Auftragsverarbeitungsvertrag
Vereinbarung gemäß Art. 28 DSGVO zwischen dem Nutzer (Verantwortlicher) und dem Anbieter (Auftragsverarbeiter).
§ 1 Gegenstand und Dauer
(1) Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung des Dienstes „Benno“ gemäß den Allgemeinen Geschäftsbedingungen (im Folgenden „Hauptvertrag“).
(2) Auftraggeber (Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO) ist der Nutzer des Dienstes. Auftragnehmer (Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO) ist die Benno UG (haftungsbeschränkt).
(3) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrags.
§ 2 Art und Zweck der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zum Zweck der:
- Erstellung von Rechnungen auf Basis der vom Auftraggeber übermittelten Daten
- Speicherung und Verwaltung von Kundenstammdaten des Auftraggebers
- Generierung von PDF-Rechnungen und ZUGFeRD-XML-Dokumenten
- Versendung fertiger Rechnungen über WhatsApp an den Auftraggeber
- Bereitstellung eines DATEV-Exports der Rechnungsdaten
§ 3 Art der Daten und betroffene Personen
(1) Kategorien personenbezogener Daten:
- Vor- und Nachname der Rechnungsempfänger
- Rechnungsanschriften
- Umsatzsteuer-Identifikationsnummern (USt-IdNr.)
- Rechnungspositionen und -beträge
- Telefonnummern der Mitarbeitenden des Auftraggebers (bei Multi-Phone-Nutzung)
(2) Kategorien betroffener Personen:
- Kunden des Auftraggebers (Rechnungsempfänger)
- Mitarbeitende des Auftraggebers (bei Team-Tarif)
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich.
(2) Der Auftraggeber erteilt dem Auftragnehmer Weisungen hinsichtlich der Verarbeitung. Die Weisungen bei Vertragsschluss ergeben sich aus diesem AVV und dem Hauptvertrag. Darüber hinausgehende Weisungen bedürfen der Textform.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
§ 5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zu einer anderen Verarbeitung verpflichtet.
(2) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35–36 DSGVO), soweit dies erforderlich ist.
(4) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 DSGVO).
(5) Der Auftragnehmer informiert den Auftraggeber, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstößt.
§ 6 Unterauftragsverarbeiter
(1) Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting und Backups | Deutschland |
| Mistral AI | KI-gestützte Rechnungsdatenextraktion | Frankreich |
| Eigener GPU-Server | Sprachtranskription (Whisper, selbst gehostet) | EU (Hetzner) |
| Meta Platforms | WhatsApp Cloud API (Nachrichtenzustellung) | EU/USA (EU-US DPF) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland |
| Google Ireland Ltd. | Google Workspace (E-Mail-Kommunikation: Support, Datenschutzanfragen) | Irland (EU-US DPF) |
| Sentry (Functional Software Inc.) | Fehlerüberwachung | Deutschland |
(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann innerhalb von zwei Wochen nach Zugang der Information widersprechen. Im Falle eines berechtigten Widerspruchs kann jede Partei den Vertrag außerordentlich kündigen.
(3) Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten wie in diesem AVV vereinbart (Art. 28 Abs. 4 DSGVO).
§ 7 Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft folgende Maßnahmen gemäß Art. 32 DSGVO:
- Verschlüsselung: IBAN und Steuernummer werden mittels Fernet-Verschlüsselung gespeichert. Alle Verbindungen sind TLS-verschlüsselt.
- Zugangskontrolle: PostgreSQL Row-Level Security stellt sicher, dass jeder Nutzer ausschließlich seine eigenen Daten sehen und bearbeiten kann.
- Verfügbarkeit: Tägliche verschlüsselte Backups (BorgBackup). Wiederherstellungstests werden regelmäßig durchgeführt.
- Integrität: Bestätigte Rechnungen werden mit einem Content-Hash gegen nachträgliche Änderung gesichert (GoBD).
- Datenminimierung: An den LLM-Dienstleister werden ausschließlich die für die Extraktion erforderlichen Daten übermittelt. Adressen, Bankdaten und Steuernummern der Rechnungsempfänger werden nicht an den LLM übermittelt.
- EU-Verarbeitung: Server, LLM und Spracherkennung werden ausschließlich innerhalb der EU betrieben.
§ 8 Kontrollrechte
(1) Der Auftraggeber hat das Recht, die Einhaltung dieses AVV zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).
(2) Inspektionen vor Ort sind mit angemessener Vorlaufzeit (mindestens zwei Wochen) anzumelden und dürfen den Geschäftsbetrieb nicht unangemessen beeinträchtigen.
§ 9 Löschung und Rückgabe
(1) Nach Beendigung des Hauptvertrags stellt der Auftragnehmer dem Auftraggeber sämtliche im Auftrag verarbeiteten Daten in einem maschinenlesbaren Format zur Verfügung (CSV, PDF). Die Exportfrist beträgt 30 Tage.
(2) Nach Ablauf der Exportfrist löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(3) Bestätigte Rechnungen unterliegen der Aufbewahrungspflicht nach § 147 Abs. 3 AO und werden gemäß Art. 17 Abs. 3 lit. b DSGVO nicht gelöscht. Personenbezogene Daten auf diesen Rechnungen (Empfängername, Anschrift) bleiben als Bestandteil des Buchungsbelegs erhalten; alle übrigen personenbezogenen Daten werden anonymisiert.
(4) Verschlüsselte Backups können gelöschte Daten enthalten. Eine gezielte Löschung einzelner Datensätze aus verschlüsselten Backups ist technisch nicht möglich (Art. 17 Abs. 3 lit. b DSGVO).
§ 10 Schlussbestimmungen
(1) Dieser AVV tritt mit Annahme der AGB in Kraft und gilt für die Dauer des Hauptvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Pflichten aus § 9.
(2) Änderungen dieses AVV bedürfen der Textform.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
Stand: Mai 2026