Vereinbarung zur Auftragsverarbeitung

Präambel

Der Verantwortliche nutzt die cloudbasierte Rechnungsmanagement-Software von FaturaBox (nachfolgend „Software"). Im Rahmen dieser Nutzung verarbeitet FaturaBox personenbezogene Daten im Auftrag des Verantwortlichen. Diese Vereinbarung regelt die Pflichten und Rechte der Parteien im Zusammenhang mit der Auftragsverarbeitung gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch FaturaBox im Auftrag des Verantwortlichen im Rahmen der Nutzung der Software. Art und Zweck der Verarbeitung, die Kategorien betroffener Personen und die Arten personenbezogener Daten sind in Anlage 1 zu dieser Vereinbarung beschrieben.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages (Nutzungsvertrag zur Software gemäß den Allgemeinen Geschäftsbedingungen von FaturaBox). Die Vereinbarung tritt mit Beginn der Nutzung der Software in Kraft.

§ 2 Art und Zweck der Datenverarbeitung

(1) FaturaBox verarbeitet personenbezogene Daten ausschließlich im Rahmen der vertraglich vereinbarten Leistungserbringung und ausschließlich nach dokumentierten Weisungen des Verantwortlichen. Die Weisungen sind in den Allgemeinen Geschäftsbedingungen von FaturaBox sowie in dieser Vereinbarung dokumentiert.

(2) Der Verantwortliche hat das Recht, jederzeit zusätzliche oder geänderte Weisungen in Textform (z. B. per E-Mail) zu erteilen. Weisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, können zusätzlich vergütungspflichtig sein und bedürfen der vorherigen schriftlichen Vereinbarung.

(3) FaturaBox wird den Verantwortlichen unverzüglich informieren, wenn eine Weisung nach Auffassung von FaturaBox gegen die DSGVO oder andere datenschutzrechtliche Vorschriften verstößt.

§ 3 Pflichten des Auftragnehmers

(1) Verarbeitung nach Weisung: FaturaBox verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, FaturaBox ist durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet. In einem solchen Fall teilt FaturaBox dem Verantwortlichen diese rechtliche Verpflichtung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Vertraulichkeit: FaturaBox verpflichtet sich, alle mit der Auftragsverarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten und sicherzustellen, dass diese die Vertraulichkeit auch nach Beendigung ihrer Tätigkeit wahren.

(3) Technische und organisatorische Maßnahmen: FaturaBox trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die derzeit getroffenen Maßnahmen sind in Anlage 2 beschrieben.

(4) Unterstützung des Verantwortlichen: FaturaBox unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Personen nachzukommen.

(5) Meldung von Datenschutzverletzungen: FaturaBox teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, mit.

§ 4 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung.

(2) Der Verantwortliche stellt FaturaBox von Ansprüchen Dritter frei, die aufgrund einer rechtswidrigen Verarbeitung personenbezogener Daten durch den Verantwortlichen oder aufgrund mangelhafter oder fehlerhafter Weisungen des Verantwortlichen entstehen.

(3) Der Verantwortliche ist für die regelmäßige Datensicherung der von ihm in die Software eingestellten Daten selbst verantwortlich. FaturaBox ist nicht dazu verpflichtet, Daten dauerhaft zu archivieren.

§ 5 Weitere Auftragnehmer (Subunternehmer)

(1) Der Verantwortliche erteilt FaturaBox hiermit die allgemeine Genehmigung, weitere Auftragnehmer (Subunternehmer) mit der Verarbeitung personenbezogener Daten zu beauftragen. Eine Liste der aktuell beauftragten Subunternehmer ist in Anlage 3 beigefügt.

(2) FaturaBox verpflichtet sich, den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung von Subunternehmern mindestens 30 Tage im Voraus in Textform zu informieren.

(3) Der Verantwortliche hat das Recht, der Hinzuziehung oder Ersetzung des Subunternehmers innerhalb von 14 Tagen nach Erhalt der Information zu widersprechen.

§ 6 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen durch FaturaBox zu überprüfen.

(2) FaturaBox stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 7 Datenübermittlung in Drittländer

(1) FaturaBox verarbeitet personenbezogene Daten ausschließlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR). Die Server, auf denen die Datenverarbeitung stattfindet, befinden sich in Europa.

(2) Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU/EWR) erfolgt nicht.

§ 8 Löschung und Rückgabe von Daten

§ 9 Besondere Verpflichtungen für Berufsgeheimnisträger

(1) Soweit der Verantwortliche einer berufsrechtlichen Geheimhaltungspflicht nach § 203 StGB unterliegt (z. B. als Rechtsanwalt, Steuerberater, Arzt), verpflichtet sich FaturaBox, die besonderen Anforderungen an die Vertraulichkeit und den Schutz von Berufsgeheimnissen einzuhalten. Diese bedarf der vorherigen Kenntnissetzung.

§ 10 Haftung

(1) Für Verstöße gegen datenschutzrechtliche Bestimmungen haftet jede Partei nach den gesetzlichen Vorschriften, insbesondere nach Art. 82 DSGVO.

(2) Im Übrigen gelten die Haftungsregelungen des Hauptvertrages (insbesondere § 4.1 der AGB von FaturaBox).

§ 11 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.

(2) Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland.

(3) Diese Vereinbarung ist Bestandteil des Hauptvertrages zwischen den Parteien.

---

Anlage 1 – Beschreibung der Auftragsverarbeitung

1. Gegenstand der Auftragsverarbeitung

Bereitstellung einer cloudbasierten Software-as-a-Service-Lösung (SaaS) für Rechnungsmanagement, einschließlich:

• Empfang und Verwaltung elektronischer und nicht-elektronischer Rechnungen über IMAP oder OAuth-Authentifizierung
• Versand von Rechnungen über SMTP oder OAuth-Authentifizierung
• Automatische Datenextraktion mittels OCR-Technologie
• Erstellung, Validierung und Statusänderung von Rechnungen
• Überwachung des Zahlungseingangs
• Cloud-Speicherung von Rechnungsdokumenten

2. Zweck der Verarbeitung

Verarbeitung personenbezogener Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen gemäß den AGB von FaturaBox.

3. Art der personenbezogenen Daten

• Stammdaten: Name, Vorname, Firmenname, Anschrift, Kontaktdaten
• Vertragsdaten: Kundennummer, Rechnungsnummer, Leistungsbeschreibungen, Preise
• Zahlungsdaten: Bankverbindungsdaten (IBAN, BIC), Zahlungsstatus
• Nutzungsdaten: IP-Adresse, Zugriffsprotokolle

4. Kategorien betroffener Personen

• Kunden des Verantwortlichen (B2B- und B2C-Kunden)
• Lieferanten und Geschäftspartner des Verantwortlichen
• Mitarbeiter und Vertreter von Geschäftspartnern
• Nutzer der Software (Mitarbeiter des Verantwortlichen)

5. Ort der Datenverarbeitung

Rechenzentren in der Europäischen Union. Eine Übermittlung an Nicht-EU-Länder erfolgt nicht.

---

Anlage 2 – Technische und organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit

1.1 Zutrittskontrolle

• Rechenzentren mit Zutrittskontrollen und Überwachung (ISO 27001-zertifiziert)
• Videoüberwachung der Rechenzentren
• Zutrittsberechtigung nur für autorisiertes Personal

1.2 Zugangskontrolle

• Authentifizierung durch Benutzername und sicheres Passwort
• Optionale Zwei-Faktor-Authentifizierung (2FA)
• Automatische Sperrung nach mehrfachen Fehlanmeldungen
• Protokollierung von Zugriffen (Login-Logs)

1.3 Zugriffskontrolle

• Rollenbasierte Zugriffskontrolle (RBAC)
• Mandantentrennung: Strikte Trennung der Kundendaten voneinander
• Need-to-know-Prinzip: Zugriff nur auf benötigte Daten

2. Integrität

2.1 Weitergabekontrolle

• Verschlüsselte Datenübertragung via TLS 1.3 (Transport Layer Security)
• HTTPS für alle Verbindungen
• Verschlüsselte E-Mail-Kommunikation (SMTP/IMAP mit TLS)

2.2 Eingabekontrolle

• Protokollierung von Datenänderungen (Audit Logs)
• Versionierung von Dokumenten
• Nachvollziehbarkeit: Wer hat wann welche Daten geändert

3. Verfügbarkeit und Belastbarkeit

• Tägliche automatisierte Backups der Datenbanken
• Redundante Speicherung auf geografisch getrennten Servern
• Hochverfügbarkeitsarchitektur mit Ausfallsicherheit
• Disaster Recovery Plan
• Unterbrechungsfreie Stromversorgung (USV) in Rechenzentren

4. Verschlüsselung

• Verschlüsselung bei der Speicherung des E-Mail-Passwortes (encryption at rest): AES-256
• Verschlüsselung bei der Übertragung des E-Mail-Passwortes (encryption in transit): TLS 1.3
• Sichere Schlüsselverwaltung

5. Datenschutz-Management

• Benennung eines Datenschutzbeauftragten oder Datenschutzkoordinators
• Regelmäßige Schulungen der Mitarbeiter zu Datenschutz
• Verpflichtung aller Mitarbeiter auf Vertraulichkeit
• Dokumentation aller Verarbeitungstätigkeiten

---

Anlage 3 – Liste der Subunternehmer

FaturaBox setzt die folgenden Subunternehmer für die Auftragsverarbeitung ein:

Subunternehmer	Dienstleistung	Standort	Garantien
Google Cloud Platform (Google Ireland Limited)	Cloud-Hosting, Infrastruktur, Speicherung	EU (Belgien)	ISO 27001, SOC 2
Mistral AI	OCR-Dienste, KI-gestützte Datenextraktion	EU (Frankreich)	AVV gemäß DSGVO
Stripe Payments Europe Ltd.	Zahlungsabwicklung	EU (Irland)	PCI-DSS Level 1, ISO 27001
E-Mail-Provider des Kunden	E-Mail-Empfang und -Versand (IMAP/SMTP)	Abhängig vom Kunden	Verantwortung des Kunden