kostenlose-erechnung.de Logo
Einloggen

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Nutzers.

Auftragnehmer:
Dennis Bär
(Anschrift gemäß Impressum)
– im Folgenden „Anbieter“ –
Auftraggeber:
Nutzer der Plattform „kostenlose-erechnung.de“
– im Folgenden „Nutzer“ –

§ 1 Gegenstand der Verarbeitung

Der Anbieter verarbeitet personenbezogene Daten des Nutzers ausschließlich zur Erbringung des Dienstes „kostenlose-erechnung.de“, nämlich:

  • Erstellung und Anzeige von E-Rechnungen
  • Verwaltung von Kundendaten (Name, Adresse, E-Mail)
  • Bereitstellung eines Dashboards zur Übersicht

§ 2 Art der verarbeiteten Daten

Der Anbieter verarbeitet folgende personenbezogene Daten:

  • Name, Anschrift, E-Mail-Adresse
  • Umsatzsteuer-Identifikationsnummer
  • Kontoinformationen (z.B. IBAN, BIC)
  • Steuernummer
  • Rechnungsdaten (Betrag, Datum, Positionen)
  • Kundendaten (sofern vom Nutzer eingegeben)

§ 3 Dauer der Verarbeitung

Die Daten werden für die Dauer der Nutzung der Plattform gespeichert. Nach Kündigung des Accounts oder auf ausdrücklichen Wunsch des Nutzers werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 4 Verpflichtungen des Anbieters

Der Anbieter verpflichtet sich, die Daten:

  • nur im Rahmen dieses Auftrags zu verarbeiten,
  • durch geeignete technische und organisatorische Maßnahmen (z. B. verschlüsselte Übertragung, Zugriffsschutz) zu schützen,
  • nicht an Dritte weiterzugeben, es sei denn, dies ist für die Vertragserfüllung erforderlich (z. B. Hosting-Partner).

§ 4a Technische und organisatorische Maßnahmen (TOMs)

Der Anbieter hat geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen sind in Anlage 1 zu diesem Vertrag detailliert aufgeführt.

§ 5 Unterauftragnehmer

Zur Erbringung des Dienstes setzt der Anbieter folgende externe Dienstleister ein, die als Unterauftragnehmer im Sinne der DSGVO agieren:

  • Amazon Web Services (AWS), USA – zur Bereitstellung der Serverinfrastruktur und des Datenspeichers
  • Google Ireland Limited, Irland – zur Analyse der Website-Nutzung (Google Analytics)
  • Stripe Payments Europe, Ltd., Irland – zur Abwicklung von Zahlungen
  • Usercentrics A/S, Dänemark – zur Einwilligungsverwaltung (Cookiebot)

Der Anbieter stellt sicher, dass diese Dienstleister die datenschutzrechtlichen Anforderungen der DSGVO erfüllen. Bei der Nutzung dieser Dienste können Daten in Länder außerhalb der EU übertragen werden. Der Anbieter verwendet dafür die Standardvertragsklauseln der EU-Kommission.

§ 6 Rechte des Nutzers

Der Nutzer hat das Recht, Auskunft über die verarbeiteten Daten zu verlangen sowie Berichtigung, Löschung oder Einschränkung der Verarbeitung zu verlangen. Der Anbieter unterstützt den Nutzer dabei nach bestem Wissen.

§ 6a Kontrollrechte des Nutzers

Der Nutzer hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der vertraglichen Vereinbarungen durch den Anbieter zu überprüfen. Da es sich um eine Standard-Software-Lösung (SaaS) handelt, erfolgt der Nachweis der Einhaltung der Pflichten durch den Anbieter in der Regel durch die Bereitstellung geeigneter Nachweise (z. B. aktuelle Testate, Berichte unabhängiger Dritter oder Zertifizierungen). Vor-Ort-Kontrollen sind nur im Einzelfall bei begründetem Verdacht auf schwerwiegende Datenschutzverstöße und nach vorheriger Anmeldung mit angemessener Vorlaufzeit zulässig, um den Betriebsablauf nicht unverhältnismäßig zu stören.

§ 6b Meldung von Datenschutzverstößen

Der Anbieter informiert den Nutzer unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten, die die Daten des Nutzers betreffen. Die Meldung enthält mindestens eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien und der ergriffenen Gegenmaßnahmen.

§ 6c Weisungsbefugnis

Der Anbieter verarbeitet die Daten ausschließlich auf Weisung des Nutzers. Weisungen werden in der Regel durch die Nutzung der Funktionen der Plattform (z. B. Löschen einer Rechnung, Ändern von Kundendaten) erteilt. Einzelweisungen, die über die Funktionalität der Plattform hinausgehen, bedürfen der Textform und können mit zusätzlichen Kosten verbunden sein, sofern sie nicht auf einem Fehlverhalten des Anbieters beruhen.

§ 7 Schlussbestimmungen

Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen. Änderungen bedürfen der Schriftform. Sollte eine Bestimmung unwirksam sein, bleibt der Rest des Vertrags gültig.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Der Anbieter setzt folgende Maßnahmen um, um die Sicherheit der Verarbeitung zu gewährleisten:

  • Vertraulichkeit:
    • Verschlüsselung der Datenübertragung (SSL/TLS).
    • Zugangskontrolle zu den Systemen durch starke Passwörter und ggf. 2-Faktor-Authentifizierung.
    • Berechtigungskonzepte (Zugriff nur für berechtigte Mitarbeiter).
  • Integrität:
    • Schutz vor unbefugter Veränderung durch Protokollierung von Änderungen.
    • Einsatz von Firewalls und Sicherheitsupdates.
  • Verfügbarkeit:
    • Regelmäßige Backups der Datenbanken.
    • Redundante Serverinfrastruktur (AWS) zur Ausfallsicherheit.
    • Notfallpläne zur Wiederherstellung der Verfügbarkeit.
  • Belastbarkeit der Systeme:
    • Regelmäßige Überprüfung der Systemauslastung und Skalierung bei Bedarf.

Anlage 2: Unterauftragnehmer

Der Nutzer stimmt der Beauftragung folgender Unterauftragnehmer zu:

DienstleisterSitzLeistung
Amazon Web Services (AWS)USA / EU (Frankfurt)Hosting, Datenbank, Speicher
Google Ireland LimitedIrlandWebanalyse (Google Analytics)
Stripe Payments Europe, Ltd.IrlandZahlungsabwicklung
Usercentrics A/S (Cookiebot)DänemarkConsent Management

Stand: 3. November 2025