Datenschutzdokument

Auftragsverarbeitungsvertrag (AVV)

Standard-AVV für BuchhaltIQ, soweit personenbezogene Daten innerhalb der Software im Auftrag verarbeitet werden.

Stand: 30.05.2026Kontakt: info@buchhaltiq.deReines B2B-Modell

Stand: 30.05.2026

Dieser AVV erfasst Verarbeitungsvorgänge, bei denen der Anbieter personenbezogene Daten im Auftrag des Kunden innerhalb von BuchhaltIQ verarbeitet. Nicht erfasst sind Verarbeitungen des Anbieters in eigener Verantwortlichkeit, insbesondere für Vertragsverwaltung, Abrechnung, Support, Sicherheit und Missbrauchsprävention.

1.1 Verantwortlicher

Der Kunde als Nutzer von BuchhaltIQ.

1.2 Auftragsverarbeiter

Born - Theoretical Software
Inhaber: Ardit Thaqi
Robert-Bosch-Straße 4
88427 Bad Schussenried
Deutschland
E-Mail: info@buchhaltiq.de
Steuernummer: 54350/46400

1. Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung von BuchhaltIQ.

2. Die Dauer dieses AVV richtet sich nach der Laufzeit des zugrunde liegenden SaaS-Vertrags. Er beginnt mit Zustandekommen des SaaS-Vertrags. Soweit nach Beendigung des SaaS-Vertrags Daten im Auftrag des Verantwortlichen in einem Export-, Sperr- oder Archivstatus vorgehalten werden, gilt dieser AVV für diese Verarbeitung bis zur vollständigen Löschung oder Rückgabe fort.

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur technischen Erbringung der vertraglich geschuldeten Leistungen innerhalb von BuchhaltIQ.

2. Die Verarbeitung kann insbesondere folgende Tätigkeiten umfassen:

  • Hosting und Speicherung von Kundendaten,
  • Benutzer- und Rechteverwaltung,
  • Erfassung, Speicherung, Verarbeitung und Auswertung von Belegen, Buchungen und Transaktionen,
  • Erstellung von Exporten, Berichten und technischen Auswertungen,
  • optional KI-gestützte Analyse- und Kategorisierungsvorgänge,
  • optional Anbindung externer Systeme und Schnittstellen auf Weisung des Verantwortlichen.

1. Kategorien personenbezogener Daten können insbesondere sein:

  • Stammdaten,
  • Kontakt- und Kommunikationsdaten,
  • Buchungs-, Beleg- und Transaktionsdaten,
  • Nutzungs-, Log- und Metadaten,
  • Daten aus optionalen Integrationen.

Je nach Nutzung können auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO betroffen sein, etwa Gesundheitsdaten oder Angaben zur Religionszugehörigkeit, soweit der Verantwortliche solche Daten in BuchhaltIQ verarbeitet, insbesondere im Zusammenhang mit Lohn-, Personal- oder Abwesenheitsdaten.

2. Betroffene Personen können insbesondere sein:

  • Mitarbeiter des Verantwortlichen,
  • Ansprechpartner, Kunden und Lieferanten des Verantwortlichen,
  • sonstige Personen, deren Daten der Verantwortliche in BuchhaltIQ verarbeitet.

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

2. Der SaaS-Vertrag, die produktbezogene Nutzung durch den Verantwortlichen sowie die innerhalb von BuchhaltIQ ausgelösten Funktionen gelten als dokumentierte Weisungen im Sinne dieses AVV.

3. Einzelweisungen außerhalb des vertraglich vereinbarten Leistungsumfangs kann der Auftragsverarbeiter als Zusatzleistung abrechnen.

Der Auftragsverarbeiter verpflichtet sich,

1. personenbezogene Daten vertraulich zu behandeln und nur befugten Personen zugänglich zu machen, 2. sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind, 3. geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen, 4. den Verantwortlichen bei Betroffenenanfragen, Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und Konsultationen angemessen zu unterstützen, 5. den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen Datenschutzrecht verstößt, 6. ein Verzeichnis geeigneter Unterauftragsverarbeiter zu führen.

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen. Hierzu gehören insbesondere:

  • Zugriffsschutz durch Authentifizierung und Rollen-/Berechtigungskonzepte,
  • verschlüsselte Datenübertragung,
  • Schutz vor unbefugtem Zugriff auf Systeme und Daten,
  • Protokollierung sicherheitsrelevanter Ereignisse,
  • Backup- und Wiederherstellungsprozesse,
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen.

Die Maßnahmen dürfen weiterentwickelt und angepasst werden, solange das insgesamt geschuldete Schutzniveau nicht unterschritten wird.

1. Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern.

2. Derzeit sind insbesondere folgende Unterauftragsverarbeiter oder technische Dienstleister vorgesehen, soweit sie im jeweiligen Nutzungsszenario für Verarbeitungen innerhalb von BuchhaltIQ als Auftragsverarbeiter eingesetzt werden:

DienstleisterZweckRegion
Google Cloud Platform / Firebase / FirestoreHosting, Datenbank, InfrastrukturEU, insbesondere Frankfurt
SendGridVersand transaktionsbezogener E-MailsEU/USA
Google Vertex AI / Anthropic über Vertex AIOptionale KI-VerarbeitungEU-Region, soweit technisch konfiguriert
finAPIOptionale Bankdatenanbindung und technische Bereitstellung von KontoinformationenDeutschland / EU

3. Dienstleister für Website-Bereitstellung, Domainverwaltung, Kontaktformulare, Zahlungsabwicklung, Banken, DATEV oder andere vom Kunden angebundene Empfänger können je nach Verarbeitungsvorgang eigenständig Verantwortliche, gemeinsame Verantwortliche oder Auftragsverarbeiter sein. Ihre jeweilige Rolle ergibt sich aus dem konkreten Dienst, den Datenschutzhinweisen und den Bedingungen des jeweiligen Drittanbieters.

4. Über die Beauftragung neuer oder den Austausch bestehender Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen mindestens 30 Tage vor Wirksamwerden in Textform. Der Verantwortliche kann innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen.

1. Eine Verarbeitung in Drittstaaten erfolgt nur, soweit die gesetzlichen Voraussetzungen hierfür vorliegen.

2. Sofern Dienstleister außerhalb der EU oder des EWR eingesetzt werden oder ein Zugriff von dort nicht ausgeschlossen werden kann, erfolgt dies nur auf Grundlage eines Angemessenheitsbeschlusses, geeigneter Garantien oder einer sonstigen gesetzlichen Grundlage.

1. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung von Betroffenenrechten.

2. Erhält der Auftragsverarbeiter Anfragen betroffener Personen unmittelbar, wird er diese unverzüglich an den Verantwortlichen weiterleiten, sofern eine Zuordnung zum Verantwortlichen möglich ist.

3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten, die den Gegenstand dieses AVV betreffen.

1. Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV in angemessenem Umfang zu überprüfen.

2. Der Verantwortliche kündigt Vor-Ort-Prüfungen mit angemessener Frist, in der Regel mindestens 14 Kalendertage, an. Die Durchführung hat während üblicher Geschäftszeiten und unter Wahrung von Betriebs- und Geschäftsgeheimnissen sowie der Sicherheit anderer Kunden zu erfolgen.

3. Der Auftragsverarbeiter kann den Nachweis der Einhaltung datenschutzrechtlicher Anforderungen auch durch geeignete Unterlagen, Zertifikate, Auditberichte oder Selbstauskünfte führen.

1. Nach Beendigung des SaaS-Vertrags gibt der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen zurück oder löscht sie, sofern keine gesetzliche Pflicht zur weiteren Speicherung besteht und keine fortwirkende dokumentierte Weisung zur Archivierung vorliegt.

2. Soweit keine abweichende Weisung vorliegt, gilt als vereinbart, dass der Verantwortliche seine Daten innerhalb von 30 Tagen nach Vertragsende exportieren kann. Nach Ablauf dieses Exportzeitraums wird der produktive Zugriff beendet.

3. Buchungs-, Beleg-, Rechnungs-, Transaktions-, Lohn- und vergleichbare steuerlich oder handelsrechtlich relevante Daten können nach Ende des produktiven Zugriffs in einen gesperrten Archivstatus überführt werden, soweit dies zur Erfüllung gesetzlicher Aufbewahrungs-, Nachweis-, Prüfungs- oder Rechtsverteidigungspflichten erforderlich ist oder der Verantwortliche eine entsprechende Archivierung innerhalb von BuchhaltIQ nutzt. Eine Verarbeitung archivierter Daten erfolgt nur noch zu diesen Archiv-, Nachweis-, Prüfungs-, Sicherheits- oder Rechtsverteidigungszwecken.

4. Archivierte Daten werden spätestens nach Ablauf der jeweils einschlägigen Aufbewahrungsfrist gelöscht, soweit keine weitere gesetzliche Pflicht, behördliche Anordnung, laufende Prüfung oder Rechtsverteidigung eine längere Speicherung erfordert. Je nach Unterlagenart können gesetzliche Aufbewahrungsfristen von bis zu 10 Jahren gelten; für bestimmte Buchungsbelege gelten nach aktueller Rechtslage kürzere Fristen.

5. Sicherungskopien werden im Rahmen üblicher Backup-Zyklen überschrieben und spätestens innerhalb von 90 Tagen entfernt, sofern keine gesetzliche Pflicht oder ein Sicherheitsgrund eine längere Vorhaltung erfordert.

6. Von diesem AVV unberührt bleiben Daten, die der Auftragsverarbeiter in eigener Verantwortlichkeit verarbeitet, insbesondere Vertrags-, Rechnungs-, Zahlungs-, Support- und Sicherheitsdaten.

1. Für die Haftung gelten die gesetzlichen datenschutzrechtlichen Bestimmungen sowie die Haftungsregelungen des SaaS-Vertrags, soweit gesetzlich zulässig.

2. Zwingende Ansprüche aus der DSGVO bleiben unberührt.

1. Bei Widersprüchen zwischen diesem AVV und dem SaaS-Vertrag gehen die Regelungen dieses AVV vor, soweit es um Auftragsverarbeitung geht.

2. Änderungen und Ergänzungen dieses AVV bedürfen der Textform, sofern keine strengere gesetzliche Form erforderlich ist.

3. Im Übrigen gelten die Bestimmungen des SaaS-Vertrags.

Born - Theoretical Software, Inhaber Ardit Thaqi, Robert-Bosch-Straße 4, 88427 Bad Schussenried, Deutschland, Steuernummer 54350/46400.