Auftragsverarbeitungsvertrag (AVV)

1. Parteien

Verantwortlicher: der Kunde, der die eleata Peppol-API beauftragt (der "Kunde").

Auftragsverarbeiter: INVERSO HUB S.R.L., eine nach dem Recht Argentiniens gegründete Gesellschaft (CUIT 30-71936591-0), handelnd unter dem Namen eleata ("eleata", "wir").

2. Gegenstand

Dieser Auftragsverarbeitungsvertrag ("AVV") legt die Bedingungen fest, unter denen eleata personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit der eleata Peppol-API (dem "Dienst") verarbeitet, gemäß Artikel 28 der Verordnung (EU) 2016/679 (der "DSGVO").

3. Art und Zweck der Verarbeitung

• Art: Validierung von XML-Rechnungsdokumenten gegen veröffentlichte Schematron-Regeln, Speicherung von Validierungs-Metadaten, Übermittlung der Validierungsergebnisse an den Kunden.
• Zweck: Bereitstellung des Validierungsdienstes an den Kunden.
• Kategorien betroffener Personen: die in den validierten Rechnungen genannten Lieferanten, Kunden und Mitarbeiter des Kunden.
• Kategorien personenbezogener Daten: Name, Anschrift, USt-IdNr., Kontakt-E-Mail, Bankkontonummer (IBAN), Rechnungsbeträge und -positionen.
• Besondere Datenkategorien: nicht erwartet. Der Dienst ist nicht für die Verarbeitung von Gesundheits-, biometrischen, strafrechtlichen oder anderen Daten besonderer Kategorien ausgelegt.
• Dauer: für die Laufzeit des Abonnements des Kunden zuzüglich der in unserer Datenschutzerklärung festgelegten Speicherfristen.

4. Pflichten des Auftragsverarbeiters

eleata wird:

• personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten (die Konfiguration des Dienstes durch den Kunden stellt eine solche Weisung dar)
• sicherstellen, dass zur Verarbeitung der Daten befugte Personen zur Vertraulichkeit verpflichtet sind
• geeignete technische und organisatorische Maßnahmen umsetzen (Abschnitt 7)
• Subprozessoren nur gemäß Abschnitt 6 einsetzen
• den Kunden bei der Beantwortung von Betroffenenanfragen unterstützen
• den Kunden unverzüglich und innerhalb von 72 Stunden über Verletzungen des Schutzes personenbezogener Daten benachrichtigen
• personenbezogene Daten nach Beendigung des Dienstes gemäß der Datenschutzerklärung löschen oder zurückgeben
• alle zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung stellen

5. Pflichten des Verantwortlichen

Der Kunde sichert zu, dass:

• er eine Rechtsgrundlage nach Art. 6 DSGVO hat, um eleata die personenbezogenen Daten bereitzustellen
• er den betroffenen Personen die erforderlichen Informationen nach Art. 13–14 DSGVO bereitgestellt hat
• er keine Daten besonderer Kategorien übermittelt, es sei denn, er hat eleata gesondert benachrichtigt

6. Subprozessoren

Der Kunde ermächtigt eleata, die unter /subprocessors/ aufgeführten Subprozessoren einzusetzen. eleata wird den Kunden 30 Tage im Voraus per E-Mail und über diese Seite über jeden neuen Subprozessor benachrichtigen. Der Kunde kann einem neuen Subprozessor aus angemessenen datenschutzrechtlichen Gründen widersprechen; wird keine akzeptable Lösung erreicht, kann der Kunde den betroffenen Teil des Dienstes beenden. (Hinweis: Die Subprozessoren-Liste wird derzeit auf Englisch geführt.)

eleata haftet für Handlungen und Unterlassungen seiner Subprozessoren wie für eigene.

7. Sicherheitsmaßnahmen (DSGVO Art. 32)

• TLS 1.2+ für alle Verbindungen erzwungen; HSTS und moderne Security-Header
• API-Keys als bcrypt-Hashes gespeichert; private Signaturschlüssel mit Dateiberechtigung chmod 600
• Festplattenverschlüsselung im Ruhezustand (vom Rechenzentrumsbetreiber bereitgestellt)
• XML-Parser gegen XXE, Billion-Laughs, externe DTDs gehärtet (defusedxml)
• Stripe-Webhook-Signaturen werden vor der Verarbeitung geprüft
• Rate-Limiting pro API-Key und pro IP-Adresse
• übermittelte XML-Payloads werden nie auf Festplatte geschrieben — sie werden nur im Speicher für die Dauer der Anfrage verarbeitet; nur Validierungs-Metadaten (Hash, Größe, Format, Ergebnis) werden gespeichert
• Audit-Logs für Authentifizierung, API-Key-Erstellung und Key-Widerruf
• Schwachstellen-Scanning (gitleaks, pip-audit, osv-scanner) in der CI integriert
• jährlicher Disaster-Recovery-Test und Verifizierung der Datenbankwiederherstellung

8. Internationale Übermittlungen

Personenbezogene Daten können übermittelt werden an:

• Argentinien (Ursprungsort der Validierungsverarbeitung & -speicherung) — für Argentinien besteht ein Angemessenheitsbeschluss der Europäischen Kommission (Entscheidung 2003/490/EG vom 30. Juni 2003, weiterhin in Kraft). Übermittlungen aus der EU an den argentinischen Origin stützen sich auf diesen Beschluss; Standardvertragsklauseln sind für diese Übermittlung nicht erforderlich. Die Verpflichtungen aus Art. 3 DSGVO gelten weiterhin für den Verantwortlichen, INVERSO HUB S.R.L., da der Dienst betroffenen Personen in der EU angeboten wird.
• Die Europäische Union (Cloudflare-Edge-Knoten in der EU-Region für TLS-Terminierung und Routing; Resend-Region eu-west-1 für transaktionale E-Mails) — innerhalb der EU/des EWR ist kein Übermittlungsmechanismus erforderlich.
• Die Vereinigten Staaten (Stripe, Cloudflare US-Rechtsträger, Sentry, GitHub) — auf Grundlage der EU-Standardvertragsklauseln (SCCs Modul 2 und Modul 3) und — soweit anwendbar — der EU-US-Data-Privacy-Framework-Zertifizierung des jeweiligen Subprozessors.

Der Kunde kann eine Kopie der abgeschlossenen SCCs und des Transfer Impact Assessment (TIA) per E-Mail an privacy@eleata.io anfordern.

9. Auditrechte

Der Kunde kann auf eigene Kosten und mit einer Vorankündigung von mindestens 30 Tagen die Einhaltung dieses AVV durch eleata prüfen, höchstens einmal pro Jahr, außer im Falle einer wesentlichen Datenschutzverletzung. eleata wird angemessene Sicherheitsfragebögen beantworten und auf Anfrage ein Security-Brief bereitstellen.

10. Haftung

Die Haftung jeder Partei aus diesem AVV unterliegt der in den AGB festgelegten Haftungsbeschränkung. Nichts in diesem AVV beschränkt die Haftung einer Partei für DSGVO- Verstöße, für die eine Haftung nach geltendem Recht nicht ausgeschlossen werden kann.

11. Laufzeit und Beendigung

Dieser AVV gilt für die Dauer des Abonnements des Kunden. Nach Beendigung wird eleata alle personenbezogenen Daten gemäß der Datenschutzerklärung und Abschnitt 7 löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

12. Anwendbares Recht

Dieser AVV unterliegt der Verordnung (EU) 2016/679 (DSGVO) und, für nicht von ihr geregelte Fragen, dem Recht der Argentinischen Republik. Zwingende datenschutzrechtliche Vorschriften des Rechts des gewöhnlichen Aufenthaltsorts des Kunden innerhalb der EU/des EWR gelten weiterhin, soweit sie ein höheres Schutzniveau bieten.

13. Unterzeichnung

Mit der Annahme der AGB und dem Abschluss eines kostenpflichtigen Tarifs gilt der Kunde als Partei dieses AVV. Ein unterzeichnetes Exemplar wird auf Anfrage an legal@eleata.io bereitgestellt.