Buchhaltung mit KIVertrag zur Auftragsverarbeitung (AVV)
nach Art. 28 DSGVO, geschlossen zwischen dem Nutzer („Verantwortlicher") und Beate Stohr, Schweinsdorfer Str. 32, 01705 Freital („Auftragsverarbeiterin"). Stand: 11.06.2026.
§ 1 Gegenstand & Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch die Auftragsverarbeiterin im Rahmen der Bereitstellung der Software „Buchhaltung mit KI". Die Verarbeitung dauert für die Laufzeit des Hauptvertrags.
§ 2 Art, Zweck, Datenarten, Betroffene
- Art/Zweck: Speicherung, Auslesung (OCR/KI), Kontierung, Faktura, Bankabgleich, Auswertung/Export.
- Datenarten: Stamm-/Kontaktdaten von Kunden & Lieferanten des Verantwortlichen, Rechnungs-/Beleg- und Buchungsdaten, Bankumsatzdaten.
- Betroffene: Kunden, Lieferanten, Beschäftigte und sonstige Geschäftspartner des Verantwortlichen.
§ 3 Weisungen
Die Auftragsverarbeiterin verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Software gilt als Weisung; darüber hinausgehende Weisungen sind in Textform zu erteilen.
§ 4 Vertraulichkeit
Zur Verarbeitung eingesetzte Personen sind auf Vertraulichkeit verpflichtet.
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Verschlüsselte Übertragung (TLS); strikte Mandantentrennung über Datenbank-Row-Level-Security plus Anwendungs-Scoping; Passwort-Hashing; rollenbasierte Zugriffskontrolle (inkl. lesendem Steuerberater-Zugang); revisionssichere Festschreibung (GoBD); regelmäßige Backups.
§ 6 Sub-Auftragsverarbeiter
Der Verantwortliche genehmigt den Einsatz folgender Sub-Auftragsverarbeiter; ein Wechsel wird mit angemessener Frist mitgeteilt (Widerspruchsrecht):
| Dienstleister | Zweck | Ort |
|---|---|---|
| Anthropic (Claude) | KI-Belegauslesung & Kontierungsvorschläge | [EU-Verarbeitung / Garantien – klären] |
| Hostinger International Ltd. | Hosting der Anwendung & Daten | EU |
| n8n (eigener Server) | Vermittlung OCR-/KI-Aufrufe | EU |
| IONOS SE | Service-/Verifizierungs-E-Mails (SMTP) | Deutschland |
Zahlungsdaten verarbeitet Stripe in eigener Verantwortlichkeit (kein Sub-Auftragsverarbeiter dieses AVV).
§ 7 Unterstützung des Verantwortlichen
Die Auftragsverarbeiterin unterstützt bei Betroffenenrechten, Meldepflichten (Art. 33/34) und Datenschutz-Folgenabschätzungen.
§ 8 Löschung & Rückgabe
Nach Vertragsende werden die Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht (GoBD/§ 147 AO, i. d. R. 10 Jahre) entgegensteht.
§ 9 Nachweise & Kontrollen
Die Auftragsverarbeiterin stellt die erforderlichen Informationen zum Nachweis der Einhaltung bereit und ermöglicht Überprüfungen in angemessenem Rahmen.
Hinweis: Muster-AVV — vor Verwendung anwaltlich/datenschutzrechtlich prüfen lassen.