Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeiter: betaform | Ole Beekmann
Rechtsgrundlage: Art. 28 DSGVO
Abschluss: Click-through beim Akzeptieren der AGB
Version: 1.1
Stand: 19. Mai 2026
Infetch verarbeitet im Rahmen seiner Dienstleistung E-Mails und Rechnungsdokumente seiner Kunden. Diese können personenbezogene Daten enthalten (z. B. Namen auf Rechnungen, E-Mail-Adressen von Rechnungsausstellern).
Der Kunde bleibt dabei Verantwortlicher im Sinne der DSGVO; Infetch handelt als Auftragsverarbeiter (Art. 28 DSGVO). Dieser Vertrag wird durch Akzeptieren der AGB automatisch abgeschlossen. Die Seite dient als verbindlicher, abrufbarer Vertragstext.
1. Gegenstand und Dauer
(1) Gegenstand: Verarbeitung von E-Mail-Inhalten und Rechnungsdokumenten zur automatisierten Erkennung, Extraktion und Weiterleitung von Rechnungsdaten.
(2) Dauer: Die Laufzeit des AVV entspricht der Laufzeit des Hauptvertrages (AGB) und endet automatisch mit Beendigung des Nutzungsvertrages.
2. Art und Zweck der Verarbeitung
Art der Verarbeitung:
- Temporärer Abruf von E-Mail-Inhalten verbundener Postfächer (IMAP) zur Rechnungserkennung
- Analyse und Extraktion strukturierter Daten aus erkannten Rechnungs-PDFs (KI-gestützt via Mistral AI)
- Dauerhafte Speicherung ausschließlich der als Rechnung erkannten Dokumente und der extrahierten Rechnungsfelder; übrige Postfachinhalte werden nicht dauerhaft gespeichert
- Übermittlung von Rechnungsdokumenten an vom Verantwortlichen konfigurierte Empfänger
Zweck: Erbringung der Infetch-SaaS-Leistung gemäß Hauptvertrag (AGB).
3. Art der personenbezogenen Daten
Verarbeitet werden ausschließlich Daten, die der Verantwortliche über verbundene Postfächer oder manuellen Upload bereitstellt. Typischerweise:
- Namen und Kontaktdaten auf Rechnungen (Rechnungsaussteller, ggf. Ansprechpartner)
- E-Mail-Adressen von Absendern
- Rechnungsbeträge, IBAN/Bankverbindungen auf Rechnungen
- Bestellnummern, Kundennummern
4. Kategorien betroffener Personen
- Rechnungsaussteller (Unternehmen und deren Mitarbeiter)
- Mitarbeiter des Verantwortlichen, deren E-Mail-Postfächer verbunden sind
5. Pflichten von Infetch (Auftragsverarbeiter)
Infetch verpflichtet sich:
(1) Weisungsgebundenheit: Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Die Konfiguration durch den Kunden in der App gilt als Weisung.
(2) Vertraulichkeit: Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind.
(3) Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO — siehe Abschnitt 7.
(4) Unterauftragsverarbeiter: Keine weiteren Unterauftragsverarbeiter ohne vorherige Information des Verantwortlichen einzusetzen (allgemeine Genehmigung mit Widerspruchsrecht, Abschnitt 8).
(5) Unterstützung: Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Einschränkung) zu unterstützen, soweit möglich.
(6) Löschung: Nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
(7) Nachweise: Dem Verantwortlichen alle erforderlichen Informationen zur Nachweisführung der Einhaltung dieses Vertrages bereitzustellen.
6. Pflichten des Verantwortlichen (Kunden)
(1) Der Verantwortliche stellt sicher, dass er zur Übermittlung der Daten an Infetch berechtigt ist.
(2) Der Verantwortliche informiert Infetch unverzüglich, wenn er bei der Prüfung der Verarbeitungsvorgänge Fehler oder Unregelmäßigkeiten feststellt.
(3) Weisungen werden schriftlich (E-Mail genügt) oder über die App-Konfiguration erteilt.
7. Technische und organisatorische Maßnahmen (TOMs)
| Maßnahme | Umsetzung bei Infetch |
|---|---|
| Verschlüsselung in Übertragung | TLS 1.2+ für alle Verbindungen |
| Verschlüsselung im Ruhezustand | Datenbank-Verschlüsselung (Supabase/Hetzner AES-256); gespeicherte Rechnungs-PDFs und extrahierter Text zusätzlich anwendungsseitig AES-256-GCM-verschlüsselt |
| Zugangskontrollen | Anmeldung per Einmal-Code an die E-Mail-Adresse (kein Passwort), rollenbasierte Berechtigungen |
| Zugriffsprotokolle | Server-Logs, Sentry-Monitoring (anonymisiert) |
| Datensicherung | Tägliche Backups, 7-Tage-Retention |
| Incident Response | Meldung an Verantwortlichen bei Datenpanne innerhalb 72 h (hallo@infetch.de) |
| Physische Sicherheit | Hetzner-Rechenzentrum (ISO 27001 zertifiziert), Frankfurt |
8. Unterauftragsverarbeiter
Der Verantwortliche erteilt seine allgemeine Genehmigung für den Einsatz der folgenden Unterauftragsverarbeiter. Änderungen werden mindestens 30 Tage im Voraus per E-Mail mitgeteilt.
| Dienstleister | Zweck | Standort | Zertifizierung |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenspeicherung | Deutschland (Frankfurt) | ISO 27001 |
| Supabase Inc. | Datenbank, Authentifizierung | US-Unternehmen; Datenhaltung EU (Frankfurt/AWS) | SOC 2 · EU-U.S. DPF / SCCs Art. 46 DSGVO |
| Brevo SAS | Transaktionale E-Mails | Frankreich (EU) | ISO 27001 |
| Mistral AI SAS | KI-Textextraktion aus Rechnungen | Frankreich (EU) | Kein Training mit Kundendaten |
| Self-hosted GlitchTip | Fehler-Monitoring (anonymisiert) | Deutschland (Hetzner, Frankfurt) | Kein Drittlandtransfer |
| Brandfetch | Anbieter-Logos (CDN; nur IP-Adresse beim Logo-Abruf) | Schweiz (Angemessenheitsbeschluss gem. Art. 45 DSGVO) | Angemessenheitsbeschluss |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) | PCI DSS |
9. Datenpannen
Infetch meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden an den Verantwortlichen per E-Mail (an die E-Mail-Adresse des Kontos).
10. Schlussbestimmungen
Es gilt deutsches Recht. Dieser AVV ist Bestandteil des Hauptvertrages. Bei Widersprüchen zwischen AVV und AGB hat der AVV Vorrang in datenschutzrechtlichen Fragen.