InvoiceFlow
Auftragsverarbeitungsvertrag (AVV)
Diese Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO gilt ergänzend zu den Nutzungsbedingungen zwischen dem jeweiligen Kunden (»Verantwortlicher«) und Lyron, Inhaber: Jack Jipp, Grünstraße 43, 40667 Meerbusch (»Auftragsverarbeiter«), für die Nutzung von InvoiceFlow. Sie kommt mit der Registrierung zustande und bedarf keiner gesonderten Unterschrift; auf Wunsch stellen wir eine unterschriebene Fassung bereit (jipp@lyron-ai.com).
1. Gegenstand, Dauer und Art der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten, die der Verantwortliche in InvoiceFlow einträgt (insbesondere Kunden-, Rechnungs- und Angebotsdaten seiner eigenen Kunden), ausschließlich zur Bereitstellung der Funktionen der Anwendung (Erstellen, Speichern, Versenden und Auswerten von Rechnungen und Angeboten). Die Dauer entspricht der Laufzeit des Nutzungsverhältnisses.
2. Art der Daten und Kategorien betroffener Personen
Stammdaten (Name, Anschrift), Kontaktdaten (E-Mail, Telefon), Vertrags- und Rechnungsdaten (Positionen, Beträge, Zahlungsstatus, Bankverbindung des Verantwortlichen) der Kunden und Geschäftspartner des Verantwortlichen.
3. Weisungsbindung
Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen; die Nutzung der Anwendungsfunktionen gilt als Weisung. Eine Verarbeitung zu eigenen Zwecken, insbesondere zu Werbezwecken oder zum Training von KI-Modellen, findet nicht statt.
4. Vertraulichkeit
Zugriff auf personenbezogene Daten haben nur zur Vertraulichkeit verpflichtete Personen. Der Betrieb erfolgt derzeit durch den Inhaber persönlich.
5. Technische und organisatorische Maßnahmen (TOMs)
Verschlüsselte Übertragung (TLS) und Speicherung bei den eingesetzten Infrastruktur-Anbietern (Rechenzentren in Frankfurt am Main); strikte Mandantentrennung auf Anwendungsebene (jede Abfrage ist an das Nutzerkonto gebunden); Passwörter ausschließlich als bcrypt-Hash; Zugriffsschutz durch Session-basierte Authentifizierung; Rate-Limits gegen Missbrauch; regelmäßige Sicherheitsüberprüfungen des Quellcodes; Protokollierung sicherheitsrelevanter Vorgänge; tägliche Datenbank-Backups des Infrastruktur-Anbieters.
6. Unterauftragsverarbeiter
Der Verantwortliche genehmigt den Einsatz der folgenden Unterauftragsverarbeiter. Über beabsichtigte Änderungen informieren wir vorab; der Verantwortliche kann aus wichtigem Grund widersprechen.
| Anbieter | Sitz / Verarbeitungsort | Zweck |
|---|---|---|
| Vercel Inc. | USA (Serverstandort Frankfurt am Main) | Hosting & Auslieferung der Anwendung |
| Supabase Inc. | AWS-Region Frankfurt am Main, Deutschland | Datenbank & Datei-Speicher |
| Stripe Payments Europe, Ltd. | Irland / USA (DPF, SCC) | Zahlungsabwicklung der Abonnements |
| Resend, Inc. | USA (SCC) | Transaktionaler E-Mail-Versand |
| Anthropic PBC | USA (SCC) | KI-Strukturierung der Sprachfunktion (nur Text) |
| komoot GmbH (Photon) | Deutschland | Adress-Vervollständigung (nur getippte Adressfragmente) |
Übermittlungen in Drittländer erfolgen auf Grundlage des EU-U.S. Data Privacy Framework bzw. der EU-Standardvertragsklauseln (SCC).
7. Unterstützung, Betroffenenrechte und Löschung
Wir unterstützen den Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Export- und Löschfunktionen in der Anwendung; darüber hinaus per E-Mail). Nach Beendigung des Nutzungsverhältnisses werden die Daten auf Wunsch gelöscht; gesetzliche Aufbewahrungspflichten bleiben unberührt.
8. Meldepflichten
Verletzungen des Schutzes personenbezogener Daten melden wir dem Verantwortlichen unverzüglich, damit dieser seinen Pflichten aus Art. 33/34 DSGVO nachkommen kann.
Stand: Juli 2026. Dieses Dokument wurde sorgfältig erstellt, ersetzt jedoch keine individuelle Rechtsberatung.