Auftragsverarbeitungsvertrag (AVV)

Vertragsparteien

§ 1 — Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand: Der Auftrag des Auftraggebers an den Auftragnehmer umfasst die Bereitstellung einer webbasierten Rechnungssoftware (Software as a Service). Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich im Rahmen der Leistungserbringung.

(2) Dauer: Die Dauer dieses Auftrags entspricht der Laufzeit des Nutzungsvertrags (Account-Registrierung bis Account-Löschung bzw. Vertragsbeendigung).

§ 2 — Konkretisierung des Auftragsinhalts

(1) Art der Verarbeitung: Im Rahmen des Auftrags werden personenbezogene Daten durch den Auftragnehmer im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet. Dies umfasst insbesondere: Erheben, Erfassen, Organisation, Speicherung, Anpassung, Auslesen, Abfragen, Verwendung, Übermittlung, Löschung und Vernichtung.

(2) Zweck der Verarbeitung: Erstellung, Speicherung und Verwaltung von Rechnungen, Angeboten, Kundendaten und buchhalterischen Dokumenten im Auftrag des Auftraggebers.

(3) Ort der Verarbeitung: Die Datenverarbeitung findet grundsätzlich in der Europäischen Union statt (Supabase, EU-Rechenzentren). Für bestimmte Dienste (Hosting, Zahlungsabwicklung, E-Mail-Versand) werden Daten auch in den USA verarbeitet, wobei die Voraussetzungen der Art. 44 ff. DSGVO (Standardvertragsklauseln) erfüllt sind.

(4) Art der Daten: Gegenstand der Verarbeitung sind folgende Datenkategorien:

• Name, Vorname
• Adressdaten
• Kontaktdaten (Telefon, E-Mail)
• Firmendaten (Firmenname, UID-Nummer)
• Bankverbindung (IBAN, BIC)
• Rechnungsdaten (Positionen, Beträge)
• Zahlungsdaten (via Stripe, keine Kartendaten beim Auftragnehmer)
• Firmenlogo (sofern hochgeladen)

(5) Kategorien betroffener Personen:

• Kunden des Auftraggebers
• Ansprechpartner des Auftraggebers
• Rechnungsempfänger

§ 3 — Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer hat die folgenden technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO implementiert:

• Verschlüsselung: TLS/HTTPS für alle Datenübertragungen, Verschlüsselung ruhender Daten in Supabase (AES-256)
• Zugriffskontrolle: Row Level Security (RLS) in der Datenbank — jeder Nutzer sieht ausschließlich seine eigenen Daten
• Authentifizierung: Gehashte Passwörter (bcrypt), optionaler Google OAuth 2.0 Login
• Zahlungssicherheit: Stripe PCI-DSS Level 1 — Kartendaten werden ausschließlich von Stripe verarbeitet
• Hosting: Vercel mit DDoS-Schutz, automatische SSL-Zertifikate, Edge Network
• Backups: Automatische tägliche Datenbank-Backups durch Supabase (Point-in-Time Recovery)
• Logfiles: Server-Logs werden nach 30 Tagen automatisch gelöscht

(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragnehmer darf alternative adäquate Maßnahmen umsetzen, wobei das Sicherheitsniveau nicht unterschritten werden darf.

§ 4 — Pflichten des Auftragnehmers

Der Auftragnehmer gewährleistet insbesondere:

• Die zur Verarbeitung befugten Personen haben sich zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 S. 2 lit. b DSGVO).
• Die Verarbeitung erfolgt ausschließlich gemäß den Weisungen des Auftraggebers (Art. 29 DSGVO), es sei denn, der Auftragnehmer ist gesetzlich zur Verarbeitung verpflichtet.
• Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35–36 DSGVO).
• Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO).
• Nach Beendigung des Auftrags werden alle personenbezogenen Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht (§ 132 BAO: 7 Jahre für rechnungsrelevante Daten).

§ 5 — Unterauftragsverarbeiter (Subunternehmer)

Der Auftragnehmer bedient sich folgender Unterauftragsverarbeiter. Der Auftraggeber stimmt deren Einsatz mit Abschluss dieses Vertrags zu:

Änderungen der Unterauftragsverarbeiter werden dem Auftraggeber vorab mitgeteilt. Der Auftraggeber kann innerhalb von 14 Tagen Widerspruch einlegen. Im Falle eines berechtigten Widerspruchs ist der Auftragnehmer berechtigt, den Vertrag außerordentlich zu kündigen.

§ 6 — Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzvorschriften und der vertraglichen Vereinbarungen beim Auftragnehmer zu überprüfen (Art. 28 Abs. 3 S. 2 lit. h DSGVO).

(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(3) Inspektionen (einschließlich Audits) durch den Auftraggeber oder einen von ihm beauftragten Prüfer sind nach angemessener Vorankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten möglich.

§ 7 — Meldepflicht bei Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung umfasst mindestens: Art der Verletzung, betroffene Datenkategorien und Personenzahl, wahrscheinliche Folgen und ergriffene Maßnahmen.

§ 8 — Haftung

Die Haftung der Parteien richtet sich nach den Bestimmungen des Art. 82 DSGVO in Verbindung mit den allgemeinen Haftungsregelungen der AGB von Rechnito.

§ 9 — Schlussbestimmungen

(1) Dieser AVV wird mit der Registrierung bei Rechnito geschlossen und gilt für die gesamte Dauer der Nutzung des Dienstes.

(2) Es gilt österreichisches Recht. Gerichtsstand ist Wien, Österreich.

(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.