Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO für die Nutzung von e-rechn.de

1. Vertragsgegenstand und Dauer

Dieser Vertrag regelt die Rechte und Pflichten zwischen dem Auftraggeber (Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO) und dem Auftragnehmer (Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO) im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers.

Auftraggeber (Verantwortlicher)

Der Nutzer des Services e-rechn.de

Auftragnehmer (Auftragsverarbeiter)

Alexander Lutsyuk
Algoran / e-rechn.de
Dr. Alban Str. 24
19395 Plau am See
Deutschland / Germany
E-Mail: kontakt@algoran.de

Vertragslaufzeit

Dieser Vertrag gilt ab der ersten Nutzung des Services und endet mit der Beendigung der Geschäftsbeziehung.

2. Art und Zweck der Verarbeitung

Gegenstand: Umwandlung von PDF-Rechnungen in EU-konforme E-Rechnungen (hybrid PDF/A-3 mit eingebettetem XML)

Zweck: Bereitstellung eines technischen Services zur Erfüllung der E-Rechnungspflicht gemäß EU-Richtlinien

Art der Daten:

• E-Mail-Adresse des Auftraggebers
• Inhalte der hochgeladenen PDF-Rechnung (können Kundendaten, Beträge, Adressen enthalten)

Kategorien betroffener Personen: Kunden und Geschäftspartner des Auftraggebers

3. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragnehmer trifft folgende Maßnahmen zum Schutz der verarbeiteten Daten:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verschlüsselung: SSL/TLS (HTTPS) für alle Datenübertragungen
• Zugriffskontrolle: Nur autorisierte Systeme können auf die Verarbeitungsdienste zugreifen

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• In-Memory-Verarbeitung: Alle Daten werden ausschließlich im Arbeitsspeicher verarbeitet
• Keine dauerhafte Speicherung: Rechnungsdaten werden niemals dauerhaft auf Festplatten gespeichert

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Serverstandort: Ausschließlich Server in Deutschland
• Hosting: Bei zuverlässigen EU-Anbietern

Verfahren zur Wiederherstellung (Art. 32 Abs. 1 lit. c DSGVO)

• Automatische Löschung: Sofortige und unwiderrufliche Löschung aller temporären Daten nach Abschluss der Verarbeitung
• Da keine Daten gespeichert werden, entfällt die Notwendigkeit einer Wiederherstellung

4. Weisungen des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisung ist durch die Nutzung des Services e-rechn.de implizit erteilt: Der Auftragnehmer wandelt die hochgeladene Rechnung um und sendet das Ergebnis an die angegebene E-Mail-Adresse.

5. Rechte und Pflichten des Auftraggebers

• Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich
• Der Auftraggeber hat sicherzustellen, dass er berechtigt ist, die hochgeladenen Daten zu verarbeiten
• Der Auftraggeber kann jederzeit Auskunft über die Verarbeitung verlangen (aufgrund der sofortigen Löschung sind jedoch keine Daten vorhanden)

6. Unterauftragsverarbeiter

Der Auftragnehmer ist berechtigt, folgende Unterauftragsverarbeiter einzusetzen:

• Hosting-Anbieter: Server-Hosting in Deutschland
• E-Mail-Dienst: Für den Versand der konvertierten Rechnungen

Der Auftraggeber stimmt der Beauftragung dieser Unterauftragsverarbeiter durch Nutzung des Services zu. Bei Änderungen wird der Auftraggeber informiert.

7. Löschung und Rückgabe der Daten

Nach Abschluss der Verarbeitung (Umwandlung der Rechnung und Versand per E-Mail) werden alle personenbezogenen Daten sofort und unwiderruflich gelöscht. Es erfolgt keine dauerhafte Speicherung. Eine Rückgabe der Daten ist daher nicht möglich und nicht erforderlich.

8. Pflichten des Auftragnehmers

• Verarbeitung ausschließlich gemäß den Weisungen des Auftraggebers
• Einhaltung der DSGVO und anderer geltender Datenschutzgesetze
• Sofortige Benachrichtigung bei Datenpannen
• Unterstützung des Auftraggebers bei der Erfüllung seiner Pflichten (z.B. Auskunftsanfragen)

9. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen durch den Auftragnehmer zu überprüfen. Aufgrund der In-Memory-Verarbeitung und sofortigen Löschung sind jedoch keine gespeicherten Daten vorhanden, die überprüft werden könnten.

10. Haftung und Schadensersatz

Bei Verstößen gegen die DSGVO haftet der Auftragnehmer gemäß Art. 82 DSGVO. Die Haftung ist auf Vorsatz und grobe Fahrlässigkeit beschränkt, sofern nicht wesentliche Vertragspflichten verletzt werden.

11. Schlussbestimmungen

Dieser Vertrag tritt mit der ersten Nutzung des Services in Kraft. Änderungen dieses Vertrags werden dem Auftraggeber mitgeteilt und gelten als akzeptiert, wenn der Service weiterhin genutzt wird.