1. Vertragsparteien Auftraggeber (Verantwortlicher im Sinne der DSGVO): Der jeweilige Nutzer der SaaS-Plattform Zahlio (Rechnungssteller). Auftragnehmer (Auftragsverarbeiter): Zahlio Accurial UG (in Gründung) Hochstraße 2, 56242 Ellenhausen Deutschland

E-Mail: hallo@lex-wizard.de.de (im Folgenden „Zahlio“) 2. Gegenstand und Dauer der Verarbeitung (1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers gemäß Art. 28 DSGVO. (2) Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten SaaS-Leistungen im Bereich: automatisiertes Mahnwesen Zahlungsabwicklung Kundenkommunikation Analyse & Reporting (3) Die Verarbeitung beginnt mit Abschluss des Nutzungsvertrags und endet mit dessen Beendigung. Gesetzliche Aufbewahrungspflichten bleiben unberührt. 3. Art und Zweck der Verarbeitung 3.1 Art der Verarbeitung Erheben Erfassen Speichern Strukturieren Übermitteln Abfragen Löschen 3.2 Zweck der Verarbeitung Synchronisation von Rechnungen und Kundendaten aus Buchhaltungssystemen Durchführung automatisierter Mahnprozesse Bereitstellung eines Zahlungsportals für Endkunden Zahlungszuordnung und Statusverwaltung Kommunikation zwischen Rechnungssteller und Endkunde Auswertung von Zahlungs- und Mahndaten 4. Kategorien betroffener Personen Kunden des Auftraggebers (Endkunden) Ansprechpartner und Mitarbeiter des Auftraggebers 5. Kategorien personenbezogener Daten 5.1 Kundendaten Vor- und Nachname Anschrift E-Mail-Adresse Telefonnummer / Mobilnummer Rechnungsdaten (Beträge, Fälligkeiten, Status) 5.2 Nutzerdaten Name Firmenname E-Mail-Adresse Zugangsdaten (verschlüsselt) 5.3 Zahlungsdaten Zahlungsstatus Transaktionsreferenzen Keine Speicherung von Kreditkarten- oder Bankkartendaten durch Zahlio 6. Weisungsbindung (1) Zahlio verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern keine gesetzliche Verpflichtung entgegensteht. (2) Erkennt Zahlio eine Weisung als datenschutzrechtlich unzulässig, wird der Auftraggeber unverzüglich informiert. 7. Pflichten des Auftragnehmers (Zahlio) Zahlio verpflichtet sich insbesondere: zur Einhaltung der DSGVO, des BDSG und aller einschlägigen Datenschutzgesetze zur Wahrung der Vertraulichkeit aller verarbeiteten Daten zur Implementierung geeigneter technischer und organisatorischer Maßnahmen (TOMs) gemäß Art. 32 DSGVO personenbezogene Daten nicht für eigene Zwecke zu verarbeiten keine Daten an unbefugte Dritte weiterzugeben Mitarbeiter auf Vertraulichkeit zu verpflichten den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren 8. Technische und organisatorische Maßnahmen (TOMs) Zahlio setzt u. a. folgende Maßnahmen um: 8.1 Zugriffskontrolle Rollenbasierte Zugriffssysteme Starke Authentifizierung Brute-Force-Schutz 8.2 Übertragungssicherheit TLS-verschlüsselte Datenübertragung Token-basierte Zugänge für Zahlungsportale 8.3 Speicherung Verschlüsselung ruhender Daten Speicherung ausschließlich in EU-Rechenzentren 8.4 Verfügbarkeitskontrolle Regelmäßige Backups Monitoring & Incident-Response-Prozesse 9. Unterauftragsverarbeiter Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter ausdrücklich zu: Dienstleister Zweck Speicherort Supabase Hosting & Datenbank EU (Frankfurt) Stripe Zahlungsabwicklung EU / USA Resend E-Mail-Versand EU seven.io SMS-Versand EU LexOffice Buchhaltungsintegration EU sevDesk Buchhaltungsintegration EU (1) Zahlio stellt sicher, dass mit allen Unterauftragsverarbeitern AVV-Verträge gemäß Art. 28 DSGVO bestehen. (2) Weitere Unterauftragsverarbeiter werden nur eingesetzt, wenn sie gleichwertige Datenschutzstandards erfüllen. 10. Unterstützungspflichten Zahlio unterstützt den Auftraggeber im Rahmen der gesetzlichen Möglichkeiten bei: Auskunftsersuchen Löschanfragen Berichtigung Datenübertragbarkeit Meldung von Datenschutzvorfällen 11. Meldung von Datenschutzverletzungen (1) Zahlio meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden. (2) Die Meldung enthält mindestens: Art der Verletzung betroffene Datenkategorien mögliche Folgen ergriffene Gegenmaßnahmen 12. Löschung und Rückgabe von Daten (1) Nach Vertragsende löscht Zahlio sämtliche personenbezogenen Daten vollständig und unwiderruflich, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. (2) Backups werden nach Ablauf der technischen Aufbewahrungsfristen gelöscht. 13. Kontroll- und Auditrechte (1) Der Auftraggeber ist berechtigt, die Einhaltung dieser AVV zu prüfen. (2) Prüfungen erfolgen: nach angemessener Vorankündigung während üblicher Geschäftszeiten ohne unverhältnismäßige Betriebsstörung 14. Haftung Zahlio haftet ausschließlich im Rahmen der gesetzlichen Vorschriften. Eine Haftung für datenschutzrechtliche Pflichtverletzungen des Auftraggebers ist ausgeschlossen. 15. Schlussbestimmungen Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.