Mustertext. Dieser AVV ist ein Muster und ersetzt keine Rechtsberatung. Vor Abschluss wird eine rechtliche Prüfung empfohlen.

Rechtliches

Auftragsverarbeitungsvertrag

Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO · Stand: 31. Mai 2026

Auftraggeber (Verantwortlicher)

Der Kunde, der Belegluchs nutzt — wie im Hauptvertrag bzw. im Konto hinterlegt.

Auftragnehmer (Auftragsverarbeiter)

digitise-IT GmbH, Kaiserstr. 68, 72184 Eutingen im Gäu — Betreiberin von Belegluchs, vertreten durch Jochen Zimmermann.

1. Gegenstand und Dauer des Auftrags

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen zwischen dem Kunden als Verantwortlichem (nachfolgend „Auftraggeber“) und der digitise-IT GmbH als Auftragsverarbeiter (nachfolgend „Auftragnehmer“) im Rahmen der Nutzung der SaaS „Belegluchs“.

  1. Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb von Belegluchs zur automatischen Zuordnung von Kreditkartenabrechnungen und Belegen sowie der damit verbundenen Funktionen.
  2. Die Dauer dieses AVV entspricht der Laufzeit des zugrunde liegenden Hauptvertrags (Nutzungsvertrag / AGB). Die Verarbeitung endet mit der vollständigen Löschung bzw. Rückgabe der Daten.

2. Art, Umfang und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen.

  1. Art der Verarbeitung: Erheben, Speichern, Auslesen, Auswerten (Reconciliation), Übermitteln an Subprozessoren, Löschen.
  2. Zweck: Zuordnung von Abrechnungspositionen zu Belegen, Nachforderung fehlender Belege, Freigabe- und Exportprozesse sowie Vertrags- und Rechnungsverwaltung.
  3. Betroffene Personenkreise: Mitarbeitende, Karteninhaber und sonstige Nutzer des Auftraggebers.
  4. Kategorien personenbezogener Daten: Stammdaten, Karten- und Abrechnungsdaten (ohne vollständige PAN), Belegdaten, Vertrags-/Rechnungsdaten, Nutzungs- und Protokolldaten.

3. Weisungsrecht des Auftraggebers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, sofern er nicht durch das Recht der EU oder eines Mitgliedstaats hierzu verpflichtet ist.
  2. Weisungen werden grundsätzlich in Textform erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
  3. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Auftraggeber unverzüglich.

4. Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten (Transport- und ruhende Verschlüsselung, TLS 1.2+).
  2. Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme (u. a. mandantengetrennte Speicherung pro Organisation, rollenbasierte Zugriffskontrolle, Audit-Logging).
  3. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.
  4. Verfahren zur raschen Wiederherstellung der Verfügbarkeit nach einem Zwischenfall (Backups, Notfallkonzept).
  5. Die jeweils gültige Fassung der TOM ist als Anlage Bestandteil dieses AVV und wird dem Auftraggeber auf Anfrage zur Verfügung gestellt.

5. Vertraulichkeit

  1. Der Auftragnehmer setzt zur Verarbeitung nur Personen ein, die auf die Vertraulichkeit verpflichtet und mit den einschlägigen Datenschutzbestimmungen vertraut gemacht wurden.
  2. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Auftrags fort.

6. Einsatz von Subunternehmern (Subprozessoren)

  1. Der Auftraggeber stimmt dem Einsatz der nachfolgend gelisteten weiteren Auftragsverarbeiter zu. Mit jedem Subprozessor wird ein Vertrag geschlossen, der die Pflichten dieses AVV wahrt; bei Drittlandsübermittlungen werden geeignete Garantien (z. B. EU-Standardvertragsklauseln) sichergestellt.
  2. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Subprozessoren. Dem Auftraggeber steht insoweit ein Widerspruchsrecht aus wichtigem Grund zu.
SubprozessorZweckStandort
Hosting & Infrastruktur (EU)Betrieb der Anwendung, Datenbank und Object-StorageArt. 28 DSGVO — keine DrittlandsübermittlungEuropäische Union (Deutschland/EU)
DTS — digitise-IT GmbH (Abrechnung)Vertrags- und Rechnungsverwaltung, Zahlungssteuerung (Billing-System DTS)Art. 28 DSGVODeutschland (Hosting in der EU)
Mollie B.V. (Zahlungsabwicklung)Abwicklung von Online-Zahlungen und ZahlungsmandatenArt. 28 DSGVOEU (Niederlande)
Anthropic PBC (KI-Extraktion)KI-gestützte Extraktion von Beleg- und PositionsdatenArt. 28 i. V. m. Art. 46 DSGVO (SCC)USA (EU-U.S. DPF / EU-Standardvertragsklauseln)
E-Mail-Versanddienst (EU)Versand transaktionaler und Nachforderungs-E-MailsArt. 28 DSGVOEuropäische Union

Dieselben Subprozessoren sind auch in der Datenschutzerklärung aufgeführt.

7. Unterstützung bei Betroffenenrechten

  1. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung von Anträgen betroffener Personen (Art. 15 bis 22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.
  2. Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter.

8. Mitwirkungs- und Meldepflichten

  1. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
  2. Verletzungen des Schutzes personenbezogener Daten meldet der Auftragnehmer dem Auftraggeber unverzüglich, in der Regel innerhalb von 48 Stunden nach Kenntniserlangung.

9. Nachweis- und Kontrollrechte

  1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung.
  2. Der Auftraggeber ist berechtigt, sich von der Einhaltung der Maßnahmen zu überzeugen — vorrangig durch geeignete Nachweise (z. B. Zertifikate, Auditberichte), bei Bedarf durch angekündigte Prüfungen zu üblichen Geschäftszeiten.

10. Löschung und Rückgabe von Daten

  1. Nach Abschluss der Verarbeitungsleistungen löscht oder gibt der Auftragnehmer — nach Wahl des Auftraggebers — alle personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  2. Der Auftraggeber kann seine Daten über die bereitgestellten Exportfunktionen innerhalb von 30 Tagen nach Vertragsende selbst abrufen.
  3. Buchungs- und belegrelevante Daten, die gesetzlichen Aufbewahrungsfristen (insbesondere 10 Jahre nach § 147 AO, § 257 HGB und den GoBD) unterliegen, werden bis zum Ablauf dieser Fristen gespeichert und sodann gelöscht.