Auftragsverarbeitungsvertrag

§ 1 Gegenstand und Dauer

1. Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer (Factora) im Auftrag des Auftraggebers (Kunde) im Rahmen der Nutzung der E-Rechnungs-Software Factora.
2. Dieser AVV tritt mit Abschluss des Hauptvertrages (AGB) in Kraft und gilt für die gesamte Dauer der Vertragsbeziehung.
3. Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieses AVV nicht darüber hinausgehende Verpflichtungen ergeben.

§ 2 Art und Zweck der Verarbeitung

1. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:
   • Bereitstellung und Betrieb der E-Rechnungs-Software
   • Erstellung, Verarbeitung und Versand von elektronischen Rechnungen
   • Archivierung von Rechnungen und Geschäftsdokumenten
   • Verwaltung von Kunden- und Lieferantenstammdaten
   • Technischer Support und Fehlerbehebung
   • Erstellung und Verwaltung von Datensicherungen (Backups)
2. Die Verarbeitung erfolgt ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers, einschließlich der in diesem AVV festgelegten Zwecke.

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Arten personenbezogener Daten verarbeitet:

• Stammdaten: Name, Firmenbezeichnung, Anschrift, Steuernummer, USt-IdNr.
• Kontaktdaten: E-Mail-Adresse, Telefonnummer, Ansprechpartner
• Vertragsdaten: Vertragsnummer, Kundennummer, Tarifdetails
• Zahlungsdaten: Bankverbindung, Zahlungsreferenzen (soweit in Rechnungen enthalten)
• Rechnungsinhalte: Leistungsbeschreibungen, Beträge, Steuersätze, Rechnungsnummern
• Nutzungsdaten: Zugriffszeiten, IP-Adressen, Protokolldaten

§ 4 Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

• Kunden und Rechnungsempfänger des Auftraggebers
• Lieferanten und Geschäftspartner des Auftraggebers
• Mitarbeiter und Benutzer des Auftraggebers
• Ansprechpartner bei Geschäftspartnern des Auftraggebers

§ 5 Pflichten des Auftragnehmers

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers. Ist der Auftragnehmer durch das Recht der Union oder der Mitgliedstaaten zu einer darüber hinausgehenden Verarbeitung verpflichtet, teilt er dies dem Auftraggeber vor der Verarbeitung mit.
2. Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen (Art. 15-22 DSGVO) im Rahmen seiner technischen und organisatorischen Möglichkeiten.
4. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten, insbesondere im Hinblick auf die Sicherheit der Verarbeitung, die Meldepflicht bei Datenschutzverletzungen und die Datenschutz-Folgenabschätzung.
5. Nach Beendigung der Auftragsverarbeitung löscht der Auftragnehmer sämtliche personenbezogene Daten oder gibt sie an den Auftraggeber zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.

§ 6 Technische und organisatorische Maßnahmen

1. Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten:
   • Verschlüsselung: TLS 1.3 für Datenübertragung, AES-256 für Daten im Ruhezustand
   • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (RBAC) mit Least-Privilege-Prinzip
   • Datensicherung: Tägliche verschlüsselte Backups mit 30 Tagen Aufbewahrung
   • Protokollierung: Vollständiger Audit-Trail aller datenschutzrelevanten Zugriffe und Änderungen
   • Patch-Management: Regelmäßige Sicherheitsupdates und Schwachstellenscans
   • Serverstandort: Ausschließlich Rechenzentren der Hetzner Online GmbH in Deutschland
   • Mandantentrennung: Strikte logische Trennung der Kundendaten im Multi-Tenant-System
   • Mitarbeiterschulung: Regelmäßige Datenschutzschulungen für alle Mitarbeiter mit Datenzugang
2. Der Auftragnehmer ist berechtigt, die technischen und organisatorischen Maßnahmen während der Laufzeit des Vertrages anzupassen, sofern das Schutzniveau nicht unterschritten wird.

§ 7 Subunternehmer

1. Zum Zeitpunkt des Vertragsschlusses setzt der Auftragnehmer folgende Subunternehmer ein:

   Unternehmen	Leistung	Standort
   Hetzner Online GmbH	Hosting und Serverinfrastruktur	Falkenstein, Deutschland
   Stripe, Inc.	Zahlungsabwicklung	EU

2. Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern.
3. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Information widersprechen, sofern ein berechtigtes Interesse besteht.
4. Der Auftragnehmer stellt sicher, dass Subunternehmer dieselben Datenschutzpflichten erfüllen, die in diesem AVV festgelegt sind.

§ 8 Rechte des Auftraggebers

1. Der Auftraggeber hat das Recht, sich von der Einhaltung der in diesem AVV getroffenen Regelungen und der datenschutzrechtlichen Vorgaben zu überzeugen.
2. Der Auftragnehmer ermöglicht dem Auftraggeber die Durchführung von Überprüfungen, einschließlich Inspektionen, und stellt die erforderlichen Informationen zur Verfügung. Die Kosten der Überprüfung trägt der Auftraggeber.
3. Der Auftraggeber hat das Recht, jederzeit Auskunft über die getroffenen technischen und organisatorischen Maßnahmen zu verlangen.
4. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung des Auftraggebers nach Einschätzung des Auftragnehmers gegen Datenschutzrecht verstößt.
5. Der Auftraggeber bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften, insbesondere für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich.

§ 9 Mitteilungspflichten

1. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen.
2. Der Auftragnehmer unterstützt den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO sowie bei der vorherigen Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO, soweit dies erforderlich ist.
3. Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.
4. Die Meldung einer Datenschutzverletzung enthält mindestens folgende Angaben:
   • Art der Verletzung und betroffene Datenkategorien
   • Anzahl der betroffenen Personen und Datensätze (soweit bekannt)
   • Wahrscheinliche Folgen der Verletzung
   • Ergriffene und vorgeschlagene Maßnahmen zur Behebung
   • Kontaktdaten eines Ansprechpartners für weitere Informationen

§ 10 Löschung und Rückgabe von Daten

1. Nach Beendigung des Hauptvertrages löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Auftraggebers zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
2. Der Auftraggeber hat nach Vertragsende 30 Tage Zeit, seine Daten über die Exportfunktion der Software in einem gängigen Format (CSV, JSON, PDF) zu exportieren.
3. Nach Ablauf der 30-Tage-Frist werden die Daten des Auftraggebers automatisch und unwiderruflich gelöscht.
4. In Backups enthaltene personenbezogene Daten werden im Rahmen der regulären Backup-Rotation gelöscht, spätestens jedoch 30 Tage nach Löschung der Produktivdaten.
5. Die vollständige Löschung wird dem Auftraggeber auf Anfrage schriftlich bestätigt.

§ 11 Haftung

1. Die Haftung des Auftragnehmers richtet sich nach Art. 82 DSGVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
2. Der Auftragnehmer ist von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
3. Im Übrigen gelten die Haftungsregelungen des Hauptvertrages (AGB) ergänzend.

§ 12 Schlussbestimmungen

1. Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Textformerfordernis.
2. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
3. Es gilt das Recht der Bundesrepublik Deutschland.
4. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.