RS RechnungsSafe

Rechtstexte

Auftragsverarbeitungsvertrag (AVV)

Version v1

Zur Startseite Zum Login

Auftragsverarbeitungsvertrag für RechnungsSafe

1. Parteien und Verhältnis zum Hauptvertrag

Dieser Auftragsverarbeitungsvertrag gilt zwischen dem Kunden als Verantwortlichem und HOSTING-STATION55 als Auftragsverarbeiter, soweit HOSTING-STATION55 im Rahmen von RechnungsSafe personenbezogene Daten im Auftrag des Kunden verarbeitet.

Der AVV ergänzt den Hauptvertrag über die Nutzung von RechnungsSafe. Bei Widersprüchen gehen datenschutzrechtliche Regelungen dieses AVV für die Auftragsverarbeitung vor.

2. Gegenstand und Dauer der Verarbeitung

Gegenstand ist die Bereitstellung und der Betrieb der SaaS-Plattform RechnungsSafe einschließlich Hosting, Speicherung, Verarbeitung, Anzeige, Download, E-Mail-Versand, Support, Sicherung, Wartung, Fehleranalyse und administrativer Verwaltung der vom Kunden in RechnungsSafe verarbeiteten Daten.

Die Dauer der Verarbeitung richtet sich nach dem Hauptvertrag. Nach Vertragsende erfolgt Löschung, Deaktivierung oder Herausgabe nach Hauptvertrag, Weisung, gesetzlichen Pflichten und technischer Möglichkeit. Backupdaten laufen nach dem dokumentierten Backup-Rotationskonzept aus.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Bereitstellung der RechnungsSafe-Funktionen, insbesondere:

  • Nutzer- und Firmenverwaltung;
  • Rollen- und Rechteverwaltung;
  • Erstellung und Verwaltung von Rechnungen, Angeboten und Serienrechnungen;
  • Verwaltung von Eingangsrechnungen, Ausgaben, Dokumenten, Safe und Archiv;
  • Verwaltung von Kunden, Lieferanten, Produkten, Leistungen, Bankdaten und SEPA-Mandaten;
  • Mahnwesen, Zahlungsbedingungen, Reports und Auswertungen;
  • E-Mail-Versand und SMTP-Konfiguration;
  • Support, Wartung, Sicherheit, Logging und Missbrauchsabwehr;
  • Backup, Wiederherstellung und Systemadministration.

4. Datenarten

Je nach Nutzung können insbesondere folgende Datenarten verarbeitet werden:

  • Stammdaten und Kontaktdaten;
  • Login-, Nutzer-, Rollen- und Berechtigungsdaten;
  • Firmenstammdaten, Kundendaten, Lieferantendaten und Ansprechpartnerdaten;
  • Rechnungs-, Angebots-, Beleg-, Zahlungs-, Mahn- und Buchungsdaten;
  • Produkte, Leistungen, Positionen, Preise, Steuern und Zahlungsbedingungen;
  • Bankdaten, IBAN, BIC und SEPA-Mandate;
  • Dokumente, Anhänge, Uploads und Archivdaten;
  • E-Mail-Daten, SMTP-Konfigurationen und verschlüsselte SMTP-Secrets;
  • Nutzungszähler, Auditlogs, IP-Adressen, User-Agent, Zeitstempel und technische Protokolle.

5. Kategorien betroffener Personen

Je nach Nutzung können betroffen sein:

  • Nutzer und Mitarbeiter des Kunden;
  • Kunden, Lieferanten, Ansprechpartner und Geschäftspartner des Kunden;
  • Rechnungsempfänger, Zahlungspflichtige, Mahnadressaten und SEPA-Mandatsgeber;
  • Steuerberater, Buchhalter oder externe berechtigte Nutzer;
  • Kommunikationspartner aus E-Mail- und Supportprozessen.

6. Weisungen des Kunden

HOSTING-STATION55 verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Pflicht entgegensteht. Weisungen können sich aus Hauptvertrag, Systemkonfiguration, Rollenvergabe, Supportanfragen oder schriftlichen bzw. elektronischen Einzelweisungen ergeben.

Hält HOSTING-STATION55 eine Weisung für rechtswidrig, wird der Kunde hierauf hingewiesen, soweit rechtlich zulässig.

7. Pflichten von STATION55

HOSTING-STATION55 verpflichtet sich insbesondere:

  • personenbezogene Daten nur im Rahmen dieses AVV und der dokumentierten Weisungen zu verarbeiten;
  • mit der Verarbeitung befasste Personen auf Vertraulichkeit zu verpflichten;
  • angemessene technische und organisatorische Maßnahmen umzusetzen;
  • Unterauftragnehmer nur nach Maßgabe dieses AVV einzusetzen;
  • den Kunden bei Betroffenenrechten, Datenschutz-Folgenabschätzung und Datenschutzvorfällen angemessen zu unterstützen;
  • personenbezogene Daten nach Vertragsende nach Weisung zu löschen oder herauszugeben, soweit keine gesetzlichen Pflichten entgegenstehen;
  • Nachweise zur Einhaltung der Pflichten bereitzuhalten.

8. Pflichten des Kunden

Der Kunde bleibt Verantwortlicher. Er ist insbesondere verantwortlich für:

  • Rechtmäßigkeit der Datenverarbeitung und Weisungen;
  • Information betroffener Personen;
  • Rechtsgrundlagen für Kundendaten, Rechnungsdaten, Bankdaten, SEPA-Mandate und Dokumente;
  • Berechtigung zur Nutzung des E-Mail-Versands und SMTP-Zugangs;
  • interne Rollen- und Berechtigungsverwaltung;
  • gesetzliche Aufbewahrungs-, Lösch- und Nachweispflichten.

9. Unterauftragnehmer

HOSTING-STATION55 darf Unterauftragnehmer einsetzen, soweit dies für Betrieb, Hosting, Wartung, E-Mail, Backup, Support oder Sicherheit erforderlich ist und der Unterauftragnehmer vertraglich auf ein angemessenes Datenschutzniveau verpflichtet wird.

Die Unterauftragnehmerliste ist gesondert zu dokumentieren und aktuell zu halten. Nach aktueller VVT-/AVV-Grundlage kommen insbesondere in Betracht:

  • Rechenzentrum/Hosting-Infrastruktur Frankfurt am Main, z. B. meerfarbig GmbH & Co. KG, soweit für RechnungsSafe eingesetzt;
  • Backup-/Serverinfrastruktur, z. B. Hetzner Online GmbH, soweit eingesetzt;
  • Serververwaltungssoftware wie LiveConfig/Plesk nur soweit ein relevanter Datenfluss oder Supportzugriff besteht;
  • technische Wartungsdienstleister nur mit AVV oder gleichwertiger Datenschutz-/Vertraulichkeitsvereinbarung;
  • eigene STATION55-Systeme für Betrieb, E-Mail, Administration und Support.

Der Kunde wird über wesentliche Änderungen der Unterauftragnehmer in geeigneter Form informiert und kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

10. Technische und organisatorische Maßnahmen

Die bei Vertragsschluss maßgeblichen TOMs sind in der TOM-Anlage beschrieben. HOSTING-STATION55 darf TOMs weiterentwickeln, solange das Sicherheitsniveau nicht abgesenkt wird.

11. Betroffenenrechte

Soweit betroffene Personen Rechte geltend machen, unterstützt HOSTING-STATION55 den Kunden im Rahmen des technisch und organisatorisch Zumutbaren. Soweit HOSTING-STATION55 Anfragen direkt erhält, die Kundendaten betreffen, kann die Anfrage an den Kunden weitergeleitet werden, sofern keine gesetzliche Pflicht zur unmittelbaren Bearbeitung besteht.

12. Datenschutzvorfälle

HOSTING-STATION55 informiert den Kunden unverzüglich, wenn eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Kundendaten betrifft. Die Meldung soll, soweit verfügbar, Art des Vorfalls, betroffene Systeme, Datenkategorien, Umfang, mögliche Folgen und ergriffene bzw. vorgeschlagene Maßnahmen enthalten.

13. Nachweise und Kontrollen

HOSTING-STATION55 stellt dem Kunden geeignete Informationen zum Nachweis der Einhaltung dieses AVV bereit. Prüfungen sollen vorrangig durch Dokumentation, Zertifikate, TOM-Nachweise, schriftliche Auskünfte oder strukturierte Sicherheitsinformationen erfolgen. Vor-Ort-Prüfungen bedürfen angemessener Ankündigung, Vertraulichkeit und Rücksichtnahme auf Sicherheit, Betriebsabläufe und Rechte anderer Kunden.

14. Rückgabe und Löschung

Nach Beendigung des Hauptvertrages oder auf Weisung des Kunden werden personenbezogene Daten nach den vertraglichen und technischen Möglichkeiten gelöscht, deaktiviert oder herausgegeben. Gesetzliche Aufbewahrungspflichten, Nachweispflichten, Abrechnungsdaten und Backup-Rotationen bleiben unberührt.

15. Schlussbestimmungen

Änderungen dieses AVV können elektronisch vereinbart werden. Soweit dieser AVV digital abgeschlossen wird, sollen Version, Zeitpunkt, Account, IP/User-Agent, Hash und PDF-/HTML-Snapshot dokumentiert werden.