Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO

Mustervorlage für Belegify – Stand: 30. April 2026

zwischen

dem Kunden, mit dem unter https://belegify.app abgeschlossenen Hauptvertrag identifizierten Vertragspartner

– nachfolgend „Verantwortlicher" –

und

Comms Connect GmbH Tal 30, 80331 München, Deutschland vertreten durch den Geschäftsführer Rainer Roloff HRB 295951, Amtsgericht München USt-IdNr.: DE451966748 E-Mail: privacy@belegify.app Telefon: +49 89 4522 1556

– nachfolgend „Auftragsverarbeiter" –

– gemeinsam auch „Parteien" –

Präambel

Die Parteien haben einen Hauptvertrag über die Nutzung der Software-as-a-Service-Anwendung „Belegify" geschlossen (nachfolgend „Hauptvertrag"). Im Rahmen der Erbringung dieses Dienstes verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Mit diesem Vertrag konkretisieren die Parteien ihre datenschutzrechtlichen Verpflichtungen gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer des Auftrags

1.1 Gegenstand

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Belegify-Anwendung gemäß den Bestimmungen des Hauptvertrags.

1.2 Dauer

Dieser Vertrag tritt mit Wirksamwerden des Hauptvertrags in Kraft und endet mit dessen Beendigung. § 11 dieses Vertrags bleibt unberührt.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu folgenden Zwecken:

• Erfassung von Belegen (Foto, Sprachaufnahme, E-Mail);
• automatische Texterkennung (OCR) und KI-gestützte Extraktion strukturierter Belegdaten;
• Erstellung GoBD-konformer PDF-Belege;
• Versand der erzeugten Belege an die vom Verantwortlichen konfigurierte DATEV-Belegmail- oder andere E-Mail-Empfangsadresse;
• revisionssichere Speicherung der Originaldateien sowie kryptografischer Hashwerte gemäß § 147 AO über zehn (10) Jahre;
• Bereitstellung von Authentifizierung, Zugriffsverwaltung und Auswertungen für den Verantwortlichen;
• Bereitstellung von Support für den Verantwortlichen.

Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragsverarbeiters findet – außerhalb der für den Betrieb erforderlichen Zwecke wie Abrechnung, IT-Sicherheit und Erfüllung gesetzlicher Pflichten – nicht statt.

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind insbesondere folgende Datenarten:

• Bild-, Audio- und Textdaten der eingereichten Belege;
• Belegmetadaten (Datum, Betrag, Steuersätze, Lieferant, Kategorie);
• Bewirtungs- und Teilnehmerdaten (Namen, ggf. Funktion, Anlass);
• Stammdaten der Geschäftspartner und Kunden des Verantwortlichen, soweit aus Belegen ersichtlich;
• Kontakt- und Authentifizierungsdaten der für den Verantwortlichen tätigen Personen (Name, E-Mail, Telefon, Telegram-User-ID);
• Mandanten- und Steuerberater-Stammdaten.

§ 4 Kategorien betroffener Personen

Betroffene Personen sind insbesondere:

• Mitarbeiter:innen, freie Mitarbeiter:innen und Beauftragte des Verantwortlichen;
• Geschäftspartner, Lieferanten und Kunden des Verantwortlichen;
• Bewirtungsteilnehmer:innen;
• Mandant:innen und sonstige Personen, deren Daten in Belegen enthalten sind.

§ 5 Pflichten des Auftragsverarbeiters

5.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen. Der Hauptvertrag, dieser AVV sowie die in der Anwendung getätigten Konfigurationen gelten als dokumentierte Weisungen. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, wird er den Verantwortlichen unverzüglich darauf hinweisen.

5.2 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sämtliche mit der Verarbeitung betrauten Personen schriftlich auf Vertraulichkeit, soweit nicht bereits eine angemessene gesetzliche Verschwiegenheitspflicht besteht.

5.3 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Er ist berechtigt, diese Maßnahmen weiterzuentwickeln, sofern das Schutzniveau der vereinbarten Maßnahmen nicht unterschritten wird.

5.4 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DSGVO sowie bei der Beantwortung von Anträgen betroffener Personen gemäß Kapitel III DSGVO.

5.5 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten, die im Verantwortungsbereich des Auftragsverarbeiters oder eines Sub-Auftragsverarbeiters auftritt. Die Mitteilung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit verfügbar.

5.6 Datenschutz-Folgenabschätzung

Der Auftragsverarbeiter unterstützt den Verantwortlichen auf dessen begründete Anfrage bei einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) sowie bei vorheriger Konsultation der Aufsichtsbehörde (Art. 36 DSGVO) durch Bereitstellung der zur Beurteilung erforderlichen Informationen.

5.7 Verzeichnis von Verarbeitungstätigkeiten

Der Auftragsverarbeiter führt ein Verzeichnis der für den Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.

5.8 Datenschutzkontaktstelle

Datenschutzanfragen können an privacy@belegify.app gerichtet werden.

§ 6 Pflichten des Verantwortlichen

Der Verantwortliche bleibt im Rahmen dieses Vertrags verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften, insbesondere für die Rechtmäßigkeit der Verarbeitung, die Information der betroffenen Personen sowie die Wahrung ihrer Rechte. Der Verantwortliche stellt sicher, dass für jede Verarbeitung eine geeignete Rechtsgrundlage besteht.

§ 7 Sub-Auftragsverarbeiter

7.1 Allgemeine Genehmigung

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung gemäß Art. 28 Abs. 2 Satz 2 DSGVO, weitere Auftragsverarbeiter zur Erbringung der vertraglichen Leistungen einzusetzen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anhang 1 aufgeführt.

7.2 Ankündigung von Änderungen

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 14 Kalendertage vor jeder beabsichtigten Hinzunahme oder Ersetzung eines Sub-Auftragsverarbeiters per E-Mail an die im Konto hinterlegte Kontaktadresse. Der Verantwortliche kann der Änderung innerhalb der genannten Frist aus wichtigem datenschutzrechtlichen Grund widersprechen. Im Fall eines berechtigten Widerspruchs sind die Parteien verpflichtet, eine einvernehmliche Lösung zu suchen; gelingt dies nicht, ist jede Partei berechtigt, den Hauptvertrag mit einer Frist von vier Wochen zum Monatsende zu kündigen.

7.3 Vertragsgleichheit

Der Auftragsverarbeiter verpflichtet jeden Sub-Auftragsverarbeiter zu Datenschutzpflichten, die den Pflichten aus diesem Vertrag im Wesentlichen gleichwertig sind, insbesondere zu den Anforderungen des Art. 28 Abs. 3 DSGVO.

§ 8 Drittlandsübermittlungen

Soweit personenbezogene Daten in ein Drittland übermittelt werden, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen, insbesondere durch Standardvertragsklauseln (SCCs), Angemessenheitsbeschlüsse (z.B. EU-US Data Privacy Framework) oder zusätzliche technische Maßnahmen. Eine Übersicht der eingesetzten Drittlands-Sub-Auftragsverarbeiter und der jeweiligen Garantien enthält Anhang 1.

§ 9 Audit-Rechte

9.1 Selbstauskunft und Zertifikate

Der Auftragsverarbeiter weist die Einhaltung der in diesem Vertrag festgelegten Pflichten in geeigneter Weise nach, insbesondere durch Selbstauskünfte sowie durch Vorlage von Zertifikaten anerkannter Stellen (z.B. ISO 27001, SOC 2 Typ II) – soweit vorhanden – oder Audit-Berichten der eingesetzten Sub-Auftragsverarbeiter.

9.2 Vor-Ort-Prüfung

Reichen die nach § 9.1 vorgelegten Nachweise nicht aus, kann der Verantwortliche bei begründetem Anlass Vor-Ort-Audits durchführen oder durch unabhängige, zur Verschwiegenheit verpflichtete Prüfer durchführen lassen. Die Audits werden mit einer Vorlauffrist von mindestens 30 Tagen angekündigt, finden während der üblichen Geschäftszeiten statt und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen. Sie sind auf höchstens ein Audit pro Kalenderjahr begrenzt; weitergehende Audits sind nur bei konkretem Anlass (z.B. Datenschutzverletzung, behördliche Anordnung) zulässig.

9.3 Kosten

Der angemessene Aufwand für Vor-Ort-Audits gemäß § 9.2 ist vom Verantwortlichen nach Aufwand zu vergüten, sofern nicht bereits ein Verstoß des Auftragsverarbeiters festgestellt wird, der das Audit veranlasst hat. Der Stundensatz orientiert sich an dem zum Audit-Zeitpunkt üblichen Sachverständigenhonorar; vor Beginn des Audits wird ein Kostenvoranschlag bereitgestellt.

§ 10 Haftung

Für die Haftung gelten die gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. Im Übrigen gelten die im Hauptvertrag vereinbarten Haftungsregelungen. Eine Begrenzung der Haftung für Vorsatz, grobe Fahrlässigkeit, Verletzung des Lebens, des Körpers oder der Gesundheit, Garantien sowie Ansprüche aus dem Produkthaftungsgesetz erfolgt nicht.

§ 11 Beendigung und Datenrückgabe

11.1 Datenexport

Bei Beendigung des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen die im System gespeicherten personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format (PDF und CSV/JSON-Export) für einen Zeitraum von 30 Tagen zum Download bereit.

11.2 Löschung

Nach Ablauf dieser 30 Tage löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten und bestehende Kopien, sofern und soweit nicht eine gesetzliche Aufbewahrungspflicht (insbesondere § 147 AO, § 257 HGB) der Löschung entgegensteht. In diesem Fall werden die Daten gemäß Art. 18 DSGVO eingeschränkt verarbeitet (gesperrt) und nach Wegfall der Aufbewahrungspflicht gelöscht. Die Aufbewahrung erfolgt im Falle aufbewahrungspflichtiger Belege für die gesamte gesetzliche Dauer in einem revisionssicheren Archiv.

11.3 Bestätigung

Der Auftragsverarbeiter bestätigt dem Verantwortlichen die Löschung auf Anfrage in Textform.

§ 12 Schlussbestimmungen

12.1 Vorrang

Im Falle von Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.

12.2 Schriftform

Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für die Aufhebung dieser Textformklausel.

12.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

12.4 Anwendbares Recht und Gerichtsstand

Es gilt deutsches Recht. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist – soweit der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist – München.

Anhang 1 – Liste der Sub-Auftragsverarbeiter

Anhang 2 – Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

• Hosting der Anwendung in zertifizierten Rechenzentren von Vercel und Supabase (ISO 27001, SOC 2);
• kein eigener physischer Server-Betrieb durch den Auftragsverarbeiter;
• Büroräume des Auftragsverarbeiters sind durch Schließsysteme gesichert.

1.2 Zugangskontrolle

• Authentifizierung der Endnutzer:innen über Magic Link, Passwort-Hashing oder OAuth;
• Mehr-Faktor-Authentifizierung (MFA) verpflichtend für administrative Zugänge zu Supabase, Vercel, Cloudflare, Stripe;
• starke Passwortrichtlinien;
• automatische Sperrung nach mehrfach fehlgeschlagenen Login-Versuchen.

1.3 Zugriffskontrolle

• Row-Level-Security (RLS) auf allen mandantenbezogenen Tabellen in Supabase;
• rollen- und rechtebasiertes Zugriffsmodell (Owner/Admin/Member/Read-Only);
• Privilegierte Zugänge nur für ein definiertes, dokumentiertes Personenkreis;
• vollständige Protokollierung administrativer Zugriffe.

1.4 Trennungskontrolle

• Mandantentrennung auf logischer Ebene über Tenant-IDs in der Datenbank;
• getrennte Verarbeitungs-Pipelines für Free- und Paid-Tarife.

1.5 Pseudonymisierung

• Pseudonymisierung wo immer möglich (z.B. Nutzung von Tenant-IDs statt Klarnamen in Logs);
• KI-Anbieter erhalten keine Account-Identifier zusammen mit Belegtexten.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Eingabekontrolle

• Aktivitätsprotokollierung aller relevanten Lese-/Schreib-Operationen mit Zeitstempel und Nutzer-ID;
• unveränderbare Speicherung („Immutable Originals") inkl. SHA-256-Hashwerten;
• Versionierung von Konfigurationsänderungen.

2.2 Weitergabekontrolle

• TLS 1.2 oder höher bei sämtlichen Datenübertragungen;
• HTTPS-only mit HSTS;
• Belegversand an externe Empfänger nur an die vom Verantwortlichen explizit konfigurierten E-Mail-Adressen.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verschlüsselung der gespeicherten Daten (AES-256) durch Supabase;
• automatische tägliche Backups und Point-in-Time-Recovery durch Supabase;
• redundante Auslieferung über Vercel-Edge-Network;
• Monitoring und Alerting für Verfügbarkeit, Fehlerraten und Sicherheitsereignisse.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• jährliche interne Überprüfung der TOMs;
• regelmäßige Sicherheitsupdates und Dependency-Audits;
• Incident-Response-Plan mit klaren Eskalationswegen;
• Datenschutz- und Sicherheitsschulungen für Beschäftigte.

5. Auftragskontrolle (Art. 28 DSGVO)

• schriftliche AVV mit allen Sub-Auftragsverarbeitern;
• Prüfung der Sub-Auftragsverarbeiter anhand vorhandener Zertifikate (z.B. ISO 27001, SOC 2);
• regelmäßige Überprüfung der Sub-Processor-Liste.

Stand: 30. April 2026

Diese Fassung ist als Erstfassung verfasst. Eine anwaltliche Schlussprüfung wird empfohlen.