Datenschutz · Art. 28 DSGVO
Auftragsverarbeitungsvertrag (AVV)
Vertrag nach Art. 28 Abs. 3 DSGVO für die Nutzung des XRechnung-/ZUGFeRD-Validators als B2B-Service — inklusive technischer und organisatorischer Maßnahmen sowie Subprozessoren-Liste. Der Vertragstext wird auf Anfrage individuell zugesendet.
AVV auf Anfrage — gerne und unkompliziert
Wir versenden den Auftragsverarbeitungsvertrag derzeit nicht als anonymen Self-Service-Download, sondern individuell auf Anfrage. Schreib uns kurz, in welchem Rahmen du den Validator-Service einsetzen möchtest — wir senden dir den AVV-Mustertext anschließend vorausgefüllt mit unseren Daten als PDF und Markdown zu. Du gegenzeichnest und sendest die finale Fassung zurück.
- → Antwort werktags innerhalb von 24 Stunden
- → Kein Sales-Call, keine Pflichtangaben
- → Versand als PDF + Markdown
- → Anpassungen vor Unterzeichnung möglich
Inhaltsübersicht
Was im AVV geregelt ist
Der Vertragstext folgt den Anforderungen des Art. 28 DSGVO. Diese acht Punkte sind enthalten:
Vertragsparteien & Rollen
Klare Trennung zwischen Verantwortlichem (B2B-Kunde) und Auftragsverarbeiter (Matthias Meier, e-rechnung-vorlage.de). AVV gilt ausschließlich für den B2B-/API-Service.
Gegenstand, Dauer & Zweck
XRechnung-/ZUGFeRD-/Factur-X-Validierung gegen EN 16931, Schematron-Regeln und Codelisten — ausschließlich zur Bereitstellung des Validierungsdienstes. Keine Nutzung zu Werbung, Profiling oder KI-Training.
Ort der Verarbeitung
EU-Hosting bei netcup GmbH am Serverstandort Wien (Österreich). Kein Drittlandtransfer von Rechnungsinhalten.
Datenkategorien & Betroffene
Rechnungs- und Geschäftsdaten, Kontaktdaten, Finanz- und Steuerdaten, technische Metadaten sowie Validierungsberichte. Keine besonderen Kategorien nach Art. 9 DSGVO.
Löschkonzept
Kostenloser Web-Validator: 5 Minuten. B2B-API-Service: 0 Minuten bis 30 Tage konfigurierbar. Server-Logs anonymisiert, 14 Tage Frist.
TOMs nach Art. 32 DSGVO
HTTPS+HSTS, AES-256-GCM für Uploads, SSH-Key-only, Root-Login deaktiviert, restriktive Firewall, 2FA am Hosting-Account, IP-Anonymisierung.
Unterauftragnehmer
netcup (Hosting, EU), Dynadot (DNS, USA — kein Zugriff auf Rechnungsdaten), Google Analytics (nur Marketing-Website, nach Einwilligung). Kein Cloudflare, kein externer Mail-Provider, keine KI-/OCR-Dienste.
Datenpannen & Audit
Mitteilung von Verletzungen innerhalb 48 Stunden nach Kenntnisnahme. Kontroll- und Auskunftsrechte gemäß Art. 28 Abs. 3 lit. h DSGVO, Vor-Ort-Prüfung einmal pro Kalenderjahr.
Du brauchst eine gegengezeichnete Version?
Sobald du als zahlender Business-Kunde startest, erhältst du den AVV vorausgefüllt mit deinen Stammdaten als signiertes PDF. Gegenzeichnen und zurücksenden — fertig.