DSGVO-konform

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) zwischen dem Nutzer als Verantwortlichem und InvoArc als Auftragsverarbeiter.

Version 1.0 Gültig ab: 14.03.2026 Sprache: Deutsch

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die datenschutzrechtlichen Pflichten und Rechte zwischen dem Nutzer des Dienstes InvoArc (nachfolgend „Verantwortlicher") und der Betreiberin des Dienstes InvoArc (nachfolgend „Auftragsverarbeiter" oder „InvoArc") im Rahmen der Nutzung der InvoArc-Plattform.

Der AVV ist Bestandteil der Nutzungsbedingungen von InvoArc und gilt mit der Annahme durch den Verantwortlichen (z. B. durch Registrierung oder aktive Bestätigung) als abgeschlossen. Er konkretisiert die Anforderungen des Art. 28 DSGVO und gilt für alle Tätigkeiten, bei denen InvoArc personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

§ 1  Vertragsgegenstand und Dauer der Verarbeitung

1.1 Gegenstand

InvoArc erbringt für den Verantwortlichen den Dienst des automatisierten Abrufs, der Paketierung und der Zustellung von Stripe-Rechnungen (PDF-Dokumente) als komprimiertes ZIP-Archiv. Im Rahmen dieser Leistungserbringung verarbeitet InvoArc personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.

1.2 Dauer

Dieser Vertrag beginnt mit der Annahme durch den Verantwortlichen und läuft so lange, wie der Verantwortliche den InvoArc-Dienst nutzt. Er endet automatisch mit der vollständigen Beendigung des Hauptvertrags (Nutzungsbedingungen). Die Regelungen zur Datenlöschung in § 8 bleiben nach Vertragsende in Kraft.

§ 2  Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

InvoArc führt im Rahmen der Leistungserbringung folgende Verarbeitungstätigkeiten durch:

  • Abruf von Rechnungsdaten (Invoices) über die Stripe-API mit Hilfe des vom Verantwortlichen bereitgestellten, eingeschränkten Stripe-API-Schlüssels
  • Temporäre Speicherung der Rechnungs-PDF-Dateien und zugehöriger Metadaten
  • Erstellung eines ZIP-Archivs und Bereitstellung als verschlüsselter Download-Link
  • Übermittlung des Download-Links per E-Mail an den Verantwortlichen
  • Automatische Löschung der Dateien nach Ablauf der Aufbewahrungsfrist

2.2 Zweck

Der einzige Zweck der Verarbeitung ist die Erbringung des vertraglich vereinbarten Dienstes (Rechnungsexport). Eine Verarbeitung zu eigenen Zwecken von InvoArc findet nicht statt.

§ 3  Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung können folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Identifikationsdaten der Rechnungsempfänger: Vor- und Nachname, Firmenname
  • Kontaktdaten: E-Mail-Adresse (wie in Stripe hinterlegt)
  • Adressdaten: Straße, Hausnummer, PLZ, Ort, Land (Rechnungsadresse)
  • Steuerliche Daten: Umsatzsteuer-Identifikationsnummer (sofern in Stripe hinterlegt)
  • Transaktionsdaten: Rechnungsnummer, Rechnungsdatum, Betrag, Währung, Zahlungsstatus
  • Technische Metadaten: Stripe-Kunden-ID, Stripe-Rechnungs-ID

Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO werden durch InvoArc nicht verarbeitet und sollten vom Verantwortlichen nicht in den Stripe-Rechnungsdaten hinterlegt werden.

§ 4  Kategorien betroffener Personen

Von der Verarbeitung betroffene Personen können sein:

  • Kunden des Verantwortlichen (natürliche Personen), die Rechnungen über Stripe erhalten haben
  • Geschäftsführer oder Kontaktpersonen von Unternehmen, die Kunden des Verantwortlichen sind
  • Mitarbeiter des Verantwortlichen (sofern Rechnungen auf interne Personen ausgestellt sind)

§ 5  Pflichten und Rechte des Verantwortlichen

  1. Der Verantwortliche ist allein für die Rechtmäßigkeit der Verarbeitung der ihm über Stripe vorliegenden personenbezogenen Daten verantwortlich (Art. 24 DSGVO).
  2. Der Verantwortliche stellt sicher, dass eine geeignete Rechtsgrundlage für die Verarbeitung besteht (z. B. Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung).
  3. Der Verantwortliche ist verpflichtet, InvoArc unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten in der Verarbeitung feststellt.
  4. Der Verantwortliche verwendet ausschließlich eingeschränkte Stripe-API-Schlüssel (Restricted Keys) mit minimalen, ausschließlich leseberechtigten Zugriffsrechten auf Rechnungsdaten (Invoices: Read). Die Verwendung von vollständigen Geheimschlüsseln (sk_live_...) ist untersagt.
  5. Der Verantwortliche ist berechtigt, InvoArc jederzeit Weisungen zur Verarbeitung zu erteilen. Weisungen erfolgen in Textform (E-Mail oder über die Plattform).
  6. Sofern InvoArc der Meinung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, hat InvoArc den Verantwortlichen unverzüglich darauf hinzuweisen.

§ 6  Pflichten des Auftragsverarbeiters (InvoArc)

  1. Weisungsgebundenheit: InvoArc verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen, es sei denn, InvoArc ist aufgrund des Unionsrechts oder nationalen Rechts zur Verarbeitung verpflichtet.
  2. Vertraulichkeit: InvoArc stellt sicher, dass sich alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
  3. Technische und organisatorische Maßnahmen: InvoArc trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO. Die konkreten Maßnahmen sind in § 9 dieses Vertrags (TOMs) dokumentiert.
  4. Unterstützung bei Betroffenenrechten: InvoArc unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen nach Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) nach Maßgabe seiner Möglichkeiten.
  5. Unterstützung bei Datenschutzpflichten: InvoArc unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
  6. Löschung oder Rückgabe: Nach Abschluss der Verarbeitungsleistungen löscht InvoArc alle personenbezogenen Daten gemäß § 8 oder gibt sie auf Verlangen des Verantwortlichen zurück. Gesetzliche Aufbewahrungspflichten bleiben unberührt.
  7. Informationspflicht: InvoArc stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen durch den Verantwortlichen oder einen beauftragten Prüfer. Für Audits ist eine Voranmeldung mit einer Frist von mindestens 14 Tagen erforderlich.
  8. Meldung von Datenverletzungen: InvoArc meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO).

§ 7  Unterauftragnehmer (Sub-Auftragsverarbeiter)

InvoArc ist berechtigt, die nachfolgend genannten Unterauftragnehmer einzusetzen. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragnehmer mit Annahme dieses AVV zu. InvoArc informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung oder Austausch) von Unterauftragnehmern mit einer Frist von mindestens 30 Tagen vorab, sodass der Verantwortliche Einwände erheben kann.

Unterauftragnehmer Sitz Verarbeitungszweck Datenschutzgarantie
Stripe, Inc. San Francisco, CA, USA Zahlungsabwicklung; Bereitstellung der Rechnungsdaten via API EU-Standardvertragsklauseln (SCCs), angemessener Datenschutz per Datenschutzrahmen (stripe.com/de/privacy)
Supabase, Inc. San Francisco, CA, USA Datenbankhosting (Sitzungsdaten, verschlüsselte API-Schlüssel, Job-Status), Dateispeicherung (ZIP-Archive), Authentifizierung EU-Standardvertragsklauseln (SCCs); Datenspeicherung wahlweise in EU-Rechenzentrum (AWS eu-central-1) (supabase.com/privacy)
Transaktionaler E-Mail-Dienst
(z. B. Resend oder SendGrid)		 USA Versand von Download-Links und Benachrichtigungen per E-Mail EU-Standardvertragsklauseln (SCCs); aktuelle Informationen auf Anfrage

InvoArc schließt mit jedem Unterauftragnehmer einen Auftragsverarbeitungsvertrag ab, der dem Schutzniveau dieses AVV entspricht.

§ 8  Löschung und Rückgabe von Daten

  1. Instant ZIP: Die ZIP-Dateien und die zugehörigen verschlüsselten API-Schlüssel werden automatisch spätestens 48 Stunden nach Fertigstellung gelöscht. Download-Links werden nach 5 Abrufen oder Ablauf der Frist deaktiviert.
  2. InvoArc Pro: ZIP-Archive werden automatisch 7 Tage nach Erstellung gelöscht. Verschlüsselte Stripe-API-Schlüssel werden bei Kündigung des Abonnements oder auf ausdrückliche Anfrage des Verantwortlichen unverzüglich gelöscht.
  3. Datenbankeinträge (Job-Logs, Sitzungsmetadaten) können zu Abrechnungs- und Prüfzwecken für einen Zeitraum von bis zu 12 Monaten aufbewahrt werden; sie enthalten jedoch keine Rechnungsinhalte oder Klartext-Schlüssel.
  4. Nach Beendigung des Hauptvertrags werden alle verbleibenden personenbezogenen Daten des Verantwortlichen und seiner Kunden innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 9  Technische und organisatorische Maßnahmen (TOMs)

InvoArc trifft die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

Maßnahme Umsetzung
Verschlüsselung in Ruhe Alle Stripe-API-Schlüssel werden mit AES-256-GCM verschlüsselt gespeichert. ZIP-Archive werden in verschlüsseltem Supabase Storage abgelegt.
Verschlüsselung bei Übertragung Alle Kommunikation erfolgt ausschließlich über TLS 1.2/1.3 (HTTPS). API-Aufrufe zu Stripe und Supabase sind TLS-gesichert.
Zugriffskontrolle Supabase Row Level Security (RLS) stellt sicher, dass Nutzer ausschließlich auf eigene Daten zugreifen können. Administrativer Datenbankzugang ist auf Service-Role-Schlüssel beschränkt.
Minimalprinzip (Least Privilege) Nutzer werden zur Verwendung von Stripe-Restricted-Keys mit ausschließlich Lese-Berechtigung auf Rechnungsdaten angehalten. Andere Stripe-Ressourcen sind nicht zugänglich.
Datensparsamkeit InvoArc speichert keine vollständigen Stripe-Schlüssel im Klartext. Schlüssel werden unmittelbar nach Verwendung aus dem Arbeitsspeicher entfernt. Instant-Zip-Schlüssel werden nach Auftragsabschluss gelöscht.
Authentifizierung Pro-Nutzer-Konten werden über Supabase Auth (E-Mail-Verifizierung, sichere Passwort-Hashes) verwaltet. API-Endpunkte prüfen JWT-Tokens bei jeder Anfrage.
Ratenbegrenzung Kritische Endpunkte sind durch Rate Limiting (IP-basiert) vor Missbrauch geschützt.
Automatische Datenlöschung ZIP-Dateien und Schlüssel werden nach definierten Fristen automatisch gelöscht (s. § 8). Abgelaufene Download-Links werden sofort deaktiviert.
Protokollierung und Monitoring Systemereignisse und Fehler werden protokolliert. Logs enthalten keine personenbezogenen Rechnungsinhalte oder Schlüssel im Klartext.
Sicherheitsupdates Abhängigkeiten und Systeme werden regelmäßig auf Sicherheitslücken geprüft und aktualisiert.

§ 10  Laufzeit und Beendigung

  1. Dieser AVV tritt mit Annahme durch den Verantwortlichen in Kraft und läuft parallel zum Hauptvertrag (Nutzungsbedingungen).
  2. Der AVV endet automatisch mit Beendigung des Hauptvertrags. Eine separate Kündigung des AVV ist nicht erforderlich.
  3. Stellt InvoArc fest, dass der Verantwortliche gegen datenschutzrechtliche Bestimmungen verstößt, ist InvoArc berechtigt, die Verarbeitung bis zur Klärung zu unterbrechen und den Vertrag aus wichtigem Grund zu kündigen.
  4. Im Falle der Beendigung gelten die Löschpflichten gemäß § 8 fort.

§ 11  Sonstiges

  1. Anwendbares Recht: Es gilt das Recht der Europäischen Union, insbesondere die DSGVO, sowie das anwendbare nationale Recht.
  2. Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  3. Änderungen: InvoArc behält sich vor, diesen AVV bei wesentlichen Änderungen der Verarbeitungstätigkeiten oder der Rechtslage anzupassen. Änderungen werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten mitgeteilt.
  4. Kontakt: Bei Fragen zu diesem AVV oder zur Datenverarbeitung durch InvoArc wenden Sie sich bitte an:
    InvoArc - Datenschutz
    E-Mail: privacy@invoarc.com

Dokument-Version: 1.0  |  Gültig ab: 14. März 2026

Dieser Vertrag wurde nach bestem Wissen und in Übereinstimmung mit Art. 28 DSGVO erstellt. Er ersetzt keine individuelle Rechtsberatung. Bei spezifischen Anforderungen empfehlen wir die Hinzuziehung eines Datenschutzbeauftragten oder Rechtsanwalts.

Zurück zur Startseite