AVV-Dokument finalisieren
Gegenstand, Dauer, Weisungen, TOMs, Subprozessoren, Löschung, Unterstützung bei Betroffenenrechten und Kontrollrechte müssen in einem prüfbaren Dokument stehen.
Datenschutz · AVV
Wenn Rechnungsnotarzt Kundendaten im Auftrag verarbeitet.
Für Organisationen, die Rechnungsdateien Dritter hochladen, ist ein sauberer AVV-Prozess wichtig. Diese Seite beschreibt die technische Einordnung und die Punkte, die vor produktiver Nutzung vertraglich geprüft werden müssen.
| AVV-Baustein | Umsetzung im Projekt | Noch zu prüfen |
|---|---|---|
| Gegenstand und Dauer | E-Rechnungsprüfung, Anzeige, Export und Audit innerhalb der Organisation | Vertragslaufzeit, Testphase, Kündigung, Datenrückgabe |
| Art und Zweck | Upload, Parser, Malware-Scan, Validierung, Bericht, Export, Support | Ob einzelne Funktionen deaktiviert oder kundenspezifisch geregelt werden müssen |
| Datenarten | Rechnungsdaten, Geschäftskontakte, Konto-/Rolleninformationen, technische Metadaten | Ob besondere Kategorien personenbezogener Daten ausgeschlossen werden sollen |
| Betroffenengruppen | Nutzer, Mitarbeiter, Lieferanten, Kunden, Rechnungsempfänger, Ansprechpartner | Kundenspezifische Rollen und Branchenbesonderheiten |
| Weisungen | Organisation steuert Upload, Rollen, Aufbewahrung und Löschung im Dashboard | Schriftliche Weisungswege für Support- und Sonderfälle |
| TOMs | HTTPS, Rollen, Mandantentrennung, Secrets, Upload-Schutz, ClamAV, Audit-Logs, Löschjobs | Finale TOM-Anlage mit Serverstandort, Backup, Zugriffskreis und Monitoring |
| Subprozessoren | Eigene Übersicht vorhanden | Konkrete Anbieter, Vertragsgrundlagen und Drittlandtransfer prüfen |
| Löschung/Rückgabe | Aufbewahrungsregeln und Löschjobs vorhanden | Export/Rückgabe vor Löschung, Backup-Fristen und Nachweisform |
Was vor Live-Nutzung erledigt sein muss
Diese Punkte sind keine Kosmetik, sondern Vertrags- und Betriebsvoraussetzungen.
TOM-Anlage ausfüllen
Die technische Sicherheitsbeschreibung darf nicht nur „sicher“ sagen. Sie muss Maßnahmen wie Zugriff, Backup, Logging, Verschlüsselung, Rollen und Löschung konkret benennen.
Kunden nicht täuschen
Normvalidierung, Steuerberatung, Rechtsberatung und technische Prüfung müssen sprachlich getrennt bleiben. Der AVV macht das Produkt nicht automatisch rechtssicher.