Datenverarbeitungsvertrag (DPA)

Táto Zmluva o spracovaní osobných údajov (ďalej len „DPA") sa uzatvára podľa článku 28 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) medzi Používateľom služby Fakturuj.si (ďalej len „Prevádzkovateľ") a spoločnosťou Elite Digital Services, LLC, prevádzkovateľom služby Fakturuj.si (ďalej len „Sprostredkovateľ"). Táto DPA je neoddeliteľnou súčasťou Všeobecných obchodných podmienok.

1. Definitionen

  • Betreiber – Der Nutzer des Dienstes Invoice.si, der die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Kunden über den Dienst bestimmt.
  • Agent – Elite Digital Services, LLC, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen über den Dienst Invoice.si verarbeitet.
  • Betroffene Person – die natürliche Person, deren personenbezogene Daten verarbeitet werden (Kunden des Nutzers, Kontaktpersonen).
  • Persönliche Daten – alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person im Sinne von Artikel 4 Absatz 1 der Datenschutz-Grundverordnung beziehen.
  • Verarbeitung – jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten im Sinne von Artikel 4 Absatz 2 der Datenschutz-Grundverordnung.
  • Unter-Makler – ein Dritter, der vom Auftragsverarbeiter mit der Durchführung eines Teils der Verarbeitung personenbezogener Daten beauftragt wird.

2. Umfang und Zweck der Verarbeitung

2.1 Thema

Gegenstand dieser DSGVO ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen über die Online-Rechnungsstellungsplattform Fakturuj.si.

2.2 Laufzeit

Die Verarbeitung der personenbezogenen Daten erfolgt für die gesamte Dauer des Vertragsverhältnisses zwischen dem Betreiber und dem Vermittler (d.h. für die Dauer des aktiven Kontos des Nutzers im Dienst Fakturuj.si).

2.3 Art und Zweck

Der Zweck der Verarbeitung besteht in der Bereitstellung einer SaaS-Plattform für die Erstellung, Verwaltung und Versendung von Rechnungen und zugehörigen Dokumenten. Die personenbezogenen Daten werden für die folgenden Zwecke verarbeitet:

  • Erstellung und Verwaltung von Rechnungen, Kostenvoranschlägen und Lieferscheinen
  • Kundendatensätze des Benutzers
  • Erstellen und Versenden von Dokumenten per E-Mail
  • Daten in verschiedenen Formaten exportieren

2.4 Kategorien von betroffenen Personen

  • Kunden des Nutzers (Rechnungsabonnenten)
  • Kontaktpersonen der Kunden des Nutzers

2.5 Arten von personenbezogenen Daten

  • Kontaktinformationen: vorname, Nachname, E-Mail-Adresse, Telefonnummer, Postanschrift
  • Informationen zur Rechnungsstellung: rechnungsadresse, Bankverbindung (IBAN, SWIFT/BIC)
  • Daten zur Identifizierung des Unternehmens: firmenname, Handelsregisternummer, Steueridentifikationsnummer, Mehrwertsteuernummer, Sitz des Unternehmens

3. Pflichten des Intermediärs

Der Facilitator verpflichtet sich zu:

  1. Personenbezogene Daten nur gemäß den dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen zu verarbeiten, einschließlich der Anweisungen in Bezug auf die Übermittlung personenbezogener Daten an Drittländer, es sei denn, dies ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.
  2. Sicherstellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
  3. Alle gemäß Artikel 32 der DSGVO erforderlichen Sicherheitsmaßnahmen zu ergreifen, wie in Punkt 4 dieser Datenschutzrichtlinie dargelegt.
  4. Die Bedingungen für die Einschaltung von Untermoderatoren gemäß Punkt 5 dieser Datenschutzrichtlinie einhalten.
  5. Unterstützung des für die Verarbeitung Verantwortlichen bei der Bearbeitung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß Kapitel III der DSGVO (Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit usw.).
  6. Unterstützung des für die Verarbeitung Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß Artikel 32 bis 36 der DSGVO (Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung, vorherige Konsultation).
  7. Bei Beendigung der Erbringung von Dienstleistungen sind alle personenbezogenen Daten nach Wahl des für die Verarbeitung Verantwortlichen zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, es sei denn, die Aufbewahrung ist nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben.
  8. Dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen gemäß Artikel 28 der Datenschutz-Grundverordnung nachzuweisen und um Prüfungen, einschließlich Inspektionen, zu ermöglichen und zu unterstützen.
  9. Aufzeichnungen über alle Kategorien von Verarbeitungstätigkeiten zu führen, die im Auftrag des für die Verarbeitung Verantwortlichen gemäß Artikel 30 Absatz 2 der DSGVO durchgeführt werden.
  10. Anwendung der Grundsätze des Datenschutzes durch Technik und durch Voreinstellungen (privacy-by-design und privacy-by-default) gemäß Artikel 25 der Datenschutzgrundverordnung.

4. Sicherheitsmaßnahmen

Der Vermittler muss die folgenden technischen und organisatorischen Sicherheitsmaßnahmen umsetzen und aufrechterhalten:

  • Verschlüsselung der Übertragung: TLS 1.2+ für die gesamte Kommunikation zwischen Client und Server.
  • Verschlüsselung der Daten: verschlüsselung von sensiblen Daten im Ruhezustand bei der Speicherung.
  • Zugangskontrolle: rollenbasierte Zugriffskontrolle (RBAC) und Multi-Faktor-Authentifizierung (MFA) für den administrativen Zugriff.
  • Sicherung: tägliche automatische Backups mit einer Aufbewahrungsfrist von 30 Tagen.
  • Hosting: der Dienst wird in einer Cloud-Infrastruktur (Region: EU) gehostet, die nach SOC 2 Typ II und ISO 27001 zertifiziert ist.
  • Aktualisierungen: regelmäßige Software-Updates und Sicherheits-Patches
  • Passwort-Hashing: die Passwörter der Benutzer werden ausschließlich in gehashter Form mit modernen Algorithmen gespeichert.
  • Protokollierung und Überwachung: protokollierung von Zugriffen und Sicherheitsereignissen, Überwachung von Verfügbarkeit und Leistung.
  • Reaktion auf Vorfälle: ein Verfahren zur Reaktion auf Sicherheitsvorfälle, einschließlich der Benachrichtigung über Datenschutzverletzungen.

5. Unter-Makler

5.1 Zugelassene Unterauftragnehmer

Der für die Verarbeitung Verantwortliche erteilt eine allgemeine schriftliche Genehmigung für die Einschaltung von Unterauftragsverarbeitern. Aktuelle Liste der zugelassenen Unterauftragsverarbeiter:

Unter-Makler Zweck Hauptsitz
Anbieter von Cloud-Infrastruktur Hosting und Infrastruktur EU
Brevo (Sendinblue) E-Mail-Kommunikation (Versand von Rechnungen, Benachrichtigungen) Frankreich, EU
Sentry (Functional Software, Inc.) Fehler- und Leistungsüberwachung von Anwendungen USA (EU-Daten werden in der EU verarbeitet)
Stripe, Inc. Abwicklung des Zahlungsverkehrs USA / EU

Der Anbieter besitzt, mietet oder betreibt keine eigenen Rechenzentren oder physische Infrastruktur in irgendeinem Land. Alle Dienste werden über die Cloud-Infrastruktur der oben genannten Unterauftragsverarbeiter betrieben.

5.2 Benachrichtigung über die Änderung

Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen mindestens 30 Tage im Voraus über jede beabsichtigte Änderung der Liste der Unterauftragsverarbeiter, so dass der für die Verarbeitung Verantwortliche gegen diese Änderungen Einspruch erheben kann.

Erhebt der für die Verarbeitung Verantwortliche innerhalb von 30 Tagen nach der Meldung einen berechtigten Einwand gegen den neuen Unterauftragsverarbeiter, so bemüht sich der Auftragsverarbeiter in angemessener Weise um eine Alternativlösung. Ist eine Alternativlösung nicht möglich, so ist der Betreiber berechtigt, den Vertrag im Umfang der betroffenen Dienstleistungen zu kündigen.

5.3 Gleiche Verpflichtungen

Der Auftragsverarbeiter stellt sicher, dass jedem Unterauftragsverarbeiter vertraglich die gleichen Datenschutzverpflichtungen auferlegt werden, wie sie in dieser DSGVO festgelegt sind.

6. Rechte der betroffenen Personen

  • Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich über jeden Antrag der betroffenen Person auf Ausübung ihrer Rechte (DSAR - Data Subject Access Request).
  • Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen in angemessener Weise bei der Bearbeitung von Anträgen der betroffenen Personen.
  • Der Dienst Fakturuj.si stellt Werkzeuge für den Export und die Löschung von Kundendaten zur Verfügung, die der Betreiber nutzen kann, um Anfragen von Betroffenen zu bearbeiten.

7. Datenschutz-Folgenabschätzung (DPIA)

Der für die Verarbeitung Verantwortliche ist für die Durchführung der Datenschutz-Folgenabschätzung (DPIA) gemäß Artikel 35 der DSGVO verantwortlich. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die für die Durchführung der Datenschutz-Folgenabschätzung in Bezug auf die Verarbeitung personenbezogener Daten über den Dienst Fakturuj.si erforderlich sind.

8. Benachrichtigung über Datenschutzverletzungen

Der Facilitator verpflichtet sich zu:

  • Benachrichtigung des für die Verarbeitung Verantwortlichen über jede Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung, spätestens jedoch 72 Stunden nach Feststellung der Verletzung.
  • Übermittlung ausreichender Informationen an den für die Verarbeitung Verantwortlichen, um der Meldepflicht gemäß Artikel 33 und 34 DSGVO nachzukommen, einschließlich der Art der Verletzung, der Kategorien und der Anzahl der betroffenen Personen, der voraussichtlichen Folgen und der getroffenen Maßnahmen.

9. Aufbewahrung und Löschung von Daten

  • Nach Beendigung des Vertrags (Kontokündigung) hat der Betreiber 30 Tage Zeit, um alle seine Daten über die Exporttools des Dienstes zu exportieren.
  • Nach Ablauf der 30-Tage-Frist hat der Auftragsverarbeiter alle im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten sicher zu löschen, es sei denn, eine weitere Speicherung ist gesetzlich vorgeschrieben.
  • Auf Ersuchen des für die Verarbeitung Verantwortlichen bestätigt der Auftragsverarbeiter schriftlich die Löschung der Daten.

10. Internationale Datenübermittlung

Im Falle einer Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) muss der Auftragsverarbeiter angemessene Garantien gemäß Kapitel V der DSGVO gewährleisten, insbesondere:

  • Standardvertragsklauseln (SCC), die von der Europäischen Kommission gemäß Artikel 46 Absatz 2 der Datenschutz-Grundverordnung genehmigt wurden.
  • EU-US Data Privacy Framework (EU-US Data Privacy Framework), wenn der Datenempfänger nach diesem Programm zertifiziert ist.
  • Transferfolgenabschätzung (TIA) zur Gewährleistung eines angemessenen Schutzniveaus im Zielland.

11. Audits und Kontrollen

  • Der Betreiber hat das Recht, die Einhaltung dieser DPA durch den Vermittler nach einer schriftlichen Vorankündigung von mindestens 30 Tagen zu überprüfen.
  • Die Prüfungen werden höchstens einmal alle 12 Monate durchgeführt, es sei denn, die Prüfung wird durch einen spezifischen Verstoß oder eine Anfrage einer Aufsichtsbehörde ausgelöst.
  • Die Kosten für die Prüfung trägt der Betreiber, es sei denn, die Prüfung ergibt einen wesentlichen Verstoß des Vermittlers gegen diese DPA.

12. Verantwortung

Die Haftung der Vertragsparteien richtet sich nach den Bestimmungen der Allgemeinen Geschäftsbedingungen des Dienstes Fakturuj.si sowie nach den einschlägigen Rechtsvorschriften.

13. EU-Vertreter

Der Auftragsverarbeiter, ein außerhalb der EU ansässiges Unternehmen, hat gemäß Artikel 27 DSGVO einen Vertreter in der EU ernannt. Der EU-Vertreter nimmt nur die Aufgaben gemäß Artikel 27 der DSGVO wahr und übt keine kommerzielle Tätigkeit im Namen des Auftragsverarbeiters aus. Der Vertreter begründet keine ständige Niederlassung des Auftragsverarbeiters in der EU.

Euro business company Kft.
Hauptsitz: Rómer Flóris utca 8/B. 3.em., 1024 Budapest, Ungarn
Steuernummer: 28959364-2-41
VAT NUMBER: HU28959364
E-mail: [email protected]

14. Anwendbares Recht

Diese Vereinbarung über die Verarbeitung personenbezogener Daten unterliegt den Gesetzen des Bundesstaates Delaware, USA, und ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen. In Fragen des Datenschutzes gelten ausschließlich die zwingenden Bestimmungen der Verordnung (EU) 2016/679 (GDPR), soweit sie unmittelbar anwendbar sind.

15. Kontakt

Wenn Sie Fragen zu dieser DPA haben, wenden Sie sich bitte an uns:

Elite Digital Services, LLC
Hauptsitz: 1111B S Governors Ave #21653, Dover, DE 19904, USA
E-mail: [email protected]
Web: www.fakturuj.si

Zuletzt aktualisiert: April 2026