Auftragsverarbeitungsvertrag (AVV)
Data Processing Agreement (DPA) gemäß Art. 28 DSGVO
Stand: 12. Mai 2026
Hinweis zum Inkrafttreten: Dieser Auftragsverarbeitungsvertrag gilt für alle gewerblichen Nutzer (Unternehmen, Freiberufler, selbstständige Personen), die den Dienst SmartKontoauszug zur Verarbeitung von Daten natürlicher Dritter einsetzen. Durch die Akzeptanz der Allgemeinen Geschäftsbedingungen kommt dieser AVV gleichzeitig und ohne gesonderte Unterschrift in Kraft. Für rein private Nutzer, die ausschließlich eigene Kontoauszüge verarbeiten, findet dieser AVV keine Anwendung.
Parteien
Auftraggeber (Verantwortlicher)
Der gewerbliche Nutzer, der den Dienst SmartKontoauszug zur Verarbeitung personenbezogener Daten Dritter einsetzt (nachfolgend „Auftraggeber").
Auftragnehmer (Auftragsverarbeiter)
Nico Genz
Kämpfenstraße 2/3
78315 Radolfzell
Deutschland
E-Mail: [email protected]
(Betreiber von SmartKontoauszug, nachfolgend „Auftragnehmer")
Präambel
Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich der automatischen Extraktion und Konvertierung von PDF-Kontoauszügen (nachfolgend „Hauptvertrag", geregelt durch die AGB). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers.
Die Parteien schließen daher diesen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, der die Bedingungen für die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers regelt. Im Verhältnis zwischen den Parteien ist der Auftraggeber der datenschutzrechtlich Verantwortliche; der Auftragnehmer handelt als Auftragsverarbeiter.
§ 1 Gegenstand, Art und Zweck der Verarbeitung
1.1 Gegenstand
Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten, die in hochgeladenen PDF-Kontoauszügen enthalten sind. Der Verarbeitungsgegenstand ist die automatische Extraktion und Umwandlung von Transaktionsdaten in maschinenlesbare Exportformate (CSV, Excel u.a.).
1.2 Art der Verarbeitung
Erheben, Speichern (temporär), Lesen, Übermitteln an KI-Dienste (Zero Data Retention), Strukturieren, Exportieren und Löschen von Transaktionsdaten.
1.3 Zweck der Verarbeitung
Ausschließlich zur Erbringung der vertraglich vereinbarten Leistung – der automatischen Extraktion und Bereitstellung von Transaktionsdaten für den Auftraggeber. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.
1.4 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des Nutzungsverhältnisses zwischen Auftraggeber und Auftragnehmer. Extraktionsdaten werden automatisch nach spätestens 7 Tagen gelöscht; originale PDF-Dateien werden unmittelbar nach erfolgreicher Extraktion gelöscht.
§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen
2.1 Art der verarbeiteten Daten
- Name des Kontoinhabers
- IBAN, BIC
- Transaktionsdaten
- Kontostände
- Sonstige im Kontoauszug enthaltene personenbezogene Daten
2.2 Kategorien betroffener Personen
- Kontoinhaber (i.d.R. der Auftraggeber selbst oder seine Kunden)
- Natürliche Personen, die als Transaktionsparteien in den Kontoauszügen erscheinen (z.B. Zahlungsempfänger, Auftraggeber von Überweisungen)
§ 3 Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zu folgenden Maßnahmen und Verhaltensweisen:
3.1 Weisungsgebundenheit
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers – einschließlich in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland – es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).
3.2 Vertraulichkeit
Der Auftragnehmer stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
3.3 Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO (siehe § 6 dieses Vertrages) (Art. 28 Abs. 3 lit. c DSGVO).
3.4 Unterstützung bei Betroffenenrechten
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen (Art. 28 Abs. 3 lit. e DSGVO). Anfragen richten Sie an [email protected].
3.5 Unterstützung bei Datenschutzpflichten
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO).
3.6 Löschung oder Rückgabe nach Vertragsende
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 3 lit. g DSGVO). Die Extraktionsdaten werden spätestens nach 7 Tagen automatisch gelöscht; der Auftraggeber kann seine Daten jederzeit selbst aus dem Dashboard löschen.
3.7 Nachweispflicht und Prüfungsrecht
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen – durch den Auftraggeber oder einen von ihm beauftragten Prüfer sowie trägt zu solchen Überprüfungen bei (Art. 28 Abs. 3 lit. h DSGVO). Prüfungsanfragen sind schriftlich per E-Mail einzureichen; der Auftragnehmer beantwortet diese innerhalb von 30 Tagen.
3.8 Meldung von Datenschutzverletzungen
Der Auftragnehmer informiert den Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist (Art. 33 Abs. 2 DSGVO). Die Meldung erfolgt per E-Mail an die im Nutzerkonto des Auftraggebers hinterlegte Adresse.
§ 4 Pflichten des Auftraggebers
Der Auftraggeber ist als datenschutzrechtlich Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung zuständig. Er verpflichtet sich insbesondere:
- Nur rechtmäßig erlangte Kontoauszüge und Daten in den Dienst hochzuladen
- Sicherzustellen, dass eine geeignete Rechtsgrundlage für die Verarbeitung der betroffenen Daten vorliegt (z.B. Einwilligung der Kontoinhaber oder berechtigte Interessen)
- Betroffene Personen, soweit erforderlich, über die Verarbeitung ihrer Daten zu informieren
- Weisungen an den Auftragnehmer ausschließlich schriftlich oder per E-Mail zu erteilen
- Den Auftragnehmer unverzüglich zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Einhaltung datenschutzrechtlicher Vorschriften festgestellt werden
§ 5 Einsatz von Unterauftragsverarbeitern
5.1 Allgemeine Genehmigung
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch weiterer Auftragsverarbeiter durch Aktualisierung des Auftragsverarbeiter-Verzeichnisses.
5.2 Aktuell eingesetzte Unterauftragsverarbeiter
Die vollständige und aktuelle Liste der eingesetzten Unterauftragsverarbeiter ist jederzeit abrufbar unter: /auftragsverarbeiter
Derzeit werden folgende Unterauftragsverarbeiter eingesetzt:
| Anbieter | Zweck | Sitz | Transfermechanismus |
|---|---|---|---|
| DigitalOcean, LLC | Hosting & Datenbank | USA (Rechenzentrum: Frankfurt, EU) | EU-US DPF + SCCs |
| Mistral AI SAS | KI-Extraktion (Zero Data Retention) | Frankreich (EU) | Kein Transfer erforderlich |
| Cloudflare, Inc. | DDoS-Schutz / CDN | USA | EU-US DPF + SCCs |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland (EU) / USA | EU-US DPF + SCCs |
5.3 Pflichten gegenüber Unterauftragsverarbeitern
Der Auftragnehmer legt Unterauftragsverarbeitern durch Vertrag dieselben Datenschutzpflichten auf, die in diesem AVV geregelt sind, insbesondere hinsichtlich hinreichender Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen (Art. 28 Abs. 4 DSGVO).
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert.
Transportverschlüsselung
Alle Datenübertragungen zwischen dem Browser des Nutzers und dem Server sowie zwischen dem Server und der Datenbank erfolgen ausschließlich über verschlüsselte Verbindungen (TLS 1.2 oder höher). Eine unverschlüsselte Übertragung personenbezogener Daten findet nicht statt.
Zugriffskontrolle
Der Datenbankzugriff ist auf den Anwendungsserver beschränkt. Nutzer können ausschließlich auf ihre eigenen Daten zugreifen; ein Zugriff auf Daten anderer Nutzer ist technisch ausgeschlossen. Zugriffe werden protokolliert.
Datensparsamkeit und automatische Löschung
Originale PDF-Dateien werden unmittelbar nach erfolgreicher Extraktion automatisch und unwiederbringlich gelöscht. Extraktionsdaten werden spätestens nach 7 Tagen automatisch gelöscht. Nutzer können ihre Daten jederzeit manuell im Dashboard löschen.
KI-Verarbeitung: Zero Data Retention
Die KI-gestützte Extraktion erfolgt über Mistral AI mit aktiviertem Zero Data Retention-Flag. Die übermittelten Daten werden von Mistral AI nicht dauerhaft gespeichert, nicht für das Training von KI-Modellen verwendet und ausschließlich zur unmittelbaren Beantwortung der Anfrage verarbeitet.
Infrastruktur und Verfügbarkeit
Der Dienst wird auf Servern der DigitalOcean, LLC im Rechenzentrum Frankfurt am Main (fra1, EU) betrieben. Die Datenbank wird durch DigitalOcean Managed Databases bereitgestellt und ist im Ruhezustand mit AES-256 verschlüsselt. Da DigitalOcean ein US-amerikanisches Unternehmen ist, erfolgt die Datenübertragung auf Basis des EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (SCCs). Darüber hinaus erfordert der Einsatz von Cloudflare (DDoS-Schutz) und Stripe (Zahlungsabwicklung) eine temporäre Übertragung in die USA; diese Transfers sind ebenfalls durch EU-US DPF und SCCs abgesichert.
Vertraulichkeit der Mitarbeiter
Alle Personen, die Zugang zu personenbezogenen Daten haben, sind auf die Vertraulichkeit verpflichtet und wurden über die datenschutzrechtlichen Anforderungen informiert.
§ 7 Unterstützung bei Betroffenenrechten
Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrung der Rechte betroffener Personen gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Konkret stellt der Auftragnehmer folgende Mechanismen bereit:
- Selbstbedienung: Nutzer können ihre Extraktionsdaten jederzeit im Dashboard einsehen und löschen
- Auskunft auf Anfrage: Der Auftragnehmer stellt auf begründete schriftliche Anfrage des Auftraggebers eine Übersicht der gespeicherten Daten bereit
- Löschung auf Anfrage: Der Auftragnehmer löscht Daten eines spezifischen Nutzers auf schriftliche Weisung des Auftraggebers innerhalb von 14 Tagen
Anfragen sind an [email protected] zu richten.
§ 8 Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Nutzungsverhältnisses (Kündigung des Nutzerkontos oder Beendigung der Nutzung) löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Eine Rückgabe der Daten in maschinenlesbarem Format kann der Auftraggeber vor Löschung des Kontos schriftlich beim Auftragnehmer beantragen.
Die automatische Löschung von Extraktionsdaten nach 7 Tagen und von PDF-Originaldateien unmittelbar nach der Extraktion bleibt hiervon unberührt und gilt unabhängig vom Vertragsende.
§ 9 Haftung
Die Haftung der Parteien für Schäden infolge einer Verletzung dieses AVV richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den im Hauptvertrag (AGB) vereinbarten Haftungsregelungen.
Der Auftragnehmer haftet nur für Schäden, die durch Verarbeitungen verursacht werden, bei denen er gegen die ihm nach der DSGVO auferlegten Pflichten verstoßen hat oder bei denen er außerhalb der rechtmäßigen Weisungen des Auftraggebers gehandelt hat. Der Auftragnehmer ist von der Haftung befreit, wenn er nachweist, dass er für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich ist.
§ 10 Änderungen dieses AVV
Der Auftragnehmer behält sich vor, diesen AVV anzupassen, wenn dies aufgrund von Änderungen der Rechtslage, behördlichen Entscheidungen oder technischen Änderungen erforderlich wird. Wesentliche Änderungen werden registrierten Nutzern per E-Mail mitgeteilt. Das Datum des letzten Stands ist oben auf dieser Seite vermerkt. Die fortgesetzte Nutzung des Dienstes nach Inkrafttreten von Änderungen gilt als Zustimmung.
§ 11 Anwendbares Recht und Gerichtsstand
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Einbeziehung der Datenschutz-Grundverordnung (DSGVO). Erfüllungsort und Gerichtsstand für Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist, soweit gesetzlich zulässig, der Sitz des Auftragnehmers (Radolfzell am Bodensee).
§ 12 Kontakt und Ansprechpartner
Für alle Fragen zu diesem AVV, zur Datenverarbeitung oder zur Ausübung von Betroffenenrechten wenden Sie sich bitte an:
Nico Genz
Kämpfenstraße 2/3
78315 Radolfzell
Deutschland
E-Mail: [email protected]
Weitere Informationen finden Sie in unserer Datenschutzerklärung und im Auftragsverarbeiter-Verzeichnis.