Auftragsverarbeitungsvertrag (AVV)

Stand: 22. April 2026

Dieser Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (im Folgenden „AVV") regelt die Verarbeitung personenbezogener Daten durch uns im Rahmen der Nutzung der Anwendung Harriet. Mit der Annahme der Beta-Nutzungsbedingungen stimmen Sie auch diesem AVV zu.

1. Parteien

Verantwortliche:r („Auftraggeber"): Sie als Beta-Nutzer:in der Anwendung Harriet — soweit Sie eigene oder fremde personenbezogene Daten (z.B. Daten Ihrer Kund:innen, Lieferant:innen oder Mitarbeiter:innen, die auf Belegen oder in Bankexporten enthalten sind) in die Anwendung einbringen.

Auftragsverarbeiter:

Mario Deubler
Schödlbergergasse 16/53
1220 Wien, Österreich
E-Mail: hello@harriet.tax

2. Gegenstand und Dauer

Gegenstand der Verarbeitung ist die Erbringung der in den Beta-Nutzungsbedingungen und den AGB beschriebenen Leistungen, insbesondere die Speicherung und Verarbeitung hochgeladener Belege, Bankdaten, OCR-extrahierter Inhalte sowie aus diesen Daten abgeleiteter Steuerwerte und Klassifikationen. Die Dauer entspricht der Dauer Ihrer Beta-Teilnahme zzgl. der in Abschnitt 9 geregelten Lösch- und Rückgabefristen.

3. Art und Zweck der Verarbeitung, Datenkategorien, Kreis der Betroffenen

Art und Zweck: Speicherung, Auslesen (OCR), Klassifikation in Steuerkategorien, Berechnung steuerlich relevanter Kennwerte, Vorbereitung der E/A-Rechnung und der E1a-Beilage, optionale Freigabe an eine Steuerberatungskanzlei.

Datenkategorien: Stammdaten der Auftraggeber:in, Inhalte hochgeladener Belege (inkl. ggf. enthaltener personenbezogener Daten Dritter wie Namen, Adressen, Bankverbindungen, Beträge), Bankexporte mit Transaktionsdaten, abgeleitete Klassifikationen und Berechnungen, Authentifizierungs- und Sitzungsdaten.

Kreis der Betroffenen: Auftraggeber:in selbst sowie ggf. natürliche Personen, deren Daten in von der Auftraggeber:in eingebrachten Belegen oder Bankdaten enthalten sind (z.B. Kund:innen, Lieferant:innen, Mitarbeitende).

4. Weisungsgebundenheit

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen der Auftraggeber:in. Die Annahme der Beta-Nutzungsbedingungen, der AGB und dieses AVV bildet die anfängliche Weisung. Weitere oder abweichende Weisungen sind in Textform an hello@harriet.tax zu richten. Ist eine Weisung nach unserer Auffassung rechtswidrig, informieren wir die Auftraggeber:in unverzüglich.

5. Vertraulichkeit

Alle mit der Datenverarbeitung befassten Personen werden zur Vertraulichkeit verpflichtet, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen insbesondere:

  • Verschlüsselung der Datenübertragung mittels TLS
  • Zugriffsbeschränkung auf personenbezogene Daten auf berechtigte Personen, mit individuellen Accounts und protokolliertem Zugriff
  • Authentifizierung der Nutzer:innen über Supabase Auth
  • Hosting der Datenbank und des Datei-Speichers in der EU-Region (Frankfurt) bei Supabase
  • Row-Level-Security-Regeln auf Datenbankebene zur Workspace-Trennung
  • Pseudonymisierung in Webanalyse-Daten (PostHog)
  • Regelmäßige Datensicherungen durch unsere Auftragsverarbeiter
  • Schutz vor unbefugtem Zugriff durch Standard-Sicherheitsmaßnahmen unserer Hosting- und Infrastrukturanbieter (Vercel, Supabase, Cloudflare)

Eine detaillierte Beschreibung der Maßnahmen stellen wir auf Anfrage bereit. Während der Beta-Phase können sich Maßnahmen weiterentwickeln; wesentliche Änderungen werden dokumentiert.

7. Unterauftragsverarbeiter (Subprozessoren)

Die Auftraggeber:in stimmt der Inanspruchnahme der folgenden Unterauftragsverarbeiter zu. Wir verpflichten unsere Subprozessoren vertraglich zur Einhaltung der DSGVO und zu Datenschutz- und Sicherheitsstandards, die unseren entsprechen.

  • Vercel Inc. (Hosting der Anwendung) — USA. Übermittlung gestützt auf EU-US Data Privacy Framework bzw. Standardvertragsklauseln.
  • Supabase Inc. (Datenbank, Authentifizierung, Speicher) — EU-Region (Frankfurt). Etwaige Verwaltungs-/Supportzugriffe aus den USA gestützt auf Standardvertragsklauseln.
  • Mistral AI SAS (OCR und Klassifikation) — Frankreich, Verarbeitung in der EU. Mistral verwendet API-Inhalte vertraglich nicht zu Trainingszwecken.
  • Proton AG (E-Mail-Versand via Proton Mail) — Schweiz. Übermittlung gestützt auf den Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO.
  • Cloudflare Inc. (CDN/Proxy für Webanalyse) — USA. Übermittlung gestützt auf EU-US Data Privacy Framework.
  • PostHog Inc. (Webanalyse, EU-Cloud, optional, nur bei Einwilligung) — EU.

Über beabsichtigte Änderungen am Kreis der Subprozessoren werden wir die Auftraggeber:in mit angemessener Vorlaufzeit per E-Mail oder durch Aktualisierung dieser Liste informieren. Die Auftraggeber:in kann der Änderung aus wichtigem Grund widersprechen; in diesem Fall sind wir berechtigt, das Vertragsverhältnis mit angemessener Frist zu beenden.

8. Unterstützung bei Betroffenenrechten und Pflichten

Wir unterstützen die Auftraggeber:in im Rahmen des Möglichen und unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung von Anfragen Betroffener nach Kapitel III DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) sowie bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen, Konsultation der Aufsichtsbehörde). Anfragen Betroffener, die direkt an uns gerichtet werden, leiten wir unverzüglich an die Auftraggeber:in weiter.

9. Meldung von Datenschutzverletzungen

Verletzungen des Schutzes personenbezogener Daten melden wir der Auftraggeber:in unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme, mit allen verfügbaren Informationen, die sie zur Erfüllung ihrer eigenen Meldepflichten nach Art. 33/34 DSGVO benötigt.

10. Rückgabe und Löschung nach Vertragsende

Nach Beendigung der Beta-Teilnahme — unabhängig vom Beendigungsgrund — löschen wir die im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 90 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch stellen wir die Daten vorab in einem strukturierten, gängigen und maschinenlesbaren Format bereit. Backups werden im Rahmen der Aufbewahrungszyklen unserer Subprozessoren überschrieben.

11. Nachweise und Audits

Wir stellen der Auftraggeber:in auf Anfrage in zumutbarem Umfang die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung. Vor-Ort-Audits sind nach vorheriger Abstimmung und unter Wahrung berechtigter Geheimhaltungsinteressen möglich; wir können stattdessen Audit-Berichte unserer Subprozessoren bzw. Selbstauskünfte vorlegen.

12. Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. Im Innenverhältnis trägt jede Partei ihre eigene Verantwortlichkeit aus eigenen Pflichtverletzungen.

13. Schlussbestimmungen

Es gilt österreichisches Recht. Gerichtsstand ist Wien, soweit gesetzlich zulässig. Bei Widersprüchen zwischen diesem AVV und anderen Vereinbarungen zwischen den Parteien gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.

Diese Fassung des AVV (v1, Stand 22. April 2026) wird mit der Annahme der Beta-Nutzungsbedingungen wirksam. Eine versionierte Aufzeichnung Ihrer Zustimmung wird in der Anwendung gespeichert.