Zum Hauptinhalt springen
Stand: Early Access · Mai 2026 EU-VAT OSS · XRechnung · IFRS 15 Neu: ZUGFeRD-Roadmap ab Juni 2026
Kontorion

Allgemeine Geschäftsbedingungen (AGB) – Kontorion Billing Automation

Stand: 2. Mai 2026

Anbieter: Frontier Algorithmics UG (haftungsbeschränkt)
Koppoldstr. 1, 86551 Aichach, Deutschland ("Anbieter")
Registergericht: Amtsgericht Regensburg, HRB 20570
USt-IdNr.: DE367287424
Geschäftsführung: Zaid Marzguioui
Kontakt: legal@kontorion.eu

Anwendungsbereich. Diese AGB gelten ausschließlich gegenüber Unternehmern im Sinne des § 14 BGB, juristischen Personen des öffentlichen Rechts und öffentlich-rechtlichen Sondervermögen. Der Dienst wird nicht gegenüber Verbrauchern im Sinne des § 13 BGB angeboten. Der Kunde sichert zu, dass er den Vertrag in Ausübung seiner gewerblichen oder selbständigen beruflichen Tätigkeit abschließt.

1. Geltungsbereich

1.1 Diese AGB gelten für die Bereitstellung der Plattform Kontorion Billing Automation und damit zusammenhängender Leistungen ("Dienst") durch den Anbieter an seine Geschäftskunden ("Kunde").

1.2 Diese AGB gelten ausschließlich. Entgegenstehende, abweichende oder ergänzende Bedingungen des Kunden werden nicht Vertragsbestandteil, auch wenn der Anbieter ihrer Geltung nicht ausdrücklich widerspricht oder die Leistung in Kenntnis solcher Bedingungen vorbehaltlos erbringt. Der Verweis des Kunden auf eigene Geschäftsbedingungen (z. B. in Bestellungen) wird hiermit zurückgewiesen.

1.3 Im Einzelfall getroffene, individuelle Vereinbarungen mit dem Kunden (einschließlich Angebote, Auftragsformulare, Nebenabreden) haben Vorrang vor diesen AGB (§ 305b BGB).

1.4 In Bezug genommene Anlagen sind Vertragsbestandteil und am Ende dieser AGB einsehbar (siehe Anlagen):

Bei Widersprüchen gilt folgende Rangfolge: (i) Auftragsformular, (ii) AVV, (iii) diese AGB, (iv) übrige Anlagen.

2. Vertragsgegenstand und Leistungsbeschreibung

2.1 Der Anbieter überlässt dem Kunden den Dienst über das Internet zur Nutzung für die Vertragslaufzeit. Der Dienst unterstützt die Erstellung, Verwaltung und elektronische Übermittlung von Rechnungen, Gutschriften und damit zusammenhängenden Belegen, einschließlich der für Deutschland und die EU einschlägigen Formate für die elektronische Rechnungsstellung (insbesondere XRechnung und EN 16931 / Peppol BIS, soweit jeweils einschlägig).

2.2 Rechtsnatur ist die entgeltliche Überlassung von Standardsoftware. Die Parteien legen, soweit gesetzlich zulässig, das Mietrecht (§§ 535 ff. BGB) entsprechend zugrunde, vorbehaltlich der Modifikationen in diesen AGB.

2.3 Der vereinbarte Funktionsumfang ergibt sich aus dem Auftragsformular und der Leistungsbeschreibung (Anlage 1). Werbeunterlagen, Demonstrationen und Roadmaps sind unverbindlich.

2.4 Der Anbieter ist berechtigt, den Dienst weiterzuentwickeln und Updates, Upgrades und neue Funktionen einzuspielen. Der Anbieter wird die vereinbarten Kernfunktionen während eines vergüteten Vertragszeitraums nicht wesentlich reduzieren, es sei denn, dies ist gesetzlich, sicherheitstechnisch oder wegen Einstellung einer zugrundeliegenden Drittleistung erforderlich. Wesentliche nachteilige Änderungen werden mit angemessener Vorlaufzeit angekündigt; sie begründen ein außerordentliches Kündigungsrecht des Kunden gemäß Ziffer 9.

2.5 Der Dienst wird als mandantenfähige SaaS-Lösung erbracht. Eine bestimmte Implementierung, Integration, Anpassung oder Bereitstellung als On-Premises-Lösung schuldet der Anbieter nur, soweit dies ausdrücklich schriftlich vereinbart ist.

3. Vertragsschluss

3.1 Die Darstellung des Dienstes auf den Webseiten des Anbieters stellt kein bindendes Angebot dar.

3.2 Der Vertrag kommt zustande durch (i) elektronische Annahme eines Auftragsformulars, (ii) Unterzeichnung eines Auftragsformulars oder (iii) erste entgeltliche Nutzung des Dienstes nach Registrierung, je nachdem, was zuerst eintritt.

3.3 Der Kunde hat zutreffende Registrierungsdaten anzugeben und Änderungen unverzüglich mitzuteilen. Der Anbieter darf Identität und Bonität mit zulässigen Mitteln prüfen.

3.4 Der Anbieter kann den Vertragsschluss nach billigem Ermessen ablehnen, insbesondere bei berechtigten Bedenken zu Identität, Bonität oder Compliance (einschließlich Sanktions- und Exportkontrolle).

4. Kundenkonto und Zugangsdaten

4.1 Der Kunde erhält Zugang über individuelle Benutzerkonten. Der Kunde hat die Zugangsdaten sicher und vertraulich aufzubewahren und vorhandene Sicherheitsfunktionen (insbesondere Mehrfaktor-Authentifizierung) zu aktivieren, soweit unterstützt.

4.2 Der Kunde hat den Anbieter unverzüglich über jede tatsächliche oder vermutete unbefugte Nutzung eines Kontos zu informieren.

4.3 Der Kunde haftet für Aktivitäten über seine Konten, es sei denn, er weist nach, dass die Aktivität ihm nicht zurechenbar ist.

5. Mitwirkungspflichten und zulässige Nutzung

5.1 Die Mitwirkung des Kunden ist – soweit in diesen AGB, dem Auftragsformular oder der Leistungsbeschreibung vorgesehen – echte vertragliche Hauptpflicht und nicht bloße Obliegenheit.

5.2 Der Kunde ist allein verantwortlich für:

  • (a) Richtigkeit, Vollständigkeit und rechtliche Konformität aller Daten, die er in den Dienst einbringt, insbesondere für den Inhalt von Rechnungen und Gutschriften (zutreffende umsatzsteuerliche Behandlung, Pflichtangaben nach §§ 14, 14a UStG, korrekte Daten der Geschäftspartner, korrekte Beträge und Steuersätze);
  • (b) Einhaltung steuerlicher Aufbewahrungspflichten, insbesondere nach §§ 146, 147 AO und der GoBD, einschließlich eigenständiger Aufbewahrung der Rechnungsbelege im gesetzlich vorgeschriebenen Umfang (der Dienst kann die Archivierung unterstützen, ersetzt aber nicht die primäre Pflicht des Kunden);
  • (c) Einholung und Aufrechterhaltung aller erforderlichen Einwilligungen, Rechtsgrundlagen und Hinweise für die rechtmäßige Verarbeitung personenbezogener Daten und Geschäftspartnerdaten über den Dienst;
  • (d) die Konfiguration des Dienstes entsprechend der eigenen rechtlichen, branchen- und buchhaltungstechnischen Anforderungen;
  • (e) Bereitstellung einer geeigneten Internetverbindung, geeigneter Endgeräte und eines unterstützten Browsers;
  • (f) angemessene eigene Datensicherung außerhalb des Dienstes, soweit zumutbar.

5.3 Dem Kunden und seinen Nutzern ist insbesondere untersagt:

  • (a) die Nutzung des Dienstes unter Verstoß gegen geltendes Recht (einschließlich Export- und Sanktionsrecht);
  • (b) die Verletzung von Rechten Dritter, insbesondere geistiger Eigentumsrechte, Persönlichkeits- oder Datenschutzrechte;
  • (c) die Erstellung von Rechnungen, von denen der Kunde weiß oder wissen müsste, dass sie unrichtig, fingiert oder irreführend sind;
  • (d) Sicherheitsmaßnahmen oder Rate Limits zu umgehen, den Dienst zu sondieren, zu scannen, zu penetrieren oder zu überlasten ohne vorherige schriftliche Genehmigung;
  • (e) das Reverse-Engineering, die Dekompilierung oder Disassemblierung des Dienstes, außer im Rahmen zwingenden Rechts (insbesondere § 69e UrhG);
  • (f) die Nutzung des Dienstes zur Entwicklung oder zum Training konkurrierender Produkte;
  • (g) die Umgehung von Mess-, Preis- oder Nutzerbegrenzungen.

5.4 Der Anbieter kann den Zugang ohne vorherige Ankündigung ganz oder teilweise sperren, wenn dies zur Abwehr einer drohenden erheblichen Gefährdung der Sicherheit, Integrität oder rechtmäßigen Erbringung des Dienstes oder Dritter erforderlich ist. Soweit zumutbar erfolgt zuvor eine Information mit Gelegenheit zur Abhilfe. Die Sperre lässt die Zahlungspflicht des Kunden unberührt, es sei denn, die Ursache ist dem Anbieter zurechenbar.

6. Preise, Rechnungsstellung und Zahlung

6.1 Die Vergütung ergibt sich aus dem Auftragsformular. Alle Preise sind Nettopreise in Euro, zuzüglich gesetzlicher Umsatzsteuer, soweit gesetzlich geschuldet.

6.2 Soweit nicht anders vereinbart, wird die Vergütung im Voraus für den vereinbarten Abrechnungszeitraum (monatlich oder jährlich) in Rechnung gestellt. Verbrauchsabhängige Vergütungen werden nachträglich abgerechnet.

6.3 Rechnungen sind innerhalb von vierzehn (14) Tagen ab Rechnungsdatum ohne Abzug fällig. § 286 Abs. 3 BGB bleibt unberührt; der Kunde kommt spätestens dreißig (30) Tage nach Zugang der Rechnung ohne weitere Mahnung in Verzug. Der Anbieter ist zur Berechnung von Verzugszinsen in gesetzlicher Höhe (§ 288 Abs. 2 BGB) und der Pauschale nach § 288 Abs. 5 BGB berechtigt.

6.4 Der Kunde kann nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen. Ein Zurückbehaltungsrecht steht dem Kunden nur zu, soweit sein Gegenanspruch auf demselben Vertragsverhältnis beruht.

6.5 Der Anbieter darf die Listenpreise für Verlängerungszeiträume anpassen. Eine geplante Preiserhöhung wird mindestens sechzig (60) Tage vor Beginn des Verlängerungszeitraums angekündigt und gewährt dem Kunden ein außerordentliches Kündigungsrecht zum Ende der dann laufenden Vertragsperiode. Preisanpassungen innerhalb einer laufenden Festlaufzeit bedürfen der Zustimmung des Kunden, soweit nicht im Auftragsformular ausdrücklich abweichend geregelt.

6.6 Soweit gesetzlich vorgeschrieben (insbesondere im Rahmen der schrittweisen Einführung der B2B-Pflicht zur elektronischen Rechnung in Deutschland nach dem Wachstumschancengesetz), kann der Anbieter Rechnungen an den Kunden in einem strukturierten elektronischen Format ausstellen (z. B. ZUGFeRD/XRechnung); der Kunde akzeptiert den Empfang in solcher Form.

6.7 Bei Zahlungsverzug ist der Anbieter nach erfolgloser zweiter schriftlicher Mahnung berechtigt, den Dienst bis zum vollständigen Ausgleich zu sperren, unbeschadet weiterer Rechte. Die Sperre lässt die Zahlungspflicht unberührt.

7. Laufzeit, Verlängerung und Kündigung

7.1 Der Vertrag beginnt mit dem im Auftragsformular angegebenen Datum. Erst- und Verlängerungslaufzeiten ergeben sich aus dem Auftragsformular. Soweit keine Laufzeit angegeben ist, beträgt die Erstlaufzeit zwölf (12) Monate; der Vertrag verlängert sich automatisch um jeweils weitere zwölf (12) Monate, sofern er nicht von einer Partei mit einer Frist von drei (3) Monaten zum Ende der jeweiligen Laufzeit gekündigt wird.

7.2 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund (§ 314 BGB) bleibt unberührt. Ein wichtiger Grund liegt für den Anbieter insbesondere vor, wenn der Kunde:

  • (a) mit nicht unerheblichen Vergütungen mehr als dreißig (30) Tage nach einer Mahnung in Verzug ist;
  • (b) Ziffer 5.3 wesentlich verletzt und eine etwaige Abhilfe nicht innerhalb von fünfzehn (15) Werktagen nach schriftlicher Aufforderung leistet;
  • (c) zahlungsunfähig wird, einen Insolvenzantrag stellt oder ein Insolvenzverfahren über sein Vermögen eröffnet wird, soweit dies nach §§ 119, 103 InsO zulässig ist.

7.3 Kündigungen bedürfen der Textform (§ 126b BGB). E-Mail an die für Mitteilungen benannten Adressen genügt.

7.4 Mit Beendigung endet das Nutzungsrecht. Der Kunde kann seine Daten über die Exportfunktionen des Dienstes für einen Zeitraum von dreißig (30) Tagen nach Wirksamwerden der Beendigung exportieren ("Exportzeitraum"). Nach Ablauf des Exportzeitraums ist der Anbieter berechtigt und nach dem AVV verpflichtet, die Kundendaten zu löschen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

8. Service Levels, Verfügbarkeit, Wartung

8.1 Der Anbieter strebt die in Anlage 1 (Service Levels) festgelegten Verfügbarkeits- und Supportwerte an. Soweit nicht ausdrücklich abweichend vereinbart, beträgt die Zielverfügbarkeit 99,5 % pro Kalendermonat, gemessen am Perimeter des Anbieters, ohne Berücksichtigung der nachfolgend genannten Ereignisse.

8.2 Folgende Ereignisse werden auf die Verfügbarkeit nicht angerechnet:

  • (a) geplante Wartungen, die mindestens achtundvierzig (48) Stunden im Voraus angekündigt werden;
  • (b) Notfallwartungen zur Wahrung von Sicherheit oder Integrität;
  • (c) höhere Gewalt (Ziffer 17);
  • (d) Ausfälle, die durch den Kunden, dessen Nutzer oder durch vom Kunden gewählte Drittleistungen verursacht werden (insbesondere staatliche Systeme zur Übermittlung elektronischer Rechnungen oder Steuerbehörden);
  • (e) Ausfälle öffentlicher Telekommunikationsnetze außerhalb des zumutbaren Einflussbereichs des Anbieters.

8.3 Soweit in Anlage 1 ein Service-Credit-Modell vereinbart ist, sind Service Credits der ausschließliche Anspruch des Kunden bei Verfehlen der Verfügbarkeitsziele, unbeschadet der Haftungsbeschränkung in Ziffer 10 und des Rechts zur außerordentlichen Kündigung bei wiederholter wesentlicher Pflichtverletzung.

9. Mängel, Gewährleistung und Updates

9.1 Der Anbieter gewährleistet, dass der Dienst während der Vertragslaufzeit der Leistungsbeschreibung im Wesentlichen entspricht. Der Kunde hat Mängel unverzüglich in Textform mit ausreichenden Reproduktionsangaben zu melden.

9.2 Vorrangiger Anspruch des Kunden ist die Mangelbeseitigung innerhalb angemessener Frist. Schlägt die Mangelbeseitigung nach zwei angemessenen Nachbesserungsversuchen fehl (oder ist sie unmöglich, verweigert oder unzumutbar), kann der Kunde die Vergütung mindern (§ 536 BGB analog) oder bei wesentlichen Mängeln aus wichtigem Grund kündigen (§ 543 BGB analog), jeweils nach Maßgabe des Gesetzes.

9.3 Die verschuldensunabhängige Haftung für anfängliche Mängel nach § 536a Abs. 1 Alt. 1 BGB ist – soweit gesetzlich zulässig – ausgeschlossen. Dieser Ausschluss gilt nicht für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, für Ansprüche nach dem Produkthaftungsgesetz, für arglistig verschwiegene Mängel, für die Verletzung einer Garantie sowie für Vorsatz und grobe Fahrlässigkeit; bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) gilt Ziffer 10.

9.4 Der Anbieter kann Updates einspielen, die zur Aufrechterhaltung der Funktion, Sicherheit oder Rechtskonformität erforderlich sind. Der Kunde hat Updates zu akzeptieren, die die vereinbarte Funktionalität nicht wesentlich beeinträchtigen. Wesentliche nachteilige Änderungen werden mit einer Vorlaufzeit von mindestens sechzig (60) Tagen angekündigt und begründen ein außerordentliches Kündigungsrecht zum Wirksamkeitsdatum der Änderung.

9.5 Gewährleistungsansprüche des Kunden verjähren in zwölf (12) Monaten ab Auftreten des Mangels, ausgenommen Ansprüche aus Vorsatz und grober Fahrlässigkeit, aus der Verletzung des Lebens, des Körpers oder der Gesundheit, nach dem Produkthaftungsgesetz und wegen arglistig verschwiegener Mängel.

10. Haftungsbeschränkung

10.1 Der Anbieter haftet unbeschränkt für:

  • (a) Vorsatz und grobe Fahrlässigkeit;
  • (b) Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit;
  • (c) Ansprüche nach dem Produkthaftungsgesetz;
  • (d) arglistig verschwiegene Mängel;
  • (e) die Verletzung einer ausdrücklichen Garantie im Umfang der Garantieerklärung;
  • (f) Haftung aus zwingenden Vorschriften der DSGVO (Art. 82 DSGVO) und des anwendbaren Datenschutzrechts.

10.2 Bei einfacher (leichter) Fahrlässigkeit haftet der Anbieter nur für die Verletzung von Kardinalpflichten (Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf). Die Haftung für die leicht fahrlässige Verletzung von Kardinalpflichten ist auf den typischerweise vorhersehbaren Schaden begrenzt.

10.3 Vorbehaltlich Ziffer 10.1 ist die Gesamthaftung des Anbieters für Schäden und Aufwendungsersatz aus oder im Zusammenhang mit dem Vertrag in jedem Zeitraum von zwölf (12) Monaten auf die Vergütungen begrenzt, die der Kunde in den zwölf (12) Monaten vor dem schadensauslösenden Ereignis für den Dienst gezahlt hat, mindestens jedoch EUR 50.000 je Vertragsjahr.

10.4 Der Anbieter haftet nicht für Datenverluste, soweit der Verlust durch zumutbare Datensicherung des Kunden (Ziffer 5.2(f)) hätte vermieden werden können oder die Daten aus außerhalb des Dienstes gespeicherten Daten rekonstruierbar wären. Die Haftung für Datenverluste ist im Übrigen auf den typischen Wiederherstellungsaufwand für ordnungsgemäß gesicherte Daten begrenzt.

10.5 Die vorstehenden Beschränkungen gelten entsprechend zugunsten der Organe, Mitarbeitenden, Erfüllungs- und Verrichtungsgehilfen sowie Unterauftragnehmer des Anbieters.

10.6 Schadensersatz- und Aufwendungsersatzansprüche des Kunden verjähren in zwölf (12) Monaten ab dem gesetzlichen Verjährungsbeginn, ausgenommen die Fälle der Ziffer 10.1.

11. Freistellung

11.1 Der Kunde stellt den Anbieter von Ansprüchen Dritter frei, die Folgendes betreffen:

  • (a) den Inhalt der vom Kunden über den Dienst ausgestellten Rechnungen, Gutschriften und sonstigen Belege;
  • (b) die Verletzung von Ziffer 5.3 (zulässige Nutzung) durch den Kunden;
  • (c) das Fehlen erforderlicher Rechte, Einwilligungen oder Rechtsgrundlagen für die über den Dienst verarbeiteten Daten;

es sei denn, der Anbieter hat den Anspruch zu vertreten.

11.2 Der Anbieter verteidigt den Kunden gegen Ansprüche Dritter, dass die vertragsgemäße Nutzung des Dienstes in der EU durchsetzbare Schutzrechte verletzt, und erstattet rechtskräftig festgestellte Schäden und angemessene Rechtskosten, sofern der Kunde (i) den Anbieter unverzüglich schriftlich informiert, (ii) dem Anbieter die alleinige Verteidigung und Vergleichsführung überlässt und (iii) angemessen mitwirkt. Der Anbieter kann nach seiner Wahl den Dienst rechtsverletzungsfrei abändern, eine Lizenz erwirken oder den betroffenen Teil unter anteiliger Erstattung vorausbezahlter, nicht verbrauchter Vergütung beenden. Der Anspruch nach dieser Ziffer 11.2 ist – vorbehaltlich Ziffer 10.1 – bei Schutzrechtsverletzungen abschließend.

12. Datenschutz

12.1 Im Verhältnis der Parteien ist der Kunde Verantwortlicher für die über den Dienst verarbeiteten personenbezogenen Daten. Der Anbieter ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

12.2 Die Verarbeitung im Auftrag wird durch den Auftragsverarbeitungsvertrag (Anlage 2, AVV) geregelt. Mit Annahme dieser AGB schließt der Kunde den AVV ab.

12.3 Der Anbieter unterhält angemessene technische und organisatorische Maßnahmen (Anlage 5 – TOM) entsprechend Art. 32 DSGVO.

12.4 Der Anbieter darf Unterauftragsverarbeiter gemäß Anlage 3 einsetzen. Änderungen der Liste der Unterauftragsverarbeiter sind im AVV geregelt.

12.5 Soweit personenbezogene Daten in Drittländer außerhalb des EWR übermittelt werden, stützt sich der Anbieter auf geeignete Garantien nach Kapitel V DSGVO, insbesondere die EU-Standardvertragsklauseln und gegebenenfalls den EU-U.S. Data Privacy Framework.

12.6 Der Kunde ist Verantwortlicher für die Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO hinsichtlich der Rechnungs- und Geschäftspartnerdaten und für die Erfüllung der Informationspflichten nach Art. 13, 14 DSGVO.

13. Vertraulichkeit

13.1 Jede Partei behandelt Informationen der anderen Partei vertraulich, die als vertraulich gekennzeichnet sind oder nach den Umständen vernünftigerweise als vertraulich anzusehen sind, einschließlich Geschäftspläne, Preise und der nicht-öffentlichen Komponenten des Dienstes. Vertrauliche Informationen werden ausschließlich zur Vertragsdurchführung verwendet und mit derselben Sorgfalt geschützt wie eigene vertrauliche Informationen, mindestens jedoch mit der im Verkehr erforderlichen Sorgfalt.

13.2 Die Vertraulichkeitspflicht gilt nicht für Informationen, die (a) öffentlich werden oder waren, ohne dass eine Pflichtverletzung vorliegt, (b) der empfangenden Partei vor der Mitteilung rechtmäßig und ohne Vertraulichkeitspflicht bekannt waren, (c) unabhängig ohne Nutzung der vertraulichen Informationen entwickelt wurden oder (d) aufgrund Gesetzes oder behördlicher Anordnung offengelegt werden müssen, wobei die empfangende Partei – soweit zulässig – die andere Partei rechtzeitig vorab informiert.

13.3 Die Vertraulichkeitspflichten gelten für fünf (5) Jahre nach Beendigung des Vertrags fort. Geschäftsgeheimnisse im Sinne des GeschGehG sind geschützt, solange sie diese Eigenschaft erfüllen.

14. Geistiges Eigentum und Nutzungsrechte

14.1 Sämtliche Rechte am Dienst (Software, Dokumentation, Vorlagen, Datenmodelle und aggregierte, anonymisierte Betriebsdaten) stehen dem Anbieter und seinen Lizenzgebern zu.

14.2 Der Anbieter räumt dem Kunden für die Dauer des Vertrags ein einfaches, nicht übertragbares und nicht unterlizenzierbares Recht zur vertragsgemäßen Nutzung des Dienstes nach Maßgabe dieser AGB und des Auftragsformulars ein, beschränkt auf den vereinbarten Umfang an Nutzern, Mandanten, Volumen und Territorium.

14.3 Vom Kunden freiwillig zur Verfügung gestelltes Feedback darf der Anbieter ohne Einschränkung und ohne Vergütung verwerten, soweit dabei keine vertraulichen Informationen des Kunden gegenüber Dritten offengelegt werden.

14.4 Der Kunde behält alle Rechte an seinen Daten. Der Kunde räumt dem Anbieter ein einfaches, weltweites, vergütungsfreies Recht zum Hosten, Vervielfältigen, Übertragen, Anzeigen und Verarbeiten der Kundendaten ein, soweit dies zur Bereitstellung und Verbesserung des Dienstes nach diesen AGB und dem AVV erforderlich ist.

15. Beta- und kostenlose Leistungen

Beta-Funktionen, kostenlose Tests und Vorabversionen werden in der gesetzlich zulässigen Höchstgrenze "wie besehen" und "wie verfügbar" bereitgestellt. Ziffern 9 und 10.2–10.6 gelten für Beta- und kostenlose Leistungen nicht; die Haftung nach Ziffer 10.1 bleibt unberührt. Der Anbieter kann Beta- und kostenlose Leistungen jederzeit ändern oder einstellen.

16. Drittleistungen und Integrationen

16.1 Der Dienst kann mit vom Kunden gewählten Drittleistungen zusammenwirken (z. B. Buchhaltungssysteme, Übermittlungsnetzwerke für elektronische Rechnungen, Zahlungsdienstleister, Behördenportale). Für Leistungsfähigkeit, Verfügbarkeit oder Inhalte solcher Drittleistungen ist der Anbieter nicht verantwortlich; das Vertragsverhältnis besteht insoweit zwischen dem Kunden und dem jeweiligen Drittanbieter.

16.2 Der Kunde ermächtigt den Anbieter, mit den konfigurierten Drittleistungen die für die Integration erforderlichen Daten auszutauschen.

17. Höhere Gewalt

17.1 Keine Partei haftet für Verzögerungen oder Nichtleistungen, soweit diese auf höherer Gewalt beruhen, das heißt auf unvorhersehbaren, außergewöhnlichen Ereignissen außerhalb des zumutbaren Einflussbereichs der betroffenen Partei, einschließlich Naturkatastrophen, Krieg, Terrorismus, Unruhen, behördliche Maßnahmen, Pandemien, großflächige Internet-, Energie- oder Telekommunikationsausfälle sowie großflächige Streiks, an denen die eigene Belegschaft nicht beteiligt ist.

17.2 Die betroffene Partei informiert die andere unverzüglich und unternimmt zumutbare Anstrengungen zur Schadensminderung. Dauert das Ereignis länger als sechzig (60) aufeinanderfolgende Tage, kann jede Partei den betroffenen Vertragsteil aus wichtigem Grund kündigen.

18. Änderungen der AGB

18.1 Der Anbieter kann diese AGB mit Wirkung für die Zukunft ändern. Änderungen werden in Textform mindestens sechzig (60) Tage vor ihrem Inkrafttreten mitgeteilt.

18.2 Änderungen gelten als angenommen, wenn der Kunde ihnen nicht vor dem Inkrafttreten in Textform widerspricht, sofern in der Änderungsmitteilung ausdrücklich auf diese Folge und auf das Kündigungsrecht hingewiesen wird. Widerspricht der Kunde rechtzeitig, wird der Vertrag zu den bisherigen Bedingungen fortgeführt; in diesem Fall darf der Anbieter aus wichtigem Grund zum Ende der dann laufenden Vertragsperiode kündigen.

18.3 Wesentliche nachteilige Änderungen (insbesondere Erhöhungen der Vergütung über das nach Ziffer 6.5 zulässige Maß hinaus, Reduzierung wesentlicher Kernfunktionen, wesentliche Ausweitung der Kundenpflichten) bedürfen der ausdrücklichen Zustimmung des Kunden (soweit nicht von Ziffer 6.5 oder Ziffer 9.4 gedeckt).

19. Unterauftragnehmer

19.1 Der Anbieter darf zur Leistungserbringung Unterauftragnehmer einsetzen. Der Anbieter bleibt für die Leistungserbringung verantwortlich.

19.2 Der Einsatz von Unterauftragsverarbeitern für die Verarbeitung personenbezogener Daten im Auftrag des Kunden ist in Ziffer 12 und im AVV geregelt.

20. Compliance, Sanktionen, Korruptionsbekämpfung

20.1 Beide Parteien halten geltendes Recht ein, insbesondere Export- und Sanktionsrecht (insbesondere Sanktionen der EU und der UN), Anti-Korruptions- und Geldwäschegesetze.

20.2 Der Kunde sichert zu, dass weder er noch seine verbundenen Unternehmen oder seine unmittelbar beteiligten wirtschaftlich Berechtigten von einschlägigen Sanktionen erfasst sind und dass er den Dienst nicht für Geschäfte nutzt, die gegen Sanktionsrecht verstoßen würden.

20.3 Der Anbieter darf den Vertrag aussetzen oder aus wichtigem Grund kündigen, wenn die Fortführung der Leistung gegen anwendbares Sanktions- oder Exportkontrollrecht verstoßen würde.

21. Mitteilungen und Kommunikation

21.1 Mitteilungen unter dem Vertrag sind in Textform (§ 126b BGB) an die von den Parteien benannten Adressen zu richten; E-Mail an die hinterlegten Adressen genügt, soweit diese AGB oder zwingendes Recht keine strengere Form vorschreiben.

21.2 Der Anbieter darf betriebliche Mitteilungen über die Benutzeroberfläche des Dienstes oder die hinterlegten Administrator-E-Mail-Adressen senden.

22. Schlussbestimmungen

22.1 Abtretung. Der Kunde darf Rechte und Pflichten aus dem Vertrag nur mit vorheriger schriftlicher Zustimmung des Anbieters abtreten; die Zustimmung darf nicht unbillig verweigert werden. Der Anbieter darf Rechte und Pflichten an ein verbundenes Unternehmen oder im Rahmen einer Unternehmenstransaktion an einen Rechtsnachfolger nach vorheriger schriftlicher Mitteilung übertragen.

22.2 Selbständige Vertragspartner. Die Parteien sind selbständige Vertragspartner; eine Gesellschaft, ein Joint Venture oder ein Vertretungsverhältnis wird nicht begründet.

22.3 Keine Drittwirkung. Diese AGB begründen keine Rechte Dritter (kein Vertrag zugunsten Dritter, § 328 BGB), soweit nicht ausdrücklich anders bestimmt.

22.4 Salvatorische Klausel. Sollten einzelne Bestimmungen dieser AGB unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung wird durch eine wirksame ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. § 306 BGB findet Anwendung; § 139 BGB wird ausdrücklich abbedungen.

22.5 Form. Änderungen und Ergänzungen des Vertrages bedürfen der Textform. Dies gilt auch für die Änderung dieser Formklausel.

22.6 Anwendbares Recht. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) und unter Ausschluss der Kollisionsnormen.

22.7 Gerichtsstand. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem Vertrag ist  Regensburg, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder im Inland keinen allgemeinen Gerichtsstand hat. Der Anbieter darf den Kunden auch an dessen allgemeinem Gerichtsstand verklagen.

22.8 Sprache. Diese AGB sind in deutscher Sprache abgefasst. Soweit eine englische Übersetzung beigefügt ist, dient sie der Information; im Konfliktfall geht die deutsche Fassung vor, soweit nicht eine separate Vereinbarung der Parteien etwas anderes regelt.

Anlagen

Die folgenden Anlagen sind Bestandteil dieses Vertrags. Klicken Sie eine Anlage an, um den vollständigen Text ein- oder auszublenden.

Anlage 1 – Leistungsbeschreibung und Service Levels

1.1 Funktionsumfang

Der Dienst stellt eine mandantenfähige SaaS-Plattform zur Automatisierung der Rechnungsstellung für in der EU ansässige Unternehmen bereit. Der Funktionsumfang umfasst insbesondere:

  • Erstellung und Verwaltung von Ausgangsrechnungen, Gutschriften, Storno- und Korrekturrechnungen einschließlich der Pflichtangaben nach §§ 14, 14a UStG;
  • Native Erzeugung strukturierter elektronischer Rechnungen im Format XRechnung (gemäß CIUS XRechnung) sowie Unterstützung weiterer Formate nach EN 16931 (ZUGFeRD, Peppol BIS) gemäß der jeweiligen Produkt-Roadmap;
  • Steuerlogik für EU-Umsatzsteuer (UStG, MwStSystRL), einschließlich Reverse-Charge-Behandlung im B2B-Empfangsfall, OSS/IOSS-Umsatzkennzeichnung und § 14 UStG-konformer Belegerstellung;
  • SEPA-Lastschrift mit Pre-Notification gemäß SEPA Rulebook (14-Tage-Regel);
  • Kunden-, Vertrags- und Abonnementverwaltung (Subscription Management) mit Vertragslaufzeiten, Verlängerungen, Mengen-, Listen- und Aktionspreisen;
  • Anbindung an Stripe Payments für Karten- und Wallet-Zahlungen;
  • Export von Buchungsdaten (CSV, DATEV-kompatibel, GoBD-Export);
  • Audit-Trail aller belegrelevanten Änderungen, einschließlich Zeitstempel und Anwender-ID, gemäß den Anforderungen der GoBD an Unveränderbarkeit und Nachvollziehbarkeit;
  • Webbasierte Benutzeroberfläche sowie REST-API.

Eine bestimmte Performance, Mengenkapazität oder Antwortzeit der API wird nur insoweit geschuldet, als dies im Auftragsformular ausdrücklich vereinbart ist.

1.2 Verfügbarkeit

Die Zielverfügbarkeit des Dienstes beträgt 99,5 % pro Kalendermonat, gemessen am Perimeter des Anbieters. Auf die Verfügbarkeit nicht angerechnet werden die in Ziffer 8.2 der AGB genannten Ereignisse.

1.3 Wartungsfenster

Geplante Wartungen werden bevorzugt im Wartungsfenster Sonntag 02:00–06:00 Uhr (CET / CEST) durchgeführt und mindestens achtundvierzig (48) Stunden im Voraus per E-Mail an die hinterlegten Administrator-Adressen oder über die Benutzeroberfläche angekündigt. Notfallwartungen zur Wahrung von Sicherheit oder Integrität können kurzfristig erfolgen.

1.4 Berechnung der Verfügbarkeit

Verfügbarkeit (in %) = (Gesamtminuten im Monat − Ausfallminuten) / Gesamtminuten im Monat × 100. Ausfallminuten sind solche, in denen die Kernfunktionen des Dienstes über das öffentliche Internet nicht erreichbar sind. Latenz, Fehler einzelner Endpunkte oder eingeschränkte Performance gelten nicht als Ausfall, soweit die Kernfunktion grundsätzlich verfügbar bleibt.

1.5 Service Credits

Für die Tarife Starter und Scale werden keine Service Credits gewährt. Für Enterprise-Kunden gelten die folgenden Service Credits, sofern und soweit dies im Auftragsformular ausdrücklich vereinbart ist:

  • Verfügbarkeit unter 99,5 %, jedoch ≥ 99,0 %: 5 % der Monatsvergütung als Gutschrift;
  • Verfügbarkeit unter 99,0 %, jedoch ≥ 95,0 %: 10 % der Monatsvergütung als Gutschrift;
  • Verfügbarkeit unter 95,0 %: 25 % der Monatsvergütung als Gutschrift.

Service Credits sind unbeschadet Ziffer 8.3 der AGB der ausschließliche Anspruch des Kunden für das Verfehlen der Verfügbarkeitsziele und werden auf die nächste Monatsrechnung angerechnet.

1.6 Support

Support wird per E-Mail an support@kontorion.eu geleistet. Reaktionszeiten gelten innerhalb der Geschäftszeit (Montag bis Freitag, 09:00–18:00 Uhr CET/CEST, ohne deutsche Feiertage):

  • S1 – kritisch: Der Dienst ist insgesamt nicht nutzbar oder eine zentrale Funktion ist ausgefallen. Reaktionszeit: vier (4) Stunden.
  • S2 – hoch: Eine wesentliche Funktion ist eingeschränkt nutzbar; ein Workaround ist nicht oder nur unzumutbar verfügbar. Reaktionszeit: ein (1) Werktag.
  • S3 – mittel: Funktionsbeeinträchtigung ohne wesentliche Auswirkung auf den Geschäftsbetrieb. Reaktionszeit: zwei (2) Werktage.
  • S4 – niedrig: Allgemeine Fragen, kosmetische Fehler, Konfigurationshilfe. Reaktionszeit: fünf (5) Werktage.

Reaktionszeit bezeichnet die Zeit bis zur ersten qualifizierten Rückmeldung, nicht die Zeit bis zur Behebung. Klassifizierung erfolgt durch den Anbieter nach billigem Ermessen.

Anlage 2 – Auftragsverarbeitungsvertrag (AVV)

Diese Anlage konkretisiert die Pflichten des Anbieters als Auftragsverarbeiter im Sinne des Art. 28 DSGVO und ist Bestandteil der AGB. Mit Annahme der AGB schließen die Parteien diesen Auftragsverarbeitungsvertrag ("AVV") ab.

2.1 Gegenstand und Dauer

Gegenstand der Verarbeitung ist die Erbringung des Dienstes gemäß AGB und Auftragsformular. Die Dauer der Verarbeitung entspricht der Vertragslaufzeit zuzüglich des Exportzeitraums nach Ziffer 7.4 AGB sowie etwaiger gesetzlicher Aufbewahrungspflichten.

2.2 Art und Zweck der Verarbeitung

Verarbeitungsformen umfassen das Erheben, Erfassen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten personenbezogener Daten. Zweck der Verarbeitung ist die Bereitstellung der Funktionen des Dienstes (Rechnungsstellung, e-Invoicing, Subscription Management, Zahlungsabwicklung, Audit-Trail, Support).

2.3 Arten der personenbezogenen Daten

  • Identifikations- und Kontaktdaten (Name, Anschrift, Telefon, E-Mail);
  • Vertrags- und Bestelldaten;
  • Steuer- und Geschäftsdaten (USt-IdNr., Leitweg-ID, Bankdaten für SEPA, Abrechnungsdaten);
  • Kommunikationsdaten (E-Mail, Support-Tickets, Audit-Log-Einträge);
  • Nutzungsdaten (Login, IP-Adresse, Useragent, Aktivitätsverlauf in der App).

2.4 Kategorien betroffener Personen

  • Endkunden und Geschäftspartner des Kunden (Rechnungsempfänger);
  • Lieferanten und Dienstleister des Kunden;
  • Mitarbeitende und Bevollmächtigte der vorgenannten Personenkreise;
  • Nutzer des Dienstes auf Seiten des Kunden (Mitarbeitende, Auftragnehmer).

2.5 Pflichten des Anbieters (Auftragsverarbeiter)

Der Anbieter

  • (a) verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, einschließlich der in den AGB und im Auftragsformular dokumentierten Weisungen; Weisungen außerhalb des vereinbarten Leistungsumfangs erfolgen nur gegen angemessene Vergütung;
  • (b) gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • (c) ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, wie in Anlage 5 (TOM) beschrieben, und passt diese an den Stand der Technik an;
  • (d) setzt Unterauftragsverarbeiter nur nach Maßgabe von Ziffer 2.7 ein;
  • (e) unterstützt den Kunden mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Betroffenenrechte (Art. 12–23 DSGVO);
  • (f) unterstützt den Kunden bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Anbieter zur Verfügung stehenden Informationen;
  • (g) gibt nach Beendigung der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Kunden zurück oder löscht sie und vernichtet vorhandene Kopien, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht;
  • (h) stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen gemäß Ziffer 2.11.

2.6 Pflichten des Kunden (Verantwortlicher)

Der Kunde ist insbesondere verpflichtet,

  • (a) die Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO sicherzustellen;
  • (b) die Informationspflichten nach Art. 13 und 14 DSGVO gegenüber den betroffenen Personen zu erfüllen;
  • (c) den Anbieter unverzüglich und vollständig zu informieren, wenn ihm Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse auffallen;
  • (d) die Berechtigungen für seine Nutzer im Dienst sorgfältig zu vergeben und zu pflegen;
  • (e) Anfragen von Betroffenen, die direkt an den Anbieter gerichtet werden, nach Weiterleitung selbst zu beantworten.

2.7 Unterauftragsverarbeitung

Der Kunde erteilt dem Anbieter eine allgemeine schriftliche Genehmigung zum Einsatz der in Anlage 3 aufgeführten Unterauftragsverarbeiter. Der Anbieter informiert den Kunden über beabsichtigte Änderungen mindestens dreißig (30) Tage im Voraus in Textform; der Kunde kann gegen die Änderung innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben. Können sich die Parteien nicht einigen, ist der Anbieter zur außerordentlichen Kündigung der betroffenen Leistung berechtigt; Ziffer 11.2 AGB bleibt unberührt.

Der Anbieter erlegt jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind, insbesondere hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.

2.8 Datentransfer in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR erfolgt nur, soweit dies zur Leistungserbringung erforderlich ist und geeignete Garantien gemäß Kapitel V DSGVO bestehen. Im Verhältnis zu in den USA ansässigen Unterauftragsverarbeitern stützt sich der Anbieter primär auf das EU-U.S. Data Privacy Framework (Angemessenheits­beschluss), hilfsweise auf die EU-Standardvertragsklauseln (SCC, Modul 3) sowie zusätzliche Schutzmaßnahmen (Verschlüsselung im Transit und at-rest, Pseudonymisierung, Datenminimierung).

2.9 Betroffenenrechte

Der Anbieter unterstützt den Kunden bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch). Anfragen Betroffener, die direkt beim Anbieter eingehen, werden ohne inhaltliche Bearbeitung an den Kunden weitergeleitet.

2.10 Mitteilungspflichten

Der Anbieter informiert den Kunden unverzüglich, spätestens jedoch innerhalb von vierundzwanzig (24) Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO. Die Mitteilung enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit dem Anbieter bekannt.

2.11 Audit

Der Kunde ist berechtigt, die Einhaltung der Pflichten dieses AVV zu überprüfen. Im Regelfall erfolgt dies durch Vorlage geeigneter Nachweise (Zertifikate, Berichte unabhängiger Prüfer, Antworten auf einen schriftlichen Auditfragebogen). Eine Vor-Ort-Prüfung ist höchstens einmal pro Kalenderjahr und nach Vorankündigung von mindestens dreißig (30) Tagen zulässig; sie erfolgt zu üblichen Geschäftszeiten, ohne Beeinträchtigung des Betriebs und gegen Unterzeichnung einer angemessenen Vertraulichkeits­vereinbarung. Kosten der Prüfung trägt der Kunde, sofern die Prüfung keinen wesentlichen Verstoß ergibt.

2.12 Beendigung und Löschung

Bei Beendigung des Vertrages gibt der Anbieter die Kundendaten nach Wahl des Kunden zurück oder löscht sie sicher; Ziffer 7.4 AGB (Exportzeitraum) gilt entsprechend. Backups werden im Rahmen der vereinbarten Backup-Zyklen überschrieben; eine ausdrückliche frühzeitige Vernichtung von Backups kann gegen Aufwand vereinbart werden.

2.13 Haftung

Die Haftung des Anbieters unter diesem AVV richtet sich nach Ziffer 10 der AGB, unbeschadet zwingender Haftung nach Art. 82 DSGVO.

Anlage 3 – Liste der Unterauftragsverarbeiter

Der Anbieter setzt die folgenden Unterauftragsverarbeiter zur Erbringung des Dienstes ein. Die Liste wird regelmäßig aktualisiert; Änderungen werden gemäß Ziffer 2.7 dieses AVV mitgeteilt.

3.1 Aktive Unterauftragsverarbeiter

  • Stripe Payments Europe, Limited – The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland.
    Zweck: Zahlungsabwicklung (Kreditkarten, SEPA, Wallet), Subscription-Management-Backend, Steuer- und Rechnungsdaten für Stripe-Tax-Funktionen.
    Datenarten: Identifikations-, Kontakt-, Vertrags-, Zahlungs- und Transaktionsdaten.
    Garantien: Verarbeitung innerhalb des EWR; bei Weitergabe an die Stripe-Inc.-Gruppe in den USA Standardvertragsklauseln (SCC) und EU-U.S. Data Privacy Framework.
  • Hosting / Infrastruktur: Eigenbetrieb in der Europäischen Union. [Konkreter Rechenzentrums- bzw. IaaS-Partner wird im Auftragsformular oder mit der ersten Aktualisierung der Sub-Processor-Liste benannt.]
  • Transaktionale E-Mail / Benachrichtigungen: [Anbieter wird bei Bereitstellung benannt; aktuelle Implementierung versendet ausgehende Mails über den vom Anbieter betriebenen Mailserver in der EU.]
  • Fehler- und Performance-Monitoring: [Anbieter wird bei Bereitstellung benannt.]

3.2 Konzern-interne Verarbeitung

Eine Verarbeitung durch verbundene Unternehmen des Anbieters findet derzeit nicht statt. Eine künftige konzerninterne Verarbeitung wird gemäß Ziffer 2.7 dieses AVV mitgeteilt.

Anlage 4 – Preisliste / Auftragsformular

4.1 Tarife

Die jeweils gültigen Tarife sind unter kontorion.eu/pricing veröffentlicht. Zum Stand dieser Anlage gelten:

  • Starter: EUR 79 / Monat (netto, zzgl. USt.).
  • Scale: EUR 299 / Monat (netto, zzgl. USt.).
  • Enterprise: EUR 899 / Monat (netto, zzgl. USt.).
  • On-Premise: Individuell nach Auftragsformular.

Der konkrete für den Kunden geltende Tarif, die enthaltenen Volumen, etwaige Rabatte sowie nutzungsabhängige Vergütungen ergeben sich aus dem Auftragsformular bzw. der Stripe-Checkout-Bestätigung des Kunden.

4.2 Kostenfreier Test

Neue Kunden erhalten einen vierzehn (14) Tage währenden, kostenfreien Testzeitraum ohne Kreditkartenpflicht. Im Anschluss wandelt sich der Vertrag in das gewählte Abonnement um, sofern der Kunde nicht vor Ablauf kündigt.

4.3 Auftragsformular und Vertragsabschluss

Auftragsformular im Sinne der AGB ist jede ausdrückliche Bestätigung des Kunden über die Beauftragung eines Tarifs, insbesondere der erfolgreiche Abschluss des Stripe-Checkouts mit Auswahl eines kostenpflichtigen Plans, ein unterzeichnetes individuelles Angebot oder die elektronische Annahme einer Bestellung über die Benutzeroberfläche des Dienstes.

4.4 Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über Stripe. Der Kunde verwaltet Zahlungsmittel, Rechnungen und das Abonnement über das vom Anbieter bereitgestellte Stripe Customer Portal.

Anlage 5 – Technische und organisatorische Maßnahmen (TOM)

Der Anbieter unterhält die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst.

5.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Verarbeitungsanlagen werden in ISO-27001-zertifizierten Rechenzentren in der Europäischen Union betrieben; physische Zutrittskontrolle erfolgt durch den jeweiligen Hosting-Partner.
  • Zugangskontrolle: Zugang zu Systemen ausschließlich über individuelle Konten mit erzwungener Mehrfaktor-Authentifizierung (MFA); Passwortrichtlinien gemäß aktuellen NIST-Empfehlungen; automatische Sperrung nach Inaktivität.
  • Zugriffskontrolle: Rollenbasierte Berechtigungsvergabe (RBAC) nach dem Need-to-know-Prinzip; Trennung von Entwicklungs-, Staging- und Produktionsumgebungen; produktive Datenbanken sind ausschließlich aus dem privaten Netzwerk erreichbar.
  • Trennungskontrolle: Mandantentrennung auf Anwendungsebene (Tenant-IDs in jeder Datenzeile, Filter in jedem Datenbankzugriff); separate Verschlüsselungskontexte je Mandant, soweit sinnvoll.
  • Pseudonymisierung: Identifikatoren werden, soweit zweckdienlich, pseudonymisiert; Logs ohne unmittelbaren Personenbezug.
  • Verschlüsselung: Alle Daten im Transit werden mit TLS 1.2+ übertragen; Daten at-rest mit AES-256 verschlüsselt.

5.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Eingabekontrolle: Audit-Trail aller belegrelevanten Änderungen mit Zeitstempel und Benutzer-ID; Manipulationsschutz durch unveränderliche Belegnummerierung.
  • Weitergabekontrolle: Datenfernverbindungen ausschließlich über TLS; Authentifizierung von API-Clients über API-Keys oder OAuth; Signaturen für Webhooks.
  • Validierung: Eingangsvalidierung im Backend für alle API-Eingaben; serverseitige Prüfung von Berechtigungen unabhängig von Frontend-Logik.

5.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Backups: Tägliche, verschlüsselte Datenbank-Backups mit mindestens dreißig (30) Tagen Aufbewahrung; Point-in-Time-Recovery innerhalb der letzten sieben (7) Tage.
  • Wiederherstellungstests: Regelmäßige Restore-Tests mindestens halbjährlich.
  • Redundanz: Anwendung in Hochverfügbarkeitskonfiguration; Datenbankredundanz mit synchroner Replikation.
  • Schutz vor schädlichem Code: Container-basiertes Deployment mit isolierten Workloads; Dependency Scanning in der CI; signierte Build-Artefakte.
  • Monitoring: Kontinuierliches Performance- und Verfügbarkeitsmonitoring; Alarmierung an die Bereitschaft bei Ausfall oder Anomalien.

5.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Datenschutz-Folgenabschätzungen für risikorelevante Verarbeitungstätigkeiten gemäß Art. 35 DSGVO.
  • Jährliche TOM-Überprüfung mit Aktualisierung dieser Anlage.
  • Penetrationstests: mindestens jährlich, durch unabhängige Dritte.

5.5 Auftragskontrolle

Eine Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Kunden. Konfigurations- und Verwaltungs­zugänge der Anbieter-Mitarbeitenden zu Kundendaten erfolgen nur im Rahmen von Support, Sicherheit oder zwingender Wartung; Zugänge werden protokolliert.

5.6 Datenschutz durch Technikgestaltung (Art. 25 DSGVO)

Datenminimierung in Standardkonfigurationen; Speicherbegrenzung über Retention Policies; Voreinstellungen sind datenschutzfreundlich (Art. 25 Abs. 2 DSGVO).

5.7 Mitarbeitende

  • Verpflichtung auf das Datengeheimnis und die Vertraulichkeit nach Art. 28 Abs. 3 lit. b DSGVO bei Aufnahme der Tätigkeit;
  • Schulungen zur Informationssicherheit und zum Datenschutz mindestens jährlich;
  • Hintergrundprüfungen für Personen mit Zugriff auf produktive Systeme im gesetzlich zulässigen Rahmen.

Stand: 2. Mai 2026

Demo vereinbaren

15 Minuten, kein Vertriebsgespräch. Sie beschreiben Ihr Geschäftsmodell, wir zeigen Ihnen den passenden Blueprint.

Lieber per E-Mail? Schreiben Sie uns an contact@frontieralgorithmics.com