Konformat

Vertrag zur Auftragsverarbeitung (AVV)

Dieser Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO gilt zwischen Ihnen als verantwortlichem Unternehmen (nachfolgend „Verantwortlicher") und [bitte ergänzen: Name] als Auftragsverarbeiter (nachfolgend „Auftragnehmer"), soweit der Auftragnehmer im Rahmen der Nutzung von Konformat personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er ergänzt die AGB.

1. Gegenstand & Dauer

Gegenstand ist die Verarbeitung der vom Verantwortlichen hochgeladenen Rechnungen zum Zweck der Konformitätsprüfung. Die Dauer entspricht der Laufzeit des Hauptvertrags (Nutzung des Dienstes).

2. Art, Umfang & Zweck der Verarbeitung

Der Auftragnehmer verarbeitet hochgeladene elektronische Rechnungen ausschließlich, um sie technisch auf Konformität zu prüfen und das Ergebnis bereitzustellen. Die Rechnungsinhalte werden nicht dauerhaft gespeichert und nach Abschluss der Prüfung verworfen. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.

3. Art der Daten & Kreis der Betroffenen

Gegenstand der Verarbeitung können sein:

  • Datenarten: in Rechnungen enthaltene personenbezogene Daten, insbesondere Namen, Anschriften, Kontaktdaten, Bankverbindungen, Leistungs- und Rechnungsdaten.
  • Betroffene: Kunden, Lieferanten und Mitarbeitende des Verantwortlichen sowie sonstige in den Rechnungen genannte Personen.

4. Pflichten des Auftragnehmers

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.
  • Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.
  • Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Ziff. 5).
  • Unterstützung des Verantwortlichen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen und Meldepflichten, soweit zumutbar.
  • Unverzügliche Information bei Verletzungen des Schutzes personenbezogener Daten.
  • Löschung bzw. Verwerfen der verarbeiteten Daten nach Abschluss der Prüfung; eine darüber hinausgehende Speicherung der Rechnungsinhalte erfolgt nicht.

5. Technische & organisatorische Maßnahmen (Art. 32 DSGVO)

  • Transportverschlüsselung (TLS) für alle Übertragungen.
  • Keine dauerhafte Speicherung der Rechnungsinhalte (Verarbeitung im Arbeitsspeicher).
  • Zugriffs- und Berechtigungskontrolle auf Ebene der eingesetzten Dienste.
  • Hosting des Frontends in einer EU-Region; Einsatz geprüfter Unterauftragnehmer.

6. Unterauftragnehmer

Der Verantwortliche genehmigt den Einsatz folgender Unterauftragnehmer:

  • Vercel Inc. — Hosting des Frontends (EU-Region).
  • Railway — Betrieb des Validierungsdienstes.
  • Clerk — Authentifizierung und Kontoverwaltung.
  • Stripe — Zahlungsabwicklung.

Soweit Unterauftragnehmer Daten außerhalb der EU/des EWR verarbeiten, erfolgt dies auf Grundlage geeigneter Garantien (Standardvertragsklauseln der EU-Kommission bzw. EU-US Data Privacy Framework). Der Auftragnehmer informiert über beabsichtigte Änderungen; der Verantwortliche kann diesen aus wichtigem Grund widersprechen.

7. Kontrollrechte

Der Verantwortliche ist berechtigt, sich von der Einhaltung der getroffenen Maßnahmen zu überzeugen. Der Auftragnehmer stellt die hierfür erforderlichen Informationen auf Anfrage in zumutbarem Umfang bereit.

Für den rechtsverbindlichen Abschluss eines AVV mit Unterschrift wenden Sie sich bitte an [bitte ergänzen: Kontakt-E-Mail].

Stand: Mai 2026