数据处理协议（DPA），依据 GDPR 第 28 条

1. 双方

处理方（AV）： netzmal GmbH, Hinrich-Fehrs-Str. 3, 25813 Husum, 德国，代表/所有者：Tim David Saxen，E-mail：info@netzmal.de

控制方（V）： 上传文件的相关用户/公司。上传者确认其有权传输并具备合法授权。

2. 标的、期限、性质与目的

• 标的： 对上传的电子发票（PDF/XML，例如 ZUGFeRD/Factur-X/XRechnung）进行验证/分析并展示结果。
• 期限： 自上传至分析完成；上传文件及临时产物将 最迟在 24 小时内 删除。
• 处理性质： 接收、临时存储、提取（例如从 PDF 提取 XML）、解析/验证、在浏览器中输出。
• 目的： 提供验证工具；不用于自身目的的处理。

3. 数据类别 / 数据主体

• 数据主体： 联系人/员工、控制方的客户/供应商，可能包括发票上的自然人。
• 数据： 通常包括姓名/地址/联系方式、发票与服务数据、税务数据，可能包含 IBAN（如有）。

4. 指令

处理方仅依据控制方的书面指令处理个人数据。指令即上传文件并使用分析功能。

5. 处理方义务

• 保密，并仅允许授权人员访问。
• 依据 GDPR 第 32 条实施适当的技术与组织措施（下方简述；细节可应要求提供）。
• 仅在本 DPA 约定下使用分包处理方；名单/信息可应要求提供或见隐私说明。
• 协助处理与本处理相关的数据主体权利/事件。
• 按上述期限删除（最迟 24 小时）。

技术与组织措施（TOM）简述（细节可应要求提供）

• 加密传输（TLS/HTTPS）。
• 服务器/目录访问控制（最小权限）。
• 日志最小化（日志中不记录发票内容）。
• 自动删除临时上传数据（最长 24 小时）。
• 生产/测试环境隔离（如适用）。

6. 控制方义务

• 为数据主体提供合法依据/履行告知义务。
• 仅上传有授权的文件；不得上传非法内容。

7. 电子方式订立

通过勾选复选框并上传文件，以电子方式订立 DPA。

提示：本 DPA 在适用情况下补充隐私说明/条款。