Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Stand: Mai 2026
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und den Vertrag über die Nutzung des Service „BillCraft" und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
1. Vertragsparteien
Verantwortlicher (Auftraggeber):
Der Kunde von BillCraft, der den Service nutzt und in dessen Auftrag personenbezogene Daten verarbeitet werden (nachfolgend „Auftraggeber").
Auftragsverarbeiter (Auftragnehmer):
Elias Ratt
Erdbergstraße 150/1/26-27
1030 Wien, Österreich
E-Mail: datenschutz@billcraft.app
(nachfolgend „Auftragnehmer" oder „BillCraft")
2. Gegenstand und Dauer der Verarbeitung
2.1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung des SaaS-Dienstes „BillCraft" (Rechnungserstellung, Angebotsverwaltung, Kundenverwaltung, Belegerfassung).
2.2. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (Nutzung des Service). Nach Beendigung des Vertrags werden die Daten gemäß Abschnitt 10 dieses AVV behandelt.
3. Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Speicherung und Verwaltung von Kundenstammdaten des Auftraggebers
- Erstellung, Speicherung und Versand von Rechnungen und Angeboten
- Verarbeitung von Zahlungsinformationen (Referenzdaten)
- Belegerfassung und -archivierung
- E-Mail-Versand im Namen des Auftraggebers (z. B. Rechnungsversand an Endkunden)
- PDF-Generierung von Geschäftsdokumenten
- Optionale KI-gestützte Texterkennung (OCR) von Belegen
4. Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Kontaktdaten: Name, Adresse, E-Mail-Adresse, Telefonnummer
- Unternehmensdaten: Firmenname, UID-Nummer, Firmenbuch-Nummer
- Finanzdaten: Rechnungsbeträge, Bankverbindungen (IBAN, BIC), Zahlungsstatus
- Kommunikationsdaten: E-Mail-Adressen der Endkunden für den Rechnungsversand
- Belegdaten: Belegbilder, extrahierte Beträge und Texte
5. Kategorien betroffener Personen
- Kunden und Geschäftspartner des Auftraggebers
- Ansprechpartner und Mitarbeiter der Kunden des Auftraggebers
- Lieferanten des Auftraggebers
6. Pflichten des Auftragsverarbeiters
Der Auftragnehmer verpflichtet sich:
6.1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht des Mitgliedstaats, dem der Auftragnehmer unterliegt, erforderlich.
6.2. Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.
6.3. Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe Abschnitt 8).
6.4. Die Bedingungen gemäß Art. 28 Abs. 2 und 4 DSGVO für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (siehe Abschnitt 7).
6.5. Den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen.
6.6. Den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen.
6.7. Nach Beendigung der Verarbeitung alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben (siehe Abschnitt 10).
6.8. Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen (siehe Abschnitt 9).
6.9. Zugriffe von autorisiertem Personal des Auftragnehmers auf die Daten des Auftraggebers zum Zweck der technischen Unterstützung, der Fehleranalyse und -behebung sowie der Korrektur fehlerhafter Daten erfolgen ausschließlich im hierfür erforderlichen Umfang, sind auf das ausdrücklich autorisierte Personal beschränkt und werden protokolliert. Solche Zugriffe gelten als von diesem Vertrag und den zugrunde liegenden Weisungen des Auftraggebers zur Erbringung des Service gedeckt.
7. Unterauftragsverarbeiter
7.1. Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern.
7.2. Der Auftragnehmer setzt derzeit folgende Unterauftragsverarbeiter ein:
| Unterauftragsverarbeiter | Zweck | Standort | Datenkategorien |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank, Object Storage | Falkenstein/Nürnberg, Deutschland (EU) | Alle im Service gespeicherten Daten |
| Cloudflare Inc. | Frontend-Hosting, CDN | EU (Irland) | Technische Zugriffsdaten |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Dublin, Irland | Zahlungsdaten, E-Mail |
| Amazon Payments Europe S.C.A. | Zahlungsabwicklung | Luxemburg | Zahlungsdaten, E-Mail |
| Resend Inc. | E-Mail-Versand | USA (SCCs/DPF) | E-Mail-Adressen, E-Mail-Inhalte |
| Google Ireland Limited | Belegerkennung (OCR) via Gemini API | Dublin, Irland (EU) | Belegbilder (nur bei KI-Nutzung) |
| 650 Industries Inc. (Expo) | Push-Benachrichtigungen | USA (SCCs/DPF) | Gerätetokens, Nachrichteninhalte |
7.3. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 4 Wochen im Voraus per E-Mail. Der Auftraggeber kann der Änderung innerhalb von 2 Wochen widersprechen. Bei berechtigtem Widerspruch steht dem Auftraggeber ein Sonderkündigungsrecht zu.
7.4. Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten wie in diesem AVV vereinbart.
7.5. Klarstellung zur Bankkontoanbindung: Die optional vom Endnutzer aktivierbare Bankkontoanbindung erfolgt über die BANKSapi Technology GmbH (München, Deutschland), einen von der BaFin lizenzierten Kontoinformationsdienst gemäß § 1 Abs. 1 S. 2 Nr. 1d ZAG. BANKSapi handelt im Verhältnis zum Endnutzer als eigenständig Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und ist damit kein Unterauftragsverarbeiter des Auftragnehmers. Die Datenverarbeitung im Rahmen des Kontoinformationsdienstes ist nicht Gegenstand dieses AVV; sie ist in der Datenschutzerklärung von BillCraft (Abschnitt 6.8) sowie in den Vertragsdokumenten von BANKSapi geregelt.
8. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:
Vertraulichkeit
- Zugriffskontrolle: Authentifizierung mittels E-Mail/Passwort oder OAuth, optionale Zwei-Faktor-Authentifizierung
- Passwortsicherheit: Verschlüsselung mittels bcrypt (Kostenfaktor 12)
- Zugangsbeschränkung: Zugriff auf Kundendaten grundsätzlich nur für den jeweiligen Kontoinhaber; ein darüber hinausgehender Zugriff durch autorisiertes Personal des Auftragnehmers erfolgt ausschließlich zu Support- und Fehlerbehebungszwecken, im erforderlichen Umfang und protokolliert; mandantenfähige Datentrennung
- Trennungskontrolle: Logische Mandantentrennung über company_id auf Datenbankebene
Integrität
- Verschlüsselung: TLS/SSL für alle Datenübertragungen
- Protokollierung: Aktivitäts- und Audit-Logs für sicherheitsrelevante Aktionen
- Eingabekontrolle: Validierung aller Benutzereingaben, CSRF-Schutz
Verfügbarkeit und Belastbarkeit
- Serverstandort: EU (Hetzner, Nürnberg, Deutschland)
- Regelmäßige Sicherheitsupdates und Patches
- Datensicherung: Regelmäßige Backups der Datenbank
Verfahren zur regelmäßigen Überprüfung
- Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
- Monitoring der Serverinfrastruktur
9. Kontrollrechte des Auftraggebers
9.1. Der Auftraggeber hat das Recht, die Einhaltung der in diesem AVV festgelegten Pflichten zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die hierfür notwendigen Informationen zur Verfügung.
9.2. Überprüfungen vor Ort sind nach Abstimmung und mit angemessener Vorlaufzeit (mindestens 4 Wochen) möglich. Die Kosten der Überprüfung trägt der Auftraggeber.
9.3. Der Auftragnehmer kann die Überprüfung auch durch Vorlage geeigneter Nachweise (z. B. Zertifikate, Berichte unabhängiger Prüfer) erfüllen.
10. Löschung und Rückgabe von Daten
10.1. Nach Beendigung des Hauptvertrags stellt der Auftragnehmer dem Auftraggeber für 30 Tage eine Export-Funktion zur Verfügung, über die alle gespeicherten Daten in einem maschinenlesbaren Format heruntergeladen werden können.
10.2. Nach Ablauf dieser Frist löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
10.3. Daten, die steuerrechtlichen Aufbewahrungspflichten unterliegen (z. B. Rechnungsdaten), werden nach Ablauf der gesetzlichen Frist (7 Jahre gemäß BAO) gelöscht.
10.4. Die Löschung wird dem Auftraggeber auf Anfrage schriftlich bestätigt.
11. Meldepflicht bei Datenschutzverletzungen
11.1. Der Auftragnehmer informiert den Auftraggeber unverzüglich, in der Regel innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten (Data Breach) gemäß Art. 33 Abs. 2 DSGVO.
11.2. Die Meldung enthält mindestens:
- Beschreibung der Art der Verletzung
- Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
- Wahrscheinliche Folgen der Verletzung
- Ergriffene und vorgeschlagene Maßnahmen zur Behebung
12. Laufzeit und Kündigung
12.1. Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft und endet automatisch mit dessen Beendigung.
12.2. Die Pflichten aus diesem AVV, insbesondere die Geheimhaltungspflichten, bestehen auch nach Vertragsende fort.
13. Anwendbares Recht
Auf diesen AVV findet österreichisches Recht Anwendung. Gerichtsstand ist Wien.
14. Schlussbestimmungen
14.1. Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
14.2. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
14.3. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV in Bezug auf den Datenschutz vor.
Kontakt für Fragen zum AVV:
Elias Ratt
E-Mail: datenschutz@billcraft.app