Auftragsverarbeitungsvertrag (AVV)
Gemäß Artikel 28 DSGVO – Version 1.0 — Stand: 23. April 2026
Präambel
Zwischen dem Nutzer von eRechnFix (nachfolgend: „Auftraggeber“) und eRechnFix / Riechel IT Solutions (nachfolgend: „Auftragsverarbeiter“) wird hiermit ein Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) geschlossen. Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von eRechnFix. Der Nutzer stimmt diesem Vertrag durch die Aktivierung der Checkbox bei der Registrierung zu.
1. Gegenstand und Umfang der Verarbeitung
Der Auftragsverarbeiter verarbeitet im Auftrag des Auftraggeber folgende Kategorien personenbezogener Daten:
- Kundendaten (Namen, Adressen, E-Mail-Adressen)
- Rechnungs- und Angebotsdaten
- Zahlungsinformationen (soweit vom Auftraggeber eingegeben)
- Servicehistorie und Kommunikationsdaten
Die Verarbeitung erfolgt ausschließlich auf Weisung des Auftraggeber und nur insoweit, wie dies zur Erbringung der eRechnFix-Dienste (Erstellung, Verwaltung und Versand von Rechnungen und Angeboten) erforderlich ist.
2. Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf schriftliche oder dokumentierte Weisungen des Auftraggeber. Die Hauptweisungen sind:
- Speicherung und Verwaltung von Kundendaten und Dokumenten
- Erstellung von Rechnungen und Angeboten gemäß Eingaben des Auftraggeber
- Export von Dokumenten als PDF
- Versand von Dokumenten per E-Mail oder postalisch (LetterXpress)
- Löschung von Dokumenten auf Anforderung des Auftraggeber
Abweichungen oder Zusatzweisungen können per E-Mail an support@erechnfix.de mitgeteilt werden. Der Auftragsverarbeiter wird unverzüglich Bestätigung geben und die Weisungen umsetzen.
3. Mitarbeiter des Auftragsverarbeiters
Der Auftragsverarbeiter stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder unter eine angemessene gesetzliche Geheimhaltungspflicht fallen, die auch nach Beendigung ihrer Tätigkeiten bestehen bleibt.
4. Sicherheit der Datenverarbeitung
Der Auftragsverarbeiter implementiert folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten:
- Verschlüsselte Übertragung (HTTPS/TLS) aller Datenkommunikation
- Zugriffsschutz durch Authentifizierung (E-Mail und Passwort)
- Regelmäßige Backups zur Wiederherstellbarkeit
- Monitoring und Logging von Zugriffe und Änderungen
- Isolierung der Daten pro Nutzer (Mandantenfähigkeit)
Der Auftragsverarbeiter führt eine Datenschutz-Folgenabschätzung (DSFA) durch, sollten erhöhte Risiken identifiziert werden. Der Auftraggeber wird in diesem Fall informiert.
5. Unterauftragsverarbeiter (Subprozessoren)
Der Auftragsverarbeiter kann zur Erbringung der Dienste Unterauftragsverarbeiter (Subprozessoren) einsetzen. Folgende Subprozessoren sind derzeit autorisiert:
LetterXpress (Postalischer Versand)
Verarbeitet: Adressdaten zur Postaufbereitung und zum Versand
Datenschutzerklärung: letterxpress.de
Der Auftraggeber wird über Änderungen dieser Liste unter datenschutz@erechnfix.de informiert. Eine Untersagung bestimmter Subprozessoren ist möglich; der Auftraggeber wird in diesem Fall kontaktiert.
6. Speicherdauer
Personenbezogene Daten werden vom Auftragsverarbeiter nur so lange gespeichert, wie dies zur Erfüllung des Vertrags erforderlich ist oder bis der Auftraggeber sie löscht. Nach Beendigung oder Beendigung des Vertrags wird eine angemessene Frist gewährt, nach der alle personenbezogenen Daten gelöscht oder dem Auftraggeber zur Verfügung gestellt werden, soweit nicht gesetzliche Aufbewahrungspflichten bestehen.
7. Rechte der betroffenen Personen
Der Auftraggeber trägt die Verantwortung für die Erfüllung der Rechte betroffener Personen (Auskunftsrecht, Berichtigungsrecht, Löschungsrecht, etc.). Der Auftragsverarbeiter unterstützt den Auftraggeber dabei auf Anforderung. Die Anfrage sollte an datenschutz@erechnfix.de gerichtet werden.
8. Audit und Kontrolle
Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags zu überprüfen. Der Auftragsverarbeiter wird dem Auftraggeber auf angemessene Anforderung Auskunft über die Sicherheitsmaßnahmen und die Datenverarbeitung geben. Für umfangreiche Überprüfungen kann eine Gebühr anfallen, falls dieses mit großem Aufwand verbunden ist. Der Auftragsverarbeiter wird sich angemessen mit dem Auftraggeber verständigen.
9. Datenverlust und Störfälle
Der Auftragsverarbeiter benachrichtigt den Auftraggeber unverzüglich über Sicherheitsverletzungen, unbefugte Zugriffe oder Datenverluste. Der Auftraggeber ist verantwortlich für die Benachrichtigung der betroffenen Personen und der Datenschutzbehörde, soweit gesetzlich erforderlich.
10. Haftung
Der Auftragsverarbeiter haftet für Schäden, die durch Verletzungen dieses Vertrags oder der DSGVO entstehen, im Rahmen der in den AGB (§9) festgelegten Haftungsbeschränkungen. Der Auftraggeber wird die Sicherheitshinweise beachten und seine Zugangsdaten schützen, um das Risiko eines unbefugten Zugriffs zu minimieren.
11. Schlussbestimmungen
Änderungen dieses AVV bedürfen der schriftlichen Zustimmung beider Parteien. Im Falle von Widersprüchen zwischen diesem Vertrag und den AGB gilt der AVV. Es gelten die Bestimmungen des deutschen Rechts, insbesondere die DSGVO. Bei Fragen oder Verstößen: datenschutz@erechnfix.de