Auftragsverarbeitungsvertrag (AVV)

1. Gegenstand und Dauer

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform DocForge.

Der Vertrag beginnt mit der Registrierung des Verantwortlichen auf der Plattform und endet mit der vollständigen Löschung des Accounts und aller damit verbundenen Daten. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Nutzungsvertrags.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung und Verwaltung von Firmen-/Markenprofilen des Verantwortlichen
• Speicherung von Kundendaten (Adressbuch) des Verantwortlichen
• Erstellung, Speicherung und Bereitstellung von Geschäftsdokumenten (Angebote, Rechnungen)
• Generierung und Speicherung von PDF-Dateien
• Speicherung hochgeladener Dateien (Firmenlogos)
• Authentifizierung und Zugriffskontrolle

Zweck der Verarbeitung ist die Bereitstellung der vertraglich vereinbarten SaaS-Dienstleistung zur Dokumentenerstellung.

3. Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

• Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Anschrift)
• Unternehmensdaten (Firmenname, USt-IdNr., Handelsregisternummer)
• Kundendaten des Verantwortlichen (Name, Anschrift, Kontaktdaten seiner Kunden)
• Finanzdaten (Rechnungsbeträge, Steuersätze, Bankverbindungen in Dokumenten)
• Authentifizierungsdaten (E-Mail, verschlüsselte Passwörter)
• Technische Daten (IP-Adresse, Session-Daten)

4. Kategorien betroffener Personen

• Registrierte Nutzer der Plattform (Verantwortliche)
• Kunden der registrierten Nutzer (deren Geschäftskontakte/Rechnungsempfänger)
• Ansprechpartner und Mitarbeiter, die in Dokumenten genannt werden

5. Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

• sicherzustellen, dass die Verarbeitung personenbezogener Daten auf einer zulässigen Rechtsgrundlage erfolgt
• die betroffenen Personen über die Verarbeitung ihrer Daten durch den Auftragsverarbeiter zu informieren
• den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung feststellt
• keine personenbezogenen Daten besonderer Kategorien (Art. 9 DSGVO) in die Plattform einzugeben

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten
• alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten
• geeignete technische und organisatorische Maßnahmen zu ergreifen (siehe Abschnitt 7)
• den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 Abs. 2 DSGVO)
• den Verantwortlichen bei der Erfüllung von Betroffenenanfragen zu unterstützen
• nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben (nach Wahl des Verantwortlichen), sofern keine gesetzliche Aufbewahrungspflicht besteht
• dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen/Audits zu ermöglichen

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende Maßnahmen implementiert:

Zutrittskontrolle

Serverinfrastruktur wird von spezialisierten Cloud-Anbietern betrieben (siehe Abschnitt 8), die über zertifizierte Rechenzentren mit physischen Zugangskontrollen verfügen.

Zugangskontrolle

Authentifizierung über Supabase Auth mit verschlüsselter Passwortspeicherung (bcrypt). Unterstützung von Magic Link (passwortlose Anmeldung).

Zugriffskontrolle

Row Level Security (RLS) auf Datenbankebene stellt sicher, dass jeder Nutzer ausschließlich auf seine eigenen Daten zugreifen kann. Dateien im Storage werden in benutzerspezifischen Ordnern gespeichert.

Weitergabekontrolle

Alle Datenübertragungen erfolgen verschlüsselt (TLS 1.2+). API-Zugriffe sind authentifiziert und autorisiert.

Eingabekontrolle

Änderungen an Daten sind dem jeweiligen authentifizierten Benutzer zuordenbar. Dokumentenhistorie mit Zeitstempeln.

Verfügbarkeitskontrolle

Regelmäßige Backups der Datenbank durch Supabase. Hosting auf Vercel mit globaler Infrastruktur und automatischer Skalierung.

Trennungsgebot

Mandantentrennung durch Row Level Security. Daten verschiedener Verantwortlicher werden logisch voneinander getrennt in derselben Datenbankinstanz gespeichert.

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen und räumt ein Einspruchsrecht ein.

Derzeit eingesetzte Unterauftragsverarbeiter:

9. Rechte der betroffenen Personen

Soweit der Auftragsverarbeiter direkt von betroffenen Personen kontaktiert wird, leitet er die Anfrage unverzüglich an den jeweiligen Verantwortlichen weiter.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen, insbesondere bei Auskunfts-, Berichtigungs- und Löschungsanfragen, durch geeignete technische und organisatorische Maßnahmen.

Die Plattform bietet dem Verantwortlichen Self-Service-Funktionen zur Einsicht, Änderung und Löschung der von ihm eingegebenen Daten.

10. Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags wird der Auftragsverarbeiter:

• dem Verantwortlichen die Möglichkeit geben, seine Daten zu exportieren (sofern technisch verfügbar)
• sämtliche personenbezogene Daten des Verantwortlichen innerhalb von 30 Tagen nach Account-Löschung unwiderruflich löschen
• Daten in Backups werden im Rahmen des regulären Backup-Zyklus überschrieben (maximal 90 Tage)
• gesetzliche Aufbewahrungspflichten (insbesondere steuerrechtliche nach § 147 AO, § 257 HGB) bleiben unberührt – betroffene Daten werden nach Ablauf der Frist gelöscht