gemäß Art. 28 DSGVO
Dieser Auftragsverarbeitungsvertrag ("AVV") wird zwischen ibana Software GmbH, Heiligenstädter Straße 31/2/4. Stock, 1190 Wien, Österreich, vertreten durch Maximilian Nimmervoll und Markus Leimer (im Folgenden „Auftragsverarbeiter" oder „ibana") und jedem Kunden, der die Allgemeinen Geschäftsbedingungen von ibana akzeptiert und/oder die ibana-Software nutzt (im Folgenden „Auftraggeber" oder „Verantwortlicher", gemeinsam mit ibana die „Parteien"), geschlossen.
Dieser AVV wird durch Verweis in die Allgemeinen Geschäftsbedingungen ("AGB") von ibana einbezogen und mit Abschluss des Hauptvertrags über die Nutzung der ibana-Software zwischen ibana und dem jeweiligen Auftraggeber ("Hauptvertrag") automatisch Vertragsbestandteil, ohne dass es einer gesonderten Unterzeichnung bedarf. Auf Wunsch stellt ibana eine gegengezeichnete Fassung dieses AVV zur Verfügung.
1.1 Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien, die sich aus der Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrags ergeben.
1.2 Dieser AVV gilt für die Dauer des Hauptvertrags. Die in § 11 geregelten Pflichten zur Löschung und Rückgabe von Daten gelten über die Beendigung des Hauptvertrags hinaus fort, soweit dort nichts Abweichendes bestimmt ist.
1.3 Gegenstand, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1 zu diesem AVV.
Die in diesem AVV verwendeten Begriffe ("personenbezogene Daten", "Verarbeitung", "Verantwortlicher", "Auftragsverarbeiter", "Empfänger", "Dritter", "Einwilligung", "Verletzung des Schutzes personenbezogener Daten", "besondere Kategorien personenbezogener Daten", "Aufsichtsbehörde") haben die Bedeutung, die ihnen in Art. 4 DSGVO zugewiesen wird.
3.1 ibana verarbeitet personenbezogene Daten ausschließlich im Rahmen der Erbringung der vertraglich vereinbarten Software-Leistung (Verarbeitung von Eingangsrechnungen, Zahllaufmanagement, Forderungsmanagement sowie zugehörige KI-gestützte Funktionen) für den Auftraggeber.
3.2 Einzelheiten zu Gegenstand, Dauer, Art und Zweck der Verarbeitung, der Art der personenbezogenen Daten und den Kategorien betroffener Personen sind in Anlage 1 dargestellt.
4.1 Weisungsgebundenheit. ibana verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, einschließlich in Bezug auf Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern ibana nicht durch das Recht der Union oder der Mitgliedstaaten, dem ibana unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt ibana dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die Erbringung der vertraglich vereinbarten Leistung gemäß Hauptvertrag gilt als dokumentierte Weisung.
4.2 Vertraulichkeit. ibana stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass diese Personen nur im notwendigen Umfang Zugriff auf personenbezogene Daten erhalten (Need-to-know-Prinzip / Least Privilege).
4.3 Technische und organisatorische Maßnahmen. ibana ergreift alle nach Art. 32 DSGVO erforderlichen Maßnahmen. Die im Zeitpunkt des Vertragsschlusses umgesetzten Maßnahmen sind in Anlage 2 (Technische und organisatorische Maßnahmen / ToMs) beschrieben. ibana ist berechtigt, die Maßnahmen anzupassen, sofern dadurch das vereinbarte Schutzniveau nicht unterschritten wird.
4.4 Unterauftragsverarbeiter. Es gilt § 7.
4.5 Unterstützung bei Betroffenenanfragen. ibana unterstützt den Auftraggeber, soweit dies möglich ist, mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Erhält ibana selbst eine Anfrage einer betroffenen Person, die erkennbar den Auftraggeber betrifft, leitet ibana diese unverzüglich an den Auftraggeber weiter, ohne sie selbst zu beantworten.
4.6 Unterstützung bei Art. 32-36 DSGVO. ibana unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
4.7 Löschung und Rückgabe. Es gilt § 11.
4.8 Nachweispflichten. ibana stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, die vom Auftraggeber oder einem von ihm beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Es gilt § 10.
4.9 Mitteilungspflicht bei Weisungsverstößen. ibana unterrichtet den Auftraggeber unverzüglich, wenn ibana der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
5.1 Der Auftraggeber ist berechtigt, Weisungen zu Art, Umfang und Verfahren der Datenverarbeitung jederzeit zu konkretisieren. Weisungen, die über den im Hauptvertrag vereinbarten Leistungsumfang hinausgehen, behandeln die Parteien als Vorschlag zur Leistungsänderung.
5.2 Mündliche Weisungen bestätigt der Auftraggeber unverzüglich in Textform.
5.3 ibana informiert den Auftraggeber unverzüglich, wenn aus Sicht von ibana eine Weisung gegen geltendes Datenschutzrecht verstößt. ibana ist berechtigt, die Umsetzung der betreffenden Weisung bis zu deren Bestätigung oder Änderung durch den Auftraggeber auszusetzen.
6.1 ibana hat die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung umgesetzt und dokumentiert.
6.2 Die Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. ibana ist berechtigt, alternative angemessene Maßnahmen umzusetzen, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert.
7.1 Der Auftraggeber erteilt ibana eine allgemeine Genehmigung zur Beauftragung weiterer Auftragsverarbeiter (Unterauftragsverarbeiter) im Sinne von Art. 28 Abs. 2 DSGVO. Die zum Zeitpunkt des Vertragsschlusses beauftragten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
7.2 ibana informiert den Auftraggeber mindestens 14 Tage im Voraus in Textform (z.B. per E-Mail oder über eine entsprechende Information im Produkt) über die beabsichtigte Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann der Hinzuziehung eines neuen Unterauftragsverarbeiters innerhalb von 14 Tagen nach Zugang der Mitteilung aus wichtigem, datenschutzrechtlich begründetem Grund widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Zustimmung als erteilt.
7.3 ibana verpflichtet jeden Unterauftragsverarbeiter durch Vertrag zu denselben Datenschutzpflichten, wie sie in diesem AVV festgelegt sind, insbesondere zur Umsetzung angemessener technischer und organisatorischer Maßnahmen.
7.4 Erfolgt die Übermittlung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland (insbesondere den USA), stellt ibana sicher, dass eine geeignete Garantie im Sinne der Art. 44 ff. DSGVO vorliegt, insbesondere durch Abschluss der EU-Standardvertragsklauseln (SCC) mit dem jeweiligen Unterauftragsverarbeiter und/oder dessen Zertifizierung unter dem EU-U.S. Data Privacy Framework. Der jeweils zutreffende Transfermechanismus ist in Anlage 3 vermerkt.
7.5 ibana bleibt gegenüber dem Auftraggeber für die Erfüllung der Pflichten der von ihr eingesetzten Unterauftragsverarbeiter verantwortlich.
ibana unterstützt den Auftraggeber auf Anfrage und unter Berücksichtigung der Art der Verarbeitung sowie der ibana zur Verfügung stehenden Informationen bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) sowie einer etwaigen vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO), soweit dem Auftraggeber diese Informationen nicht anderweitig zur Verfügung stehen.
9.1 ibana meldet dem Auftraggeber eine Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 2 DSGVO unverzüglich, in jedem Fall jedoch innerhalb von 48 Stunden nach Bekanntwerden.
9.2 Die Meldung enthält mindestens, soweit ibana bekannt:
9.3 ibana unterstützt den Auftraggeber bei der Erfüllung von dessen Pflichten nach Art. 33 und 34 DSGVO.
10.1 Der Auftraggeber ist berechtigt, sich von der Einhaltung der in diesem AVV festgelegten Pflichten von ibana zu überzeugen. ibana stellt hierfür auf Anfrage geeignete Nachweise zur Verfügung (z.B. einschlägige Zertifizierungen der von ibana eingesetzten Unterauftragsverarbeiter, interne Dokumentation der ToMs).
10.2 Soweit die vorgelegten Nachweise nicht ausreichen, kann der Auftraggeber nach vorheriger Ankündigung mit angemessener Frist (mindestens 4 Wochen) während der üblichen Geschäftszeiten eine Vor-Ort-Kontrolle bzw. eine Kontrolle durch einen beauftragten, zur Verschwiegenheit verpflichteten Dritten vornehmen, die den Geschäftsbetrieb von ibana nicht unverhältnismäßig stört. Kontrollen erfolgen höchstens einmal pro Kalenderjahr, sofern nicht ein wichtiger Grund (z.B. eine erfolgte Datenschutzverletzung) eine zusätzliche Kontrolle rechtfertigt. Die Kosten einer solchen Kontrolle trägt der Auftraggeber, sofern sich keine Pflichtverletzung von ibana herausstellt.
11.1 Während der Vertragslaufzeit: Löscht der Auftraggeber Daten über die Funktionen der Software (z.B. Löschung einzelner Belege, Nutzer oder einer gesamten Organisation), werden diese Daten unverzüglich logisch gelöscht. Aus technischen Gründen (Backups) können gelöschte Daten für bis zu 30 Tage nach der logischen Löschung in Sicherungskopien fortbestehen, bevor sie endgültig und unwiederbringlich entfernt werden.
11.2 Nach Beendigung des Hauptvertrags: Nach Beendigung des Hauptvertrags löscht ibana, vorbehaltlich gesetzlicher Aufbewahrungspflichten, sämtliche im Auftrag des Auftraggebers verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen nach Vertragsende, sofern der Auftraggeber nicht innerhalb dieser Frist die Rückgabe bzw. Exportierung der Daten in einem gängigen, strukturierten Format verlangt. Auch nach Rückgabe verbleibende Kopien werden innerhalb der in Satz 1 genannten Frist gelöscht.
11.3 Gesetzliche Aufbewahrungspflichten (insbesondere steuer- und unternehmensrechtliche Aufbewahrungsfristen, z.B. nach § 132 BAO bzw. § 212 UGB) bleiben unberührt; in diesem Fall beschränkt ibana die Verarbeitung der betroffenen Daten auf den Zweck der Erfüllung dieser Aufbewahrungspflicht.
11.4 ibana bestätigt dem Auftraggeber auf Anfrage schriftlich die vollständige Löschung der Daten.
Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen sowie den im Hauptvertrag getroffenen Haftungsregelungen, soweit diese auf datenschutzrechtliche Pflichtverletzungen anwendbar sind und nicht gegen zwingendes Recht (insbesondere Art. 82 DSGVO) verstoßen.
13.1 Dieser AVV ist Bestandteil des Hauptvertrags. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf die Verarbeitung personenbezogener Daten vor.
13.2 Änderungen und Ergänzungen dieses AVV bedürfen der Textform; dies gilt auch für die Änderung dieses Schriftformerfordernisses.
13.3 Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
13.4 Es gilt österreichisches Recht unter Ausschluss der Verweisungsnormen des IPR. Gerichtsstand ist der Sitz von ibana, soweit gesetzlich zulässig.
Gegenstand der Verarbeitung: Bereitstellung der ibana-Software zur Automatisierung von Eingangsrechnungsverarbeitung, Zahllaufmanagement und Forderungsmanagement, einschließlich KI-gestützter Funktionen (Texterkennung, Kontierungsvorschläge, interaktiver KI-Agent).
Dauer der Verarbeitung: Für die Dauer des Hauptvertrags; danach gemäß § 11 dieses AVV.
Art und Zweck der Verarbeitung:
Kategorien betroffener Personen:
Kategorien personenbezogener Daten:
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden im Rahmen der Auftragsverarbeitung nicht absichtlich verarbeitet; der Auftraggeber stellt sicher, dass solche Daten nicht über die Software übermittelt werden, soweit dies nicht ausdrücklich vereinbart ist.
1.1 Zutrittskontrolle. ibana betreibt keine eigene physische Serverinfrastruktur; die Datenverarbeitung erfolgt über zertifizierte Cloud-Infrastrukturanbieter (siehe Anlage 3), deren physische Zutrittskontrollen (u.a. ISO 27001/SOC 2-zertifiziert) vertraglich zugesichert sind.
1.2 Zugangskontrolle.
1.3 Zugriffskontrolle.
1.4 Trennungskontrolle.
1.5 Pseudonymisierung / Anonymisierung (Art. 32 Abs. 1 lit. a DSGVO).
2.1 Weitergabekontrolle.
2.2 Eingabekontrolle.
3.1 Verfügbarkeitskontrolle.
3.2 Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO).
| Unterauftragsverarbeiter | Unternehmenssitz (Anschrift) | Zweck/Dienstleistung | Serverstandort (Datenverarbeitung) | Transfermechanismus |
|---|---|---|---|---|
| Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | DNS-Management, DDoS-Schutz | USA (ggf. globales Anycast-Netzwerk) | EU-Standardvertragsklauseln |
| Render Services, Inc. | 525 Brannan Street, Suite 300, San Francisco, CA 94107, USA | Hosting | EU (Deutschland) | EU-Standardvertragsklauseln |
| WorkOS, Inc. | 548 Market Street #86125, San Francisco, CA 94104, USA | User Management, Authentifizierung, SSO | USA | EU-Standardvertragsklauseln |
| Google Cloud EMEA Limited | 70 Sir John Rogerson's Quay, Dublin 2, D02 R296, Irland | Dateispeicher (Rechnungen, Anhänge); KI-Verarbeitung mit Gemini-Modellen über Google Vertex AI | EU (Deutschland) | - |
| Attio Limited | 42 St John's Square, 2nd Floor, London, EC1M 4EA, Vereinigtes Königreich | CRM | EU | EU-Standardvertragsklauseln |
| Functional Software, Inc. d/b/a Sentry | 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA | Fehlerprotokollierung/-analyse | EU | EU-Standardvertragsklauseln |
| Microsoft Ireland Operations Limited | 70 Sir John Rogerson's Quay, Dublin 2, Irland | KI-Verarbeitung mit OpenAI-Modellen über Microsoft Azure | EU (Schweden) | - |
| Plus Five Five, Inc. (Resend) | 2261 Market Street #5039, San Francisco, CA 94114, USA | Versand transaktionaler E-Mails | EU | EU-Standardvertragsklauseln |
| PostHog, Inc. | 2261 Market Street #4008, San Francisco, CA 94114, USA | Produktanalyse, KI-Agent-Logging | EU | EU-Standardvertragsklauseln |
Stand: 02.07.2026