Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Stand/Version: 2026-02-05

1. Parteien

Auftragsverarbeiter (AV): netzmal GmbH, Hinrich-Fehrs-Str. 3, 25813 Husum, Vertreter/Inhaber: Tim David Saxen, E-Mail: info@netzmal.de

Verantwortlicher (V): der jeweilige Nutzer/Unternehmer, der Dateien hochlädt. Der Uploadende bestätigt, zur Übermittlung berechtigt und vertretungsbefugt zu sein.

2. Gegenstand, Dauer, Art und Zweck

  • Gegenstand: Validierung/Analyse hochgeladener E-Rechnungen (PDF/XML; z.B. ZUGFeRD/Factur-X/XRechnung) und Anzeige der Ergebnisse.
  • Dauer: ab Upload bis Abschluss der Analyse; Löschung der hochgeladenen Dateien und temporärer Artefakte spätestens nach 24 Stunden.
  • Art der Verarbeitung: Entgegennahme, temporäre Speicherung, Extraktion (z.B. XML aus PDF), Parsing/Validierung, Ausgabe im Browser.
  • Zweck: Bereitstellung des Prüf-Tools; keine Verarbeitung zu eigenen Zwecken.

3. Datenarten / Betroffene

  • Betroffene: Ansprechpartner/Mitarbeiter, Kunden/Lieferanten des V, ggf. natürliche Personen auf Rechnungen.
  • Daten: typischerweise Namen/Adressen/Kontakt, Rechnungs- und Leistungsdaten, Steuerdaten, ggf. IBAN (falls enthalten).

4. Weisungen

Der AV verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des V. Weisung ist Upload und Nutzung der Analysefunktionen.

5. Pflichten des AV

  • Vertraulichkeit und Zugriff nur für Berechtigte.
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO (Kurzbeschreibung unten; Details auf Anfrage).
  • Unterauftragsverarbeiter nur nach Maßgabe dieses AVV; Liste/Info auf Anfrage bzw. in Datenschutzhinweisen.
  • Unterstützung bei Betroffenenrechten/Incidents bezogen auf diese Verarbeitung.
  • Löschung wie oben (spätestens 24 Stunden).

Kurzbeschreibung TOMs (Details auf Anfrage)

  • Verschlüsselte Übertragung (TLS/HTTPS).
  • Zugriffskontrolle (Least Privilege) auf Server/Verzeichnisse.
  • Minimierung von Logs (keine Rechnungsinhalte im Log).
  • Automatisierte Löschung temporärer Upload-Daten (max. 24h).
  • Trennung von Betriebs-/Testumgebungen (soweit vorhanden).

6. Pflichten des V

  • Rechtsgrundlage/Informationspflichten gegenüber Betroffenen.
  • Nur berechtigte Dateien hochladen; keine unzulässigen Inhalte.

7. Elektronischer Abschluss

Der AVV wird durch Setzen der Checkbox und Upload der Datei elektronisch geschlossen.

Hinweis: Dieser AVV ergänzt die Datenschutzhinweise/AGB, soweit vorhanden.