PayRecover

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") wird geschlossen zwischen:

  • Auftraggeber:Der Kunde, der sich bei PayRecover registriert hat (nachfolgend "Verantwortlicher")
  • Auftragnehmer:Luca Szentesi, Carrer dels Pins 9, 43881 Cunit, Spanien (nachfolgend "Auftragsverarbeiter")

Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung des Dienstes PayRecover gemäß den Allgemeinen Geschäftsbedingungen. Er tritt mit der Registrierung des Verantwortlichen bei PayRecover in Kraft.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen des Dienstes PayRecover zur automatischen Wiederherstellung fehlgeschlagener Zahlungen.

(2) Die Verarbeitung beginnt mit der Verbindung des Zahlungsanbieters (z.B. Stripe, Mollie) und endet mit der Löschung aller Daten nach Vertragsbeendigung gemäß § 10 dieses AVV.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (AGB).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Empfang und Speicherung von Daten zu fehlgeschlagenen Zahlungen über Webhooks der Zahlungsanbieter
  • Automatische Wiederholungsversuche (Retries) fehlgeschlagener Zahlungen
  • Versand von Dunning-E-Mails an Endkunden des Verantwortlichen
  • Bereitstellung einer Payment-Update-Seite für Endkunden
  • Auswertung und Darstellung von Recovery-Statistiken im Dashboard

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • E-Mail-Adressen der Endkunden
  • Namen der Endkunden (sofern vom Zahlungsanbieter übermittelt)
  • Zahlungsbeträge und Währungen
  • Zahlungs-IDs und Referenznummern des Zahlungsanbieters
  • Fehlergründe der fehlgeschlagenen Zahlung
  • Zeitstempel der Zahlungsversuche

Nicht verarbeitet werden:Kreditkartennummern, Kontodaten, Passwörter oder sonstige sensible Zahlungsdaten. Diese verbleiben ausschließlich beim jeweiligen Zahlungsanbieter.

§ 4 Kategorien betroffener Personen

Betroffene Personen sind die Endkunden des Verantwortlichen, bei denen eine wiederkehrende Zahlung fehlgeschlagen ist.

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich gemäß den Weisungen des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO)
  • Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen
  • Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Verantwortlichen einzusetzen (Art. 28 Abs. 2 DSGVO)
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
  • Den Verantwortlichen bei Datenschutz-Folgenabschätzungen zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO)
  • Nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)
  • Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung zu stellen (Art. 28 Abs. 3 lit. h DSGVO)

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

  • Verschlüsselung: Alle Datenübertragungen erfolgen TLS-verschlüsselt (HTTPS). Passwörter werden mit bcrypt gehasht. API-Keys werden verschlüsselt in der Datenbank gespeichert.
  • Zugangskontrollen: Zugriff auf personenbezogene Daten ist auf authentifizierte und autorisierte Benutzer beschränkt. Jeder Kunde sieht ausschließlich seine eigenen Daten.
  • Serverstandort: Die Datenbank wird bei Supabase in der EU (Frankfurt, Deutschland) gehostet. Die Anwendung läuft auf Vercel mit EU-Routing.
  • Verfügbarkeit: Regelmäßige automatische Backups der Datenbank durch den Hosting-Anbieter.
  • Trennungsgebot: Daten verschiedener Kunden werden durch organisatorische Mandantentrennung (Organization-IDs) logisch voneinander getrennt.
  • Eingabekontrolle: Alle Änderungen an Daten werden mit Zeitstempeln protokolliert.

§ 7 Unterauftragsverarbeiter

(1) Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

UnternehmenZweckStandort
Supabase Inc.Datenbank-Hosting (PostgreSQL)Frankfurt, EU
Vercel Inc.Application-HostingEU-Routing (Frankfurt)
Resend Inc.E-Mail-Versand (Dunning-Mails)EU (Ireland)
Inngest Inc.Aufgabenplanung (Cron-Jobs)USA (EU-US DPF)

(2) Für Unterauftragsverarbeiter mit Sitz in den USA besteht ein angemessenes Schutzniveau durch das EU-US Data Privacy Framework (DPF) oder Standardvertragsklauseln (SCC).

(3) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung der Unterauftragsverarbeiter. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.

§ 8 Rechte der betroffenen Personen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Art. 15-22 DSGVO), insbesondere bei:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

§ 9 Meldepflicht bei Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung
  • Die Kategorien und ungefähre Anzahl betroffener Personen
  • Die wahrscheinlichen Folgen der Verletzung
  • Die ergriffenen oder vorgeschlagenen Maßnahmen

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Der Verantwortliche kann vor der Löschung einen Export seiner Daten anfordern.

(3) Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.

§ 11 Kontrollrechte

(1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und der datenschutzrechtlichen Vorschriften zu überprüfen, insbesondere durch:

  • Einholung von Auskünften beim Auftragsverarbeiter
  • Überprüfung der technischen und organisatorischen Maßnahmen
  • Inspektionen nach vorheriger Anmeldung (mit angemessener Frist)

(2) Der Auftragsverarbeiter stellt alle erforderlichen Informationen zur Verfügung und ermöglicht Prüfungen.

§ 12 Schlussbestimmungen

(1) Dieser AVV ist Bestandteil des Hauptvertrags (AGB) und tritt mit der Registrierung bei PayRecover automatisch in Kraft.

(2) Änderungen dieses AVV bedürfen der Schriftform.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(4) Es gilt das Recht des Königreichs Spanien. Die Bestimmungen der DSGVO (EU-Verordnung 2016/679) bleiben unberührt.

Kontakt für Datenschutzfragen

Luca Szentesi
Carrer dels Pins 9
43881 Cunit, Spanien
E-Mail: info@payrecover.de

Stand: März 2026