Gemäß Art. 28 DSGVO · Stand: Januar 2025
(1)Dieser Vertrag zur Auftragsverarbeitung (AVV) regelt die datenschutzrechtlichen Rechte und Pflichten zwischen dem registrierten Nutzer des InvoiceKlar-Dienstes als Verantwortlichem (Art. 4 Nr. 7 DSGVO) und Emin Yilmaz, Implerstraße 10, 81371 München, als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO).
(2)Gegenstand ist die technische Konvertierung von PDF-Rechnungen in die Formate XRechnung und ZUGFeRD, einschließlich der dabei temporär erforderlichen Verarbeitung personenbezogener Daten, die in den hochgeladenen PDFs enthalten sein können.
(3)Dieser AVV ist Bestandteil der AGB und ergänzt diese in datenschutzrechtlicher Hinsicht.
Es gelten die Begriffsbestimmungen der DSGVO (Art. 4). Ergänzend:
„Verarbeitete Daten" umfassen alle personenbezogenen Daten in vom Nutzer hochgeladenen PDF-Rechnungen: Namen, Adressen, Steuernummern, Bankverbindungen und sonstige rechnungsbezogene Informationen.
„Unterauftragsverarbeiter" sind Drittanbieter, die der Auftragsverarbeiter für die Leistungserbringung einsetzt und die dabei personenbezogene Daten verarbeiten.
(1)Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — konkretisiert durch die Nutzung des Dienstes (Upload, Konvertierung, Download).
(2)Ist der Auftragsverarbeiter der Meinung, dass eine Weisung gegen die DSGVO verstößt, informiert er den Verantwortlichen unverzüglich.
Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:
(2)Der Auftragsverarbeiter darf die TOM anpassen, sofern das Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden angekündigt.
(1)Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Aktuell eingesetzte Unterauftragsverarbeiter:
| Anbieter | Sitz | Zweck |
|---|---|---|
| [Hosting-Anbieter] | Deutschland | Serverinfrastruktur |
| Stripe Payments Europe | Irland / EU | Zahlungsabwicklung |
| [E-Mail-Dienst] | [Land] | Transaktionale E-Mails |
(2)Änderungen an Unterauftragsverarbeitern werden dem Verantwortlichen mit mindestens 14 Tagen Vorlaufzeit mitgeteilt. Der Verantwortliche kann begründeten Widerspruch einlegen.
(3)Alle Unterauftragsverarbeiter werden durch gleichwertige AVV gebunden.
(1)Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen (Art. 15–22 DSGVO), soweit die eigene Verarbeitung betroffen ist.
(2)Wenden sich betroffene Personen direkt an den Auftragsverarbeiter, leitet er die Anfrage unverzüglich an den Verantwortlichen weiter und erteilt ohne dessen Weisung keine inhaltlichen Auskünfte.
(1)Datenschutzverletzungen werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, per E-Mail gemeldet.
(2)Die Meldung enthält: Art der Verletzung, betroffene Datenkategorien und geschätzte Anzahl Betroffener, wahrscheinliche Folgen sowie ergriffene Gegenmaßnahmen.
(1)Hochgeladene PDF-Dateien und alle daraus verarbeiteten Daten werden unmittelbar nach Abschluss der Konvertierung unwiderruflich gelöscht (max. 30 Minuten). Eine dauerhafte Speicherung von Rechnungsinhalten findet nicht statt.
(2)Nach Beendigung des Hauptvertrags werden alle Kontodaten des Verantwortlichen binnen 30 Tagen vollständig gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
(3)Die vollständige Löschung wird auf Verlangen schriftlich bestätigt.
(1)Der Auftragsverarbeiter stellt alle zur Nachweisführung gemäß Art. 28 DSGVO erforderlichen Informationen bereit.
(2)Audits können nach schriftlicher Ankündigung mit mindestens 4 Wochen Vorlaufzeit durchgeführt werden, maximal einmal pro Jahr. Der Auftragsverarbeiter kann alternativ einschlägige Zertifizierungen oder Prüfberichte als Nachweis vorlegen.
(1)Dieser AVV gilt für die Dauer des Hauptvertrags (AGB) und endet automatisch mit dessen Beendigung.
(2)Bei wesentlichen Verstößen gegen datenschutzrechtliche Vorgaben steht beiden Parteien das außerordentliche Kündigungsrecht zu.
Dieser AVV wird durch die Registrierung auf invoiceklar.de und die Annahme der AGB abgeschlossen. Dies gilt als elektronische Vereinbarung im Sinne von Art. 28 Abs. 9 DSGVO. Ein Abschluss in Papierform kann auf Anfrage über eminyilmaz@invoiceklar.de bereitgestellt werden.