwortlichen, falls eine Weisung seiner Meinung nach gegen Datenschutzvorschriften verstößt. - Verpflichtung zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde im Rahmen der Möglichkeiten und Bereitstellung aller erforderlichen Informationen für den Verantwortlichen. Beim Auftragsverarbeiter ist kein Datenschutzbeauftragter bestellt, da die Voraussetzungen des Art. 37 DSGVO nicht vorliegen. Ansprechpartner: Tom Trögler, kontakt@RechneX.de. --- ## 6. Unterauftragsverhältnisse Der Auftragsverarbeiter ist berechtigt, zur Erbringung der vertraglichen Leistungen Unterauftragsverarbeiter einzusetzen. Die aktuell eingesetzten und vom Verantwortlichen genehmigten Unterauftragsverarbeiter sind in Anlage 1 dieses Vertrages aufgeführt. Der Auftragsverarbeiter informiert den Verantwortlichen 14 Kalendertage vor Einsatz eines neuen Unterauftragsverarbeiters per E-Mail und gibt dem Verantwortlichen die Möglichkeit, innerhalb dieser Frist schriftlich Einspruch zu erheben. Mit den Unterauftragsverarbeitern werden Verträge geschlossen, die den Anforderungen des Art. 28 DSGVO entsprechen. --- ## 7. Rechte und Pflichten des Verantwortlichen Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich. Der Verantwortliche erteilt alle Aufträge oder Weisungen dokumentiert. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. --- ## 8. Kontrollrechte des Verantwortlichen Der Verantwortliche hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und der vertraglichen Vereinbarungen durch den Auftragsverarbeiter im erforderlichen Umfang zu kontrollieren. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die notwendigen Auskünfte zu erteilen und Nachweise (z.B. über TOMs, Zertifizierungen) zur Verfügung zu stellen. Reichen die Remote-Nachweise objektiv nicht aus, kann der Verantwortliche nach mindestens 14 Tagen Vorankündigung eine Vor-Ort-Kontrolle während der üblichen Geschäftszeiten durchführen. Die Kosten hierfür trägt der Verantwortliche, es sei denn, die Kontrolle ergibt einen wesentlichen Verstoß des Auftragsverarbeiters gegen diesen Vertrag oder geltende Datenschutzgesetze. Der Arbeitsaufwand des Auftragsverarbeiters ist dabei auf vier (4) Arbeitsstunden begrenzt. --- ## 9. Mitteilung bei Verstößen Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jeden Verstoß gegen Datenschutzvorschriften oder die getroffenen vertraglichen Vereinbarungen im Zusammenhang mit der Verarbeitung von dessen Daten. Dies gilt insbesondere für Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO. --- ## 10. Weisungsbefugnis des Verantwortlichen Der Auftragsverarbeiter darf Daten nur im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen verarbeiten. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen anwendbare Datenschutzgesetze verstößt. --- ## 11. Löschung und Rückgabe von personenbezogenen Daten Nach Beendung des Hauptvertrages oder jederzeit auf Aufforderung des Verantwortlichen wird der Auftragsverarbeiter alle personenbezogenen Daten, die Gegenstand dieses AVV sind, nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht für den Auftragsverarbeiter besteht. Sofern der Verantwortliche innerhalb von 30 Tagen nach Vertragsende keine Weisung erteilt, werden sämtliche personenbezogenen Daten standardmäßig gelöscht. **Wichtig:** Hochgeladene Dokumente werden im Rahmen des normalen Betriebs unmittelbar nach der Verarbeitung gelöscht und nicht persistent gespeichert. --- ## 12. Haftung Die Parteien haften gegen Betroffenen gemäß Art. 82 DSGVO als Gesamtschuldner. Im Innenverhältnis gilt: Jede Partei ersetzt der anderen die Schaden, die sie zu vertreten hat; der Auftragsverarbeiter stellt den Verantwortlichen von Ansprüchen frei, soweit diese auf einer schuldhaften Pflichtverletzung des Auftragsverarbeiters beruhen. --- ## 13. Schlussbestimmungen - Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. - Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. - Es gilt deutsches Recht. - Die Parteien sind sich einig, dass der Abschluss dieses Vertrages auch in elektronischer Form durch Anklicken einer Checkbox sowie Protokollierung von Datum, Uhrzeit, IP-Adresse und Benutzer-ID erfolgt und damit das Schriftformerfordernis des Art. 28 Abs. 9 DSGVO erfüllt wird. - Gerichtsstand ist, soweit zulässig, Offenburg. --- # Anlage 1: Genehmigte Unterauftragsverarbeiter Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragsverarbeiter unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zu: | Nr. | Firma | Anschrift | Leistung | Verarbeitungsort | Datenzugriff | |-----|-------|-----------|----------|------------------|--------------| | 1 | Cloudflare, Inc. | 101 Townsend St, San Francisco, CA 94107, USA | Edge-Hosting (Cloudflare Workers), CDN, WAF, DDoS-Schutz | Global (Datenverarbeitung primär in EU/EWR, USA mit SCC) | Metadaten | | 2 | Oracle Corporation (Oracle Cloud Infrastructure - OCI) | 2300 Oracle Way, Austin, TX 78741, USA | Hosting der primären KoSIT-Validator-Instanz | Frankfurt (Deutschland, eu-frankfurt-1) | Inhalts- und Metadaten (Validator-Anfragen) | | 3 | Render Services, Inc. (Render.com) | 525 Brannan St STE 300, San Francisco, CA 94107, USA | Hosting der sekundären KoSIT-Validator-Instanz (Failover/Fallback) | USA (mit SCC) | Inhalts- und Metadaten (nur bei Fallback) | | 4 | Mistral AI | 15 Rue des Halles, 75001 Paris, Frankreich | Bereitstellung KI-API zur Datenextraktion (OCR, NLP) | EU | Inhalts- und Metadaten | | 5 | Stripe Technology Europe, Limited / Stripe, Inc. | The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland / 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | Zahlungsabwicklung für Abonnements | EU/EWR, USA (mit SCC) | Metadaten | | 6 | Supabase, Inc. | 970 Terra Bella Ave, Mountain View, CA 94043, USA | Authentifizierung, Benutzerdatenbank | Frankfurt (Deutschland), USA (mit SCC für Support/Admin) | Metadaten | *Bei Übermittlung in Drittländer (z.B. USA) erfolgt dies auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO, ergänzt um zusätzliche Maßnahmen, wo erforderlich.* --- # Anlage 2: Technische und organisatorische Maßnahmen (TOMs) ## 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) ### Zutrittskontrolle Physischer Zutritt zu Servern wird durch die jeweiligen Infrastrukturanbieter (Cloudflare, Oracle Cloud Infrastructure, Render und Supabase) mittels branchenüblichen Maßnahmen (Sicherheitsdienst, Videoüberwachung, Zutrittssysteme) kontrolliert. Kein direkter physischer Zutritt für Auftragsverarbeiterpersonal. ### Zugangskontrolle Schutz der Systeme vor unbefugter Nutzung durch: - Einsatz von Firewalls (Cloudflare WAF, System-Firewalls) - Verschlüsselung der Kommunikation (SSL/TLS) - Starke Passwortrichtlinien und Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge - Rollenbasiertes Berechtigungskonzept mit Minimalberechtigung ### Zugriffskontrolle Sicherstellung, dass Berechtigte nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen, und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können durch: - Detailliertes Berechtigungskonzept - Protokollierung von Zugriffen auf Systemebene - Verschlüsselung von Datenträgern (wo relevant; keine persistente Speicherung von Kundendokumenten) - Verpflichtung der Mitarbeiter auf Vertraulichkeit ### Trennungskontrolle Logische Trennung von Kundendaten durch Mandantenfähigkeit in der Anwendung. Strikte Trennung von Produktions-, Test- und Entwicklungssystemen. ## 2. Integrität (Art. 32 Abs. 1 lit. b DSGVO) ### Weitergabekontrolle Sicherstellung, dass Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können durch: - Verschlüsselung der Datenübertragung (SSL/TLS) für alle externen Verbindungen (Nutzer-Frontend, API-Calls zu Unterauftragsnehmern) - Nutzung sicherer Protokolle (HTTPS) ### Eingabekontrolle Nachvollziehbarkeit, ob und von wem Daten eingegeben, verändert oder entfernt wurden durch: - Protokollierung wesentlicher Verarbeitungsschritte und Systemereignisse (Audit-Logs) - Keine direkte Änderungsmöglichkeit hochgeladener Daten durch den Nutzer nach Verarbeitungsstart ## 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) ### Verfügbarkeitskontrolle Schutz vor zufälliger Zerstörung oder Verlust durch: - Einsatz redundanter Systeme und Multi-Provider-Architektur (Cloudflare Workers als Edge-Layer, Oracle Cloud Infrastructure in Frankfurt als Primärsystem, Render als Fallback für den Validator) - Regelmäßige Sicherung der Systemkonfiguration und Anwendungsdaten (nicht jedoch der verarbeiteten Kundendokumente) - Monitoring der Systemverfügbarkeit - DDoS-Schutz durch Cloudflare ### Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO) Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen durch: - Backup- und Recovery-Prozesse für Systemkomponenten - Nutzung von Infrastructure-as-Code zur schnellen Wiederherstellung der Umgebung ## 4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO) - Regelmäßige Überprüfung der Sicherheitseinstellungen und TOMs - Einsatz von Tools zur Schwachstellenerkennung und automatisiertem Patch-Management - **Datenschutzfreundliche Voreinstellungen (Privacy by Design/Default):** - Datenminimierung (keine Speicherung verarbeiteter Dokumente über den Verarbeitungsvorgang hinaus) - Zweckbindung - Incident-Response-Management zur Reaktion auf Sicherheitsvorfälle - **Auftragskontrolle:** Sicherstellung der weisungsgebundenen Verarbeitung durch klare Prozesse und Dokumentation --- **Ende des Auftragsverarbeitungsvertrags**