Auftragsverarbeitungsvertrag (AVV)
Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO
Stand: Februar 2025
Der Verantwortliche (Auftraggeber): Der Kunde, der die Dienste von invapi.org nutzt.
Der Auftragsverarbeiter (Auftragnehmer): Goetz-Mikus GmbH & Co KG, Zimmermanngasse 8, 1090 Wien, Österreich
1. Gegenstand der Vereinbarung
(1) Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
- Rechnungsdigitalisierung: KI-gestützte Extraktion strukturierter Daten aus hochgeladenen PDF- und Bilddateien von Rechnungen
- E-Rechnungskonvertierung: Umwandlung von Rechnungsdaten in die Formate XRechnung (UBL), CII und ZUGFeRD
- E-Rechnungsvalidierung: Prüfung von E-Rechnungen gegen EN 16931, XRechnung und KoSIT-Regeln
- Rechnungsverwaltung: Speicherung und Verwaltung von Rechnungsdaten im Konto des Auftraggebers
Diese Vereinbarung ist als Ergänzung zu den Allgemeinen Nutzungsbedingungen von invapi.org zu verstehen.
(2) Folgende Datenkategorien werden verarbeitet:
- Namen und Firmennamen
- Adressen (Straße, Stadt, Postleitzahl, Land)
- Kontaktdaten (E-Mail-Adresse, Telefonnummer)
- Umsatzsteuer-Identifikationsnummern und Steuernummern
- Bankverbindungen (IBAN, BIC, Kontoinhaber)
- Rechnungsnummern, -beträge und -positionen
(3) Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:
- Rechnungsaussteller (Verkäufer/Lieferanten)
- Rechnungsempfänger (Käufer/Kunden)
- Kontaktpersonen der genannten Parteien
2. Dauer der Vereinbarung
Die Vereinbarung ist auf unbestimmte Zeit geschlossen und endet mit der Beendigung des Nutzungsvertrags zwischen dem Auftraggeber und dem Auftragnehmer. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
3. Pflichten des Auftragnehmers
(1) Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er — sofern gesetzlich zulässig — den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
(2) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
(3) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage 1 zu entnehmen).
(4) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(6) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.
(7) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
(8) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag zu vernichten. Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format (z.B. JSON, XML).
Rechnungsdaten, die über die API oder Web-Oberfläche verarbeitet werden, werden aufgrund der zustandslosen Architektur automatisch und unmittelbar nach der Verarbeitung gelöscht. Kontodaten und bewusst gespeicherte Rechnungen werden innerhalb von 30 Tagen nach Vertragsbeendigung gelöscht. Der Auftraggeber kann vor Ablauf dieser Frist die Rückgabe der Daten verlangen.
(9) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
4. Ort der Durchführung der Datenverarbeitung
Die Datenverarbeitung wird innerhalb der Europäischen Union durchgeführt. Die Infrastruktur wird auf Cloudflare Workers mit EU-Jurisdiktion betrieben. Datenbank (D1) und Dateispeicher (R2) sind auf die EU-Jurisdiktion beschränkt. Für die KI-gestützte Datenextraktion werden ausschließlich EU-basierte Anbieter eingesetzt.
Soweit Sub-Auftragsverarbeiter Daten in Drittländern verarbeiten (siehe Abschnitt 5), erfolgt dies auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss 2021/914 und/oder dem EU-US Data Privacy Framework (DPF).
5. Sub-Auftragsverarbeiter
Der Auftragnehmer ist befugt, folgende Unternehmen als Sub-Auftragsverarbeiter hinzuzuziehen:
| Sub-Auftragsverarbeiter | Sitz | Art der Tätigkeit | Übermittlungsgrundlage |
|---|---|---|---|
| Cloudflare, Inc. | USA / EU (Daten in EU) | Hosting, CDN, Datenbank, Dateispeicher | SCCs, EU Data Localization |
| Mistral AI | Paris, Frankreich / EU | KI-gestützte Rechnungsdigitalisierung | EU-Verarbeitung |
| Stripe Payments Europe, Ltd. | Dublin, Irland / EU | Zahlungsabwicklung | EU-Verarbeitung, SCCs + DPF |
| Resend, Inc. | USA | Transaktionale E-Mails (Verifizierung) | DPF + SCCs |
| GitHub, Inc. (Microsoft) | USA | OAuth-Authentifizierung (Login) | SCCs + DPF |
| Google Ireland Ltd. | Dublin, Irland / USA | OAuth-Authentifizierung (Login) | SCCs + DPF |
Beabsichtigte Änderungen der Sub-Auftragsverarbeiter sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sichergestellt, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen.
Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
6. Meldung von Datenschutzverletzungen
Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung enthält mindestens:
- Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
- Die Kategorien und die ungefähre Zahl der betroffenen Personen
- Die wahrscheinlichen Folgen der Verletzung
- Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen
Anlage 1 — Technisch-organisatorische Maßnahmen
A. Vertraulichkeit
Zutrittskontrolle:
- Kein physischer Serverstandort — die Infrastruktur läuft vollständig auf Cloudflare Workers (Edge Computing)
- Administrative Zugänge durch Multi-Faktor-Authentifizierung gesichert
Zugangskontrolle:
- Kennwörter mit entsprechender Policy
- Zwei-Faktor-Authentifizierung für administrative Zugänge
- Automatische Sperrmechanismen
- API-Schlüssel-Authentifizierung für API-Zugriff
Zugriffskontrolle:
- Standard-Berechtigungsprofile auf „need to know"-Basis
- Zustandslose Verarbeitung: Rechnungsdaten werden ausschließlich im Arbeitsspeicher verarbeitet und nicht auf Festplatten gespeichert
- Strikte Trennung der Daten zwischen verschiedenen Auftraggebern (Mandantentrennung)
- Keine Weitergabe von Rechnungsdaten an Dritte zu Trainingszwecken
B. Datenintegrität
Weitergabekontrolle:
- Verschlüsselung aller Datenübertragungen mittels TLS/SSL
- API-Schlüssel-basierte Authentifizierung für alle Schnittstellen
Eingabekontrolle:
- Eingabevalidierung und Datenintegritätsprüfungen
- Protokollierung von API-Aufrufen (Nutzungsstatistiken)
C. Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle:
- Hosting auf Cloudflare Workers mit globaler Hochverfügbarkeit und automatischer Skalierung
- DDoS-Schutz durch Cloudflare
- Rate-Limiting zum Schutz vor Überlastung
- Automatisierte Sicherheitsupdates der Infrastruktur
Rasche Wiederherstellbarkeit:
- Ja — durch die zustandslose Architektur und automatische Skalierung auf Cloudflare Workers
D. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Regelmäßige Sicherheitsüberprüfungen der Infrastruktur
- Datenschutzfreundliche Voreinstellungen (Privacy by Design): zustandslose Verarbeitung, keine dauerhafte Speicherung von Verarbeitungsdaten, ausschließlich EU-basierte KI-Anbieter
- Eindeutige Vertragsgestaltung mit allen Sub-Auftragsverarbeitern
Kontaktdaten
Auftragsverarbeiter:
Goetz-Mikus GmbH & Co KG Zimmermanngasse 8 1090 Wien, Österreich E-Mail: max@goetz-mikus.com
Durch die Nutzung der Dienste von invapi.org stimmt der Auftraggeber den Bedingungen dieser Auftragsverarbeitungsvereinbarung zu.
Dieses Dokument basiert auf dem Mustervertrag der Wirtschaftskammern Österreichs für Auftragsverarbeitung nach Art 28 DSGVO.