Auftragsverarbeitungsvertrag (AVV) – Dok24 Akquise-Ablage

Dieser Auftragsverarbeitungsvertrag nach Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten, die der Kunde („Verantwortlicher") durch Nutzung des Dienstes „Akquise-Ablage" an die NEBO eG(„Auftragsverarbeiter") übergibt. Er wird mit Vertragsschluss Bestandteil des Nutzungsvertrags.

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung der vom Verantwortlichen hochgeladenen Dokumente und der daraus gewonnenen Metadaten zum Zweck der automatischen Ablage und Verarbeitung. Die Dauer entspricht der Laufzeit des Nutzungsvertrags.

2. Art der Daten und Kategorien betroffener Personen

Datenarten: Inhalte von Belegen/Dokumenten (z. B. Rechnungen, Bescheide, Verträge, Schreiben) sowie daraus ausgelesene Metadaten (Absender, Datum, Dokumenttyp, Dateiname, Firma).
Betroffene Personen: je nach Dokumentinhalt z. B. Geschäftspartner, Kunden, Mitarbeitende, Behördenkontakte des Verantwortlichen.

3. Weisungsbindung

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen und nicht für eigene Zwecke. Als Weisung gilt insbesondere die Nutzung der Funktionen des Dienstes.

4. Vertraulichkeit

Der Auftragsverarbeiter verpflichtet die mit der Verarbeitung befassten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).

5. Technische und organisatorische Maßnahmen (Art. 32)

Verschlüsselte Übertragung (TLS) und verschlüsselter Dateispeicher.
Mandantentrennung auf Datenbankebene (Row-Level Security) – strikte Trennung der Daten je Kunde.
Zugriff auf Dateien nur über zeitlich begrenzte, signierte Links; getrennte Schlüssel-/Rechteverwaltung.
EU-Datenhaltung für Datenbank und Dateispeicher; getrennte Server.
Export- und Löschfunktionen für den Verantwortlichen.
[PLATZHALTER: weitere TOMs/Backups/Monitoring konkretisieren.]

6. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu. Über Änderungen wird der Verantwortliche vorab informiert und kann widersprechen. Bei Drittlandtransfers werden geeignete Garantien (insb. EU-Standardvertragsklauseln) eingesetzt:

Hostinger International Ltd. – Server-Hosting (Anwendung + Automatisierung/n8n) und E-Mail-Eingang. Ort: EU (Rechenzentrum Deutschland). Grundlage: AVV nach Art. 28 DSGVO.
Supabase, Inc. – Datenbank und Anmeldung/Authentifizierung (nur Metadaten, keine Dateien). Ort: EU – Irland (Region eu-west-1). Grundlage: AVV/DPA nach Art. 28 DSGVO, ggf. EU-Standardvertragsklauseln.
Cloudflare, Inc. (Cloudflare R2) – Verschlüsselter Dateispeicher für die hochgeladenen Original-Dokumente. Ort: EU-Jurisdiktion (R2-EU-Konfiguration). Grundlage: DPA nach Art. 28 DSGVO + EU-Standardvertragsklauseln.
Anthropic PBC – KI-gestütztes Auslesen und Klassifizieren der Belege (Texterkennung, Absender/Datum/Typ, Firmenzuordnung). Ort: USA. Grundlage: DPA nach Art. 28 DSGVO + EU-Standardvertragsklauseln; die kommerzielle API-Nutzung wird laut Anbieter nicht zum Training von Modellen verwendet.
Stripe Payments Europe, Ltd. – Zahlungsabwicklung (Abonnement, Einrichtungsgebühr). Ort: EU – Irland (Konzernmutter in den USA). Grundlage: DPA nach Art. 28 DSGVO + EU-Standardvertragsklauseln.
NOWPayments (NOW Payments Inc.) – Krypto-Zahlungsabwicklung (USDC/USDT u. a.) – alternativer Zahlweg. Ort: außerhalb der EU. Grundlage: DPA nach Art. 28 DSGVO + geeignete Garantien (EU-SCC); nur bei Wahl der Krypto-Zahlung. Übermittelt werden Zahlungs-/Transaktionsdaten, keine Beleginhalte..
Telegram FZ-LLC (optional, nur bei aktiver Nutzung) – OPTIONALER Eingangskanal: Übermittlung von Belegen per Telegram-Bot (nur bei aktiver Nutzung durch den Kunden). Ort: außerhalb der EU. Grundlage: Nutzung nur auf ausdrückliche Veranlassung des Kunden; es steht kein Auftragsverarbeitungsvertrag zur Verfügung. E-Mail und direkter Upload sind die empfohlenen, EU-seitig abgesicherten Wege..

7. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei Betroffenenrechten (Art. 15–22), bei der Sicherheit der Verarbeitung sowie bei Meldepflichten (Art. 33/34). Datenschutzverletzungen werden dem Verantwortlichen unverzüglich gemeldet.

8. Rückgabe und Löschung

Nach Beendigung des Vertrags werden die Daten nach Wahl des Verantwortlichen zurückgegeben oder gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Verantwortliche kann Daten jederzeit selbst exportieren und löschen.

9. Kontrollrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen bereit und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h).

Siehe auch Datenschutzerklärung und AGB. [PLATZHALTER: AVV anwaltlich finalisieren und als unterschriebenes Dokument/Annex bereitstellen.]

Hinweis: Dieser Text ist ein sorgfältig erstellter Entwurf und ersetzt keine Rechtsberatung. Vor dem Produktivbetrieb mit echten Kunden ist eine anwaltliche bzw. datenschutzrechtliche Prüfung erforderlich. Mit [PLATZHALTER] markierte Angaben sind noch zu ergänzen.