InvoiceFlow

Auftragsverarbeitungsvertrag (Muster)

Stand: 18.04.2026

Dieses Dokument beschreibt die Auftragsverarbeitung nach Art. 28 DSGVO zwischen InvoiceFlow (Auftragsverarbeiter) und dem Kunden (Verantwortlicher).

1. Gegenstand und Dauer

Der Auftragsverarbeiter stellt dem Verantwortlichen die Software InvoiceFlow zur Verarbeitung elektronischer Rechnungen zur Verfügung. Die Auftragsverarbeitung läuft für die Dauer des Hauptvertrags.

2. Art und Zweck der Verarbeitung

Empfang, Validierung, Klassifizierung und Export von Eingangsrechnungen der Mandanten des Verantwortlichen.

3. Art der personenbezogenen Daten

  • Stammdaten von Lieferanten und Rechnungsempfängern
  • USt-Identifikationsnummern
  • Rechnungsbeträge, Positionen, Zahlungsdaten (IBAN, BIC)
  • Bankdaten des Empfängers soweit in Rechnungen enthalten

4. Betroffene Personen

Geschäftspartner (Kunden und Lieferanten) der Mandanten des Verantwortlichen sowie deren Beschäftigte, soweit sie in Rechnungen genannt werden.

5. Technische und organisatorische Maßnahmen

  • Hosting in Deutschland (Hetzner Falkenstein)
  • TLS 1.3 für Datenübertragung
  • Verschlüsselung at-rest für Datenbanken (LUKS)
  • Rollenbasiertes Zugriffskonzept (admin/editor/viewer)
  • Revisionssichere Protokollierung aller Zugriffe
  • Regelmäßige Penetrationstests
  • Backup-Strategie mit 30-Tage-Retention

6. Unterauftragsverarbeiter

Der Verantwortliche genehmigt folgende Unterauftragsverarbeiter:

  • Hetzner Online GmbH, Gunzenhausen (Hosting, DE)
  • Supabase Inc., USA (Auth, Region: EU)
  • Resend Inc., USA (E-Mail, Region: EU)
  • Stripe Payments Europe Ltd., Irland (Zahlungsabwicklung)
  • Anthropic PBC, USA (AI-Klassifizierung, Standardvertragsklauseln)

Änderungen werden mindestens 30 Tage vorher per E-Mail angekündigt.

7. Rechte Betroffener

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Rechte der Betroffenen (Art. 12–22 DSGVO) mit geeigneten technischen und organisatorischen Maßnahmen.

8. Beendigung

Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

9. Nachweise und Kontrolle

Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung der Pflichten auf Anfrage nach (z. B. durch Zertifikate, Auditberichte).

Dieser AV-Vertrag gilt automatisch mit Abschluss eines kostenpflichtigen Plans. Eine unterzeichnete PDF-Version erhältst du auf Anfrage an datenschutz@invoiceflow.stickymicky.com.

AV-Vertrag — InvoiceFlow — InvoiceFlow