Auftragsverarbeitungsvertrag (AVV)

Gegenstand und Dauer

Der Auftragnehmer verarbeitet personenbezogene Daten im Rahmen der Bereitstellung und des Betriebs von rechno.io. Die Dauer der Verarbeitung entspricht der Laufzeit des Vertrags über rechno.io, einschließlich notwendiger Nachlauf-, Sicherungs- und Löschfristen.

Nach Vertragsende bleiben Daten für Export- und Abwicklungszwecke grundsätzlich 30 Tage verfügbar. Steuerlich oder handelsrechtlich relevante Belege und Buchhaltungsdaten können bis zu zehn Jahre aufbewahrt werden, soweit gesetzliche Aufbewahrungspflichten oder berechtigte Nachweiszwecke dies erfordern.

Art und Zweck der Verarbeitung

Die Verarbeitung dient der digitalen Erfassung, Extraktion, Klassifikation, Vorbereitung, Archivierung, Auswertung und Weiterleitung von Belegen, Zahlungen, Ausgangsrechnungen, Kommunikationsdaten und Buchhaltungsinformationen.

Viele Belege können lokal oder über eigene OCR-/Extraktionspfade verarbeitet werden. Soweit für eine aktivierte Produktfunktion oder Eskalation erforderlich, kann auch eine Übermittlung an spezialisierte KI-, OCR- und Dokumentanalyse-Dienstleister erfolgen, insbesondere an Google Vertex AI in einer europäischen Region.

Kategorien personenbezogener Daten

• Kontaktdaten und Stammdaten von Kunden, Lieferanten, Mitarbeitern, Fahrgästen, Patienten, Mietern oder sonstigen Beteiligten
• Rechnungs-, Zahlungs-, Konto- und Buchhaltungsdaten
• E-Mail- und Kommunikationsmetadaten
• Dokumentinhalte, Anlagen, Belegbilder und PDF-Dateien
• Nutzer-, Rollen-, Login- und Auditdaten
• technische Nutzungs- und Sicherheitsdaten

Die Plattform ist grundsätzlich auf Buchhaltungs-, Beleg-, Zahlungs- und Organisationsdaten ausgerichtet. In gewöhnlichen Belegen werden nach dem vorgesehenen Produktgebrauch regelmäßig keine Diagnosen oder medizinischen Detailinformationen verarbeitet.

In Branchenprozessen wie Krankenfahrten, DMRZ-/IQVIA-/ Krankenkassenabrechnung oder vergleichbaren Abrechnungsprozessen können jedoch Daten wie Name, Anschrift, Krankenkasse, Versichertennummer, Mitgliedsnummer, Fahrtgrund, Fahrtstrecke, Leistungszeitraum oder Kostenträger verarbeitet werden. Solche Daten können einen Gesundheits- oder Sozialleistungsbezug aufweisen und deshalb besonders schutzbedürftig sein oder besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO berühren.

Weisungen

Der Auftragnehmer verarbeitet Daten nur auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht entgegensteht. Weisungsberechtigt sind die im Kundenkonto hinterlegten Hauptansprechpartner, Administratoren oder sonst vom Kunden benannte Personen.

Kanzlei- und Steuerberaterzugriffe gelten nur für die jeweils freigegebenen Mandanten und den eingeräumten Funktionsumfang. Technopolis-Support und technische Administratoren handeln nicht als weisungsberechtigte Personen des Kunden.

Technische und organisatorische Maßnahmen

Rechno nutzt rollenbasierte Zugriffe, Mandantentrennung, verschlüsselte Übertragung, verschlüsselte Speicherung sensibler Tokens, Backups, Protokollierung und technische Schutzmaßnahmen für den Betrieb.

Originalbelege werden nach dem aktuellen Betriebsmodell unverändert im dafür vorgesehenen produktiven Archiv gespeichert. Ein MinIO-/S3-kompatibler Object-Storage ist als Migrations- und Erweiterungspfad vorbereitet.

Unterauftragnehmer

Für Hosting, Zahlungsabwicklung, E-Mail-Kommunikation, Bank-/ Zahlungsanbindungen, Dokumentanalyse und optionale Integrationen können Dienstleister eingesetzt werden. Wesentliche neue Unterauftragnehmer oder wesentliche Änderungen bestehender Unterauftragnehmer werden grundsätzlich mindestens 30 Tage vor Wirksamwerden mitgeteilt, soweit keine dringenden rechtlichen, technischen oder sicherheitsrelevanten Gründe eine kurzfristigere Änderung erfordern.

Rückgabe und Löschung

Die Rückgabe erfolgt über die jeweils bereitgestellten Exportfunktionen. Originalbelege werden, soweit technisch verfügbar, als unveränderte Originaldateien bereitgestellt. Strukturierte Metadaten, Buchungsdaten, Zahlungsdaten, Auswertungen oder Protokolle können je nach Funktionsumfang als CSV, JSON, PDF, ZIP oder in anderen bereitgestellten Exportformaten exportiert werden.

Eine Löschung erfolgt erst nach erfolgreichem Export oder sonstiger Rückgabe, ausdrücklicher dokumentierter Weisung des Auftraggebers und soweit keine gesetzlichen, vertraglichen, sicherungsbezogenen oder nachweisbezogenen Aufbewahrungspflichten entgegenstehen.