e-Rechnung·Inbox

Auftragsverarbeitungsvertrag (AVV)

Die Beta darf produktiv nur nach individueller Freigabe und vertraglicher Abstimmung genutzt werden.

Beta-Hinweis

Die Beta bleibt auf ausgewählte Pilotkunden beschränkt und ist noch kein allgemein freigegebener Produktivservice.

Mail-Relay / E-Mail-Empfang für Kundendomänen

Sofern der Auftraggeber eine eigene Domäne (z. B. rechnung@musterfirma.de) zum Empfang seiner Eingangsrechnungen an den Auftragnehmer delegiert oder über MX-Einträge auf die Mailserver des Auftragnehmers verweist, gilt für die damit verbundene Verarbeitung personenbezogener Daten ergänzend die folgende Teilklausel zum Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Der Entwurf dient der Transparenz; die verbindliche Vertragsfassung wird vor produktiver Inbetriebnahme individuell zwischen den Parteien geschlossen.

Gegenstand und Dauer

Die Verarbeitung umfasst den Empfang, die Entgegennahme und die technische Vorverarbeitung eingehender E-Mails an eine vom Auftraggeber kontrollierte Domäne. Sie beginnt mit Zustellung der ersten E-Mail und endet mit Ablauf der gesetzlichen Aufbewahrungsfristen nach §147 AO und GoBD, spätestens jedoch mit Beendigung des Hauptvertrags zuzüglich der in der Löschklausel vereinbarten Überführungsfristen.

Art und Zweck der Verarbeitung

• Empfang von Eingangsrechnungen per E-Mail über eine vom Auftraggeber kontrollierte Domäne • Extraktion und Validierung strukturierter Rechnungsdaten (XRechnung, ZUGFeRD, Factur-X) • Revisionssichere Archivierung der Ursprungs-E-Mail einschließlich Anhängen • Bereitstellung der Daten zur Übergabe an Buchhaltungssysteme des Auftraggebers (z. B. DATEV Unternehmen online) • Ausschluss: Die Funktion dient ausschließlich dem Empfang; aktives Versenden von Werbe- oder Massen-E-Mails im Namen des Auftraggebers ist nicht Gegenstand dieser Klausel

Arten personenbezogener Daten

• Absender- und Empfängeradressen sowie Anzeigenamen • Angaben zu Rechnungsstellern und Rechnungsempfängern (Name, Firma, Anschrift, USt-ID, Bankverbindung) • Frei formulierte Inhalte in E-Mail-Text und Anhängen • Technische Metadaten (SMTP-Header, Zeitstempel, IP-Adressen der einliefernden Mailserver)

Kategorien betroffener Personen

• Lieferanten, Dienstleister und Geschäftspartner des Auftraggebers • Mitarbeiter des Auftraggebers mit Bezug zum Rechnungseingang und zur Buchhaltung • Dritte, die in Rechnungen oder begleitender E-Mail-Korrespondenz namentlich genannt werden

Unterauftragsverarbeiter

Für den Empfang und die Speicherung der E-Mails werden die nachfolgend genannten Unterauftragsverarbeiter eingesetzt. Sämtliche Verarbeitungen erfolgen innerhalb der EU bzw. unter EU-Standardvertragsklauseln: • Mailgun Technologies, Inc. – Empfang und Entgegennahme eingehender E-Mails • Supabase, Inc. – Datenbank, Objektspeicher und Authentifizierung (EU-Region) • Vercel, Inc. – Hosting der Web- und API-Schicht (EU-Region, Standort fra1) • Sentry GmbH – Fehler- und Performance-Monitoring (DE-Region) Der Auftragnehmer verpflichtet die Unterauftragsverarbeiter vertraglich auf ein vergleichbares Schutzniveau und informiert den Auftraggeber vor Hinzuziehung oder Austausch weiterer Unterauftragsverarbeiter.

Technisch-organisatorische Maßnahmen

• Verschlüsselung der Übertragung mittels TLS (STARTTLS, sofern vom Versenderserver unterstützt) • Verschlüsselung ruhender Daten (AES-256 in Objekt- und Datenbankspeicher) • Mandantentrennung über Row-Level-Security auf Datenbankebene • Revisionssichere Audit-Logs für Zugriff, Änderung und Löschung • Zugriff auf Produktionssysteme ausschließlich nach dem Need-to-know-Prinzip mit Mehr-Faktor-Authentifizierung

Pflichten und Verantwortung des Auftraggebers

• Der Auftraggeber bleibt Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und stellt sicher, dass die Delegation seiner Domäne (DNS-/MX-Konfiguration) rechtmäßig erfolgt • Der Auftraggeber informiert betroffene Lieferanten und Geschäftspartner gemäß Art. 13/14 DSGVO über die Verarbeitung ihrer Daten • Die Mail-Relay-Funktion wird ausschließlich für den geschäftlichen Rechnungseingang genutzt; private oder themenfremde E-Mails sind auszuschließen • Der Auftraggeber benennt eine Kontaktstelle für Auskunfts-, Berichtigungs- und Löschbegehren betroffener Personen

Löschung und Rückgabe der Daten

Nach Beendigung des Hauptvertrags werden die über die Mail-Relay-Funktion verarbeiteten E-Mails und die daraus extrahierten Rechnungsdaten nach Ablauf der gesetzlichen Aufbewahrungspflichten gemäß §147 AO gelöscht. Vor Ablauf dieser Fristen kann der Auftraggeber die Daten jederzeit im standardisierten Exportformat (ZIP-Archiv mit Original-E-Mail, PDF/A und strukturierter XML-Rechnung) abrufen. Eine Herausgabe in anderer Form erfolgt nur auf ausdrücklichen Wunsch und gegen Aufwandserstattung.

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern und den Datenverkehr zu analysieren. Sie können einzelne Kategorien jederzeit ablehnen. Datenschutzerklärung