Auftragsverarbeitungsvertrag (AVV)
Zuletzt aktualisiert: März 2026
Dieser Auftragsverarbeitungsvertrag (der „AVV" oder „DPA") ist als Anlage in die Allgemeinen Geschäftsbedingungen von Fides IT, handelnd unter dem Namen Utisha, einbezogen und Bestandteil derselben. Mit der Annahme der Allgemeinen Geschäftsbedingungen nimmt der Verantwortliche auch die Bestimmungen dieses AVV an.
Auftragsverarbeiter: Fides IT, handelnd unter dem Namen Utisha Mit Sitz in Amsterdam, Niederlande Handelsregisternummer (KvK): 57282196 Datenschutzkontakt: privacy@utisha.com AVV-Kontakt: dpa@utisha.com
Verantwortlicher: Das Buchhaltungs- oder Steuerbüro, das die Allgemeinen Geschäftsbedingungen für die Nutzung der Utisha-Plattform zur Verarbeitung von Finanzdokumenten im Rahmen der Vorbereitung von Umsatzsteuervoranmeldungen für seine Mandanten angenommen hat.
Der Auftragsverarbeiter und der Verantwortliche werden gemeinsam als „die Parteien" bezeichnet.
Artikel 1. Definitionen
1.1. „DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, zusammen mit allen geltenden nationalen Durchführungsgesetzen, einschließlich des niederländischen UAVG.
1.2. „Personenbezogene Daten", „Verarbeitung", „Betroffene Person", „Verletzung des Schutzes personenbezogener Daten" und „Aufsichtsbehörde" haben die in der DSGVO festgelegte Bedeutung.
1.3. „Dienstleistungen" bezeichnet die Utisha-Plattform zur Verarbeitung von Finanzdokumenten für die Vorbereitung quartalsweiser Umsatzsteuervoranmeldungen, verfügbar als verwalteter Cloud-Dienst oder als selbst gehostetes Deployment.
1.4. „Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten. Die aktuelle Liste der Unterauftragsverarbeiter ist in Anhang 3 enthalten.
1.5. „Automatisierte Verarbeitung" bezeichnet die Verarbeitung von Finanzdokumenten mittels KI-Technologie, nämlich die automatisierte Analyse, Extraktion, Klassifizierung und Abstimmung von Rechnungen und Kontoauszügen über ein großes Sprachmodell (Large Language Model, LLM). Die automatisierte Verarbeitung dient ausschließlich als Hilfsmittel für den Buchhalter; der Buchhalter trifft alle endgültigen Entscheidungen nach menschlicher Prüfung.
Artikel 2. Gegenstand und Laufzeit
2.1. Dieser AVV regelt die Bedingungen, unter denen der Auftragsverarbeiter im Rahmen der Erbringung der Dienstleistungen personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet.
2.2. Gegenstand der Verarbeitung ist die Verarbeitung von Finanzdokumenten — einschließlich Rechnungen, Gutschriften und Kontoauszügen — zum Zweck der Vorbereitung der quartalsweisen Umsatzsteuervoranmeldungen der Mandanten des Verantwortlichen. Diese Dokumente enthalten personenbezogene Daten der in den Artikeln 4 und 5 beschriebenen Kategorien.
2.3. Dieser AVV ist für die Dauer des Abonnementvertrags gemäß den Allgemeinen Geschäftsbedingungen in Kraft. Er endet, wenn das Abonnement aus einem beliebigen Grund endet, vorbehaltlich der Bestimmungen zu gesetzlichen Aufbewahrungsfristen in Artikel 11.
Artikel 3. Art und Zweck der Verarbeitung
3.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich für die folgenden Zwecke, wie in Anhang 1 näher beschrieben:
(a) Dokumentenextraktion: Auslesen und Extrahieren von Daten aus eingereichten Rechnungen, Gutschriften und Kontoauszügen (einschließlich MT940- und CAMT.053-Dateien), auch mittels optischer Zeichenerkennung (OCR) für gescannte Dokumente mit eingeschränkter Qualität;
(b) Automatisierte Klassifizierung: Automatisierte Klassifizierung von Transaktionen nach Umsatzsteuerkategorien (1a, 1b, 1c, 1d, 2a, 3a, 3b, 3c, 4a, 4b, 5b) und Vorschläge für Sachkonten auf Basis des extrahierten Dokumentinhalts mittels KI-Technologie;
(c) Bankabstimmung: Automatisches Abgleichen von Kontoauszugszeilen mit Rechnungen und Buchungszeilen;
(d) Exact-Online-Integration: Übermittlung der vom Buchhalter genehmigten Buchungen an das Exact-Online-Buchhaltungssystem des Verantwortlichen.
3.2. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht für andere Zwecke. Eine Verarbeitung zu Zwecken des Modelltrainings oder der KI-Verbesserung ist ausdrücklich verboten, wie in Artikel 13 näher geregelt.
3.3. Alle durch die automatisierte Verarbeitung generierten Ergebnisse haben ausschließlich beratenden Charakter. Der Buchhalter prüft und genehmigt alle KI-Ergebnisse, bevor eine Buchung finalisiert oder an Exact Online übermittelt wird. Keine Entscheidungen werden ohne menschliche Prüfung getroffen.
Artikel 4. Kategorien personenbezogener Daten
4.1. Im Rahmen der Erbringung der Dienstleistungen verarbeitet der Auftragsverarbeiter folgende Kategorien personenbezogener Daten im Auftrag des Verantwortlichen:
(a) Identifikationsdaten: Namen natürlicher Personen und Kontaktpersonen, Adressen (Geschäfts- und Korrespondenzadresse), Firmennamen;
(b) Finanzdaten: IBAN-Nummern, Rechnungsbeträge (einschließlich Umsatzsteuer), Kontostände, Transaktionsdaten (Betrag, Datum, Beschreibung, Gegenpartei), Buchungszeilen;
(c) Steuerliche Identifikationsnummern: Umsatzsteuer-Identifikationsnummern, Handelsregisternummern (KvK);
(d) Kontaktdaten: E-Mail-Adressen und Telefonnummern, soweit sie auf Rechnungen oder im Portal erscheinen;
(e) Nutzungsdaten: Portal-Anmeldezeitstempel, Datum und Uhrzeit des Dokumentuploads, IP-Adresse bei der Anmeldung, Benutzeraktionen in der Plattform (Audit-Log-Daten).
4.2. Der Auftragsverarbeiter verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, es sei denn, solche Daten befinden sich unerwartet in den vom Verantwortlichen eingereichten Dokumenten. Der Verantwortliche ist dafür verantwortlich, solche Situationen zu erkennen und den Auftragsverarbeiter darüber zu informieren.
Artikel 5. Kategorien betroffener Personen
5.1. Folgende Kategorien betroffener Personen sind Gegenstand der Verarbeitung:
(a) Mandanten des Verantwortlichen (Endnutzer): Unternehmer und KMU mit einem Dienstleistungsvertrag mit dem Verantwortlichen für die Vorbereitung von Umsatzsteuervoranmeldungen, soweit ihre personenbezogenen Daten auf Rechnungen, Kontoauszügen oder im Mandantenportal erscheinen;
(b) Mitarbeiter der Mandanten: Angestellte und Kontaktpersonen der Mandanten des Verantwortlichen, soweit ihre Namen, E-Mail-Adressen oder Telefonnummern auf Rechnungen, Kontoauszügen oder im Portal erscheinen;
(c) Lieferanten und Kunden der Mandanten: Natürliche Personen, die als Lieferanten oder Kunden des Mandanten auftreten und deren Name, Adresse, IBAN-Nummer oder Kontaktdaten auf einer Rechnung oder einem Kontoauszug erscheinen;
(d) Kontaktpersonen beim Verantwortlichen: Kontaktpersonen beim Verantwortlichen selbst, soweit ihre Daten im Rahmen der Benutzerverwaltung der Plattform verarbeitet werden.
Artikel 6. Pflichten des Auftragsverarbeiters
6.1. Verarbeitung nur auf Weisung. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen, sofern keine rechtliche Verpflichtung anderes erfordert. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, sofern das Gesetz dies nicht untersagt.
6.2. Vertraulichkeit. Der Auftragsverarbeiter stellt sicher, dass sich alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
6.3. Sicherheit. Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in Anhang 2 beschrieben. Diese Maßnahmen werden mindestens einmal jährlich überprüft.
6.4. Unterauftragsverarbeiter. Der Auftragsverarbeiter beauftragt Unterauftragsverarbeiter nur unter Einhaltung des Verfahrens in Artikel 7. Die aktuelle Liste genehmigter Unterauftragsverarbeiter ist in Anhang 3 enthalten. Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter zu Pflichten, die mindestens gleichwertig mit den in diesem AVV festgelegten sind.
6.5. Unterstützung bei Rechten betroffener Personen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen auf Ausübung der Rechte betroffener Personen gemäß Art. 15 bis 22 DSGVO. Jeder direkt beim Auftragsverarbeiter eingehende Antrag wird unverzüglich an den Verantwortlichen weitergeleitet.
6.6. Unterstützung bei der DSFA. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO, unter anderem durch Bereitstellung relevanter Informationen zu Verarbeitungstätigkeiten, Sicherheitsmaßnahmen und Unterauftragsverarbeitern.
6.7. Löschung oder Rückgabe nach Vertragsende. Nach Beendigung der Dienstleistungen löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Auftragsverarbeiter stellt innerhalb von 30 Tagen nach Vertragsbeendigung eine schriftliche Löschbestätigung bereit. Die steuerliche Aufbewahrungspflicht gemäß Artikel 11 gilt gesondert.
6.8. Information und Audit. Der Auftragsverarbeiter stellt alle Informationen bereit, die erforderlich sind, um die Einhaltung dieses AVV nachzuweisen, und kooperiert bei Audits gemäß Artikel 10.
6.9. Meldung widersprüchlicher Weisungen. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen die DSGVO oder geltendes Datenschutzrecht verstößt, informiert er den Verantwortlichen unverzüglich und kann die Ausführung der Weisung aussetzen, bis der Verantwortliche sie bestätigt oder widerruft.
Artikel 7. Unterauftragsverarbeiter
7.1. Mit der Annahme dieses AVV erteilt der Verantwortliche eine allgemeine schriftliche Genehmigung für die in Anhang 3 aufgeführten Unterauftragsverarbeiter gemäß Art. 28(2) DSGVO.
7.2. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor dem beabsichtigten Inkrafttreten schriftlich über geplante Änderungen bei den Unterauftragsverarbeitern, einschließlich der Beauftragung neuer oder der Ablösung bestehender Unterauftragsverarbeiter.
7.3. Der Verantwortliche kann einer beabsichtigten Änderung innerhalb von 30 Tagen nach Erhalt der Mitteilung schriftlich und begründet widersprechen. Der Widerspruch ist an dpa@utisha.com zu richten.
7.4. Erhebt der Verantwortliche fristgerecht Widerspruch und einigen sich die Parteien nicht innerhalb von 30 Tagen nach Eingang des Widerspruchs auf eine Lösung, kann jede Partei diesen AVV, soweit er die betreffende Verarbeitungstätigkeit betrifft, schriftlich kündigen. Eine Kündigung auf dieser Grundlage begründet keinen Schadensersatzanspruch.
7.5. Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter schriftlich zu Datenschutzpflichten, die mindestens gleichwertig mit den in diesem AVV festgelegten sind. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen vollumfänglich haftbar für die Erfüllung der Pflichten des Unterauftragsverarbeiters.
7.6. Anhang 3 gibt an, welche Unterauftragsverarbeiter bedingt je nach Deployment-Typ (verwaltete Cloud vs. selbst gehostet) gelten.
Artikel 8. Internationale Datentransfers
8.1. Der Auftragsverarbeiter übermittelt keine personenbezogenen Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR). Alle in Anhang 3 aufgeführten Unterauftragsverarbeiter verarbeiten personenbezogene Daten innerhalb der EU/des EWR.
8.2. AWS Bedrock verarbeitet Daten in der EU-Region eu-central-1 (Frankfurt, Deutschland). Google Cloud Vertex AI verarbeitet Daten in der EU-Region europe-west1 (Belgien). Microsoft Azure Document Intelligence verarbeitet Daten in der EU-Region Westeuropa (Amsterdam). Hetzner Online GmbH ist in Deutschland ansässig. Es werden keine personenbezogenen Daten außerhalb des EWR übermittelt.
8.3. Bei einem selbst gehosteten Deployment mit LLM-Routing auf self_hosted_only verlassen keine personenbezogenen Daten die Infrastruktur des Verantwortlichen für die automatisierte Verarbeitung. Die Übermittlungsbestimmungen bezüglich AWS Bedrock gelten in dieser Konfiguration nicht.
8.4. Sollten zukünftige Änderungen zu einer Übermittlung außerhalb des EWR führen, stellt der Auftragsverarbeiter sicher, dass angemessene Garantien gemäß Art. 46 DSGVO vor Beginn der Übermittlung vorliegen, und folgt dem Änderungsverfahren in Artikel 7.
Artikel 9. Meldung von Datenschutzverletzungen
9.1. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich — mit dem Ziel innerhalb von 24 Stunden — nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die die vom Verantwortlichen eingereichten Daten betrifft.
9.2. Die Meldung enthält, soweit zum Zeitpunkt der Meldung verfügbar: die Art der Verletzung; die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze; die Kontaktstelle für weitere Informationen; die wahrscheinlichen Folgen; und die ergriffenen oder geplanten Maßnahmen.
9.3. Sind nicht alle Informationen gleichzeitig verfügbar, kann die erste Meldung begrenzte Informationen enthalten. Der Auftragsverarbeiter stellt weitere Informationen bereit, sobald sie verfügbar sind.
9.4. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflicht gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO (72-Stunden-Frist) und gegebenenfalls bei der Benachrichtigung betroffener Personen gemäß Art. 34 DSGVO.
Artikel 10. Audit-Rechte
10.1. Der Auftragsverarbeiter stellt alle Informationen bereit, die erforderlich sind, um die Einhaltung von Art. 28 DSGVO nachzuweisen, und kooperiert bei Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden.
10.2. Der Verantwortliche informiert den Auftragsverarbeiter mindestens 30 Tage im Voraus schriftlich über ein geplantes Audit unter Angabe von Zweck, Umfang und vorgesehenem Datum.
10.3. Audits finden während der regulären Geschäftszeiten des Auftragsverarbeiters statt und werden so durchgeführt, dass der Geschäftsbetrieb so wenig wie möglich gestört wird. Sofern keine Datenschutzverletzung oder behördliche Verpflichtung anderes erfordert, hat der Verantwortliche das Recht auf maximal ein Audit pro Kalenderjahr.
10.4. Die Kosten des Audits trägt der Verantwortliche, es sei denn, das Audit deckt dem Auftragsverarbeiter zurechenbare Verstöße auf.
10.5. Ein externer Prüfer muss vor Beginn des Audits eine Vertraulichkeitsvereinbarung mit dem Auftragsverarbeiter unterzeichnen.
Artikel 11. Aufbewahrung und Löschung von Daten
11.1. Finanzdokumente (Rechnungen, Gutschriften, Kontoauszüge, Buchungszeilen, Extraktionsergebnisse und Audit-Logs), die Teil der steuerlichen Aufzeichnungen sind, werden für die Dauer der gesetzlichen steuerlichen Aufbewahrungsfrist gemäß Art. 52 des niederländischen Allgemeinen Steuergesetzes (AWR) aufbewahrt: sieben Jahre ab dem Ende des Geschäftsjahres, auf das sich die Daten beziehen.
11.2. Nach Ablauf der steuerlichen Aufbewahrungsfrist werden alle aufbewahrten Daten endgültig gelöscht, sofern keine andere gesetzliche Pflicht eine längere Aufbewahrung erfordert.
11.3. Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter die aufbewahrten Daten in einem gängigen Exportformat zur Verfügung, damit der Verantwortliche oder sein Rechtsnachfolger etwaigen steuerlichen Prüfungspflichten nachkommen kann.
11.4. Nicht steuerliche personenbezogene Daten werden innerhalb von 30 Tagen nach Vertragsbeendigung gelöscht oder zurückgegeben, mit schriftlicher Bestätigung.
Artikel 12. Pflichten des Verantwortlichen
12.1. Der Verantwortliche gewährleistet, dass:
(a) er über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen dieses AVV verfügt (Vertragserfüllung, Art. 6(1)(b) DSGVO);
(b) er betroffene Personen ordnungsgemäß gemäß Art. 13 und 14 DSGVO informiert hat, einschließlich über die Beauftragung des Auftragsverarbeiters und der in Anhang 3 aufgeführten Unterauftragsverarbeiter;
(c) er ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30(1) DSGVO führt;
(d) alle dem Auftragsverarbeiter erteilten Weisungen rechtmäßig und DSGVO-konform sind;
(e) er den Auftragsverarbeiter unverzüglich über Änderungen in Art oder Umfang der Verarbeitung informiert, die die Pflichten des Auftragsverarbeiters beeinflussen könnten.
12.2. Der Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen betroffener Personen, Aufsichtsbehörden oder Dritter frei, die auf der Nichterfüllung der in diesem Artikel genannten Pflichten beruhen.
Artikel 13. Automatisierte Verarbeitung und KI-Bestimmungen
13.1. Absolutes Verbot der Nutzung zu Trainingszwecken. Personenbezogene Daten, die im Rahmen dieses AVV verarbeitet werden, werden in keiner Weise zum Trainieren, Feinabstimmen oder anderweitigen Verbessern von KI-Modellen verwendet — weder vom Auftragsverarbeiter noch von einem Unterauftragsverarbeiter. Dieses Verbot ist absolut und gilt unabhängig davon, ob die Daten in anonymisierter oder pseudonymisierter Form vorliegen.
13.2. Vertragliche Durchsetzung bei Unterauftragsverarbeitern. Der Auftragsverarbeiter setzt das Trainingsverbot vertraglich bei den an der automatisierten Verarbeitung beteiligten Unterauftragsverarbeitern durch:
Amazon Web Services EMEA SARL (AWS Bedrock): Gemäß den AWS-Servicebedingungen und dem AWS-Datenschutzzusatz (Data Processing Addendum) werden Kundendaten, die über AWS Bedrock verarbeitet werden, nicht zum Training von KI-Modellen verwendet. Die Verarbeitung erfolgt in der EU-Region
eu-central-1(Frankfurt). Daten verlassen die EU nicht.Google Cloud EMEA Limited (Google Cloud Vertex AI): Gemäß dem Google Cloud-Datenschutzzusatz (Data Processing Addendum, §5.2) werden Kundendaten, die über Vertex AI verarbeitet werden, nicht zum Training von KI-Modellen verwendet. Die Verarbeitung erfolgt in der EU-Region
europe-west1(Belgien). Daten verlassen die EU nicht.Microsoft Corporation (Azure Document Intelligence): Gemäß den Microsoft-Datenschutzbestimmungen werden Kundendaten, die über Azure Document Intelligence verarbeitet werden, nicht zum Training von Microsoft-Modellen verwendet.
13.3. Was an KI-Anbieter übermittelt wird. Bei der automatisierten Verarbeitung übermittelt der Auftragsverarbeiter ausschließlich den Textinhalt von Dokumenten (Rechnungszeilen, Beschreibungen, Kontoauszugszeilen) an die KI-Anbieter (AWS Bedrock oder Google Cloud Vertex AI). Folgendes wird ausdrücklich nicht übermittelt: Portal-Passwörter oder Authentifizierungstoken; Daten anderer Mandanten des Verantwortlichen; interne Verwaltungsdaten, die nicht Teil des zu verarbeitenden Dokuments sind.
13.4. Was KI-Anbieter zurückgeben. Der KI-Anbieter gibt ausschließlich strukturierte Klassifizierungsergebnisse (Umsatzsteuerkategorie, Sachkonto, Abstimmungsergebnis) zurück. Es werden keine Dokumentinhalte über die Dauer des API-Aufrufs hinaus gespeichert.
13.5. Menschliche Kontrolle. Alle durch die automatisierte Verarbeitung generierten Ergebnisse haben ausschließlich beratenden Charakter. Der Buchhalter prüft und genehmigt alle KI-Ergebnisse, bevor eine Buchung finalisiert oder an Exact Online übermittelt wird.
13.6. Migrationspflicht bei Änderung der Trainingsrichtlinie. Ändert ein an der automatisierten Verarbeitung beteiligter Unterauftragsverarbeiter seine Richtlinie zur Nutzung von Kundendaten für das Modelltraining oder kündigt eine solche Änderung an, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich schriftlich und schließt die Migration zu einem konformen alternativen Unterauftragsverarbeiter innerhalb von 90 Tagen nach der Ankündigung oder dem Inkrafttreten der Änderung ab. Bis zur abgeschlossenen Migration setzt der Auftragsverarbeiter die betreffende automatisierte Verarbeitung aus, sofern der Verantwortliche nicht schriftlich der Fortsetzung zustimmt.
13.7. Recht auf Verarbeitung ohne KI-Technologie. Der Verantwortliche kann jederzeit verlangen, dass bestimmte Dokumente oder Dokumentkategorien ohne KI-Technologie (manuelle Verarbeitung) verarbeitet werden. Der Auftragsverarbeiter kommt diesem Wunsch innerhalb einer angemessenen Frist nach. Erfordert die manuelle Verarbeitung einen wesentlich höheren Aufwand, kann der Auftragsverarbeiter einen Aufschlag auf Basis der in den Allgemeinen Geschäftsbedingungen vereinbarten Tarife berechnen.
Artikel 14. Selbst gehostetes Deployment
14.1. Die Plattform ist als selbst gehostetes Deployment verfügbar, bei dem das LLM-Routing auf self_hosted_only konfiguriert werden kann. In dieser Konfiguration werden alle Verarbeitungsaktivitäten — einschließlich der automatisierten Verarbeitung — ausschließlich durch lokale KI-Modelle (wie Ollama oder vLLM) durchgeführt, die in der eigenen Infrastruktur des Verantwortlichen laufen.
14.2. Bei einem selbst gehosteten Deployment mit self_hosted_only LLM-Routing verlassen keine personenbezogenen Daten die Infrastruktur des Verantwortlichen für die automatisierte Verarbeitung. In diesem Fall gelten AWS Bedrock und Google Cloud Vertex AI gemäß Anhang 3 nicht für die Verarbeitungstätigkeiten des Verantwortlichen.
14.3. Exact Group B.V. (Exact Online) ist ein unabhängiger Verantwortlicher, mit dem der Verantwortliche eine direkte Vertragsbeziehung unterhält. Utisha fungiert als Durchleitungsstelle und verarbeitet Daten in Exact ausschließlich auf Weisung des Verantwortlichen unter Verwendung der vom Verantwortlichen bereitgestellten API-Autorisierung.
14.4. Bei einem selbst gehosteten Deployment, bei dem der Verantwortliche die gesamte Infrastruktur — einschließlich Datenbanken, Objektspeicher und Anwendungsserver — in seiner eigenen Umgebung betreibt, gilt Hetzner Online GmbH als Unterauftragsverarbeiter nicht. Der Verantwortliche ist in diesem Fall für die Sicherheit seiner eigenen Infrastruktur verantwortlich.
Artikel 15. Haftung
15.1. Die Haftung der Parteien im Rahmen dieses AVV richtet sich nach den Allgemeinen Geschäftsbedingungen.
15.2. Die spezifischen Haftungsregeln der DSGVO — insbesondere Art. 82 DSGVO — gelten in vollem Umfang, auch wenn die Allgemeinen Geschäftsbedingungen eine geringere Haftung vorsehen würden.
15.3. Soweit sowohl der Verantwortliche als auch der Auftragsverarbeiter für durch die Verarbeitung verursachte Schäden haften, haften sie gegenüber der betroffenen Person gesamtschuldnerisch, vorbehaltlich eines internen Ausgleichs nach dem jeweiligen Haftungsanteil.
Artikel 16. Anwendbares Recht und Gerichtsstand
16.1. Dieser AVV unterliegt dem Recht der Niederlande.
16.2. Streitigkeiten aus diesem AVV werden der ausschließlichen Zuständigkeit der zuständigen Gerichte in Amsterdam unterworfen, entsprechend der Gerichtsstandsklausel in den Allgemeinen Geschäftsbedingungen.
Artikel 17. Sonstige Bestimmungen
17.1. Dieser AVV ersetzt alle zuvor zwischen den Parteien geschlossenen Auftragsverarbeitungsverträge, die dieselben Verarbeitungstätigkeiten betreffen.
17.2. Änderungen sind nur wirksam, wenn sie schriftlich vereinbart wurden. Utisha kann diesen AVV einseitig ändern, wenn dies aufgrund von Änderungen der DSGVO, von Durchführungsgesetzen, behördlichen Leitlinien oder der Dienstleistungen erforderlich ist, unter Einhaltung einer Ankündigungsfrist von mindestens 30 Tagen. Erhebt der Verantwortliche Widerspruch, gilt das Verfahren aus Artikel 7.4 entsprechend.
17.3. Ist eine Bestimmung dieses AVV nichtig oder anfechtbar, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.
Anhang 1: Beschreibung der Verarbeitung
| Aspekt | Beschreibung |
|---|---|
| Verarbeitungsgegenstand | Verarbeitung von Finanzdokumenten (Rechnungen, Gutschriften, Kontoauszüge) für die Vorbereitung quartalsweiser Umsatzsteuervoranmeldungen der Mandanten des Verantwortlichen |
| Verarbeitungszweck | (1) Automatisierte Extraktion von Transaktionsdaten aus Rechnungen und Kontoauszügen; (2) Klassifizierung nach Umsatzsteuerkategorie und Sachkontovorschlag; (3) Bankabstimmung durch Abgleich von Kontoauszugszeilen mit Rechnungen; (4) Übermittlung genehmigter Buchungen an Exact Online |
| Art der Verarbeitung | Automatisierte Verarbeitung mittels KI-Technologie (OCR, Extraktion und Klassifizierung über großes Sprachmodell), gefolgt von menschlicher Prüfung und Genehmigung durch den Buchhalter |
| Kategorien personenbezogener Daten | Namen, Adressen, Firmennamen, IBAN-Nummern, Rechnungsbeträge, Kontostände, Transaktionsdaten, Umsatzsteuer-IDs, KvK-Nummern, E-Mail-Adressen, Telefonnummern, Portal-Anmeldezeitstempel, Dokumentupload-Zeitstempel, Plattform-Audit-Log-Daten |
| Kategorien betroffener Personen | (1) Mandanten des Verantwortlichen (Unternehmer und KMU); (2) Mitarbeiter der Mandanten, soweit in Dokumenten genannt; (3) Lieferanten und Kunden der Mandanten, soweit in Rechnungen oder Kontoauszügen genannt; (4) Kontaktpersonen beim Verantwortlichen |
| Verarbeitungsdauer | Die Laufzeit des Dienstleistungsabonnements gemäß den Allgemeinen Geschäftsbedingungen, zuzüglich der siebenjährigen steuerlichen Aufbewahrungsfrist gemäß AWR Art. 52 für Finanzdokumente |
| Verarbeitungsort | Primär: EU (Hetzner Online GmbH, Gunzenhausen, Deutschland) für verwaltetes Hosting. Automatisierte Verarbeitung: EU (AWS Bedrock, eu-central-1, Frankfurt, Deutschland; Google Cloud Vertex AI, europe-west1, Belgien). Bei selbst gehosteten Deployments: die eigene Infrastruktur des Verantwortlichen. Es werden keine personenbezogenen Daten außerhalb des EWR übermittelt. |
Anhang 2: Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter wendet folgende Maßnahmen an, um ein angemessenes Sicherheitsniveau zu gewährleisten. Diese werden mindestens einmal jährlich überprüft.
Verschlüsselung
| Maßnahme | Detail |
|---|---|
| Daten im Ruhezustand | Alle Integrationszugangsdaten und sensible Konfigurationsdaten sind mit AES-256-GCM verschlüsselt. Die Dokumentenspeicherung verwendet serverseitige Verschlüsselung. |
| Daten bei der Übertragung | Alle Kommunikation erfolgt ausschließlich über TLS 1.3. HTTP-Verbindungen werden automatisch auf HTTPS umgeleitet. |
| Backups | Backups werden verschlüsselt gespeichert; die Verschlüsselungsschlüssel werden vom Auftragsverarbeiter verwaltet. |
Zugangskontrolle
| Maßnahme | Detail |
|---|---|
| Identitätsverwaltung | Keycloak Single Sign-On (SSO) mit OpenID Connect (OIDC) für alle Plattformnutzer. |
| Rollen und Berechtigungen | Rollenbasierte Zugriffskontrolle (RBAC) mit fünf Rollen: platform-admin, group-admin, contributor, viewer, auditor. Prinzip der minimalen Rechtevergabe. |
| Multi-Tenant-Isolation | Strikte Datentrennung pro Organisation über orgId-Filterung in allen Datenbankabfragen. Die Daten eines Verantwortlichen sind nicht aus dem Kontext eines anderen Verantwortlichen zugänglich. |
| Mitarbeiterzugang | Zugang zu Kundendaten auf Need-to-know-Basis beschränkt, dokumentiert im Zugangssregister. |
Authentifizierung
| Maßnahme | Detail |
|---|---|
| Token-Verifizierung | JWT-Verifizierung bei jeder authentifizierungspflichtigen API-Anfrage. |
| CSRF-Schutz | Cross-Site-Request-Forgery-Schutz über den X-Requested-With-Header bei allen zustandsändernden Anfragen. |
Protokollierung und Audit
| Maßnahme | Detail |
|---|---|
| Plattform-Audit-Log | Vollständiger Audit-Trail aller Plattformaktionen, einschließlich Erstellung, Änderung und Genehmigung von Verarbeitungsergebnissen, mit Zeitstempel, Benutzer und Aktion. |
| KI-Transaktionslog | Protokollierung aller automatisierten Verarbeitungstransaktionen (Dokumenttyp, Modell, Ergebnis, Zeitstempel) für die EU-KI-Verordnungs-Compliance und interne Prüfzwecke. |
| Aufbewahrung | Audit-Logs werden für die Dauer der steuerlichen Aufbewahrungspflicht (7 Jahre) mittels unveränderlicher Protokollierung aufbewahrt. |
Infrastruktur
| Maßnahme | Detail |
|---|---|
| Hosting | Verwaltetes Hosting über Hetzner Online GmbH, Gunzenhausen, Deutschland (EU). Alle Produktionsdaten werden auf EU-Gebiet gespeichert. |
| Container-Sicherheit | Docker-Container laufen als Nicht-Root-Benutzer. Offizielle Basis-Images mit regelmäßigen Updates. |
| Netzwerksegmentierung | Interne Dienste sind nicht direkt aus dem Internet erreichbar; der gesamte Datenverkehr läuft über Traefik als Reverse Proxy. |
Schwachstellenmanagement
| Schweregrad | Reaktionszeit |
|---|---|
| Kritisch (CVSS ≥ 9,0) | Innerhalb von 24 Stunden nach Entdeckung |
| Hoch (CVSS 7,0–8,9) | Innerhalb von 72 Stunden nach Entdeckung |
| Mittel (CVSS 4,0–6,9) | Innerhalb von 30 Tagen |
Backups
Automatisierte tägliche Backups aller Produktionsdaten (Datenbank und Objektspeicher), verschlüsselt an einem vom Produktionssystem getrennten Ort gespeichert. Die Wiederherstellbarkeit wird mindestens einmal pro Quartal getestet.
Anhang 3: Genehmigte Unterauftragsverarbeiter
Zuletzt aktualisiert: März 2026
| Unterauftragsverarbeiter | Standort | Verarbeitungszweck | Keine-Training-Garantie | Anwendbar wenn |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL (AWS Bedrock) | EU — eu-central-1 (Frankfurt, DE) |
Automatisierte Verarbeitung: Dokumentenextraktion, Umsatzsteuerklassifizierung, Sachkontovorschläge, Bankabstimmung über Sprachmodelle | Ja — Kundendaten werden nicht zum Modelltraining verwendet (AWS-Servicebedingungen und Datenschutzzusatz) | Nur bei verwaltetem/Cloud-Deployment. Nicht anwendbar bei self_hosted_only Routing. |
| Google Cloud EMEA Limited (Vertex AI) | EU — europe-west1 (Belgien) |
Automatisierte Verarbeitung: Dokumentenextraktion, Umsatzsteuerklassifizierung, Sachkontovorschläge, Bankabstimmung über Sprachmodelle (Gemini) | Ja — Kundendaten werden nicht zum Modelltraining verwendet (Google Cloud Data Processing Addendum, §5.2) | Nur bei verwaltetem/Cloud-Deployment. Nicht anwendbar bei self_hosted_only Routing. |
| Microsoft Corporation (Azure Document Intelligence) | EU — Westeuropa (Amsterdam, NL) | OCR-Vorverarbeitung gescannter Dokumente | Ja — Kundendaten werden nicht zum Training von Microsoft-Modellen verwendet | Wenn OCR-Funktionalität genutzt wird |
| Hetzner Online GmbH | DE (Gunzenhausen / Nürnberg) | Infrastruktur-Hosting: Server, Datenbanken, Objektspeicher | Entfällt — nur Infrastruktur-Hosting | Nur bei verwaltetem Hosting durch den Auftragsverarbeiter. Nicht anwendbar bei selbst gehosteten Deployments. |
Hinweis zu Exact Online: Exact Group B.V. (Exact Online) ist kein Unterauftragsverarbeiter von Utisha. Der Verantwortliche unterhält eine direkte Vertragsbeziehung mit Exact als unabhängigem Verantwortlichen. Utisha fungiert als Durchleitungsstelle und verarbeitet Daten in Exact ausschließlich auf Weisung des Verantwortlichen unter Verwendung der vom Verantwortlichen bereitgestellten API-Autorisierung.
Änderungsverfahren:
Der Auftragsverarbeiter gibt mindestens 30 Tage Vorankündigung für geplante Änderungen bei Unterauftragsverarbeitern (Hinzufügung, Ablösung oder wesentliche Änderung). Die Benachrichtigung erfolgt per E-Mail an die bei dem Konto registrierte Adresse und über eine Benachrichtigung im Plattform-Dashboard.
Der Verantwortliche kann innerhalb von 30 Tagen nach Erhalt der Benachrichtigung schriftlich und begründet Widerspruch einlegen, gerichtet an dpa@utisha.com. Wird innerhalb weiterer 30 Tage keine Lösung gefunden, kann jede Partei diesen AVV, soweit er die betreffende Verarbeitungstätigkeit betrifft, kündigen.
Bei Fragen zu diesem AVV wenden Sie sich bitte an: dpa@utisha.com