IFInvoiceFlow

Auftragsverarbeitungsvertrag (AVV)

Last updated: 9. Juli 2026

Dieser AVV regelt die Verarbeitung personen­bezogener Daten durch den Anbieter No Basic Shick (im Folgenden „Auftrags­verarbeiter") im Auftrag des Kunden (im Folgenden „Verantwortlicher") gemäß Art. 28 DSGVO. Er ist Bestandteil des Hauptvertrags (AGB) zwischen den Parteien.

§ 1 Gegenstand und Dauer

Gegenstand der Verarbeitung sind die im Rahmen der Nutzung von InvoiceFlow verarbeiteten Daten (insb. Beleg­inhalte, Lieferanten- Stammdaten, Audit-Logs, Benutzer­konten). Die Verarbeitung erfolgt für die Dauer des Hauptvertrags zuzüglich gesetzlicher Aufbewahrungs­pflichten.

§ 2 Art und Zweck der Verarbeitung

Empfang, Klassifikation, Extraktion und Archivierung von Eingangs­rechnungen sowie Bereitstellung von Workflows zur Freigabe und zum Export an Buchhaltungs- und Zahlungs­systeme.

§ 3 Art der Daten und Kategorien betroffener Personen

  • Stammdaten von Mitarbeitern des Verantwortlichen (Name, dienstliche E-Mail)
  • Stammdaten von Lieferanten / Geschäftspartnern des Verantwortlichen
  • Beleg-Inhalte (Beträge, Verwendungszwecke, IBAN, ggf. Vor- und Nachnamen)
  • Audit- und Protokoll­daten (User-IDs, Aktion, Zeitpunkt)

§ 4 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich nach dokumentierter Weisung des Verantwortlichen.
  • Wahrung der Vertraulichkeit (Art. 28(3)(b) DSGVO) — alle Mitarbeiter sind auf Vertraulichkeit verpflichtet.
  • Umsetzung der technisch-organisatorischen Maßnahmen (Anhang 1).
  • Unterstützung des Verantwortlichen bei Betroffenen­rechten (Art. 12–22 DSGVO).
  • Unverzügliche Meldung von Datenpannen gem. Art. 33(2) DSGVO an den Verantwortlichen.
  • Löschung oder Rückgabe der Daten nach Beendigung des Hauptvertrags, soweit nicht gesetzliche Aufbewahrungs­pflichten entgegenstehen.
  • Nachweis der Einhaltung dieser Pflichten auf Anfrage des Verantwortlichen, einmal jährlich kostenfrei.

§ 5 Unterauftrags­verarbeiter

Der Verantwortliche stimmt dem Einsatz der in Anhang 2 genannten Unterauftrags­verarbeiter zu. Der Auftrags­verarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über jede beabsichtigte Änderung in Bezug auf Hinzufügen oder Ersetzen anderer Unterauftrags­verarbeiter; der Verantwortliche kann gegen solche Änderungen Einspruch erheben.

§ 6 Drittlandübermittlung

Soweit eine Übermittlung in Drittländer erfolgt, geschieht dies ausschließlich auf Basis der EU-Standardvertrags­klauseln (SCC, Art. 46 DSGVO) und – soweit anwendbar – auf Basis des EU-US Data Privacy Framework. Aktueller Stand und Liste der betroffenen Unterauftrags­verarbeiter siehe Anhang 2.

§ 7 Haftung

Es gelten die Regelungen der Art. 82 DSGVO sowie die Haftungs­regelung des Hauptvertrags.

Anhang 1 — Technisch-organisatorische Maßnahmen (TOM)

  • Vertraulichkeit: Zutritts­kontrolle in Rechenzentren der Hosting-Anbieter (Supabase, Netlify); rollen­basierter Zugriff (RBAC) im Anwendungs-Backend; Mandanten­trennung über Row-Level-Security in der Datenbank.
  • Integrität: TLS 1.2+ für sämtliche Datenübertragungen; getrennte Storage-Buckets pro Tenant; Audit-Log aller schreibenden Operationen mit User-, Tenant- und Zeitstempel.
  • Verfügbarkeit und Belastbarkeit: Tägliche automatische Backups durch den Datenbank-Anbieter, Wiederher­stellungs­tests mindestens jährlich.
  • Wiederherstellbarkeit: RTO ≤ 24h, RPO ≤ 24h.
  • Regelmäßige Überprüfung: Mindestens jährliche Schwachstellen-Reviews und Dependency-Audits; sicherheits­kritische Updates werden zeitnah eingespielt.
  • Pseudonymisierung / Verschlüsselung: API-Schlüssel und Zahlungs­daten werden ausschließlich serverseitig verarbeitet und nicht im Client-Code gespeichert.

Anhang 2 — Unterauftrags­verarbeiter

AnbieterLeistungSitz / RegionRechtsgrundlage Drittland
Supabase Inc.Datenbank, Auth, StorageUSA / EU (Frankfurt)SCC + DPF
Netlify Inc.Application HostingUSA / EU-EdgeSCC + DPF
Mollie B.V.Zahlungs­abwicklungNiederlande, EU
Anthropic PBCLLM-Extraktion (optional)USASCC
OpenAI L.L.C.LLM-Extraktion (optional, tenant­spezifisch)USASCC + DPF
Mailgun Technologies, Inc.Transaktionaler E-Mail-VersandUSA / EUSCC + DPF
[Hosting-Anbieter Meilisearch-Server einsetzen, z. B. Hetzner Online GmbH]Server-Infrastruktur für selbst betriebene Volltextsuch-Komponente (Meilisearch), nur bei aktiviertem Zusatzpaket „Volltextsuche im Archiv"Deutschland/EU