Auftragsverarbeitungsvertrag

Letzte Aktualisierung: 1. März 2026

Dieser Auftragsverarbeitungsvertrag („Vertrag“) wurde gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) erstellt und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen des StatementBridge-Dienstes.

Auftragsverarbeiter: FIDURO B.V., Stephensonweg 6, 4207 HB Gorinchem, HReg 78200695

Verantwortlicher: der Benutzer (jede natürliche oder juristische Person, die StatementBridge nutzt)

Artikel 1 — Definitionen

  1. Verantwortlicher: der Benutzer von StatementBridge, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
  2. Auftragsverarbeiter: FIDURO B.V., die personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen des StatementBridge-Dienstes verarbeitet.
  3. Betroffene Person: die natürliche Person, auf die sich die personenbezogenen Daten beziehen.
  4. Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gemäß Art. 4 Nr. 1 DSGVO.
  5. Unterauftragsverarbeiter: ein Dritter, der vom Auftragsverarbeiter mit der (teilweisen) Durchführung der Verarbeitung beauftragt wird.
  6. DSGVO: die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679).

Artikel 2 — Gegenstand und Dauer

  1. Dieser Vertrag bezieht sich auf die Verarbeitung personenbezogener Daten, die im Rahmen des StatementBridge-Dienstes stattfindet, einer Online-Anwendung zur Konvertierung von Kontoauszügen und Transaktionsdateien zwischen verschiedenen Dateiformaten.
  2. Die Laufzeit dieses Vertrags entspricht dem Zeitraum, in dem der Verantwortliche ein aktives Konto bei StatementBridge besitzt.
  3. Die Verarbeitung personenbezogener Daten findet ausschließlich während aktiver Dateikonvertierungen statt. Hochgeladene Dateien werden sofort nach der Verarbeitung gelöscht.

Artikel 3 — Art und Zweck der Verarbeitung

  1. Die Verarbeitung betrifft die Konvertierung von Kontoauszügen und Transaktionsdateien zwischen folgenden Formaten: MT940, CAMT.053, CSV, Excel, OFX, CODA, DATEV und PDF.
  2. Der Zweck der Verarbeitung ist die Konvertierung finanzieller Transaktionsdaten in ein Dateiformat, das mit der Buchhaltungssoftware des Verantwortlichen kompatibel ist.
  3. Optional kann der Verantwortliche die KI-Extraktion von Transaktionen aus PDF-Dateien nutzen. Diese Funktion verwendet externe APIs (Anthropic oder OpenAI) und wird nur auf ausdrücklichen Wunsch des Verantwortlichen aktiviert.

Artikel 4 — Arten personenbezogener Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Kontodaten — E-Mail-Adresse und Anzeigename
  • Finanzielle Transaktionsdaten — IBAN-Nummern, Beträge, Beschreibungen, Transaktionsdaten und Namen von Gegenparteien
  • Zahlungsdaten — Stripe-Kunden-ID und Abonnementdetails
  • Technische Daten — anonymisierte IP-Adresse und User Agent
  • API-Schlüssel — verschlüsselt gespeichert (AES-128/Fernet)

Artikel 5 — Kategorien betroffener Personen

  1. Der Benutzer (Kontoinhaber) — die Person, die StatementBridge nutzt.
  2. Dritte, deren Daten in Kontoauszügen erscheinen — Gegenparteien und Begünstigte von Transaktionen in den hochgeladenen Dateien.

Artikel 6 — Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich zu Folgendem:

  1. Personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Verantwortlichen zu verarbeiten, es sei denn, eine gesetzliche Verpflichtung erfordert dies.
  2. Sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Alle geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, gemäß Art. 32 DSGVO.
  4. Die Bedingungen für die Beauftragung von Unterauftragsverarbeitern gemäß Artikel 7 dieses Vertrags einzuhalten.
  5. Den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß der DSGVO zu unterstützen.
  6. Den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) zu unterstützen, soweit erforderlich.
  7. Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Verarbeitungsdienste zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
  8. Alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten erforderlich sind, und Prüfungen zu ermöglichen und dazu beizutragen.

Artikel 7 — Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, die folgenden Unterauftragsverarbeiter zu beauftragen:

Unterauftragsverarbeiter Zweck Standort Schutzmaßnahmen
Stripe, Inc. Zahlungsabwicklung USA Standardvertragsklauseln (SCCs)
Render.com Anwendungs- und Datenbankhosting EU (Frankfurt) EU-basiert
Anthropic (optional) KI-PDF-Extraktion USA SCCs
OpenAI (optional) KI-PDF-Extraktion USA SCCs
  1. Der Auftragsverarbeiter informiert den Verantwortlichen im Voraus über beabsichtigte Änderungen hinsichtlich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern.
  2. Der Verantwortliche hat das Recht, Änderungen bei Unterauftragsverarbeitern zu widersprechen. Kann der Widerspruch nicht beigelegt werden, hat der Verantwortliche das Recht, den Vertrag zu kündigen.
  3. Der Auftragsverarbeiter stellt sicher, dass jedem Unterauftragsverarbeiter die gleichen Datenschutzpflichten wie in diesem Vertrag auferlegt werden.

Artikel 8 — Übermittlungen außerhalb des EWR

  1. Übermittlungen personenbezogener Daten in die Vereinigten Staaten erfolgen auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
  2. Anthropic und OpenAI werden nur auf ausdrücklichen Wunsch des Benutzers eingesetzt. Ohne Nutzung der KI-PDF-Extraktionsfunktion findet keine Übermittlung an diese Parteien statt.
  3. Der Auftragsverarbeiter stellt sicher, dass jede Übermittlung personenbezogener Daten in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR) den Anforderungen von Kapitel V der DSGVO entspricht.

Artikel 9 — Sicherheitsmaßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter hat folgende technische und organisatorische Sicherheitsmaßnahmen implementiert:

  • HTTPS/TLS-Verschlüsselung — alle Kommunikation zwischen Benutzer und Server ist verschlüsselt
  • Bcrypt-Passwort-Hashing — Passwörter werden niemals in lesbarer Form gespeichert
  • AES-128/Fernet-Verschlüsselung — API-Schlüssel werden verschlüsselt gespeichert
  • Sofortige Löschung — hochgeladene Dateien werden sofort nach der Verarbeitung gelöscht
  • Sichere Sitzungs-Cookies — HttpOnly, Secure, SameSite=Strict
  • Rate Limiting — Schutz vor Missbrauch und Überlastung
  • Zugriffskontrollen — Benutzer haben nur Zugang zu ihren eigenen Daten
  • Regelmäßige Sicherheitsupdates — Software und Abhängigkeiten werden regelmäßig aktualisiert
  • Anonymisierte Protokollierung — Logdateien enthalten keine identifizierbaren personenbezogenen Daten

Artikel 10 — Meldung von Datenschutzverletzungen

  1. Der Auftragsverarbeiter meldet dem Verantwortlichen jede Datenschutzverletzung (Verletzung des Schutzes personenbezogener Daten) unverzüglich und spätestens 72 Stunden nach Kenntnisnahme.
  2. Die Meldung enthält mindestens folgende Informationen:
    • die Art der Datenschutzverletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen;
    • die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;
    • die wahrscheinlichen Folgen der Datenschutzverletzung;
    • die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und zur Minderung ihrer nachteiligen Auswirkungen.
  3. Der Auftragsverarbeiter arbeitet bei der Untersuchung und Behandlung der Datenschutzverletzung uneingeschränkt mit dem Verantwortlichen zusammen.

Artikel 11 — Unterstützung bei Betroffenenrechten

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen hinsichtlich folgender Rechte:
    • Recht auf Auskunft (Art. 15 DSGVO)
    • Recht auf Berichtigung (Art. 16 DSGVO)
    • Recht auf Löschung (Art. 17 DSGVO)
    • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    • Widerspruchsrecht (Art. 21 DSGVO)
  2. Der Benutzer kann sein Konto und alle zugehörigen Daten selbst über die Anwendungseinstellungen in StatementBridge löschen.

Artikel 12 — Rückgabe und Löschung

  1. Nach Beendigung der Verarbeitungsdienste werden alle personenbezogenen Daten des Verantwortlichen gelöscht.
  2. Die Kontolöschung über die Anwendung führt zur dauerhaften Löschung aller personenbezogenen Daten.
  3. Keine hochgeladenen Dateien werden nach der Verarbeitung aufbewahrt. Dateien werden sofort nach der Konvertierung vom Server gelöscht.

Artikel 13 — Prüfungsrechte

  1. Der Verantwortliche hat das Recht, Prüfungen durchzuführen oder durchführen zu lassen, um die Einhaltung dieses Vertrags zu überprüfen.
  2. Der Auftragsverarbeiter arbeitet bei angemessenen Prüfungsanfragen mit und stellt die erforderlichen Informationen zur Verfügung.
  3. Alternativ kann der Auftragsverarbeiter einen unabhängigen Prüfbericht (wie SOC 2 oder eine vergleichbare Zertifizierung) vorlegen, um die Einhaltung nachzuweisen.

Artikel 14 — Anwendbares Recht und Streitigkeiten

  1. Dieser Auftragsverarbeitungsvertrag unterliegt dem niederländischen Recht.
  2. Streitigkeiten, die sich aus oder im Zusammenhang mit diesem Vertrag ergeben, werden dem zuständigen Gericht im Bezirk Rotterdam vorgelegt.

Kontakt

FIDURO B.V.
Stephensonweg 6
4207 HB Gorinchem
Niederlande
E-Mail: info@fiduro.nl
Telefon: +31 183 201077
HReg: 78200695
USt-IdNr.: NL861300221B01