Vertrag zur Auftragsverarbeitung
Stand: Juli 2026 · gemäß Art. 28 DSGVO
Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten zwischen dem Kunden als Verantwortlichem (nachfolgend „Verantwortlicher") und der Happy Coffee GmbH, Theodor-Heuss-Str. 15, 53562 St. Katharinen, als Auftragsverarbeiter (nachfolgend „Rechnungskit"). Er ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags über die Nutzung der Plattform Rechnungskit und geht diesem in datenschutzrechtlichen Fragen vor. Er wird mit Abschluss des Hauptvertrags wirksam.
1. Gegenstand und Dauer
Rechnungskit verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Erbringung der im Hauptvertrag vereinbarten Leistungen: Erstellung, Validierung, revisionssichere Archivierung und Versand elektronischer Rechnungen sowie Verarbeitung von Zahlungs- und Bestelldaten und Export von Buchungsdaten. Die Dauer entspricht der Laufzeit des Hauptvertrags. Für gesetzlich aufbewahrungspflichtige Belege (u. a. GoBD, § 147 AO) gelten die gesetzlichen Aufbewahrungsfristen vorrangig; insoweit erfolgt eine Löschung erst nach deren Ablauf.
2. Art der Daten und Kategorien betroffener Personen
Verarbeitet werden insbesondere: Stammdaten von Rechnungs- und Zahlungsempfängern (Name, Firma, Anschrift, E-Mail-Adresse, USt-IdNr.), Rechnungs- und Positionsdaten, Zahlungs- und Bestelldaten (Zahlungsreferenzen, Beträge, Zahlungsart, ggf. Bankkennungen) sowie Kommunikationsdaten (E-Mail-Zustellprotokolle). Betroffene Personen sind die Kunden des Verantwortlichen sowie deren Vertreter und Beschäftigte, soweit deren Daten in Rechnungs- oder Zahlungsvorgängen enthalten sind.
3. Weisungsbindung
Rechnungskit verarbeitet die Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen, insbesondere gemäß Hauptvertrag und den Einstellungen im Konto. Weisungen außerhalb der Plattformfunktionen erfolgen in Textform. Ist Rechnungskit der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert es den Verantwortlichen. Eine Verarbeitung zu eigenen Zwecken findet nicht statt.
4. Vertraulichkeit
Rechnungskit setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung besteht auch nach Beendigung der Tätigkeit fort.
5. Technische und organisatorische Maßnahmen (TOM)
Rechnungskit trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Diese sind in der Anlage 2 beschrieben und werden bei Bedarf an den Stand der Technik angepasst, ohne das vereinbarte Schutzniveau zu unterschreiten.
6. Unterauftragsverarbeiter
Der Verantwortliche erteilt seine allgemeine Genehmigung zum Einsatz der in Anlage 1 genannten Unterauftragsverarbeiter. Rechnungskit informiert über beabsichtigte Änderungen (Hinzuziehung oder Austausch) mit angemessenem Vorlauf und räumt dem Verantwortlichen ein Widerspruchsrecht aus wichtigem Grund ein. Rechnungskit verpflichtet jeden Unterauftragsverarbeiter auf ein gleichwertiges Datenschutzniveau.
7. Unterstützung des Verantwortlichen
Rechnungskit unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Beantwortung von Anträgen betroffener Personen (Art. 12 bis 23 DSGVO), bei der Sicherheit der Verarbeitung, bei Meldepflichten (Art. 33, 34 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO). Rechnungskit meldet dem Verantwortlichen eine ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich.
8. Löschung und Rückgabe
Nach Beendigung der Verarbeitung löscht Rechnungskit die personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Verantwortliche kann die Archivdaten während der Vertragslaufzeit und nach Vertragsende innerhalb der vereinbarten Frist exportieren.
9. Nachweise und Kontrollen
Rechnungskit stellt dem Verantwortlichen die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem beauftragten Prüfer durchgeführt werden. Prüfungen werden mit angemessenem Vorlauf und ohne unverhältnismäßige Beeinträchtigung des Betriebs durchgeführt.
10. Ort der Verarbeitung
Die Verarbeitung findet in der Europäischen Union statt. Die produktiven Daten werden in einem Rechenzentrum in Deutschland (Falkenstein) verarbeitet und gespeichert. Verschlüsselte Sicherungskopien werden zusätzlich in einem Rechenzentrum in Finnland (Helsinki) innerhalb der EU vorgehalten. Eine Übermittlung in ein Drittland findet nicht statt.
Anlage 1: Unterauftragsverarbeiter
Hetzner Online GmbH (Deutschland, Finnland): Server-Hosting, Datenbank, Objektspeicher und verschlüsselte Sicherungen.
Bunny (BunnyWay d.o.o., Slowenien/EU): Content-Delivery-Network, DNS und Web-Application-Firewall (Verarbeitung von Verbindungsdaten am Edge).
Sendinblue GmbH (Brevo, Deutschland/EU): Versand transaktionaler E-Mails (Empfänger-Adresse und Nachrichteninhalt).
Hinweis: Zahlungsdienstleister (u. a. Stripe, Mollie) werden vom Verantwortlichen mit dessen eigenem Konto angebunden; insoweit ist der Verantwortliche selbst für das Verhältnis zu diesen Dienstleistern verantwortlich. Selbst betriebene Komponenten zur PDF- und ZUGFeRD-Erzeugung laufen auf der eigenen Infrastruktur von Rechnungskit und sind keine Unterauftragsverarbeiter.
Anlage 2: Technische und organisatorische Maßnahmen
Vertraulichkeit: Mandantentrennung auf Datenbankebene (Row-Level-Security, mandantenbezogene Isolation), rollenbasierte Zugriffskontrolle, Zugangsschutz über authentifizierte Konten mit Passwortmindestanforderungen.
Integrität: Unveränderbare Speicherung finalisierter Rechnungen (WORM), Absicherung durch SHA-256-Prüfsummen, signaturgeprüfte Webhooks der Zahlungsdienste.
Verschlüsselung: Verschlüsselung archivierter Rechnungsdaten im Ruhezustand (AES-256), authentifizierte Verschlüsselung gespeicherter Zugangsdaten (AES-256-GCM), Transportverschlüsselung (TLS), ausschließlich verschlüsselte Übertragung von Sicherungen außerhalb Deutschlands.
Verfügbarkeit und Belastbarkeit: regelmäßige, verschlüsselte Sicherungen nach dem 3-2-1-Prinzip, getrennte Sicherungsumgebung.
Organisation: Geheimnisverwaltung außerhalb des Quellcodes, Trennung von Entwicklungs- und Produktionsumgebung, Protokollierung sicherheitsrelevanter Vorgänge.
Dieser AVV ist eine Vorlage und ersetzt keine individuelle Rechtsberatung. Maßgeblich ist die im Konto abgeschlossene Fassung. Anlage 1 wird bei Änderungen der eingesetzten Dienstleister aktualisiert.