Auftragsverarbeitungsvertrag (AVV)

1.1. Der Verantwortliche (Nutzer von NiemieckaFaktura.de) beauftragt den Auftragsverarbeiter (Betreiber von NiemieckaFaktura.de) mit der Verarbeitung personenbezogener Daten zur Erbringung der E-Rechnungsdienste.

1.2. Der Vertrag gilt für die Laufzeit des Nutzungsvertrags sowie für gesetzliche Aufbewahrungsfristen (bis zu 8 Jahre gemäß §257 Abs. 4 HGB, BEG IV).

2.1. Zweck: Rechnungsstellung, Archivierung, Versand, Support, Kontoführung, Zahlungsabwicklung, ZUGFeRD-Validierung, Datenexport, USt-IdNr.-Validierung (VIES).

2.2. Datenkategorien:

- Identifikationsdaten (Name, E-Mail, Benutzer-ID)

- Unternehmensdaten (Firma, Adresse, Steuernummer, USt-IdNr., IBAN)

- Kundendaten (Kontrahenten und deren Ansprechpartner)

- Rechnungsinhalte und -dokumente (PDF, XML)

- Zahlungsdaten (über Stripe)

- Technische Logs und Sicherheitsdaten

2.3. Betroffene Personen: Nutzer, deren Kunden (Kontrahenten), Ansprechpartner.

3.1. Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.

3.2. Verpflichtung zur Vertraulichkeit für alle mit der Verarbeitung befassten Personen.

3.3. Implementierung angemessener technischer und organisatorischer Maßnahmen (TOMs).

3.4. Unterstützung bei der Erfüllung der Betroffenenrechte.

3.5. Unverzügliche Meldung von Datenschutzverletzungen (binnen 72 Stunden).

3.6. Löschung oder Rückgabe der Daten nach Vertragsende (soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen).

4.1. Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Google Cloud / Firebase (EU - Frankfurt, europe-west3)

- Hosting, Authentifizierung, Datenbank (Firestore), Dateispeicherung

- DPA: https://firebase.google.com/terms/data-processing-terms

Stripe Inc. (US mit EU-Safeguards)

- Zahlungsabwicklung und Abonnementverwaltung

- DPA: https://stripe.com/legal/dpa

Sentry (US/EU)

- Fehlermonitoring und Anwendungsstabilität

- DPA: https://sentry.io/legal/dpa/

Google Gemini AI (US)

- KI-Assistent zur Textverbesserung (optional, nur bei Aktivierung)

- DPA: https://cloud.google.com/terms/data-processing-addendum

OpenIBAN (EU)

- IBAN-Validierung und BIC-Ermittlung (optional)

EU VIES Service (EU)

- USt-IdNr.-Validierung (Europäische Kommission)

4.2. Der Verantwortliche wird mindestens 30 Tage vor dem Einsatz eines neuen Unterauftragsverarbeiters per E-Mail oder über die Anwendung informiert.

4.3. Der Verantwortliche hat das Recht, innerhalb von 30 Tagen nach Mitteilung Widerspruch gegen den Einsatz eines neuen Unterauftragsverarbeiters einzulegen.

5.1. Primäre Datenverarbeitung erfolgt in der EU (Firebase europe-west3, Frankfurt).

5.2. Bei Transfers außerhalb des EWR gelten EU-Standardvertragsklauseln (SCC) oder das EU-US Data Privacy Framework (DPF).

5.3. Betroffene Dienste: Stripe, Sentry, Google AI - alle mit anerkannten Garantien.

6.1. Verschlüsselung:

- TLS 1.2+ für alle Datenübertragungen

- AES-256 Verschlüsselung im Ruhezustand (Firebase)

6.2. Zugriffskontrolle:

- Firebase Authentication mit E-Mail/Passwort und Google Sign-In

- Optionale biometrische Authentifizierung (Android)

- Rollenbasierte Zugriffskontrolle (Firestore Security Rules)

6.3. Datensicherung:

- Automatische Firebase-Backups

- GoBD-konforme Unveränderlichkeit finalisierter Rechnungen

- SHA-256 Hash zur Integritätsprüfung

6.4. Schutzmaßnahmen:

- Firebase App Check / reCAPTCHA

- Rate Limiting für API-Aufrufe

- Umgebungstrennung (Produktion/Test)

7.1. Der Verantwortliche hat das Recht auf Überprüfung der Einhaltung dieses Vertrags.

7.2. Audits erfolgen nach vorheriger Abstimmung, maximal einmal jährlich.

7.3. Alternativ kann ein aktuelles Zertifikat oder Prüfbericht angefordert werden.

8.1. Nach Vertragsende werden Daten gelöscht oder auf Wunsch exportiert.

8.2. Ausnahme: Gesetzliche Aufbewahrungspflichten (Rechnungen 8 Jahre gemäß §257 Abs. 4 HGB, BEG IV).

8.3. Die Löschung erfolgt gemäß den technischen Möglichkeiten der eingesetzten Systeme.

8a.1. Datenexport (Rückgabe):

- Format: JSON, CSV oder PDF (je nach Datentyp)

- Umfang: Alle vom Nutzer erstellten Daten (Rechnungen, Kontrahenten, Firmendaten)

- Anforderung: Über Einstellungen → "Daten exportieren" oder per E-Mail an datenschutz@niemieckafaktura.de

- Frist: Bereitstellung innerhalb von 30 Tagen nach Anforderung

8a.2. Datenlöschung:

- Kontodaten: Löschung innerhalb von 30 Tagen nach Kontolöschung

- Rechnungsdaten: Nach Ablauf der gesetzlichen Aufbewahrungsfrist (8 Jahre, BEG IV)

- Systemprotokolle: Automatische Löschung nach 14 Tagen

- Backups: Rotation nach 30 Tagen, vollständige Löschung nach 90 Tagen

8a.3. Löschbestätigung:

- Auf Anfrage wird eine schriftliche Bestätigung der Löschung ausgestellt

- Kontakt: datenschutz@niemieckafaktura.de

8a.4. Technische Umsetzung:

- Firebase Firestore: Dokumentenlöschung mit Kaskadierung

- Firebase Storage: Dateientfernung aus allen Speicherorten

- Authentifizierungsdaten: Löschung über Firebase Authentication Admin SDK

9.1. Die Haftung richtet sich nach den Bestimmungen der DSGVO und den AGB.

9.2. Beide Parteien haften für Schäden durch schuldhaft verursachte Verstöße gegen diese Vereinbarung.

Bei Fragen zur Auftragsverarbeitung:

E-Mail: datenschutz@niemieckafaktura.de

Adresse: siehe Impressum