AVV
Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Stand: Mai 2026
zwischen
dem Kunden gemäß Hauptvertrag und Account-Stammdaten in der Anwendung Billendo
– nachfolgend „Auftraggeber“ oder „Verantwortlicher“ –
und
Vehicleimagery LM UG (haftungsbeschränkt)
Schlossplatz 1, 67292 Kirchheimbolanden, Deutschland
vertreten durch den Geschäftsführer Jason Lohre
– nachfolgend „Auftragnehmer“ –
– jeweils einzeln „Partei“, gemeinsam „Parteien“ genannt –
§ 1 Gegenstand, Dauer und Begriffe
(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien, die sich aus der zwischen ihnen geschlossenen Vereinbarung über die Nutzung der Software Billendo (nachfolgend „Hauptvertrag“) ergeben. Er gilt für alle Tätigkeiten, bei denen der Auftragnehmer für den Auftraggeber personenbezogene Daten im Sinne der DSGVO verarbeitet.
(2) Gegenstand des Auftrags ist die Bereitstellung der Software-as-a-Service-Lösung Billendo zur Erstellung und Verwaltung von Rechnungen, Angeboten, Belegen und Stammdaten sowie zur kaufmännischen und buchhalterischen Verarbeitung. Der konkrete Leistungsumfang ergibt sich aus dem Hauptvertrag, einsehbar unter https://billendo.com/agb.
(3) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrags. Endet der Hauptvertrag, endet auch dieser AVV automatisch. Verpflichtungen, die ihrer Natur nach fortbestehen (insbesondere Vertraulichkeit, Löschung, Rückgabe), bleiben hiervon unberührt.
(4) Begriffe im Sinne dieses AVV entsprechen den Definitionen der DSGVO. Insbesondere ist der Auftraggeber „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO und der Auftragnehmer „Auftragsverarbeiter“ im Sinne von Art. 4 Nr. 8 DSGVO.
§ 2 Art, Zweck und Umfang der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen. Die Verarbeitung umfasst insbesondere:
Speicherung, Veränderung und Übermittlung von Rechnungs- und Angebotsdaten;
Erstellung und Übermittlung elektronischer Rechnungen (XRechnung, ZUGFeRD);
Speicherung, Auslesen und Kategorisierung von Belegen (inkl. OCR-Verarbeitung);
Verwaltung von Kontakt- und Stammdaten (Kunden, Lieferanten, Produkte);
Bereitstellung von Buchhaltungs-, Reporting- und Exportfunktionen (insb. DATEV);
Technische Wartung, Fehlerbehebung und Support;
Erstellung und Aufbewahrung von Sicherungskopien (Backups).
§ 3 Art der personenbezogenen Daten
Im Rahmen der Auftragsverarbeitung können folgende Datenkategorien verarbeitet werden:
Kontaktdaten (Name, Anschrift, E-Mail, Telefonnummer);
Geschäftliche Daten (Firmenname, Rechtsform, USt-IdNr., Steuernummer, Bankverbindung);
Rechnungs- und Vertragsdaten (Beträge, Positionen, Leistungsdatum, Zahlungsstatus);
Belegdaten (eingescannte oder hochgeladene Dokumente, OCR-Extrakte);
Notizen, Freitextfelder und Anhänge des Auftraggebers;
Account- und Nutzungsdaten der Mitarbeiter des Auftraggebers (E-Mail, Login-Zeiten, IP-Adresse).
§ 4 Kategorien betroffener Personen
Betroffen von der Verarbeitung sind insbesondere folgende Personengruppen:
Kunden und Geschäftspartner des Auftraggebers;
Lieferanten und Dienstleister des Auftraggebers;
Mitarbeiterinnen und Mitarbeiter des Auftraggebers, die die Software nutzen;
Sonstige Personen, deren Daten der Auftraggeber in der Software speichert.
§ 5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Als dokumentierte Weisung gelten dieser AVV sowie der Hauptvertrag einschließlich der dort verlinkten Leistungsbeschreibungen. Einzelweisungen erfolgen in Textform (§ 126b BGB).
(2) Ist der Auftragnehmer der Auffassung, dass eine Weisung des Auftraggebers gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Bis zur Bestätigung oder Änderung der Weisung ist der Auftragnehmer berechtigt, deren Ausführung auszusetzen.
(3) Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen nachweisbar zur Vertraulichkeit oder stellt sicher, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des jeweiligen Beschäftigungsverhältnisses fort.
(4) Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO und passt diese dem Stand der Technik fortlaufend an. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt.
(5) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des technisch Möglichen und unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung der Rechte betroffener Personen (Art. 12 bis 22 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO.
(6) Nach Beendigung der Erbringung der Verarbeitungsleistungen werden die personenbezogenen Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur weiteren Speicherung besteht. Die Bestimmungen aus § 7 der AGB des Auftragnehmers (Aufbewahrung von 90 Tagen sowie gesetzliche Aufbewahrungspflichten) bleiben unberührt.
(7) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
§ 6 Pflichten des Auftraggebers
(1) Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich. Er trägt insbesondere Sorge für eine wirksame Rechtsgrundlage der Verarbeitung sowie für die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO gegenüber den Betroffenen.
(2) Der Auftraggeber benennt – soweit erforderlich – einen Ansprechpartner für datenschutzrechtliche Fragen, der dem Auftragnehmer im Rahmen der Auftragsabwicklung zur Verfügung steht.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Auftragsverarbeitung feststellt.
§ 7 Unterauftragsverhältnisse
(1) Der Auftraggeber stimmt der Einschaltung der in Anlage 2 aufgeführten Unterauftragnehmer zu. Mit diesen Unterauftragnehmern hat der Auftragnehmer Verträge nach Art. 28 DSGVO geschlossen, die ein dem vorliegenden AVV vergleichbares Datenschutzniveau gewährleisten.
(2) Der Auftragnehmer informiert den Auftraggeber rechtzeitig in Textform über jede beabsichtigte Hinzuziehung weiterer Unterauftragnehmer oder deren Austausch. Der Auftraggeber kann der Veränderung innerhalb einer Frist von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Zustimmung als erteilt.
(3) Im Falle eines berechtigten Widerspruchs sind die Parteien berechtigt, den Hauptvertrag mit angemessener Frist außerordentlich zu kündigen, sofern eine einvernehmliche Lösung nicht innerhalb von 30 Tagen erzielt werden kann.
(4) Reine Hilfsdienstleistungen (z. B. Telekommunikation, Reinigung, Postdienste, Bewachung, Wartung von Endgeräten) gelten nicht als Unterauftragsverhältnis im Sinne dieses §. Der Auftragnehmer trägt jedoch dafür Sorge, dass auch dabei der Schutz personenbezogener Daten gewährleistet ist.
§ 8 Übermittlung in Drittländer
(1) Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums findet nur statt, soweit die Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind. Dies betrifft insbesondere den Einsatz des Unterauftragnehmers Cloudflare, Inc. (siehe Anlage 2).
(2) Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage
des Angemessenheitsbeschlusses der EU-Kommission im Rahmen des EU-US Data Privacy Framework vom 10. Juli 2023; und
der EU-Standardvertragsklauseln (Standard Contractual Clauses, Beschluss 2021/914 der EU-Kommission) gemäß Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Absicherung;
ergänzt um geeignete technische und organisatorische Maßnahmen, insbesondere Verschlüsselung der Übertragung (TLS) und der ruhenden Daten.
(3) Eine Kopie der vereinbarten Garantien stellt der Auftragnehmer dem Auftraggeber auf Anfrage zur Verfügung.
§ 9 Behördliche Anfragen und Auskunftsersuchen
(1) Wird der Auftragnehmer von einer staatlichen Behörde oder einem Gericht zur Herausgabe personenbezogener Daten des Auftraggebers verpflichtet, wird er den Auftraggeber unverzüglich darüber informieren, soweit dies rechtlich zulässig ist.
(2) Der Auftragnehmer wird in solchen Fällen prüfen, ob er Rechtsbehelfe gegen die Anordnung einlegen kann, und insbesondere prüfen, ob die Anordnung mit den Anforderungen der DSGVO und der einschlägigen Drittlandvorschriften (insbesondere im Hinblick auf US-Behördenzugriffe) vereinbar ist.
(3) Die Übermittlung erfolgt im jeweils gesetzlich erforderlichen Umfang und unter Berücksichtigung der Interessen des Auftraggebers und der betroffenen Personen.
§ 10 Meldung von Datenschutzverletzungen
(1) Der Auftragnehmer benachrichtigt den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO, die den Auftraggeber betrifft. Der Auftragnehmer trägt damit Sorge, dass der Auftraggeber seinerseits die Meldefrist von 72 Stunden gegenüber der Aufsichtsbehörde einhalten kann.
(2) Die Meldung enthält mindestens folgende Informationen, soweit verfügbar:
eine Beschreibung der Art der Verletzung sowie – soweit möglich – die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze;
Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(3) Sind die genannten Informationen zum Zeitpunkt der ersten Meldung nicht vollständig verfügbar, werden sie ohne unangemessene Verzögerung nachgereicht.
§ 11 Kontroll- und Auditrechte
(1) Der Auftraggeber überzeugt sich vor Beginn der Verarbeitung und sodann in angemessenen Zeitabständen von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen. Der Nachweis kann auch durch aktuelle Testate, Berichte oder Zertifikate unabhängiger Stellen erbracht werden.
(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage in Textform Informationen über die getroffenen Maßnahmen zur Verfügung. Vor-Ort-Kontrollen sind nach vorheriger Abstimmung und mit einer Vorankündigung von mindestens 30 Tagenwährend der üblichen Geschäftszeiten möglich. Sie dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig stören.
(3) Vor-Ort-Kontrollen sind grundsätzlich auf höchstens eine Kontrolle pro Kalenderjahr begrenzt, sofern nicht ein konkreter Anlass eine zusätzliche Kontrolle rechtfertigt. Die Kosten einer Vor-Ort-Kontrolle trägt der Auftraggeber, es sei denn, die Kontrolle deckt einen vom Auftragnehmer zu vertretenden Verstoß auf.
(4) Der Auftragnehmer kann externe Prüfer angemessen zur Verschwiegenheit verpflichten und Mitarbeiter und Berater von direktem Wettbewerb des Auftragnehmers als Prüfer ablehnen.
§ 12 Haftung
(1) Für die Haftung der Parteien gegenüber betroffenen Personen gilt Art. 82 DSGVO.
(2) Im Innenverhältnis der Parteien gelten ergänzend die Haftungsregelungen des Hauptvertrags. Die Haftungsbeschränkungen des Hauptvertrags finden auch auf die Haftung im Rahmen dieses AVV Anwendung, soweit nicht zwingende gesetzliche Vorschriften entgegenstehen.
§ 13 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. An die Stelle der unwirksamen Bestimmung tritt diejenige wirksame und durchführbare Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung dieses Textformerfordernisses.
(3) Im Falle eines Widerspruchs zwischen den Regelungen dieses AVV und denen des Hauptvertrags gehen die Regelungen dieses AVV in Fragen der Auftragsverarbeitung vor.
(4) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
(5) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Kirchheimbolanden, sofern beide Parteien Unternehmer sind.