Auftragsverarbeitungsvertrag (AVV)

Vertrag über die Verarbeitung personenbezogener Daten im Auftrag nach Art. 28 DSGVO.
Stand: Mai 2026. Diese Fassung ersetzt alle vorherigen.

Vertrag herunterladen. Diese Seite ist Web-Ansicht und druckbarer Vertrag zugleich. Unsere Daten als Auftragsverarbeiter sind unter 1. Vertragsparteien bereits eingetragen; Ihre Kanzlei-Daten füllen Sie im Unterschriftsfeld am Ende aus und senden uns das unterschriebene Dokument zurück.
Als PDF herunterladen
Inhalt:
  1. Vertragsparteien
  2. Gegenstand und Dauer der Auftragsverarbeitung
  3. Zweck und Art der Verarbeitung
  4. Art der personenbezogenen Daten und Kategorien Betroffener
  5. Pflichten des Auftragsverarbeiters
  6. Pflichten des Verantwortlichen
  7. Unter-Auftragsverarbeiter
  8. Technische und organisatorische Massnahmen (TOMs)
  9. Unterstuetzung bei Betroffenenrechten
  10. Meldung von Datenschutzverletzungen
  11. Kontrollrechte und Audits
  12. Beendigung des Vertrages und Rückgabe / Löschung
  13. Fortbestand der Daten bei Geschäftsaufgabe oder Insolvenz
  14. Schlussbestimmungen
  15. Anlage 1: Detaillierte TOMs
  16. Anlage 2: Vollständige Subprozessoren-Liste

1. Vertragsparteien

Dieser Vertrag wird geschlossen zwischen:

Verantwortlicher (im Folgenden "Auftraggeber")

Die Kanzlei oder das Unternehmen, das die Software-Dienstleistung Rechnungs-Kontor als angemeldete Nutzerin verwendet. Vollständige Anschrift, vertretungsberechtigte Person und Kontaktdaten werden im Unterschriftsfeld am Ende dieses Dokumentes eingetragen.

Auftragsverarbeiter (im Folgenden "Auftragnehmer")

Anbieter
Hugo Marinho, Einzelunternehmen
Anschrift
Farnsburgerstrasse 44, 4052 Basel, Schweiz
E-Mail
kontakt@rechnungs-kontor.de
Dienst
Rechnungs-Kontor (rechnungs-kontor.de)

2. Gegenstand und Dauer der Auftragsverarbeitung

Gegenstand: Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers zum Zweck der elektronischen Erfassung, Validierung, GoBD-konformen Archivierung und Aufbereitung eingehender Rechnungen der Mandanten des Auftraggebers.

Dauer: Der Vertrag beginnt mit der Anmeldung des Auftraggebers bei Rechnungs-Kontor und läuft fortlaufend bis zur Beendigung des Hauptvertrages (Schliessung des Kontos durch den Auftraggeber oder durch den Auftragnehmer aus wichtigem Grund). Die Pflichten zur Aufbewahrung von Daten nach den gesetzlichen Aufbewahrungsfristen (insbesondere § 147 AO, § 14b UStG, § 257 HGB) bleiben über das Vertragsende hinaus bestehen.

3. Zweck und Art der Verarbeitung

Die Verarbeitung erfolgt zu folgenden Zwecken:

Die Verarbeitung erfolgt automatisiert. Eine ausschliesslich automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt: Kontierungsvorschläge sind Empfehlungen, die Buchung erfolgt erst nach manueller Bestätigung durch den Auftraggeber.

4. Art der personenbezogenen Daten und Kategorien Betroffener

Datenarten

Betroffenenkategorien

5. Pflichten des Auftragsverarbeiters

  1. Die Verarbeitung erfolgt ausschliesslich auf dokumentierte Weisung des Auftraggebers. Die vertragliche Nutzung der Software durch den Auftraggeber gilt als laufende Weisung; abweichende Einzelweisungen sind in Textform zu erteilen.
  2. Der Auftragnehmer setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Der Auftragnehmer hält die in Abschnitt 8 und Anlage 1 beschriebenen technischen und organisatorischen Massnahmen ein und passt sie an den Stand der Technik an.
  4. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstösst.
  5. Der Auftragnehmer ist Ansprechpartner für Datenschutz und stellt dem Auftraggeber die nach Art. 28 Abs. 3 DSGVO erforderlichen Informationen zur Verfügung.
  6. Der Auftragnehmer führt ein Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und stellt es auf Anfrage zur Verfügung.

6. Pflichten des Verantwortlichen

  1. Der Auftraggeber bleibt allein verantwortlich für die Rechtmässigkeit der Verarbeitung und die Wahrung der Rechte der Betroffenen.
  2. Der Auftraggeber sorgt dafür, dass seine Mandanten über die Verarbeitung ihrer Daten durch Rechnungs-Kontor informiert werden, soweit eine entsprechende Informationspflicht nach Art. 13 / Art. 14 DSGVO besteht.
  3. Der Auftraggeber benennt einen oder mehrere Ansprechpartner für Datenschutzfragen. Für Konten auf Rechnungs-Kontor gilt die im Konto hinterlegte E-Mail-Adresse als Ansprechperson, sofern keine abweichende Adresse mitgeteilt wurde.

7. Unter-Auftragsverarbeiter

Der Auftraggeber gestattet dem Auftragnehmer den Einsatz von Unter-Auftragsverarbeitern. Eine vollständige Liste mit Anschrift, Standort und Verarbeitungszweck findet sich in Anlage 2 dieses Vertrages. Der Auftragnehmer informiert den Auftraggeber rechtzeitig vor der Einbeziehung weiterer oder dem Wechsel von Unter-Auftragsverarbeitern. Der Auftraggeber kann der Änderung innerhalb von 30 Tagen widersprechen; bei berechtigtem Widerspruch kann der Auftraggeber den Hauptvertrag ausserordentlich kündigen.

Der Auftragnehmer schliesst mit allen Unter-Auftragsverarbeitern eine Vereinbarung, die im Wesentlichen die Verpflichtungen dieses Vertrages spiegelt.

8. Technische und organisatorische Massnahmen (TOMs)

Der Auftragnehmer setzt geeignete technische und organisatorische Massnahmen nach Art. 32 DSGVO um. Eine detaillierte Beschreibung findet sich in Anlage 1. Wesentliche Massnahmen:

9. Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte nach Art. 12 bis Art. 22 DSGVO. Für das Konto des Auftraggebers selbst stehen folgende Selbstbedienungs-Funktionen zur Verfügung:

Für Anfragen, die das Konto betreffende Mandanten oder deren Mitarbeiter erfasst, richtet sich der Auftraggeber zunächst an den Auftragnehmer. Der Auftragnehmer antwortet in der Regel innerhalb eines Werktages.

10. Meldung von Datenschutzverletzungen

Der Auftragnehmer benachrichtigt den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über Verletzungen des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO. Die Benachrichtigung enthält mindestens:

Die Meldepflicht des Auftraggebers gegenüber der zuständigen Aufsichtsbehörde nach Art. 33 DSGVO und gegenüber den Betroffenen nach Art. 34 DSGVO bleibt unberührt.

11. Kontrollrechte und Audits

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem Vertrag festgelegten Pflichten nachzuweisen. Der Auftragnehmer ermöglicht Audits durch den Auftraggeber oder einen vom Auftraggeber beauftragten Prüfer. Audits werden mit einer angemessenen Frist (mindestens 30 Tage) angekündigt, finden während der Geschaeftszeiten statt und dürfen den Betrieb nicht unverhältnismässig beeinträchtigen. Kosten eines durch den Auftraggeber initiierten Audits trägt der Auftraggeber.

Soweit der Auftragnehmer eine anerkannte unabhängige Prüfung (z. B. IDW PS 880 Softwarebescheinigung) vorlegen kann, genügt deren Prüfbericht zur Erfüllung der Nachweispflicht.

12. Beendigung des Vertrages und Rückgabe / Löschung

Nach Beendigung des Hauptvertrages stellt der Auftragnehmer dem Auftraggeber die Daten in einem gängigen, maschinenlesbaren Format zur Verfügung (siehe Abschnitt 9, Datenexport). Nach erfolgter Bereitstellung und nach Wahl des Auftraggebers werden die Daten gelöscht oder vernichtet, soweit nicht gesetzliche Aufbewahrungsfristen entgegenstehen. Insbesondere bleiben archivierte Rechnungen für die Dauer der gesetzlichen Frist von zehn Jahren erhalten.

13. Fortbestand der Daten bei Geschäftsaufgabe oder Insolvenz

Der Auftragnehmer trifft die folgenden Vorkehrungen, damit der Auftraggeber auch im Falle einer Geschäftsaufgabe, einer Liquidation oder einer Insolvenz des Auftragnehmers ohne Datenverlust auf seine archivierten Belege und Buchungsstapel zugreifen und seinen gesetzlichen Aufbewahrungspflichten nach § 147 AO, § 14b UStG und § 257 HGB nachkommen kann:

  1. Vorankündigung. Der Auftragnehmer informiert den Auftraggeber bei einer planmässigen Geschäftsaufgabe mit einer Frist von mindestens 90 Tagen vor Abschaltung des Dienstes per E-Mail an die im Konto hinterlegte Adresse. Bei einer Insolvenz erfolgt die Information unverzüglich nach Kenntnis des Auftragnehmers, spätestens jedoch mit der Insolvenzeröffnung.
  2. Datenherausgabe in offenen Formaten. Der Auftraggeber kann jederzeit, spätestens bis zum Ende der Vorankündigungsfrist, einen vollständigen Datenexport auslösen. Dieser umfasst: die Originaldateien der Belege (PDF, XML, Bilddateien), die strukturierten Metadaten als JSON, die Buchungsstapel im DATEV-Format 7.00 EXTF (Windows-1252, Semikolon, CRLF), die Vorsteuer-Aufstellungen je Periode, sowie das vollständige Sicherheits-Protokoll (Audit-Log) mit zugehörigen OpenTimestamps-Quittungen. Der Export erfolgt über den Endpunkt /api/account/export sowie über die monatlichen ZIP-Übergabe-Pakete je Mandant. Sämtliche Formate sind hersteller-unabhängig und ohne Zugang zur Software des Auftragnehmers les- und importierbar.
  3. Unabhängige Prüfbarkeit. Die im Audit-Log enthaltene SHA-256-Hash-Kette wird einmal täglich in der Bitcoin-Blockchain über das offene OpenTimestamps-Protokoll verankert (siehe Abschnitt 8 sowie der öffentliche Endpunkt /integrity). Diese Verankerung ist auch nach Geschäftsaufgabe des Auftragnehmers durch jeden unabhängigen Bitcoin-Knoten oder Block-Explorer prüfbar. Die Quittungen sind Teil jedes ZIP-Übergabe-Paketes und somit eigenständig nutzbar.
  4. Bezugsquelle der Originaldateien. Die Belege selbst liegen ausschliesslich in dem S3-kompatiblen Objektspeicher der Hetzner Online GmbH, Nürnberg. Die Zugangsdaten zu diesem Bucket können im Falle einer geordneten Geschäftsaufgabe nach Wahl des Auftraggebers in eine vom Auftraggeber selbst betriebene oder durch einen Dritten betriebene Storage-Lokation verlagert werden, ohne dass eine Migration der Dateien notwendig ist.
  5. Insolvenzverwalter / Sachwalter. Im Falle einer Insolvenz hat der Insolvenzverwalter (bzw. Sachwalter) gegenüber den Auftraggebern dieselbe Mitwirkungspflicht hinsichtlich der Datenherausgabe wie der Auftragnehmer. Diese Pflicht ergibt sich bereits unmittelbar aus Art. 28 Abs. 3 lit. g DSGVO sowie aus den handels- und steuerrechtlichen Aufbewahrungspflichten des Auftraggebers, ist aus Klarheitsgründen hier jedoch ausdrücklich vereinbart.

14. Schlussbestimmungen

  1. Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.
  2. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Anstelle der unwirksamen Bestimmung gilt eine wirksame Bestimmung, die dem Sinn und Zweck der unwirksamen Bestimmung wirtschaftlich am nächsten kommt.
  3. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschliesslicher Gerichtsstand ist Basel, Schweiz, soweit gesetzlich zulässig.
  4. Im Falle von Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrages vor.

Unterschriften

Mit der Unterzeichnung erklären beide Parteien ihr Einverständnis mit dem Inhalt dieses Vertrages.

Auftraggeber (Verantwortlicher)

Kanzlei: ____________________________

Anschrift: ____________________________

Vertretungsberechtigte Person: __________

Ort, Datum, Unterschrift

Auftragnehmer (Auftragsverarbeiter)

Anbieter: Hugo Marinho

Anschrift: Farnsburgerstrasse 44, 4052 Basel, Schweiz

 

Ort, Datum, Unterschrift

Anlage 1: Detaillierte technische und organisatorische Massnahmen

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

Verfahren zur regelmässigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Anlage 2: Vollständige Subprozessoren-Liste

Stand: Mai 2026. Änderungen werden mit angemessener Vorankündigung mitgeteilt; siehe Abschnitt 7.

Unternehmen Sitz Zweck Standort der Verarbeitung
Hetzner Online GmbH Gunzenhausen, Deutschland Datenbank, Originaldateien, Server-Infrastruktur Nürnberg, Deutschland
Cloudflare, Inc. San Francisco, USA Edge-Auslieferung, WAF, Tunnel zur Datenbank, DNS EU-Rechenzentren (insbesondere Frankfurt), Standardvertragsklauseln
Mailgun Technologies, Inc. San Antonio, USA (EU-Servicebetrieb) Empfang eingehender E-Mails der Mandanten Belgien
Resend, Inc. San Francisco, USA (EU-Servicebetrieb) Versand transaktionaler E-Mails Irland
Mistral AI SAS Paris, Frankreich OCR und KI-Klassifikation eingehender Belege; keine Modelltrainings-Nutzung der Kundendaten Frankreich
Stripe Payments Europe Ltd. Dublin, Irland Zahlungsabwicklung, Rechnungsstellung Irland; Standardvertragsklauseln für etwaige Konzernweitergaben

Diese Fassung des AVV wurde am 21. Mai 2026 erstellt. Eine versionierte Historie kann auf Anfrage bereitgestellt werden.