LOGIN

Auftragsverarbeitungsvertrag

(Art. 28 DSGVO)

zwischen dem Auftraggeber (Verantwortlicher) und Things We Love Code UG (haftungsbeschränkt), Edisonstr. 63, 12459 Berlin, Deutschland (der Auftragsverarbeiter)

Präambel

Der Auftragsverarbeiter erbringt für den Auftraggeber den Online-Dienst „easy-e.ai“ zur Konvertierung von PDF-Rechnungen in E-Rechnungen (z. B. XRechnung, optional ZUGFeRD) einschließlich automatischer Anlage und Verwaltung von Nutzerkonten sowie Archivierung der erzeugten E-Rechnungen im passwortgeschützten Nutzerbereich.

§ 1 Vertragsschluss in elektronischer Form (Click-Wrap)

  1. Die Parteien vereinbaren, dass dieser Vertrag gemäß Art. 28 Abs. 9 DSGVO in elektronischer Form geschlossen wird.
  2. Der Vertrag kommt zustande, wenn eine vertretungsberechtigte Person des Auftraggebers nach Einsichtnahme in die aktuelle AVV-Fassung (inkl. Anlagen) durch aktives Setzen einer nicht vorangekreuzten Checkbox mit eindeutigem Wortlaut (z. B. „Ich schließe den Auftragsverarbeitungsvertrag (Art. 28 DSGVO) in elektronischer Form ab. TOMs und Unterauftragsverarbeiter zur Kenntnis genommen.“) zustimmt und den Abschluss auslöst.
  3. Der Auftragsverarbeiter dokumentiert den Abschluss in einem Audit-Trail, der mindestens folgende Angaben enthält: Firmenname/-anschrift, Rechtsform, Name/Funktion der zustimmenden Person, E-Mail-Adresse des Accounts, Zeitpunkt (UTC), IP-Adresse, (gehashter) User-Agent, Account-ID, AVV-Version, SHA-256-Hash der Vertragsfassung/Anlagen sowie eine Dokument-ID der erzeugten PDF.
  4. Der Auftragsverarbeiter stellt dem Auftraggeber unverzüglich eine PDF-Fassung des geschlossenen Vertrags (inkl. Version/Hash) im Nutzerkonto unter „Rechtliches“ bereit und sendet sie zusätzlich per E-Mail zu. Die Ablage erfolgt unveränderbar (z. B. WORM/Object-Lock).
  5. Eine eigenhändige Unterschrift ist nicht erforderlich. Auf Wunsch des Auftraggebers kann der Abschluss alternativ über einen eSign-Dienst (fortgeschrittene/qualifizierte elektronische Signatur) erfolgen.

§ 2 Gegenstand, Dauer, Ort der Verarbeitung

  1. Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers zur Erfüllung der in § 3 beschriebenen Leistungen.
  2. Dauer: Laufzeit des zugrunde liegenden Hauptvertrags; anschließend Abwicklung gemäß § 13.
  3. Verarbeitungsorte: Grundsätzlich EU/EWR; Drittländer nur unter den Voraussetzungen des § 11.

§ 3 Art, Umfang und Zwecke der Verarbeitung

Der Auftragsverarbeiter verarbeitet Daten ausschließlich weisungsgebunden für:

a) Technische Konvertierung hochgeladener Rechnungs-PDFs in E-Rechnungsformate (z. B. XRechnung/XML; optional ZUGFeRD/PDF+XML);

b) Temporäre Speicherung/Verarbeitung der Upload- und Verarbeitungsartefakte zur Leistungserbringung/Fehlerbehebung;

c) Automatische Anlage und Verwaltung von Nutzerkonten (auch im Freemium-Modell) für die angegebene E-Mail-Adresse inkl. Passwort-Initialisierung bzw. passwortlosem Login, Authentifizierung/Session-Management und Kontoeinstellungen;

d) Archivierung/Zurverfügungstellung der erstellten E-Rechnungen (Output-Dateien) im Nutzerbereich bis zur Löschung (vgl. Anhang 3);

e) Transaktionale Kommunikation (Bereitstellungs-/Status-Mails);

f) Support, Fehler-/Leistungsmonitoring (inkl. begrenzter Log-/Crash-Daten);

g) Abrechnungs-/Lizenzverwaltung (keine Zahlungsabwicklung – vgl. § 10 Abs. 3).

§ 4 Kategorien personenbezogener Daten

– Rechnungsinhalte: Kunden-/Lieferantendaten, Anschriften, Rechnungs-/Bestell-/Steuerdaten, Beträge, IBAN/BIC, Zahlungsbedingungen, Leitweg-ID u. ä.;

– Account-/Nutzerdaten: E-Mail, Passwort-Hash (keine Klartextspeicherung) bzw. Token bei passwortlosem Login, Login-Zeitstempel, sicherheitsrelevante Metadaten (z. B. IP bei auffälligen Anmeldeversuchen), Rollen/Rechte, Kontoeinstellungen;

– Output/Archiv: erzeugte E-Rechnungsdateien (XML; optional PDF+XML) und rechnungsbezogene Metadaten (Datum, Betrag, Empfänger, Status);

– Protokoll-/Fehlerdaten: technische Logs, Crash-/Event-Daten (ohne Rechnungsinhalte, soweit möglich).

Besondere Kategorien i. S. v. Art. 9 DSGVO werden nicht gezielt verarbeitet.

§ 5 Kategorien betroffener Personen

Kunden/Ansprechpartner des Auftraggebers, Lieferanten/Kontakte, Mitarbeitende/Beauftragte des Auftraggebers, ggf. Ansprechpartner öffentlicher Auftraggeber.

§ 6 Weisungen des Auftraggebers

  1. Verarbeitung ausschließlich auf dokumentierte Weisung.
  2. Standard-Weisungen (Speicher-/Löschregeln, vgl. Anhang 3) gelten als erteilt, sofern der Auftraggeber keine abweichenden, rechtmäßigen Weisungen erteilt.
  3. Bei erkennbar rechtswidrigen Weisungen informiert der Auftragsverarbeiter den Auftraggeber unverzüglich.

§ 7 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sämtliche mit der Verarbeitung betrauten Personen schriftlich auf Vertraulichkeit und DSGVO-Konformität.

§ 8 Sicherheit der Verarbeitung (TOMs)

  1. Angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO; Details in Anhang 1 (TOMs).
  2. Anpassungen an den Stand der Technik sind zulässig, sofern das Sicherheitsniveau nicht unterschritten wird.

§ 9 Unterauftragsverhältnisse

  1. Allgemeine Genehmigung: Einsatz von Unterauftragsverarbeitern zulässig. Aktuelle Liste (Name, Zweck, Region) gemäß Anhang 2; Vorab-Information über wesentliche Änderungen.
  2. Der Auftraggeber kann aus wichtigem Grund widersprechen.
  3. Subunternehmer werden schriftlich nach Art. 28 Abs. 4 DSGVO verpflichtet (inkl. SCC bei Drittländern).

§ 10 Unterstützungspflichten

Angemessene Unterstützung bei Betroffenenrechten (Art. 12–23), Sicherheit/Vorfällen (Art. 32–34), DSFA/Konsultationen (Art. 35–36) und Nachweisen gegenüber Behörden.

Hinweis: Zahlungsdienstleister (z. B. PayPal) handeln als eigene Verantwortliche und sind keine Unterauftragsverarbeiter.

§ 11 Drittlandübermittlungen

Übermittlungen in Drittländer nur auf Weisung bzw. im Rahmen genehmigter Subunternehmer und ausschließlich mit geeigneten Garantien (z. B. EU-Standardvertragsklauseln, Art. 46 DSGVO) sowie ggf. zusätzlichen technischen Maßnahmen (z. B. Verschlüsselung, Schlüsselhoheit).

§ 12 Nachweise & Audits

  1. Bereitstellung geeigneter Nachweise (Policies, Zertifikate/Berichte, TOM-Übersichten, Pentest-Summary).
  2. Audits/Inspektionen nach Ankündigung, zu üblichen Zeiten, unter Wahrung von Vertraulichkeit/IT-Sicherheit; Frequenz angemessen (i. d. R. max. jährlich), außer bei Vorfällen.

§ 13 Löschung und Rückgabe

  1. Nach Vertragsende oder Weisung: Rückgabe in gängigem Format oder Löschung; gesetzliche Aufbewahrung bleibt unberührt.
  2. Lösch-/Rückgabenachweis wird bereitgestellt.
  3. Laufende Speicher-/Löschfristen gemäß Anhang 3(inkl. Archivfunktion im Nutzerkonto).

§ 14 Haftung, Vergütung

  1. Haftung nach Hauptvertrag und Gesetz (insb. Art. 82 DSGVO).
  2. Unterstützungsleistungen/Audits über das übliche Maß hinaus können angemessen vergütet werden.

§ 15 Änderungen und Re-Akzeptanz

  1. Materielle Änderungen dieses Vertrags bedürfen einer erneuten aktiven Zustimmung durch den Auftraggeber mittels Checkbox gemäß § 1 (neue Version/Hash).
  2. Unterauftragsverarbeiter-Updates werden vorab angezeigt; der Auftraggeber erhält ein angemessenes Widerspruchsfenster (z. B. 30 Tage).
  3. Jede veröffentlichte Fassung erhält eine Versionskennung und einen SHA-256-Hash, die im Audit-Trail und im PDF ausgewiesen werden.

§ 16 Schlussbestimmungen

Änderungen/Ergänzungen in Schrift-/Textform. Es gilt deutsches Recht. Gerichtsstand gemäß Hauptvertrag. Salvatorische Klausel.

Anhang 1 – Technische und organisatorische Maßnahmen (TOMs)

Zutritt/Zugang: EU-Rechenzentren (z. B. ISO 27001), gesicherter Zutritt; Admin-Zugänge mit MFA/SSO, rollen-/aufgabenbasiert, regelmäßige Re-Zertifizierung.

Zugriff/Trennung: Least-Privilege, Need-to-Know, Mandantentrennung; Verschlüsselung in Transit (TLS 1.2/1.3) und at rest (je nach Datenhaltung).

Authentifizierung: Passwörter nur als starke Hashes (z. B. Argon2id/bcrypt) bzw. sichere Token bei passwortlosem Login; Session-Security, Rate-Limiting/Brute-Force-Schutz.

Weitergabe/Transport: HSTS/TLS, gesicherter Versand transaktionaler E-Mails; signierte CI/CD-Artefakte.

Protokolle: Revisionsfähige Logs relevanter Admin-/Systemereignisse; Zeitstempel, Integritätsschutz; Minimierung personenbezogener Inhalte.

Verfügbarkeit: Monitoring/Alerting, DDoS/Rate-Limit, Backups (getrennt), Notfall-/Wiederanlaufpläne, Patch-/Vuln-Management.

Lösch-/Entsorgung: Nachvollziehbare Löschroutinen gem. Anhang 3; sichere Entsorgung/Überschreibung.

Privacy by Design/Default: Datenminimierung (regelmäßig nur E-Mail + Datei + erforderliche Metadaten), Pseudonymisierung wo möglich, Secrets-Management.

Mitarbeitende: Vertraulichkeitsverpflichtung, On-/Offboarding, regelmäßige Datenschutz-/Security-Schulungen.

Lieferkette: Subunternehmer-Prüfung, AVV/SCC, regelmäßige Re-Bewertung.

Anhang 2 – Unterauftragsverarbeiter (Beispiel / EU-first)

Hinweis: PayPal (Europe) S.à r.l. et Cie, S.C.A. agiert bei der Zahlungsabwicklung als eigener Verantwortlicher und ist kein Unterauftragsverarbeiter im Sinne dieses Vertrags.

Anhang 3 – Speicherorte, Löschfristen, Archivfunktion (Standard)

A. Upload/Verarbeitungsartefakte (ohne Konto): Speicherung nur zur Leistungserbringung; Löschung spätestens nach 24 h.

B. Crash-/Fehlerdaten: bei Bedarf; Löschung binnen 72 h.

C. Technische Logs/Metadaten: Sicherheits-/Betriebszwecke; Löschung nach 30–90 Tagen.

D. Nutzerkonto (automatisch, auch Freemium): Kontoanlage bei Erstnutzung auf Basis der E-Mail; Passwortvergabe oder passwortloser Login (Magic-Link/Code).

E. Archivfunktion (Output): Erstellte E-Rechnungen (XML; optional PDF+XML) + Metadaten werden im Nutzerbereich gespeichert, bis der Auftraggeber (oder sein Nutzer) sie löscht, bis zur Kontolöschung oder bis zu einer vorgegebenen Retention-Policy.

F. Original-Uploads: Keine dauerhafte Speicherung der Original-PDFs; nur temporär bis zur Konvertierung (A). Dauerhafte Ablage nur bei ausdrücklicher Aktivierung durch den Auftraggeber.

G. Backups: Enthaltene personenbezogene Daten werden rollierend überschrieben; Wiederherstellung nur zu Betriebs-/Wiederanlaufzwecken.

H. Zahlungs-/Abrechnungsdaten: Aufbewahrung nach Handels-/Steuerrecht (i. d. R. 10 Jahre); Zahlungsdienstleister separat verantwortlich.

I. Konto-Inaktivität (optional): Inaktive Konten können nach Vorankündigung deaktiviert/gelöscht werden; abweichende Weisungen möglich.