Auftragsverarbeitungsvertrag

Präambel

Dieser Vertrag zur Auftragsverarbeitung („AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung von Susan. Er gilt für alle Tätigkeiten, bei denen der Anbieter personenbezogene Daten im Auftrag des Kunden verarbeitet.

Verantwortlicher ist der Kunde. Auftragsverarbeiter ist MLR Ventures UG (haftungsbeschränkt).

§ 1 Gegenstand, Art, Zweck und Dauer

(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten, die der Kunde im Rahmen der Nutzung von Susan in die Anwendung einstellt, insbesondere zur Erfassung, Klassifizierung, Kontierung und Verbuchung von Belegen sowie zum Bankabgleich.

(2) Die Verarbeitung erfolgt ausschließlich zu den im Nutzungsvertrag beschriebenen Zwecken und für dessen Dauer. Sie endet mit Beendigung des Nutzungsvertrags, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

§ 2 Art der Daten und Kategorien betroffener Personen

(1) Gegenstand der Verarbeitung sind insbesondere folgende Datenarten:

• Stamm- und Kontaktdaten (Namen, Anschriften, Kommunikationsdaten),
• Vertrags-, Rechnungs- und Zahlungsdaten (Beträge, Bankverbindungen, Steuernummern),
• in Belegen enthaltene Inhalts- und Buchungsdaten.

(2) Kategorien betroffener Personen sind insbesondere:

• Kund:innen und Interessent:innen des Kunden,
• Lieferanten und Dienstleister des Kunden,
• Beschäftigte und sonstige Geschäftspartner des Kunden.

§ 3 Weisungsrecht des Verantwortlichen

Der Anbieter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet. Die Nutzung der Anwendung gemäß ihrem Funktionsumfang gilt als Weisung. Hält der Anbieter eine Weisung für rechtswidrig, weist er den Kunden darauf hin.

§ 4 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Anbieter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen und hält sie während der Vertragsdauer auf dem Stand der Technik. Maßnahmen können fortentwickelt werden, sofern das Schutzniveau nicht unterschritten wird.

§ 5 Unterauftragsverarbeiter

(1) Der Kunde stimmt dem Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter zu. Der Anbieter stellt sicher, dass diesen gleichwertige Datenschutzpflichten auferlegt werden.

(2) Beabsichtigt der Anbieter, weitere Unterauftragsverarbeiter hinzuzuziehen oder bestehende zu ersetzen, informiert er den Kunden vorab. Der Kunde kann der Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb angemessener Frist widersprechen.

§ 6 Unterstützung des Verantwortlichen

Der Anbieter unterstützt den Kunden im Rahmen des Zumutbaren bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO, insbesondere bei Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung und vorheriger Konsultation.

§ 7 Meldung von Datenschutzverletzungen

Der Anbieter meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt den Kunden bei dessen Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO.

§ 8 Löschung und Rückgabe nach Vertragsende

Nach Abschluss der Verarbeitung löscht der Anbieter nach Wahl des Kunden sämtliche personenbezogenen Daten oder gibt sie zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Bestehende Pflichten nach § 147 AO, § 257 HGB und den GoBD bleiben unberührt; insoweit wird die Verarbeitung eingeschränkt.

§ 9 Nachweise und Kontrollen

Der Anbieter stellt dem Kunden die zum Nachweis der Einhaltung dieses Vertrags erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen — auch durch beauftragte Prüfer — mit angemessener Vorankündigung und unter Wahrung der Betriebsabläufe, vorzugsweise durch Vorlage geeigneter Nachweise oder Zertifikate.

§ 10 Drittlandübermittlung

Eine Übermittlung in Drittländer erfolgt nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere auf Grundlage der EU-Standardvertragsklauseln oder des EU-US Data Privacy Framework. Einzelheiten ergeben sich aus Anlage 3.

Anlage 1 — Verarbeitungsdetails

Art und Zweck der Verarbeitung, Datenarten und Kategorien betroffener Personen ergeben sich aus § 1 und § 2 dieses Vertrags.

Anlage 2 — Technische und organisatorische Maßnahmen

• Transportverschlüsselung (TLS) und Verschlüsselung gespeicherter Belege,
• rollen- und rechtebasierte Zugriffskontrolle sowie Authentifizierung,
• unveränderbare, GoBD-konforme Ablage der Belege mit Protokollierung,
• Mandantentrennung und logische Trennung der Datenbestände,
• regelmäßige Sicherungen und Wiederherstellungskonzepte,
• Verpflichtung der Beschäftigten auf Vertraulichkeit.

Anlage 3 — Genehmigte Unterauftragsverarbeiter

• Supabase Inc. ([ bitte ergänzen ] (gewählte Region prüfen; EU-Region empfohlen)) — Hosting der Datenbank, Authentifizierung sowie Datei-Storage des unveränderbaren Beleg-Archivs. Garantien: EU-Standardvertragsklauseln; bei US-Verarbeitung zusätzlich EU-US Data Privacy Framework, soweit zertifiziert.
• Anthropic PBC (USA) — KI-gestützte Klassifizierung und Kontierung hochgeladener Belege. Wird nur genutzt, wenn ein API-Schlüssel hinterlegt ist; andernfalls läuft die Verarbeitung rein lokal. Garantien: EU-Standardvertragsklauseln; EU-US Data Privacy Framework, soweit zertifiziert.
• [ bitte ergänzen ] (Hosting-/Infrastruktur-Anbieter, z. B. Vercel Inc.) ([ bitte ergänzen ]) — Auslieferung der Web-Anwendung und Betrieb der Server-Infrastruktur. Garantien: Bei Drittlandbezug: EU-Standardvertragsklauseln / EU-US Data Privacy Framework.