InvoiceFlow

Auftragsverarbeitungsvertrag (AVV)

Diese Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO gilt ergänzend zu den Nutzungsbedingungen zwischen dem jeweiligen Kunden (»Verantwortlicher«) und Lyron, Inhaber: Jack Jipp, Grünstraße 43, 40667 Meerbusch (»Auftragsverarbeiter«), für die Nutzung von InvoiceFlow. Sie kommt mit der Registrierung zustande und bedarf keiner gesonderten Unterschrift; auf Wunsch stellen wir eine unterschriebene Fassung bereit (jipp@lyron-ai.com).

1. Gegenstand, Dauer und Art der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten, die der Verantwortliche in InvoiceFlow einträgt (insbesondere Kunden-, Rechnungs- und Angebotsdaten seiner eigenen Kunden), ausschließlich zur Bereitstellung der Funktionen der Anwendung (Erstellen, Speichern, Versenden und Auswerten von Rechnungen und Angeboten). Die Dauer entspricht der Laufzeit des Nutzungsverhältnisses.

2. Art der Daten und Kategorien betroffener Personen

Stammdaten (Name, Anschrift), Kontaktdaten (E-Mail, Telefon), Vertrags- und Rechnungsdaten (Positionen, Beträge, Zahlungsstatus, Bankverbindung des Verantwortlichen) der Kunden und Geschäftspartner des Verantwortlichen.

3. Weisungsbindung

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen; die Nutzung der Anwendungsfunktionen gilt als Weisung. Eine Verarbeitung zu eigenen Zwecken, insbesondere zu Werbezwecken oder zum Training von KI-Modellen, findet nicht statt.

4. Vertraulichkeit

Zugriff auf personenbezogene Daten haben nur zur Vertraulichkeit verpflichtete Personen. Der Betrieb erfolgt derzeit durch den Inhaber persönlich.

5. Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselte Übertragung (TLS) und Speicherung bei den eingesetzten Infrastruktur-Anbietern (Rechenzentren in Frankfurt am Main); strikte Mandantentrennung auf Anwendungsebene (jede Abfrage ist an das Nutzerkonto gebunden); Passwörter ausschließlich als bcrypt-Hash; Zugriffsschutz durch Session-basierte Authentifizierung; Rate-Limits gegen Missbrauch; regelmäßige Sicherheitsüberprüfungen des Quellcodes; Protokollierung sicherheitsrelevanter Vorgänge; tägliche Datenbank-Backups des Infrastruktur-Anbieters.

6. Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz der folgenden Unterauftragsverarbeiter. Über beabsichtigte Änderungen informieren wir vorab; der Verantwortliche kann aus wichtigem Grund widersprechen.

AnbieterSitz / VerarbeitungsortZweck
Vercel Inc.USA (Serverstandort Frankfurt am Main)Hosting & Auslieferung der Anwendung
Supabase Inc.AWS-Region Frankfurt am Main, DeutschlandDatenbank & Datei-Speicher
Stripe Payments Europe, Ltd.Irland / USA (DPF, SCC)Zahlungsabwicklung der Abonnements
Resend, Inc.USA (SCC)Transaktionaler E-Mail-Versand
Anthropic PBCUSA (SCC)KI-Strukturierung der Sprachfunktion (nur Text)
komoot GmbH (Photon)DeutschlandAdress-Vervollständigung (nur getippte Adressfragmente)

Übermittlungen in Drittländer erfolgen auf Grundlage des EU-U.S. Data Privacy Framework bzw. der EU-Standardvertragsklauseln (SCC).

7. Unterstützung, Betroffenenrechte und Löschung

Wir unterstützen den Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Export- und Löschfunktionen in der Anwendung; darüber hinaus per E-Mail). Nach Beendigung des Nutzungsverhältnisses werden die Daten auf Wunsch gelöscht; gesetzliche Aufbewahrungspflichten bleiben unberührt.

8. Meldepflichten

Verletzungen des Schutzes personenbezogener Daten melden wir dem Verantwortlichen unverzüglich, damit dieser seinen Pflichten aus Art. 33/34 DSGVO nachkommen kann.

Stand: Juli 2026. Dieses Dokument wurde sorgfältig erstellt, ersetzt jedoch keine individuelle Rechtsberatung.