--- version: v1.1 stand: 2026-05-18 --- # Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO **zwischen dem Kunden** (nachfolgend „Verantwortlicher") **und** **RD MindMedia LTD**, Anemonis 218c, 8560 Peyia, Zypern (HE 489041), Handelsname **InvoPulse** (nachfolgend „Auftragsverarbeiter") Stand: 2026-05-18 · Version 1.1 --- ## Präambel Der Verantwortliche nutzt die Softwarelösung **InvoPulse** zur Erstellung von Rechnungen, Buchhaltung, Zeiterfassung und Dokumentenverwaltung. Dabei werden personenbezogene Daten seiner eigenen Kunden und Geschäftspartner im Auftrag des Verantwortlichen durch den Auftragsverarbeiter verarbeitet. Zur Einhaltung des Art. 28 DSGVO schließen die Parteien diesen Auftragsverarbeitungsvertrag. Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen (Terms of Service). Bei Widersprüchen geht dieser AVV vor. --- ## § 1 Gegenstand und Dauer **(1)** Gegenstand der Verarbeitung ist der Betrieb der SaaS-Plattform InvoPulse, die der Verantwortliche zur Organisation seiner kaufmännischen Abläufe einsetzt. **(2)** Die Dauer entspricht der Laufzeit des zugrundeliegenden Nutzungsvertrags. Nach Vertragsende erfolgt die Löschung gemäß § 10 dieses AVV. --- ## § 2 Art und Zweck der Verarbeitung **(1)** Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Umfang der vertragsgemäßen Bereitstellung der Plattform-Funktionen: - Speicherung und Anzeige von Kunden-, Rechnungs-, Beleg- und Zeiteintragsdaten - Erstellung und Versand von Rechnungs-PDFs per E-Mail - Verarbeitung durch KI-gestützte Funktionen (Beleg-Scanner, Bank-Matching, Document-Analysis) — **nur bei ausdrücklicher Einwilligung des jeweiligen Endnutzers** - Backups, Logging, Systemmonitoring - Support-Anfragen **(2)** Eine Nutzung der Daten für eigene Zwecke des Auftragsverarbeiters, insbesondere zu Marketing-, Profilbildungs- oder KI-Trainingszwecken, findet nicht statt. --- ## § 3 Art der personenbezogenen Daten - **Stammdaten** der Kunden des Verantwortlichen: Name, Anschrift, E-Mail, Telefon, USt-IdNr. - **Rechnungsdaten:** Rechnungsnummer, -datum, -betrag, Positionen, Zahlungsdaten - **Bankdaten** (optional, pseudonymisiert bei KI-Verarbeitung): IBAN, BIC, Zahlungsreferenzen - **Beleg-/Dokumenteninhalte:** Rechnungen, Quittungen, Lieferscheine, Kontoauszüge (inhaltsabhängig: Adressen, Namen, USt-IDs) - **Kontaktverlauf:** Versand-Protokolle, E-Mail-Statusinformationen - **Nutzungsdaten** der Plattform-User (Login-Zeitpunkte, IP-Adressen für Rate-Limiting als SHA-256-Hash) --- ## § 4 Kategorien betroffener Personen - Endkunden und Lieferanten des Verantwortlichen (B2B und B2C) - Mitarbeiter oder Geschäftspartner, soweit ihre Daten in Rechnungen, Belegen oder Zeiteinträgen erscheinen - Ggf. der Verantwortliche selbst (soweit natürliche Person) --- ## § 5 Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO) ### (1) Weisungsgebundenheit Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Plattform durch den Verantwortlichen gilt als Weisung, soweit sie die Plattformfunktionen betrifft. ### (2) Vertraulichkeit Der Auftragsverarbeiter gewährleistet, dass alle mit der Datenverarbeitung befassten Personen zur Vertraulichkeit verpflichtet und angemessen geschult sind. ### (3) Technische und organisatorische Maßnahmen Der Auftragsverarbeiter trifft alle erforderlichen TOMs nach Art. 32 DSGVO. Die aktuell implementierten Maßnahmen sind in **Anhang 2** aufgeführt. ### (4) Sub-Auftragsverarbeiter (Art. 28 Abs. 2, 4 DSGVO) Der Verantwortliche willigt in die Beauftragung der in **Anhang 1** aufgeführten Sub-Auftragsverarbeiter ein. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen durch Bekanntmachung in der Datenschutzerklärung **mindestens 30 Tage vor Wirksamwerden**. Der Verantwortliche kann innerhalb dieser Frist widersprechen und den Vertrag aus wichtigem Grund kündigen, sofern der Austausch eines Sub-Auftragsverarbeiters nicht möglich ist. ### (5) Unterstützung bei Betroffenenrechten Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anfragen nach Art. 12–22 DSGVO: - **Auskunft (Art. 15):** Selfservice-Datenexport (ZIP mit CSV + Dokumenten) in der Plattform - **Berichtigung (Art. 16):** Bearbeitbare Formulare im gesamten UI - **Löschung (Art. 17):** Account-Löschung in Einstellungen → Gefahrenzone - **Einschränkung (Art. 18):** Umschalter in Einstellungen → Sicherheit - **Datenübertragbarkeit (Art. 20):** siehe Auskunft — strukturiertes CSV + JSON - **Widerspruch (Art. 21):** Consent-Widerruf in Einstellungen + Privacy-Banner ### (6) Unterstützung bei Datenschutz-Folgenabschätzung und Sicherheitsvorfällen Der Auftragsverarbeiter unterstützt den Verantwortlichen bei: - Datenschutz-Folgenabschätzungen (Art. 35) durch Bereitstellung der DSFA für KI-gestützte Funktionen (`docs/compliance/dsfa-ai-processing.md`). - Mitteilung von Datenschutzverletzungen an den Verantwortlichen innerhalb von **48 Stunden** nach Kenntnisnahme, damit der Verantwortliche seinerseits die 72-Stunden-Frist gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO einhalten kann. ### (7) Herausgabe und Löschung nach Vertragsende Nach Wahl des Verantwortlichen löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück, außer wenn Unionsrecht oder mitgliedstaatliches Recht eine Speicherpflicht vorsieht. ### (8) Nachweispflicht Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind, und ermöglicht Audits im Rahmen des § 7. --- ## § 6 Rechte und Pflichten des Verantwortlichen Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung der von ihm eingespeisten Daten allein verantwortlich. Insbesondere: - Einholen erforderlicher Einwilligungen seiner Endkunden - Führen des eigenen Verzeichnisses von Verarbeitungstätigkeiten - Einhaltung von Informationspflichten (Art. 13, 14) gegenüber seinen Endkunden --- ## § 7 Auditrechte **(1)** Der Verantwortliche darf die Einhaltung dieses AVV jederzeit überprüfen, i.d.R. durch Einsicht in vom Auftragsverarbeiter bereitgestellte Nachweise (Zertifikate, DSFA, Dokumentationen). **(2)** Vor-Ort-Audits sind mit **mindestens 30 Tagen Vorankündigung** möglich, während der regulären Geschäftszeiten und gegen Kostenerstattung. **(3)** Audits durch unabhängige Dritte (Wirtschaftsprüfer, Datenschutzauditoren) sind zulässig, sofern diese vorab zur Vertraulichkeit verpflichtet werden. --- ## § 8 Mitteilungspflichten Der Auftragsverarbeiter benachrichtigt den Verantwortlichen **unverzüglich (spätestens 48 Stunden)** nach Kenntnisnahme über: - Datenschutzverletzungen i.S.v. Art. 33 DSGVO - Anfragen Betroffener, die den Verantwortlichen betreffen - Behördenanfragen (soweit rechtlich zulässig offenlegbar) Meldekanal: **privacy@invopulse.io** --- ## § 9 Datenübermittlung in Drittländer **(1)** Eine Datenübermittlung in Drittländer findet an folgende Sub-Auftragsverarbeiter statt: - **Anthropic PBC (USA):** nur bei ausdrücklicher Einwilligung des Endnutzers für KI-Funktionen. Rechtsgrundlage: Art. 45 DSGVO i.V.m. EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). **(2)** Alle übrigen Sub-Auftragsverarbeiter werden in EU-Rechenzentren betrieben oder sind DPF-zertifiziert (siehe Anhang 1). **(3)** Zusätzliche Garantien: EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914, wo erforderlich. --- ## § 10 Laufzeit und Beendigung **(1)** Dieser AVV läuft parallel zum Nutzungsvertrag (Terms of Service). **(2)** Nach Vertragsende werden die Daten innerhalb von **14 Tagen** gelöscht. Der Verantwortliche kann vor dem Ende einen vollständigen Datenexport anfordern (Self-Service in der Plattform). **(3)** Ausnahmen: gesetzliche Aufbewahrungspflichten (Steuer- und Handelsrecht), soweit diese auf den Auftragsverarbeiter anwendbar sind. --- ## § 11 Haftung Für Schäden haftet jede Partei nach Maßgabe von Art. 82 DSGVO. Im Innenverhältnis gilt die Haftungsregelung des Hauptvertrags. --- ## § 12 Schlussbestimmungen **(1)** Änderungen dieses AVV bedürfen der Textform. **(2)** Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. **(3)** Es gilt das Recht der Republik Zypern; EU-Verbraucher behalten den Schutz zwingender Verbraucherschutzgesetze ihres Wohnsitzlands. --- ## Anhang 1 — Liste der Sub-Auftragsverarbeiter Stand: 2026-05-18. | Anbieter | Dienstleistung | Standort / Rechtsgrundlage Drittlandtransfer | |---|---|---| | **Supabase Inc.** (via Cloud-Anbieter) | Datenbank, Auth, Storage | Infrastruktur in AWS eu-central-1 (Frankfurt). DPA unterzeichnet. | | **Vercel Inc.** | Application Hosting, Serverless Functions, CDN | Runtime fra1 (Frankfurt). US-Mutter → SCCs + EU-US DPF. | | **Stripe Payments Europe Ltd.** | Subscription Billing, Customer Portal | Irland. DPA unterzeichnet. | | **Resend Inc.** | Transaktionale E-Mails | USA. SCCs + EU-US DPF. | | **Functional Software Inc. (Sentry)** | Fehlerüberwachung, Session Replay | Ingest EU (`de.sentry.io`). SCCs + EU-US DPF für Konzernmutter. | | **Cloudflare Inc.** | Turnstile Bot-Schutz (optional) | Global. SCCs + EU-US DPF. | | **Upstash Inc.** | Rate-Limiting (Redis) | AWS EU-Region. SCCs. | | **Hostinger International Ltd.** | PDF-Rendering (Gotenberg) + verschlüsseltes Backup | VPS in Frankfurt. Konzernsitz Zypern / EU. | | **Anthropic PBC** | KI-Analyse (Claude Haiku) — nur bei User-Einwilligung | USA. EU-US DPF (Angemessenheitsbeschluss). | | **Umami Analytics** (selbst gehostet auf Vercel) | Anonyme Nutzungsanalyse — nur bei Analytics-Einwilligung | Vercel EU (Frankfurt). Kein externer Processor. | Aktualisierungen werden in der Datenschutzerklärung sowie als E-Mail-Benachrichtigung mindestens 30 Tage vor Wirksamwerden angekündigt. --- ## Anhang 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO) ### Vertraulichkeit - Zugangskontrolle: Authentifizierung via Supabase Auth (bcrypt, optional MFA) - Zugriffskontrolle: Row-Level-Security (RLS) auf allen 52 RLS-aktivierten public-Tabellen (davon 38 mit direkter `user_id`-Spalte; restliche via Owner-Lookup-Join); Service-Role-Schlüssel ausschließlich serverseitig - Verschlüsselung at-rest: Supabase-managed (AWS-KMS); zusätzliche anwendungsseitige Verschlüsselung für SMTP-Passwörter, Bank-Details, Cloud-Credentials (AES-256-GCM) - Verschlüsselung in-transit: TLS 1.2+, HSTS mit preload; PostgreSQL mit `ssl_min_protocol_version=TLSv1.2` ### Integrität - Audit-Log append-only mit tamper-evident Trigger - Migration-Tracking via `_migration_log` + täglicher CI-Drift-Check - Immutabilität finalisierter Rechnungen via DB-Trigger (GoBD) - Code-Integrität durch CI (`npm audit --audit-level=high` blocking; Dependabot) ### Verfügbarkeit - Supabase täglicher Backup + 7-Tage Point-in-Time Recovery - Verschlüsseltes Offsite-Backup via restic auf Hostinger VPS (Frankfurt) - Vercel Region `fra1` mit Multi-AZ-Ausfallsicherung ### Belastbarkeit - Rate-Limiting (Upstash Redis) mit fail-closed in Produktion - CSP mit Nonce + strict-dynamic; X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy - Turnstile CAPTCHA auf Auth- und Kontaktformular - PII-Scrubbing in Sentry (Emails, IBANs, Stripe-IDs, JWTs, UUIDs) ### Verfahren zur Überprüfung, Bewertung und Evaluierung - Jährliche Sicherheits- und Datenschutz-Audits (intern) - DSFA für KI-gestützte Funktionen (`docs/compliance/dsfa-ai-processing.md`) - Incident-Response-Plan (`docs/compliance/incident-response.md`) mit halbjährlichen Drills - Dependabot-PRs + blockender `npm audit --audit-level=high` --- ## Unterzeichnung Dieser AVV wird durch die Annahme der Terms of Service beim Login / Registrierung als angenommen angesehen (Art. 28(9) DSGVO — AVV kann in elektronischer Form geschlossen werden). Ein unterzeichnetes PDF-Exemplar ist auf Anfrage unter `privacy@invopulse.io` erhältlich. **Verantwortlicher** (Kunde): `[Firma / Name]` · `[Datum]` **Auftragsverarbeiter:** RD MindMedia LTD · Anemonis 218c, 8560 Peyia, Zypern · HE 489041