← Zurück

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

§ 1 Vertragsparteien

Auftraggeber (Verantwortlicher)

Name / Firma: _________________________

Adresse: _________________________

_________________________

Vertreten durch: _________________________

E-Mail: _________________________

Auftragnehmer (Auftragsverarbeiter)

Quang Lam Bui

handelnd unter: SteuerKI

Emilienstr. 1

32756 Detmold

E-Mail: service@steuerki.de

Auftraggeber und Auftragnehmer werden nachfolgend gemeinsam als „die Parteien" bezeichnet.

§ 2 Gegenstand und Dauer

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Nutzung der Software SteuerKI (abrufbar unter steuerki.de).

Die Laufzeit dieses Vertrages entspricht der Laufzeit des Nutzungsvertrages über SteuerKI. Er endet automatisch mit Beendigung des Nutzungsvertrages.

§ 3 Art, Zweck und Umfang der Verarbeitung

Art der Verarbeitung:

Erhebung, Speicherung, Verarbeitung, Nutzung, Übermittlung und Löschung personenbezogener Daten durch KI-gestützte Systeme.

Zweck der Verarbeitung:

Automatisierte Erfassung und Kategorisierung von Buchhaltungsbelegen; Erstellung von DATEV-kompatiblen Exportdateien; Mandantenverwaltung für Steuerkanzleien.

Art der personenbezogenen Daten:

  • Namen und Kontaktdaten von Mandanten
  • Steuernummern und steuerliche Identifikationsnummern
  • Finanzdaten aus Belegen (Beträge, Lieferanten, Leistungsdaten)
  • Dokumente (Rechnungen, Quittungen, Kassenbelege)

Kategorien betroffener Personen:

Mandanten des Auftraggebers (natürliche und juristische Personen).

§ 4 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  1. Personenbezogene Daten ausschließlich auf Weisung des Auftraggebers zu verarbeiten;
  2. Alle zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten;
  3. Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen;
  4. Den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften;
  5. Den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung) zu unterstützen;
  6. Nach Wahl des Auftraggebers alle personenbezogenen Daten nach Beendigung des Vertrages zu löschen oder zurückzugeben;
  7. Dem Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten nachweisen zu können.

§ 5 Unterauftragnehmer

Der Auftraggeber erteilt hiermit die allgemeine Genehmigung zur Hinzuziehung folgender Unterauftragnehmer:

DienstleisterSitzZweck
Supabase Inc.USA / EUDatenbank & Dateispeicherung
Anthropic, PBCUSAKI-Verarbeitung von Belegen
Vercel Inc.USAHosting & Infrastruktur
Resend Inc.USAE-Mail-Versand
Sentry (Functional Software Inc.)USAFehlermonitoring

Alle Unterauftragnehmer mit Sitz in Drittländern verfügen über geeignete Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln oder gleichwertiger Schutzmechanismus). Der Auftragnehmer unterrichtet den Auftraggeber über geplante Änderungen der Unterauftragnehmer. Der Auftraggeber hat das Recht, gegen diese Änderungen Einspruch zu erheben.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Zutrittskontrolle

Cloudbasierter Betrieb ohne physische Serverräume; Zugangskontrolle über Supabase Auth

Zugangskontrolle

Rollenbasiertes Berechtigungskonzept; Zwei-Faktor-Authentifizierung möglich

Zugriffskontrolle

Mandantenstrikt getrennte Datenbereiche; Row-Level-Security in der Datenbank

Weitergabekontrolle

Verschlüsselte Übertragung via HTTPS/TLS 1.3; Signierte URLs für Dokumente

Eingabekontrolle

Protokollierung von Änderungen; Sentry Fehlermonitoring

Verfügbarkeitskontrolle

Automatische Backups durch Supabase; Hochverfügbare Infrastruktur über Vercel

Trennungsgebot

Strikte Trennung nach Organisation; Mandantendaten nicht mandantenübergreifend einsehbar

Verschlüsselung

Daten at-rest und in-transit verschlüsselt; Passwörter werden nicht im Klartext gespeichert

§ 7 Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch binnen 24 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten. Die Meldung erfolgt an die vom Auftraggeber angegebene Kontakt-E-Mail-Adresse. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber den zuständigen Aufsichtsbehörden.

§ 8 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Detmold.

Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, berührt dies die Wirksamkeit des übrigen Vertrages nicht.

Unterschriften

Auftraggeber

Ort, Datum, Unterschrift

Name in Druckbuchstaben

Auftragnehmer (SteuerKI)

Ort, Datum, Unterschrift

Quang Lam Bui