Auftragsverarbeitungsvertrag (AVV)

Stand: 2026-06-22. Vereinbarung nach Art. 28 DSGVO.

1. Gegenstand & Rollen

Dieser AVV regelt die Verarbeitung personenbezogener Daten durch die Lunabook GmbH (in Gründung) (der „Auftragsverarbeiter“) im Auftrag des Kunden (der „Verantwortliche“) bei der Nutzung des Dienstes Lunabook. Soweit der Kunde in Lunabook personenbezogene Daten Dritter (insbesondere seiner eigenen Kunden/Geschäftspartner) einstellt, verarbeitet der Auftragsverarbeiter diese ausschließlich nach dokumentierter Weisung des Verantwortlichen. Die Nutzung des Dienstes und die Annahme dieses AVV gelten als Erteilung der entsprechenden Weisungen.

2. Art, Zweck & Dauer der Verarbeitung

• Art/Zweck: Speicherung, Organisation und Auswertung von Geschäftsdaten zur Erstellung von Angeboten, Rechnungen und Buchhaltungsunterlagen sowie — bei Aktivierung — KI-gestützte Verarbeitung.
• Dauer: für die Laufzeit des Hauptvertrags; danach Löschung/Rückgabe nach Abschnitt 7.

3. Kategorien betroffener Personen & Daten

• Betroffene: Kunden, Interessenten, Ansprechpartner und sonstige Geschäftspartner des Verantwortlichen.
• Datenarten: Stammdaten (Name, Anschrift, Kontakt), Vertrags-/Rechnungsdaten, Zahlungsangaben (z. B. IBAN), in hochgeladenen Belegen/Kontoauszügen enthaltene Angaben.

4. Pflichten des Auftragsverarbeiters

• Verarbeitung nur nach Weisung; Hinweis, falls eine Weisung gegen Datenschutzrecht verstößt;
• Verpflichtung der eingesetzten Personen zur Vertraulichkeit;
• technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Abschnitt 6);
• Unterstützung des Verantwortlichen bei Betroffenenrechten sowie bei Datenpannen (Art. 33/34) und Datenschutz-Folgenabschätzungen (Art. 35/36);
• unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten;
• Nachweis der Einhaltung und Ermöglichung von Überprüfungen/Audits (Art. 28 Abs. 3 lit. h).

5. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu. Über beabsichtigte Änderungen wird der Auftragsverarbeiter rechtzeitig informieren; ein Widerspruchsrecht aus wichtigem Grund bleibt bestehen.

• Vercel Inc. — Hosting/Betrieb (EU-Region Frankfurt; Drittlandbezug USA, SCC).
• Supabase — Datenbank & Datei-Speicher (EU/Frankfurt).
• Anthropic — KI-Verarbeitung, nur bei aktivierten KI-Funktionen (Drittlandbezug USA, SCC).
• Resend — Versand transaktionaler E-Mails.

6. Technische & organisatorische Maßnahmen (Art. 32)

• Verschlüsselte Übertragung (TLS/HTTPS, HSTS) und Datenhaltung in der EU;
• Zugriffskontrolle: rollen-/zugriffsbeschränkte Schlüssel, Authentifizierung, strikte Mandantentrennung;
• restriktive Content-Security-Policy ohne Drittanbieter-Tracking;
• Protokollierung sicherheitsrelevanter Ereignisse; geregelte Datensicherung;
• Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.

Die TOM werden vor Go-Live in einer eigenen Anlage konkretisiert (inkl. Backup-/Recovery- und Incident-Response-Prozess) und laufend aktuell gehalten.

7. Löschung & Rückgabe

Nach Beendigung der Verarbeitung werden die Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht (z. B. § 132 BAO, § 147 AO) entgegensteht. Für solche Daten gilt eine eingeschränkte Verarbeitung bis zum Ablauf der Fristen.

8. Schlussbestimmungen

Dieser AVV ist Bestandteil der AGB und geht für die im Auftrag verarbeiteten Daten vor. Es gilt österreichisches Recht. Bei Widersprüchen zwischen AVV und AGB hat hinsichtlich des Datenschutzes der AVV Vorrang.