AVV-Dokument finalisieren
Gegenstand, Dauer, Weisungen, TOMs, Subprozessoren, Löschung, Unterstützung bei Betroffenenrechten und Kontrollrechte müssen in einem prüfbaren Dokument stehen.
Datenschutz · AVV
Für Organisationen, die Rechnungsdateien Dritter hochladen, ist ein sauberer AVV-Prozess wichtig. Diese Seite beschreibt die technische Einordnung und die Punkte, die vor produktiver Nutzung vertraglich geprüft werden müssen.
| AVV-Baustein | Umsetzung im Projekt | Noch zu prüfen |
|---|---|---|
| Gegenstand und Dauer | E-Rechnungsprüfung, Anzeige, Export und Audit innerhalb der Organisation | Vertragslaufzeit, Testphase, Kündigung, Datenrückgabe |
| Art und Zweck | Upload, Parser, Malware-Scan, Validierung, Bericht, Export, Support | Ob einzelne Funktionen deaktiviert oder kundenspezifisch geregelt werden müssen |
| Datenarten | Rechnungsdaten, Geschäftskontakte, Konto-/Rolleninformationen, technische Metadaten | Ob besondere Kategorien personenbezogener Daten ausgeschlossen werden sollen |
| Betroffenengruppen | Nutzer, Mitarbeiter, Lieferanten, Kunden, Rechnungsempfänger, Ansprechpartner | Kundenspezifische Rollen und Branchenbesonderheiten |
| Weisungen | Organisation steuert Upload, Rollen, Aufbewahrung und Löschung im Dashboard | Schriftliche Weisungswege für Support- und Sonderfälle |
| TOMs | HTTPS, Rollen, Mandantentrennung, Secrets, Upload-Schutz, ClamAV, Audit-Logs, Löschjobs | Finale TOM-Anlage mit Serverstandort, Backup, Zugriffskreis und Monitoring |
| Subprozessoren | Eigene Übersicht vorhanden | Konkrete Anbieter, Vertragsgrundlagen und Drittlandtransfer prüfen |
| Löschung/Rückgabe | Aufbewahrungsregeln und Löschjobs vorhanden | Export/Rückgabe vor Löschung, Backup-Fristen und Nachweisform |
Diese Punkte sind keine Kosmetik, sondern Vertrags- und Betriebsvoraussetzungen.
Gegenstand, Dauer, Weisungen, TOMs, Subprozessoren, Löschung, Unterstützung bei Betroffenenrechten und Kontrollrechte müssen in einem prüfbaren Dokument stehen.
Die technische Sicherheitsbeschreibung darf nicht nur „sicher“ sagen. Sie muss Maßnahmen wie Zugriff, Backup, Logging, Verschlüsselung, Rollen und Löschung konkret benennen.
Normvalidierung, Steuerberatung, Rechtsberatung und technische Prüfung müssen sprachlich getrennt bleiben. Der AVV macht das Produkt nicht automatisch rechtssicher.