Legal

Auftragsverarbeitung (AVV)

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) konkretisiert die datenschutzrechtlichen Rechte und Pflichten zwischen dem Kunden als Verantwortlichem und der Jobli UG (haftungsbeschränkt) als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Sie gilt ergänzend zu den AGB und zum Hauptvertrag über die Nutzung von LedgerLou.

1. Parteien

Auftragsverarbeiter:
Jobli UG (haftungsbeschränkt)
HeimgartenstraĂźe 6, 81539 MĂĽnchen
E-Mail: info@ledgerlou.de

Verantwortlicher:
Kunde gemäß Hauptvertrag (Unternehmen/Organisation des nutzenden Tenants).

2. Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb der SaaS-Plattform LedgerLou einschlieĂźlich Dashboard, API, MCP, Dokumentenverarbeitung, OCR und Buchhaltungsassistenzfunktionen.

Die Verarbeitung erfolgt fĂĽr die Laufzeit des Hauptvertrags sowie darĂĽber hinaus nur, soweit gesetzliche Aufbewahrungspflichten oder berechtigte GrĂĽnde dies erfordern.

3. Art und Zweck der Verarbeitung

  • Verwaltung von Nutzerkonten, Rollen und Tenants
  • Verarbeitung von Buchhaltungsdaten, Belegen und Banktransaktionen
  • Bereitstellung von OCR-, Extraktions- und Assistenzfunktionen
  • Protokollierung, SicherheitsĂĽberwachung und Missbrauchserkennung
  • AusfĂĽhrung von API-/MCP-Anfragen im Auftrag des Kunden

4. Kategorien betroffener Personen und Daten

Betroffene Personen können insbesondere Mitarbeiter, Ansprechpartner, Kunden, Lieferanten, Dienstleister und sonstige Geschäftspartner des Verantwortlichen sein.

Verarbeitete Datenkategorien können u. a. sein:

  • Stammdaten (Name, E-Mail, Firma, Rolle)
  • Kommunikations- und Inhaltsdaten (Belege, Notizen, Chatinhalte)
  • Buchhaltungs- und Transaktionsdaten (Beträge, Konten, Buchungen, IBAN/Referenzen)
  • Technische Nutzungsdaten (IP, Logdaten, Zeitstempel, Geräte-/Browserdaten)

5. Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschlieĂźlich auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht.

Weisungen können über die produktseitigen Konfigurationen, Support-Kanäle oder in Textform erteilt werden.

6. Vertraulichkeit und Zugriffskontrolle

Der Auftragsverarbeiter verpflichtet alle zur Verarbeitung befugten Personen auf Vertraulichkeit und stellt sicher, dass der Zugriff auf personenbezogene Daten nur im erforderlichen Umfang erfolgt („Need-to-know“).

7. Technische und organisatorische MaĂźnahmen (TOM)

Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO um. Dazu zählen insbesondere:

  • Zugriffs- und Berechtigungskonzepte (Rollen, Scopes, API-Key-/OAuth-Steuerung)
  • TransportverschlĂĽsselung und SicherheitsmaĂźnahmen fĂĽr Infrastruktur und Datenzugriffe
  • Logging, Monitoring, Backup- und Wiederherstellungsprozesse
  • Mandantentrennung auf Tenant-Ebene
  • Prozesse zur Erkennung und Behandlung von Sicherheitsvorfällen

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung fĂĽr den Einsatz von Unterauftragsverarbeitern, soweit diese fĂĽr die Leistungserbringung erforderlich sind.

Nach aktuellem Stand umfasst dies insbesondere:

  • Hetzner (Hosting, NĂĽrnberg, Deutschland)
  • Mistral AI (KI-/OCR-Funktionen, Paris, Frankreich)
  • Lettermint (transaktionaler E-Mail-Versand)
  • Plausible Analytics (Webanalyse, datensparsam)

Bei Wechseln oder wesentlichen Ergänzungen der Unterauftragsverarbeiter wird der Verantwortliche rechtzeitig informiert.

9. DrittlandĂĽbermittlungen

Soweit Verarbeitungsvorgänge außerhalb des EWR stattfinden oder nicht ausgeschlossen werden können, erfolgen diese nur auf Grundlage der DSGVO-Vorgaben (insbesondere Art. 44 ff. DSGVO), z. B. unter Verwendung geeigneter Garantien wie Standardvertragsklauseln.

10. UnterstĂĽtzungspflichten

Der Auftragsverarbeiter unterstĂĽtzt den Verantwortlichen angemessen bei:

  • ErfĂĽllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung etc.)
  • Meldung und Behandlung von Datenschutzvorfällen
  • Datenschutz-Folgenabschätzungen und Konsultationen, soweit erforderlich

11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten im Auftragsverhältnis und stellt die zur Bewertung erforderlichen Informationen bereit.

12. Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrags werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Gesetzliche Aufbewahrungspflichten, insbesondere fĂĽr steuer- und handelsrechtlich relevante Informationen, bleiben unberĂĽhrt.

13. Nachweise und Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage angemessene Informationen zur VerfĂĽgung, die zur PrĂĽfung der Einhaltung dieser AVV erforderlich sind.

Vor-Ort-Audits sind nach angemessener Vorankündigung, während der üblichen Geschäftszeiten und unter Wahrung von Sicherheits- und Vertraulichkeitsinteressen möglich.

14. Rangfolge und Schlussbestimmungen

Bei WidersprĂĽchen zwischen Hauptvertrag und dieser AVV gehen die Regelungen dieser AVV hinsichtlich datenschutzrechtlicher Fragen vor.

Im Ăśbrigen gelten die Bestimmungen des Hauptvertrags und der AGB.