Belegtresor | Einfache Rechnungsstellung für Selbstständige & Kleinunternehmer

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Zwischen

dem Nutzer der SaaS-Anwendung "Belegtresor"
(nachfolgend "Auftraggeber" oder "Verantwortlicher")

und

Broken Pony Studios UG (haftungsbeschränkt)
Zollernweg 3
78628 Rottweil
(nachfolgend "Auftragnehmer" oder "Belegtresor")

Dieser Vertrag wird durch die Annahme der AGB von "Belegtresor" durch den Auftraggeber geschlossen und ist integraler Bestandteil des Hauptvertrages (Nutzungsvertrag).

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses Vertrages ist die Verarbeitung von personenbezogenen Daten durch den Auftragnehmer für den Auftraggeber im Rahmen der Bereitstellung der SaaS-Anwendung "Belegtresor".

(2) Der Auftragnehmer verarbeitet die Daten ausschließlich zur Erfüllung des Hauptvertrages (Bereitstellung der Funktionen zur Rechnungs- und Angebotserstellung, Kundenverwaltung, Speicherung von Belegen).

(3) Die Dauer dieses AVV entspricht der Dauer des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung, Art der Daten, Kreis der Betroffenen

(1) Zweck: Erstellung und Verwaltung von Geschäftsdokumenten (Angebote, Rechnungen) und Verwaltung von Stammdaten (Kunden, Eingangsbelege) durch den Auftraggeber.

(2) Art der personenbezogenen Daten (Datenkategorien): Die vom Auftraggeber in den Dienst eingegebenen Daten. Dies umfasst typischerweise:
- Stammdaten der Kunden des Auftraggebers (z.B. Name, Firma, Anschrift, E-Mail-Adresse, Telefonnummer, USt-IdNr.).
- Vertrags- und Abrechnungsdaten (z.B. Rechnungs- und Angebotspositionen, Preise, Bankverbindungen der Kunden des Auftraggebers).
- Hochgeladene Belege (Eingangsrechnungen), die personenbezogene Daten enthalten können.

(3) Kreis der Betroffenen: Die Kunden, Lieferanten und Geschäftspartner des Auftraggebers.

§ 3 Pflichten des Auftragnehmers (Belegtresor)

Der Auftragnehmer verpflichtet sich:
- die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (i.d.R. durch Nutzung der Funktionen des Dienstes) zu verarbeiten.
- sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
- alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zu treffen (siehe § 4).
- den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber Betroffenen (Auskunft, Löschung etc.) zu unterstützen.
- nach Abschluss der Verarbeitung (Kündigung) die Daten gemäß der im Hauptvertrag festgelegten Frist (90 Tage) zu löschen oder zurückzugeben.

§ 4 Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragnehmer trifft folgende Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten (Art. 32 DSGVO):

(1) Vertraulichkeit:
- Zugangskontrolle: Unbefugten wird der Zutritt zu den Datenverarbeitungsanlagen verwehrt (gewährleistet durch den Rechenzentrumsbetreiber Microsoft Azure).
- Zugriffskontrolle (Software): Der Zugriff auf die Daten ist durch ein sicheres Authentifizierungsverfahren (Microsoft Entra External ID) geschützt.
- Daten-Trennung (Mandantenfähigkeit): Alle Daten des Auftraggebers sind durch eine `TenantId` (eindeutige Nutzer-ID) logisch strikt von den Daten anderer Nutzer getrennt.

(2) Integrität:
- GoBD-Funktionen: Der Dienst stellt Funktionen bereit (z.B. Audit-Logs, Storno-Workflows), um die Integrität der Rechnungsdaten gemäß den GoBD zu unterstützen.

(3) Verfügbarkeit und Belastbarkeit:
- Verfügbarkeit: Der Dienst wird auf der hochverfügbaren Infrastruktur von Microsoft Azure betrieben.
- Datensicherung: Der Auftragnehmer stellt die Sicherung der Daten durch die Backup-Mechanismen der Azure SQL Database sicher (Point-in-Time-Recovery).

(4) Verschlüsselung:
- Alle Verbindungen zur Anwendung werden per SSL/TLS verschlüsselt (HTTPS). - Die Daten in der Azure SQL Database und im Azure Blob Storage werden serverseitig verschlüsselt (Encryption at Rest).

§ 5 Subunternehmer (Weitere Auftragsverarbeiter)

Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) einzusetzen. Diese sind derzeit:

1. Microsoft Ireland Operations Limited (für Hosting und Authentifizierung via Microsoft Azure und Entra ID, Standort: EU/Deutschland).
2. Stripe Payments Europe, Ltd. (für die Abwicklung von Zahlungen des *Auftraggebers* an den Auftragnehmer).

Der Auftragnehmer stellt sicher, dass mit allen Subunternehmern Verträge gemäß Art. 28 DSGVO geschlossen werden.