Stand: März 2026
(1) Dieser AVV regelt die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters im Rahmen der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.
(2) Gegenstand der Auftragsverarbeitung ist die Bereitstellung der SaaS-Plattform rechnung.best für die Erstellung und Verwaltung von Rechnungen, Angeboten, Kassenbüchern und damit verbundenen Geschäftsdokumenten.
(3) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des zwischen den Parteien geschlossenen Nutzungsvertrags. Nach Beendigung des Vertrags gelten die Regelungen in § 11.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
(2) Die Verarbeitung erfolgt zum Zweck der:
(1) Im Rahmen dieser Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:
| Datenkategorie | Beispiele | Betroffene Personen |
|---|---|---|
| Kundenstammdaten | Name, Firma, Adresse, E-Mail, Telefon, USt-ID | Kunden des Verantwortlichen |
| Rechnungsdaten | Rechnungsnummern, Leistungsbeschreibungen, Beträge, Zahlungsstatus | Kunden des Verantwortlichen |
| Kassenbuchdaten | Barein-/auszahlungen, Buchungstexte, Belegdaten | Mitarbeiter, Lieferanten des Verantwortlichen |
| Belegdaten | Scanbilder von Belegen, OCR-extrahierte Texte, Betragsangaben | Lieferanten, Mitarbeiter des Verantwortlichen |
| Kommunikationsdaten | E-Mail-Adressen für Rechnungsversand, Support-Anfragen | Kunden, Mitarbeiter des Verantwortlichen |
| Zugangsdaten (Plattform) | E-Mail, gehashtes Passwort, JWT-Token | Nutzer des Verantwortlichen (Mitarbeiter) |
(2) Es werden keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet, sofern der Verantwortliche solche Daten nicht ausdrücklich in die Plattform einträgt.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe § 8 dieses AVV).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO), der Meldepflichten bei Datenpannen (Art. 33, 34 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO).
(5) Der Auftragsverarbeiter löscht oder gibt nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.
(6) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden.
(1) Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung im Rahmen des Auftragsverhältnisses, insbesondere für die Erhebung und Weitergabe der Daten an den Auftragsverarbeiter.
(2) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Überprüfung der Auftragsergebnisse feststellt.
(3) Der Verantwortliche erteilt Weisungen zur Auftragsverarbeitung schriftlich (z.B. per E-Mail an datenschutz@rechnung.best). Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
(4) Der Verantwortliche stellt sicher, dass betroffene Personen (insbesondere seine eigenen Kunden) ordnungsgemäß über die Verarbeitung ihrer Daten informiert werden, soweit dies im Rahmen der Auftragsverarbeitung erforderlich ist.
(1) Der Auftragsverarbeiter ist berechtigt, folgende Subauftragsverarbeiter einzusetzen, denen gegenüber er dieselben Datenschutzpflichten auferlegt wie in diesem AVV vereinbart:
| Subauftragsverarbeiter | Sitz | Zweck | Rechtsgrundlage Drittlandtransfer |
|---|---|---|---|
| Stripe Inc. | San Francisco, USA | Zahlungsabwicklung (Abonnements) | Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO |
| Hetzner Online GmbH | Gunzenhausen, Deutschland | Server-Hosting, Datenspeicherung | Kein Drittlandtransfer (EU/EWR) |
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Austauschs weiterer Auftragsverarbeiter. Der Verantwortliche hat das Recht, gegen diese Änderungen Einspruch zu erheben.
(3) Stripe Inc. verarbeitet ausschließlich Zahlungs- und Abonnementdaten des Verantwortlichen selbst (nicht seiner Kunden) und unterliegt den von Stripe angebotenen EU-Standardvertragsklauseln.
(1) Der Auftragsverarbeiter berichtigt, löscht oder sperrt personenbezogene Daten nach Weisung des Verantwortlichen. Dies erfolgt in der Regel über die in der Plattform bereitgestellten Funktionen.
(2) Löschanfragen von betroffenen Personen (z.B. Kunden des Verantwortlichen), die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet, der für die Bearbeitung verantwortlich ist.
(3) Nach Ablauf gesetzlicher Aufbewahrungsfristen löscht der Auftragsverarbeiter die betreffenden Daten automatisch oder macht sie dem Verantwortlichen zur Löschung verfügbar.
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen:
| Schutzziel | Maßnahme |
|---|---|
| Pseudonymisierung und Verschlüsselung | TLS 1.3 für alle Datenübertragungen (Transit); AES-256 für Datenverschlüsselung at rest; bcrypt-Hashing für Passwörter |
| Mandantentrennung | Strikte tenant_id-Isolation in allen Datenbankabfragen; keine mandantenübergreifenden Datenzugriffe technisch möglich |
| Zutrittskontrolle | SSH-Key-only Zugang zu Produktionssystemen (Passwort-Authentifizierung deaktiviert); Fail2ban-Schutz; keine physische Zugänglichkeit durch Dritte (Hetzner-Rechenzentrum) |
| Zugriffskontrolle | Rollenbasiertes Berechtigungskonzept (RBAC); JWT-Token mit Ablaufzeit; Minimalprinzip für Datenbankrechte |
| Weitergabekontrolle | TLS-Verschlüsselung für alle Übertragungen; keine unverschlüsselten Datenexporte; Dateiuploads nur über HTTPS |
| Eingabekontrolle | Audit-Logs für kritische Datenbankoperationen; Winston-Logging mit strukturierten Protokollen; Änderungsnachverfolgung |
| Auftragskontrolle | Schriftliche Weisungen als Voraussetzung; AVV mit allen Subprozessoren; vertragliche Bindung aller Mitarbeiter |
| Verfügbarkeitskontrolle | Tägliche automatisierte Backups; 30 Tage Aufbewahrungsdauer; Backup-Verschlüsselung; Monitoring und Alarmierung |
| Trennungsgebot | Physische und logische Trennung von Mandantendaten auf Datenbankebene; separate Datenräume je tenant_id |
(1) Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
(2) Die Benachrichtigung erfolgt an die beim Auftragsverarbeiter hinterlegte E-Mail-Adresse des Verantwortlichen und enthält mindestens:
(3) Die Meldung an die zuständige Aufsichtsbehörde (Art. 33 DSGVO, Frist: 72 Stunden) obliegt dem Verantwortlichen. Der Auftragsverarbeiter unterstützt ihn dabei nach Kräften.
(4) Meldungen an Betroffene (Art. 34 DSGVO) sind ebenfalls Pflicht des Verantwortlichen; der Auftragsverarbeiter stellt die dafür erforderlichen Informationen bereit.
(1) Soweit eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durch den Verantwortlichen durchzuführen ist, unterstützt der Auftragsverarbeiter diese auf Anfrage.
(2) Die Unterstützung umfasst insbesondere die Bereitstellung von Informationen zu den eingesetzten technischen und organisatorischen Maßnahmen sowie zur Struktur der Datenverarbeitung.
(1) Nach Beendigung des Nutzungsvertrags kann der Verantwortliche innerhalb von 30 Tagen sämtliche seiner Daten über die in der Plattform bereitgestellten Exportfunktionen (PDF, CSV, JSON) herunterladen und sichern.
(2) Nach Ablauf der 30-tägigen Exportfrist löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen unwiderruflich, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. § 147 AO: 10 Jahre Buchführungsunterlagen) dem entgegenstehen.
(3) Auf schriftliche Anfrage bestätigt der Auftragsverarbeiter die Löschung in Textform.
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
(2) Der Verantwortliche oder ein von ihm beauftragter Prüfer ist berechtigt, Überprüfungen der Einhaltung dieses AVV durchzuführen. Solche Prüfungen sind mit einer Frist von mindestens 4 Wochen schriftlich anzukündigen und auf die Geschäftszeiten des Auftragsverarbeiters (Mo–Fr 9–18 Uhr) zu begrenzen.
(3) Der Auftragsverarbeiter kann anstelle einer Inspektion auch Nachweise durch aktuelle Zertifikate, Berichte oder Auszüge unabhängiger Prüfer erbringen.
(4) Anfragen richten Sie an: datenschutz@rechnung.best
(1) Verantwortlicher und Auftragsverarbeiter haften für Schäden, die durch eine Verarbeitung, die gegen die DSGVO verstößt, verursacht worden sind, nach Maßgabe von Art. 82 DSGVO.
(2) Im Innenverhältnis zwischen Verantwortlichem und Auftragsverarbeiter gilt: Der Auftragsverarbeiter haftet nur insoweit, als er die ihm nach der DSGVO speziell auferlegten Pflichten nicht erfüllt hat oder an einer Weisung des Verantwortlichen vorbei gehandelt hat.
(3) Im Übrigen gelten die Haftungsregelungen aus den AGB von rechnung.best.
(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so bleibt die Gültigkeit der übrigen Bestimmungen davon unberührt.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Formerfordernisses.
(3) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist Berlin, soweit gesetzlich zulässig.
(4) Im Fall von Widersprüchen zwischen diesem AVV und anderen Vereinbarungen der Parteien, insbesondere den AGB, haben die Regelungen dieses AVV Vorrang, soweit es um die Verarbeitung personenbezogener Daten geht.
Jürgen Roßkamp Rechnung.best
Heinrich-Heine-Str. 20, 10179 Berlin
E-Mail: datenschutz@rechnung.best