Rechtliche Information
Auftragsverarbeitung (AVV)
Information zur Auftragsverarbeitung gemäß Art. 28 DSGVO für die Numeris-Plattform.
Rollen: Verantwortliche und Auftragsverarbeiter
Wenn ein Unternehmen oder eine Kanzlei Numeris nutzt, verarbeitet Numeris personenbezogene Daten im Auftrag dieser Kundin. Datenschutzrechtlich ist damit:
- Verantwortliche
- die Kundin (Unternehmen/Kanzlei), die Numeris einsetzt
- Auftragsverarbeiter
- Numeris (Bernhard Pechhacker, siehe Impressum)
Für dieses Verhältnis ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Numeris stellt ihn bereit.
Gegenstand und Zweck der Verarbeitung
Numeris verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vereinbarten Leistungen und auf dokumentierte Weisung der Verantwortlichen — insbesondere für Buchführung, Beleg- und Rechnungsverarbeitung (inkl. KI-gestützter Erkennung), Jahresabschluss, Offene-Posten- und Anlagenverwaltung, Reporting sowie steuerliche und behördliche Meldungen.
Kategorien von Daten und betroffenen Personen
Betroffen sind typischerweise Kund:innen, Lieferant:innen, Beschäftigte und Ansprechpartner:innen der Verantwortlichen. Verarbeitet werden u. a. Stammdaten (Name, Anschrift, UID/Steuernummern), Kontakt- und Bankdaten (IBAN/BIC), Rechnungs- und Beleginhalte sowie Nutzungs- und Protokolldaten.
Pflichten von Numeris
- Verarbeitung nur auf dokumentierte Weisung der Verantwortlichen.
- Vertraulichkeit der eingesetzten Personen.
- Geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO (siehe unten).
- Einsatz von Unterauftragsverarbeitern nur unter den Bedingungen des Art. 28 DSGVO und mit Vorabinformation über Änderungen.
- Unterstützung bei Betroffenenrechten sowie bei Sicherheit, Datenpannen und Datenschutz-Folgenabschätzung.
- Löschung oder Rückgabe der Daten nach Vertragsende — vorbehaltlich gesetzlicher Aufbewahrungspflichten (z. B. GoBD/BAO).
Unterauftragsverarbeiter
Numeris setzt sorgfältig ausgewählte Unterauftragsverarbeiter ein (z. B. für Hosting, KI-Belegerkennung, E-Mail-Versand und Zahlungsabwicklung). Die jeweils aktuelle Liste mit Zweck, Sitz und Übermittlungsgrundlage findest du unter Unterauftragsverarbeiter.
Drittlandübermittlung (insbesondere KI)
Für die KI-gestützte Belegerkennung können Beleg- und Rechnungsinhalte an Anbieter mit Sitz bzw. Verarbeitung in den USA übermittelt werden. Solche Übermittlungen erfolgen auf Grundlage von Standardvertragsklauseln (SCC) bzw. des EU-US Data Privacy Framework. Details je Anbieter siehe Unterauftragsverarbeiter-Liste und Datenschutzerklärung.
Technische und organisatorische Maßnahmen
Numeris setzt u. a. folgende Maßnahmen um:
- Transportverschlüsselung (TLS/HTTPS, HSTS) für alle Verbindungen.
- Verschlüsselung sensibler Daten auf Applikationsebene sowie Mandanten-Isolation (strikte Trennung der Kundendaten).
- Rollenbasierte Zugriffskontrolle und Mehr-Faktor-Authentifizierung (MFA/TOTP).
- Manipulationssicheres, anhängbares Audit-Log; Unveränderbarkeit gebuchter Journaleinträge (GoBD).
- Gehärtetes Hosting in der EU (Nürnberg) mit Firewall, Intrusion- Prevention und ausschließlich schlüsselbasiertem Serverzugang.
Abschluss des AVV
Geschäftskund:innen erhalten den AVV vor einer entgeltlichen Nutzung zur Unterzeichnung. Für Fragen oder zur Anforderung des AVV: bernhard@numeris.at.