🛡️ Auftragsverarbeitungsvertrag

1. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem Hauptvertrag über die Nutzung von E-Reschnung als SaaS-Leistung.
2. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.
3. Dieser Vertrag gilt für alle Verarbeitungen personenbezogener Daten, die der Auftragsverarbeiter im Rahmen der Leistungserbringung für den Verantwortlichen durchführt.

1. Die Laufzeit dieses AV-Vertrags richtet sich nach der Laufzeit des Hauptvertrags.
2. Mit Beendigung des Hauptvertrags endet auch dieser AV-Vertrag, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

1. Die Verarbeitung erfolgt zur Bereitstellung, Aufrechterhaltung und Absicherung der SaaS-Rechnungsplattform E-Reschnung.
2. Die Verarbeitungen umfassen insbesondere das Speichern, Ordnen, Auslesen, Übermitteln, Löschen und Sichern von Daten im Rahmen der vom Verantwortlichen genutzten Funktionen.
3. Der Zweck der Verarbeitung richtet sich ausschließlich nach den Weisungen des Verantwortlichen und den im Hauptvertrag vereinbarten Leistungen.
4. Eine Verarbeitung personenbezogener Daten zu eigenen Zwecken des Auftragsverarbeiters ist unzulässig.

Je nach Nutzung können insbesondere folgende Datenkategorien verarbeitet werden:

• Stammdaten (z. B. Name, E-Mail, Telefonnummer, Anschrift)
• Vertrags- und Abrechnungsdaten
• Kommunikationsdaten (z. B. E-Mails, Supportanfragen, Notizen)
• Nutzungs- und Protokolldaten (z. B. Login-Zeitpunkte, IP-Adressen, Audit-Logs)
• Inhaltsdaten aus Rechnungsprozessen (z. B. Kunden, Lieferanten, Rechnungen, Belege, Zahlungsstatus)

Betroffene Personen sind insbesondere:

• Beschäftigte des Verantwortlichen
• Kunden, Interessenten und Geschäftspartner des Verantwortlichen
• sonstige Personen, deren Daten der Verantwortliche in E-Reschnung verarbeitet

1. Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Betroffenenrechte verantwortlich.
2. Der Verantwortliche erteilt Weisungen vollständig, eindeutig und dokumentiert.
3. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei datenschutzrechtlichen Prüfungen feststellt.

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.
2. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
3. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich.

1. Der Auftragsverarbeiter stellt sicher, dass nur befugte Personen Zugriff auf personenbezogene Daten erhalten.
2. Alle zur Verarbeitung befugten Personen sind auf Vertraulichkeit verpflichtet und auf Datenschutzanforderungen geschult.
3. Zugriffe auf Daten werden nach dem Need-to-know-Prinzip und mit rollenbasierten Berechtigungen geregelt.
4. Zugriffe auf personenbezogene Daten durch den Auftragsverarbeiter erfolgen ausschließlich im Rahmen von Supportleistungen und nur, soweit dies erforderlich und vom Verantwortlichen veranlasst ist.

1. Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.
2. Die Maßnahmen umfassen insbesondere:
   • Zutritts-, Zugangs- und Zugriffskontrollen
   • Transport- und Speicher-Verschlüsselung
   • Pseudonymisierung, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
   • Backup- und Wiederherstellungsverfahren
   • Protokollierung, Monitoring und Incident-Management
3. Die Maßnahmen entsprechen dem Stand der Technik und berücksichtigen Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen.
4. Die TOM sind dem Risiko angemessen und werden fortlaufend weiterentwickelt.

1. Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen zu bearbeiten.
2. Betroffene wenden sich regelmäßig an den Verantwortlichen. Gehen Anfragen beim Auftragsverarbeiter ein, werden diese unverzüglich an den Verantwortlichen weitergeleitet.

Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit erforderlich und angemessen, bei:

• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Konsultationen von Aufsichtsbehörden (Art. 36 DSGVO)
• Erfüllung von Melde- und Benachrichtigungspflichten bei Datenschutzvorfällen

1. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten.
2. Die Meldung enthält soweit verfügbar Art, Umfang, betroffene Datenkategorien, mögliche Folgen sowie bereits ergriffene oder vorgeschlagene Maßnahmen.

1. Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern gemäß diesem Vertrag.
2. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich neuer oder ersetzter Unterauftragsverarbeiter in angemessener Frist.
3. Der Verantwortliche hat das Recht, gegen solche Änderungen Einspruch zu erheben.
4. Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die diesem Vertrag inhaltlich entsprechen.
5. Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter wird in der Datenschutzerklärung bzw. den Datenschutzinformationen bereitgestellt.

1. Die Verarbeitung erfolgt innerhalb der Europäischen Union, sofern nicht ausdrücklich etwas anderes vereinbart ist.
2. Eine Verarbeitung in Drittländern erfolgt nur unter Einhaltung der Art. 44 ff. DSGVO.
3. Soweit erforderlich, werden geeignete Garantien eingesetzt, insbesondere EU-Standardvertragsklauseln (SCC) und ergänzende Schutzmaßnahmen.

1. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Vereinbarung zur Verfügung.
2. Prüfungen durch den Verantwortlichen oder einen beauftragten Prüfer sind nach angemessener Vorankündigung und unter Berücksichtigung berechtigter Vertraulichkeits- und Sicherheitsinteressen des Auftragsverarbeiters möglich.
3. Bereits vorhandene Nachweise, Zertifizierungen, Berichte oder Audit-Unterlagen können als geeigneter Nachweis herangezogen werden.

1. Nach Abschluss der Verarbeitung oder Vertragsende löscht oder gibt der Auftragsverarbeiter personenbezogene Daten nach Weisung des Verantwortlichen zurück, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Die Löschung erfolgt unverzüglich nach Weisung, spätestens jedoch innerhalb eines angemessenen Zeitraums nach Vertragsende.
2. Gesetzliche Nachweis- und Aufbewahrungspflichten bleiben unberührt.
3. Backups werden im Rahmen üblicher Löschzyklen überschrieben oder gelöscht.

1. Die Haftung richtet sich nach Art. 82 DSGVO sowie den ergänzenden Regelungen des Hauptvertrags.
2. Im Innenverhältnis haften die Parteien entsprechend ihrer jeweiligen Verantwortungsanteile.
3. Bei Widersprüchen zwischen Hauptvertrag und AV-Vertrag gehen die Regelungen dieses AV-Vertrags für datenschutzrechtliche Fragen vor.

1. Änderungen und Ergänzungen dieses AV-Vertrags bedürfen mindestens der Textform.
2. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
3. Es gilt deutsches Recht, soweit gesetzlich zulässig.

• Gegenstand: Bereitstellung und Betrieb einer webbasierten E-Rechnungs- und Belegplattform.
• Zweck: Verwaltung von Kundenbeziehungen, Leads, Kommunikation, Projekten, Angeboten und Abrechnungsvorgängen.
• Betroffene Personen und Datenkategorien: entsprechend den Abschnitten 4 und 5 dieses Vertrags.
• Verarbeitungsdauer: Laufzeit des Hauptvertrags zuzüglich gesetzlicher Aufbewahrungsfristen.

• Physische und logische Zugangskontrollen
• Rollen- und Berechtigungskonzept
• Verschlüsselung von Datenübertragungen (TLS)
• Passwort-Hashing und Authentifizierungsmaßnahmen
• Protokollierung sicherheitsrelevanter Ereignisse
• Datensicherungen und Wiederherstellungsprozesse
• Verfahren zur regelmäßigen Evaluierung der Wirksamkeit der Maßnahmen

Dieser AV-Vertrag wird elektronisch über den Hauptvertrag bzw. die Aktivierung des Dienstes bestätigt oder gesondert in Textform abgeschlossen.