BelegImport
Dashboard
Stand: 2026-05-12

Auftragsverarbeitungsvertrag (AVV)

AVV gemäß Art. 28 DSGVO zwischen BelegImport und seinen Nutzern – rechtliche Grundlage für die Verarbeitung personenbezogener Daten im Auftrag.

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird gemäß Art. 28 DSGVO zwischen Nico Genz IT Solutions, Kämpfenstraße 2/3 78315 Radfolzell am Bodensee Deutschland (nachfolgend „Auftragsverarbeiter") und dem jeweiligen Nutzer der Plattform BelegImport, der im Rahmen seiner beruflichen oder gewerblichen Tätigkeit personenbezogene Daten Dritter verarbeitet (nachfolgend „Verantwortlicher"), geschlossen.

Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) und gilt automatisch, sobald der Verantwortliche über BelegImport Dokumente verarbeitet, die personenbezogene Daten Dritter enthalten.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand: Der Auftragsverarbeiter erbringt für den Verantwortlichen den Dienst BelegImport zur Konvertierung von PDF-Dokumenten in strukturierte CSV-Dateien. Dabei können in den hochgeladenen Dokumenten personenbezogene Daten Dritter enthalten sein (z. B. Namen, Kontonummern, Transaktionsdaten von Mandanten oder Geschäftspartnern).

Dauer: Die Verarbeitung erfolgt für die Dauer der Vertragsbeziehung gemäß den AGB. Mit Beendigung des Vertrags endet auch dieser AVV.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst die maschinelle Extraktion strukturierter Daten aus PDF-Dokumenten (Lesen, Analysieren, Strukturieren) zum Zweck der Bereitstellung eines CSV-Exports an den Verantwortlichen. Eine darüber hinausgehende Verarbeitung, Speicherung oder Nutzung der Daten durch den Auftragsverarbeiter findet nicht statt.

3. Art der personenbezogenen Daten und Kategorien betroffener Personen

Kategorien betroffener Personen: Kunden, Mandanten, Geschäftspartner oder sonstige natürliche Personen, deren Daten in den hochgeladenen Dokumenten enthalten sind.

Kategorien personenbezogener Daten: Die Art der Daten richtet sich nach dem Inhalt der hochgeladenen Dokumente. Typischerweise handelt es sich um:

  • Name und Adresse von natürlichen Personen
  • Bankverbindungen und Transaktionsdaten (IBAN, Kontonummern, Beträge)
  • Steuerliche Identifikationsnummern
  • Rechnungs- und Buchungspositionen

Der Auftragsverarbeiter hat keinen Einblick in die konkrete inhaltliche Bedeutung der verarbeiteten Daten.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 29 DSGVO);
  • sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Schweigepflicht unterliegen;
  • alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe Abschnitt 7);
  • die Bedingungen dieses AVV bei der Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (Art. 28 Abs. 2 und 4 DSGVO);
  • den Verantwortlichen nach Möglichkeit dabei zu unterstützen, seinen Pflichten gemäß Art. 32–36 DSGVO nachzukommen;
  • nach Beendigung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben und vorhandene Kopien zu vernichten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht;
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen.

5. Pflichten des Verantwortlichen

Der Verantwortliche ist verantwortlich für:

  • die Rechtmäßigkeit der Übermittlung personenbezogener Daten an den Auftragsverarbeiter;
  • die Einholung etwaig erforderlicher Einwilligungen betroffener Personen;
  • die Richtigkeit und Vollständigkeit der hochgeladenen Dokumente;
  • die unverzügliche Information des Auftragsverarbeiters über Änderungen der Verarbeitungsweisungen.

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung weiterer Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragsverarbeitern, wodurch dem Verantwortlichen die Möglichkeit gegeben wird, Einwände gegen solche Änderungen zu erheben.

Die aktuell eingesetzten Unterauftragsverarbeiter sind unter /unterauftragsverarbeiter aufgeführt.

Alle Unterauftragsverarbeiter werden vertraglich zu denselben Datenschutzverpflichtungen verpflichtet, wie sie in diesem AVV festgelegt sind.

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen implementiert, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese umfassen insbesondere:

Vertraulichkeit:

  • Verschlüsselung der Datenübertragung (TLS 1.2 oder höher)
  • Verschlüsselung gespeicherter Daten
  • Zugriffskontrolle und rollenbasierte Berechtigungsvergabe
  • Vertraulichkeitsverpflichtungen für alle Mitarbeiter mit Datenzugang

Integrität:

  • Protokollierung von Zugriffen und Verarbeitungsvorgängen
  • Maßnahmen zur Verhinderung unbefugter Datenveränderung

Verfügbarkeit:

  • Hosting auf zertifizierter Infrastruktur bei Render Services, Inc. (Standort Frankfurt, EU)
  • Regelmäßige Datensicherungen

Zero Data Retention (KI-Verarbeitung):

  • Die KI-gestützte Dokumentenverarbeitung erfolgt über Mistral AI mit vertraglicher Zero-Data-Retention-Vereinbarung: Dokumente werden nicht gespeichert, nicht für Modelltraining verwendet und nach der Verarbeitung sofort gelöscht.

8. Meldung von Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, unter: [email protected]

Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit diese zum Zeitpunkt der Meldung bekannt sind.

9. Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der Datenschutzvorschriften und der Bestimmungen dieses AVV durch den Auftragsverarbeiter in angemessenem Umfang zu kontrollieren. Kontrollen sind mit angemessener Vorankündigung (mindestens 5 Werktage) durchzuführen und dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen.

Der Auftragsverarbeiter ist alternativ berechtigt, Nachweise durch aktuelle Zertifizierungen oder Auditberichte anerkannter externer Prüfer zu erbringen.

10. Schlussbestimmungen

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Änderungen dieses AVV bedürfen der Schriftform. Im Übrigen gelten die AGB des Anbieters.

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.