Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag nach Art. 28 Abs. 3 DSGVO.

Version 1.1, Stand 2026-06-24. Dieser AVV ist Bestandteil der Bedingungen, die mit der Installation der Faktwise-App akzeptiert werden, und wird zwischen dem Händler als Verantwortlichem (nachfolgend "Verantwortlicher") und dem Anbieter (nachfolgend "Auftragsverarbeiter") geschlossen.

Parteien

Auftragsverarbeiter:
Faktwise
Emanuel José Vargas Luís (Einzelunternehmer, trabalhador independente)
Avenida do Atlântico, n.º 16, 14.º Piso, Escritório 8
1990-019 Lisboa, Portugal
USt-IdNr./NIF: PT233800263
E-Mail: support@faktwise.com

Verantwortlicher: der Händler (Betreiber des Shopify-Shops), der die Faktwise-App installiert und nutzt. Der Verantwortliche entscheidet über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Endkunden.

Hinweis zur Tätigkeit

Faktwise ist Software zur Erstellung, Speicherung, Zustellung und zum Export von Rechnungen und Gutschriften (einschließlich E-Rechnung: ZUGFeRD/Factur-X und XRechnung) und ersetzt keine Steuerberatung. Das Angebot richtet sich ausschließlich an Unternehmer (B2B).

1. Gegenstand, Dauer, Art und Zweck der Verarbeitung (Art. 28 Abs. 3 lit. a, b)

Gegenstand: Verarbeitung von Bestell- und Kundendaten im Auftrag des Verantwortlichen ausschließlich zur Erstellung, Speicherung, Zustellung und zum Export von Rechnungen und Gutschriften.

Art und Zweck: Erstellung gesetzlich erforderlicher Rechnungen (PDF, ZUGFeRD/Factur-X, XRechnung), Archivierung (10 Jahre), Zustellung der Rechnungen per E-Mail an Endkunden, soweit der Verantwortliche dies aktiviert, Prüfung der USt-IdNr. über VIES sowie Auswertungs-Exporte. Es werden ausschließlich die für die Rechnungsstellung erforderlichen Daten verarbeitet.

Dauer: Die Verarbeitung erfolgt für die Dauer der Installation der App zuzüglich der gesetzlichen Aufbewahrungsfristen. Die Vereinbarung endet mit der Deinstallation der App und der vollständigen Erledigung etwaiger Aufbewahrungs-, Lösch- oder Rückgabepflichten.

2. Kategorien betroffener Personen und Datenkategorien (Art. 28 Abs. 3)

Kategorien betroffener Personen: Endkunden des Verantwortlichen.

Datenkategorien: Name, Rechnungs- und Lieferanschrift, E-Mail-Adresse, Land, USt-IdNr. sowie gekaufte Positionen und Beträge. Es werden keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet.

3. Datenfluss (Shopify-GDPR-Webhooks)

Der Datenaustausch zwischen der Shopify-Plattform des Verantwortlichen und Faktwise erfolgt auch über die drei verpflichtenden Shopify-Datenschutz-Webhooks:

4. Verarbeitung nur auf dokumentierte Weisung (Art. 28 Abs. 3 lit. a)

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf die Übermittlung in Drittländer, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Die dokumentierten Weisungen ergeben sich aus diesem AVV, aus den Einstellungen und der bestimmungsgemäßen Nutzung der App sowie aus etwaigen ergänzenden Weisungen in Textform. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, informiert er den Verantwortlichen unverzüglich (Art. 28 Abs. 3 Satz 3 DSGVO).

5. Vertraulichkeit (Art. 28 Abs. 3 lit. b)

Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugriff auf personenbezogene Daten ist auf die Personen beschränkt, die ihn zur Erfüllung der vertraglichen Pflichten benötigen.

6. Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c, Art. 32)

Der Auftragsverarbeiter ergreift alle nach Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere:

7. Unterauftragsverarbeiter (Art. 28 Abs. 2 und 4)

Der Verantwortliche erteilt die allgemeine Genehmigung zur Inanspruchnahme der nachstehenden Unterauftragsverarbeiter:

UnterauftragsverarbeiterZweckOrt
alwaysdata SASHosting, Datenbank, E-Mail-Zustellung (SMTP)Paris, Frankreich (EU)

Beabsichtigte Hinzuziehungen oder Ersetzungen weiterer Unterauftragsverarbeiter teilt der Auftragsverarbeiter dem Verantwortlichen mindestens 30 Tage im Voraus in Textform (in der App oder per E-Mail) mit. Der Verantwortliche kann der Änderung aus berechtigten datenschutzrechtlichen Gründen widersprechen; in diesem Fall kann er die Vereinbarung durch Deinstallation der App vor Wirksamwerden der Änderung beenden.

Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind (Flow-down nach Art. 28 Abs. 4 DSGVO). Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Unterauftragsverarbeiters in vollem Umfang.

Hinweis: USt-IdNrn. werden gegen VIES geprüft, einen Dienst der Europäischen Kommission. VIES ist ein öffentlicher Dienst und handelt als eigener Verantwortlicher, nicht als Unterauftragsverarbeiter. Shopify ist die Commerce-Plattform des Verantwortlichen und handelt auf Grundlage der zwischen dem Verantwortlichen und Shopify geschlossenen Vereinbarung, nicht als Unterauftragsverarbeiter von Faktwise.

8. Unterstützung des Verantwortlichen (Art. 28 Abs. 3 lit. e, f)

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte nach Kapitel III der DSGVO (Art. 28 Abs. 3 lit. e). Anträge betroffener Personen werden insbesondere über die Shopify-Webhooks customers/data_request und customers/redact an den Verantwortlichen weitergeleitet.

Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Einhaltung der Pflichten nach den Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung und Benachrichtigung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation), unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. f).

Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, meldet er diese dem Verantwortlichen unverzüglich (Art. 33 Abs. 2 DSGVO), damit der Verantwortliche seinen Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO nachkommen kann.

9. Löschung oder Rückgabe (Art. 28 Abs. 3 lit. g)

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der Daten besteht. Auf Anfrage stellen wir Rechnungs- und Dokumentenexporte in gängigen Formaten bereit.

In der Praxis werden bei Deinstallation der App die operativen Daten innerhalb von 48 Stunden gelöscht, während Rechnungsarchive für die gesetzliche Aufbewahrungsfrist (Art. 17 Abs. 3 lit. b DSGVO, 10 Jahre; § 14b UStG / § 147 AO) gespeichert bleiben und danach gelöscht werden.

10. Nachweise, Audit- und Kontrollrechte (Art. 28 Abs. 3 lit. h)

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind, und ermöglicht Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Prüfungen sind mit angemessener Vorankündigung, in der Regel während der üblichen Geschäftszeiten und ohne Beeinträchtigung des Geschäftsbetriebs sowie unter Wahrung der Vertraulichkeit der Daten anderer Mandanten durchzuführen.

11. Rechtswahl und Gerichtsstand

Es gilt deutsches Recht. Gerichtsstand ist, soweit gesetzlich zulässig und im kaufmännischen Verkehr (B2B), der Sitz des Anbieters (Lissabon, Portugal). Dieser AVV ist ausschließlich eine datenschutzrechtliche Vereinbarung; er ist Software-Begleitdokument und keine Steuerberatung.

Verantwortlich für den Inhalt: Emanuel José Vargas Luís.