Vertragsparteien
Auftraggeber (Verantwortlicher): der bei BuchBalance registrierte Unternehmer gemäß seinen Profildaten.
Auftragnehmer (Auftragsverarbeiter):
BuchBalance GmbH
Erlanger Straße 46, 90765 Fürth
Vertreten durch: Torben Gosch (Geschäftsführer)
Amtsgericht Fürth, HRB 22177 · USt-IdNr. DE458507310
E-Mail: datenschutz@buchbalance.de
§1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Erbringung der SaaS-Buchhaltungsplattform BuchBalance inklusive der mobilen Apps für iOS und Android.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (Nutzung von BuchBalance) zuzüglich gesetzlicher Aufbewahrungsfristen (§147 AO, §257 HGB).
§2 Art und Zweck der Verarbeitung
(1) Zweck: Bereitstellung einer Software zur digitalen Buchhaltung für Kleinunternehmer und Freiberufler — insbesondere Belegerfassung, Rechnungserstellung und -versand, Einnahmen-/Ausgabenverwaltung, Steuerberechnungen, DATEV- und ELSTER-Exporte, Mahnwesen.
(2) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln durch E-Mail-Versand, Abgleich, Verknüpfung, Einschränken, Löschen und Vernichten.
§3 Art der personenbezogenen Daten
- Stammdaten (Name, Anschrift, E-Mail, Telefonnummer, USt-IdNr.)
- Vertragsdaten (Rechnungs- und Zahlungsinformationen)
- Kommunikationsdaten (E-Mail-Inhalt beim Rechnungsversand)
- Beleg-Inhalte (Fotos, PDFs, extrahierte Einzelposten)
- Zahlungs- und Bankdaten (IBAN, Transaktionen — nur bei aktivierter Open-Banking-Verbindung)
§4 Kategorien betroffener Personen
- Rechnungsempfänger des Auftraggebers (Kunden, Leistungsempfänger)
- Rechnungsaussteller (Lieferanten, Dienstleister)
- Mitarbeiter des Auftraggebers (soweit in Belegen oder Rechnungen genannt)
- Steuerberater und Wirtschaftsprüfer (bei freigeschaltetem Zugang)
- Sonstige, vom Auftraggeber im System hinterlegte natürliche Personen
§5 Pflichten des Auftraggebers (Verantwortlicher)
(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
(2) Der Auftraggeber informiert den Auftragnehmer unverzüglich und vollständig, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.
(3) Der Auftraggeber benennt dem Auftragnehmer auf Anfrage die zur Entgegennahme von Betroffenenanfragen zuständigen Ansprechpartner.
(4) Der Auftraggeber hat im Fall von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) die Kontaktaufnahme direkt durch den Betroffenen zu ermöglichen bzw. Anfragen an den Auftragnehmer weiterzuleiten.
§6 Pflichten des Auftragnehmers
§6.1 Weisungsgebundene Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Weisungen ergeben sich insbesondere aus dem Hauptvertrag, diesem AVV sowie aus Einzelanweisungen des Auftraggebers via datenschutz@buchbalance.de.
§6.2 Vertraulichkeit
Der Auftragnehmer setzt zur Verarbeitung der Daten nur Personen ein, die auf die Vertraulichkeit verpflichtet und mit den relevanten datenschutzrechtlichen Bestimmungen vertraut gemacht wurden. Der Auftragnehmer und jede ihm unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten (Art. 29, 32 Abs. 4 DSGVO).
§6.3 Sicherheit der Verarbeitung (Art. 32 DSGVO)
Der Auftragnehmer hat geeignete technische und organisatorische Maßnahmen (TOM) getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen Maßnahmen sind in Anlage 1 (TOM) auf der Seite buchbalance.de/tom beschrieben und Bestandteil dieses Vertrags. Der Auftragnehmer ist berechtigt, die TOM weiterzuentwickeln, solange das Schutzniveau gleichwertig oder höher ist.
§6.4 Betroffenenrechte (Art. 12–22 DSGVO)
Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten. Der Auftraggeber kann Auskünfte, Export-Downloads sowie Löschanforderungen direkt über die App-Funktionen ausführen.
§6.5 Unterstützung bei Datenschutz-Folgenabschätzung (Art. 35, 36 DSGVO)
Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage bei der Durchführung einer Datenschutz-Folgenabschätzung sowie bei einer vorherigen Konsultation der Aufsichtsbehörde, soweit dies unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen erforderlich ist.
§6.6 Meldepflichten (Art. 33, 34 DSGVO)
(1) Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens binnen 24 Stunden nach Bekanntwerden.
(2) Die Meldung erfolgt an die vom Auftraggeber in seinem Konto hinterlegte E-Mail-Adresse und enthält die gemäß Art. 33 Abs. 3 DSGVO erforderlichen Informationen.
§6.7 Löschung und Rückgabe nach Vertragsende
(1) Nach Beendigung des Hauptvertrags hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
(2) Buchhaltungsdaten, die der steuerrechtlichen Aufbewahrung nach §147 AO / §257 HGB unterliegen, werden für die Dauer der gesetzlichen Frist in einem Archiv-Bereich aufbewahrt, auf den nur der Auftraggeber und sein ggf. benannter Steuerberater zugreifen können. Nach Ablauf der Frist erfolgt die Löschung automatisch.
(3) Nicht-steuerrelevante Daten werden spätestens 30 Tage nach Vertragsende oder Kontolöschung unwiderruflich gelöscht.
§6.8 Nachweis- und Prüfrechte (Art. 28 Abs. 3 lit. h)
(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(2) Der Auftraggeber kann die Einhaltung durch Einsicht in aktuelle Zertifikate, Audit-Berichte oder durch einen unabhängigen, dritten Prüfer mit angemessener Vorlauffrist (in der Regel 30 Tage) überprüfen. Die Kosten einer Prüfung trägt der Auftraggeber, sofern sich nicht wesentliche Verstöße des Auftragnehmers herausstellen.
§7 Subunternehmer (Unterauftragsverhältnisse)
(1) Der Auftragnehmer setzt zur Leistungserbringung die in Anlage 2aufgeführten Subprozessoren ein.
(2) Bei Einsatz neuer Subprozessoren oder wesentlichen Änderungen wird der Auftraggeber mindestens 30 Tage vor Wirksamwerden per E-Mail informiert. Der Auftraggeber kann innerhalb dieser Frist aus wichtigem datenschutzrechtlichen Grund Einspruch erheben; lässt sich der Einspruch technisch nicht umsetzen, steht dem Auftraggeber ein Sonderkündigungsrecht mit Daten-Export (Portabilität nach Art. 20 DSGVO) zu.
(3) Der Auftragnehmer schließt mit allen Subprozessoren einen AVV, der inhaltlich mindestens diesem AVV entspricht.
(4) Nicht als Unterauftragsverhältnis im Sinne dieses Paragraphen gelten die in Anlage 2 Abschnitt B gelisteten, eigenständig verantwortlichen Stellen (Apple, Google), deren Einsatz aus der Distribution über iOS/Android-Stores zwingend folgt.
§8 Drittlandübermittlung
(1) Personenbezogene Daten werden primär in der EU (Frankfurt, Dublin) verarbeitet. Bei Übermittlung in Drittländer wird eines der folgenden Instrumente eingesetzt:
- Angemessenheitsbeschluss der EU-Kommission (z. B. EU-US Data Privacy Framework für Anthropic, Stripe, Sentry)
- EU-Standardvertragsklauseln Modul 2 (Durchführungsbeschluss 2021/914)
- Ergänzende Maßnahmen: Pseudonymisierung, Verschlüsselung, Minimierung, Zugriffsbeschränkungen
§9 Haftung
(1) Die Haftung richtet sich nach Art. 82 DSGVO.
(2) Zwischen den Parteien gelten im Verhältnis zueinander die Haftungsregelungen des Hauptvertrags (§10 AGB).
§10 Laufzeit und Kündigung
Dieser AVV läuft synchron mit dem Hauptvertrag. Eine Kündigung des Hauptvertrags umfasst diesen AVV. Ein separates Kündigungsrecht besteht für den Auftraggeber bei Einsatz neuer Subprozessoren gemäß §7 Abs. 2.
§11 Schlussbestimmungen
(1) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.
(2) Gerichtsstand ist — soweit gesetzlich zulässig — Fürth.
(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1: Technische und organisatorische Maßnahmen (TOM)
Die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO sind als separates, stets aktuelles Dokument unter buchbalance.de/tom veröffentlicht und Bestandteil dieses Vertrags.
Anlage 2: Subprozessoren
A. Aktive Subprozessoren (Auftragsverarbeitung nach Art. 28 DSGVO)
| # | Auftragnehmer | Zweck | Datenkategorien | Standort | DPA |
|---|---|---|---|---|---|
| 1 | Vercel Inc. | Hosting, CDN, Edge-Functions | IP (anonymisiert nach 30 Tagen), Request-Metadaten, Session-Cookies | Primär Frankfurt (fra1), Edge global | DPA |
| 2 | Supabase Inc. | Datenbank, Auth, Storage | Alle Nutzer- und Geschäftsdaten (at-rest AES-256, sensible PII zusätzlich field-level AES-256-GCM) | Frankfurt (AWS eu-central-1) | DPA |
| 3 | Anthropic PBC | KI für Beleg-OCR und Chat (Alex) | Beleg-Bilder (temporär), Chat-Texte — Zero-Retention-Modus | USA (DPF + SCC Modul 2) | DPA |
| 4 | Perplexity AI, Inc. | KI-Steuer-Recherche mit Live-Websuche (Alex) | Frei eingegebene Steuer-Fragen (kein PII-Pflichtfeld); keine Speicherung zum Modell-Training laut API-Terms | USA (SCC Modul 2) | datenschutz-ext@perplexity.ai |
| 5 | Resend Inc. | Transaktionale E-Mail (Out + Inbound-Webhooks) | Empfänger-E-Mail, Betreff, Anhänge | USA (SCC) | DPA |
| 6 | Stripe Payments Europe, Ltd. | Zahlungsabwicklung (SEPA, Karte, Apple/Google Pay) | Stripe-Customer-ID — keine Roh-Zahlungsdaten bei uns | Dublin (EU); Unterauftrag Stripe Inc. USA (DPF) | DPA |
| 7 | BANKSapi Technology GmbH | PSD2 Open-Banking, Transaktions-Sync | IBAN, verschlüsselte Bank-Credentials, Transaktionen | München, Deutschland (BaFin-reguliert) | datenschutz@banksapi.io |
| 8 | Upstash, Inc. | Rate-Limit-Redis (flüchtig, max 1h TTL) | Gehashte IPs, Request-Counts | EU-West (Irland) | DPA |
| 9 | Functional Software, Inc. (Sentry) | Fehler- und Performance-Monitoring | User-UUID, Request-Path, Stack-Traces (PII-gescrubbt) | USA (DPF + SCC) | DPA |
B. Eigenständig Verantwortliche (keine Auftragsverarbeitung)
Die folgenden Stellen handeln als eigenständig Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO und sind daher nicht Subprozessoren dieses AVV, werden aber der Transparenz halber aufgeführt:
- Apple Distribution International Ltd. — App Store Distribution, IAP, APNs-Push — eigenständig Verantwortlicher (bei: Nur bei iOS-App + In-App-Purchase + Push-Opt-In)
- Google Ireland Ltd. — Play Store Distribution, Google Play Billing, Firebase Cloud Messaging — eigenständig Verantwortlicher (bei: Nur bei Android-App + In-App-Billing + Push-Opt-In)
- Cloudflare Ireland Ltd. — Bot-Schutz (Turnstile), cookieless (bei: Nur bei Registrierung)
- PayPal (Europe) S.à r.l. et Cie, S.C.A. — Transaktions-Sync (Read-only) — eigenständig Verantwortlicher (bei: Nur bei Verbindung des PayPal-Kontos in der Bank-Sektion)
- Mollie B.V. — Transaktions-Sync (Read-only) — eigenständig Verantwortlicher (bei: Nur bei Verbindung des Mollie-Kontos in der Bank-Sektion)
- SumUp Limited — Transaktions-Sync (Read-only) — eigenständig Verantwortlicher (bei: Nur bei Verbindung des SumUp-Kontos in der Bank-Sektion)
Version 2.1 · Stand 24. April 2026 · Bestandteil der AGB. Änderungen werden mit 30 Tagen Vorlauf per E-Mail angekündigt.
Änderungen seit 2.0: (1) Perplexity AI als Sub-Prozessor #4 ergänzt — KI-Steuer-Recherche des Alex-Assistenten. (2) PayPal/Mollie/SumUp als bedingte eigenständig Verantwortliche ergänzt (nur bei aktiver Bank-Provider-Verbindung). (3) Hinweis auf field-level AES-256-GCM Verschlüsselung für sensible PII (vat_id, tax_number, IBAN, BIC, counterparty_iban) bei Supabase ergänzt — geht über die at-rest-Verschlüsselung von AWS RDS hinaus.