Auftragsverarbeitungsvertrag (AVV)

📋 Hinweis zum Vertragsschluss

Dieser Vertrag zur Auftragsverarbeitung wird elektronisch geschlossen. Durch Aktivierung des entsprechenden Pflicht-Häkchens bei der Registrierung bestätigt der Auftraggeber, diesen AVV vollständig gelesen zu haben und dem Abschluss dieses Vertrages zuzustimmen.

Datum und Uhrzeit des Vertragsschlusses werden automatisch gespeichert und dienen als rechtssicherer Nachweis gemäß Art. 28 DSGVO.

Vertragsparteien

Auftraggeber Verantwortlicher

Der registrierte SaaS-Nutzer von Voilà Rechnungsstellung
(identifiziert durch die bei Registrierung angegebene E-Mail-Adresse)

Der Auftraggeber ist die natürliche oder juristische Person, die die Voilà-Software zur Verarbeitung personenbezogener Daten (insbesondere Kundendaten) nutzt und damit als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO handelt.

Auftragnehmer Auftragsverarbeiter

nolte-apps (Angelina Nolte)
63329 Egelsbach
Deutschland
E-Mail: info@nolte-apps.de

Der Auftragnehmer ist der Anbieter der Voilà Rechnungsstellungssoftware und handelt als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO.

§ 1 Gegenstand und Laufzeit der Verarbeitung

Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer bei der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Voilà Rechnungsstellungssoftware (nachfolgend „Software" oder „Dienst").

Laufzeit: Dieser AVV tritt mit dem Abschluss des Nutzungsvertrags (Registrierung) in Kraft und endet automatisch mit Beendigung des Nutzungsvertrags. Er verlängert sich automatisch entsprechend der Laufzeit des Nutzungsvertrags.

§ 2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen und auf dokumentierte Weisung des Auftraggebers.

📋 Art der Verarbeitung

• Speicherung und Verwaltung von Kundendaten
• Erstellung und Verwaltung von Rechnungen
• Elektronischer Versand von Rechnungen per E-Mail
• Verarbeitung von Zahlungsinformationen
• Erstellung von PDF-Dokumenten
• Datenexport und -sicherung

🎯 Zweck der Verarbeitung

• Betrieb der SaaS-Rechnungsstellungssoftware
• Unterstützung des Auftraggebers bei der Rechnungsstellung
• Bereitstellung von Funktionen zur Kundenverwaltung
• Automatisierte Mahnwesen-Funktionen
• Technischer Support und Wartung

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

3.1 Betroffene Personen

• Kunden und Geschäftspartner des Auftraggebers (Rechnungsempfänger)
• Der Auftraggeber selbst (Nutzerkonto, Firmendaten)

3.2 Kategorien personenbezogener Daten

Datenkategorie	Beispiele
Stammdaten	Name, Firmenname, Anschrift, Kundennummer
Kontaktdaten	E-Mail-Adresse, Telefonnummer
Steuerliche Daten	USt-IdNr., Steuernummer
Rechnungsdaten	Leistungsbeschreibungen, Beträge, Rechnungsnummern, Zahlungsstatus
Bankverbindung	IBAN, BIC (nur vom Auftraggeber eingetragen)
Zugangsdaten	E-Mail-Adresse des Nutzers, verschlüsseltes Passwort

§ 4 Pflichten des Auftragnehmers

Der Auftragnehmer (nolte-apps) verpflichtet sich:

Zweckbindung

Personenbezogene Daten ausschließlich gemäß dieser Vereinbarung und den Weisungen des Auftraggebers zu verarbeiten.

Vertraulichkeit

Sämtliche mit der Datenverarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten und über die datenschutzrechtlichen Anforderungen zu belehren.

Datensicherheit

Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu implementieren und aufrechtzuerhalten (siehe §6).

Meldepflicht bei Datenpannen

Den Auftraggeber unverzüglich (innerhalb von 72 Stunden) über Datenschutzverletzungen gemäß Art. 33 DSGVO zu informieren, soweit diese die verarbeiteten Daten des Auftraggebers betreffen.

Unterstützungspflichten

Den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) sowie bei der Erstellung von Datenschutz-Folgeabschätzungen (Art. 35 DSGVO) soweit möglich zu unterstützen.

Dokumentation

Die Einhaltung aller Datenschutzpflichten zu dokumentieren und dem Auftraggeber auf Anfrage nachzuweisen.

§ 5 Weisungsrecht des Auftraggebers

Grundsatz: Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers gemäß Art. 28 Abs. 3 lit. a DSGVO.

• Weisungen können schriftlich per E-Mail an info@nolte-apps.de erteilt werden.
• Der Auftragnehmer setzt Weisungen des Auftraggebers unverzüglich um.
• Widerspricht eine Weisung datenschutzrechtlichen Vorschriften, informiert der Auftragnehmer den Auftraggeber unverzüglich darüber.
• Die Nutzung der Software-Funktionen (z. B. Dateneingabe, Export, Löschung) gilt als dokumentierte Weisung im Sinne dieser Vereinbarung.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer implementiert gemäß Art. 32 DSGVO folgende Maßnahmen zum Schutz der verarbeiteten Daten:

🔒 Vertraulichkeit

• TLS-Verschlüsselung (min. TLS 1.2) aller Datenübertragungen
• Verschlüsselte Datenspeicherung auf dem Server
• Passwort-Hashing mit sicheren Algorithmen (bcrypt)
• Zugangskontrolle durch Authentifizierung
• Rollenbasiertes Zugriffskonzept
• Automatische Sitzungsabmeldung nach Inaktivität

🛡️ Integrität

• Eingabevalidierung und SQL-Injection-Schutz
• CSRF-Schutz durch Token-Verfahren
• Regelmäßige Sicherheitsupdates der Softwarekomponenten
• Protokollierung von Zugriffen und Änderungen
• Schutz vor Cross-Site-Scripting (XSS)

⚡ Verfügbarkeit

• Regelmäßige automatische Datensicherungen (Backups)
• Server-Hosting in Deutschland
• Angestrebte Verfügbarkeit: 99,5 %
• Wiederherstellungsverfahren bei Datenverlust

🔍 Belastbarkeit & Prüfbarkeit

• Regelmäßige Überprüfung der Sicherheitsmaßnahmen
• Incident-Response-Prozess bei Datenpannen
• Dokumentation aller datenschutzrelevanten Vorgänge
• Pseudonymisierung wo technisch sinnvoll möglich

§ 7 Unterauftragnehmer (Sub-Auftragsverarbeiter)

Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragnehmern (Art. 28 Abs. 2 DSGVO). Der Auftragnehmer setzt derzeit folgende Unterauftragnehmer ein:

Resend (E-Mail-Versand)

USA — SCCs

Anbieter: Resend Inc., USA
Zweck: Transaktionaler Versand von Rechnungs-E-Mails und Benachrichtigungen
Übertragene Daten: Empfänger-E-Mail-Adresse, Betreff, E-Mail-Inhalt
Rechtsgrundlage für Drittlandübermittlung: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO

Stripe Inc. (Zahlungsverarbeitung)

USA — SCCs

Anbieter: Stripe Inc., USA (EU-Niederlassung: Stripe Payments Europe Ltd., Irland)
Zweck: Verarbeitung von Zahlungen für Abonnements (nur bei zahlungspflichtigen Plänen)
Übertragene Daten: Rechnungsdaten, Zahlungsinformationen des Nutzers
Rechtsgrundlage für Drittlandübermittlung: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO

Hosting / Infrastruktur (PocketBase)

Deutschland 🇩🇪

Zweck: Betrieb der Datenbankinfrastruktur (selbst gehostete PocketBase-Instanz)
Standort: Deutschland (europäisches Rechenzentrum)
Übertragene Daten: Alle im Rahmen der Softwarenutzung gespeicherten Daten

Änderungen: Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen bezüglich der Unterauftragnehmer. Der Auftraggeber hat das Recht, Änderungen innerhalb von 14 Tagen zu widersprechen.

§ 8 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen gemäß Art. 15–22 DSGVO:

Art. 15 — Auskunftsrecht:

Datenabruf aus der Software jederzeit möglich

Art. 16 — Berichtigung:

Korrekturen direkt durch den Auftraggeber in der Software

Art. 17 — Löschung:

Löschfunktionen in der Software; vollständige Löschung auf Anfrage

Art. 20 — Datenportabilität:

Export-Funktion für alle gespeicherten Daten

Anfragen betroffener Personen, die direkt beim Auftragnehmer eingehen, werden unverzüglich an den Auftraggeber weitergeleitet.

§ 9 Löschung und Rückgabe nach Vertragsende

Datenexport vor Kündigung

Der Auftraggeber kann bis zu 30 Tage nach Kündigung alle seine Daten aus der Software exportieren — u. a. als CSV (inkl. DATEV-kompatibler Buchungs-Export), JSON, PDF sowie XRechnung-XML für einzelne Rechnungen, soweit die Funktionen im Produkt zur Verfügung stehen.

Löschung nach Ablauf

Nach Ablauf der 30-tägigen Export-Frist werden alle personenbezogenen Daten des Auftraggebers und seiner Kunden unwiederbringlich gelöscht oder anonymisiert. Dies umfasst auch Backups.

Gesetzliche Aufbewahrungspflichten

Daten, die gesetzlichen Aufbewahrungsfristen (z. B. § 147 AO, § 257 HGB) unterliegen, werden entsprechend den gesetzlichen Vorgaben aufbewahrt und danach gelöscht. Der Auftragnehmer informiert den Auftraggeber über solche Ausnahmen.

Nachweis der Löschung

Auf Anfrage stellt der Auftragnehmer eine schriftliche Bestätigung der vollständigen Datenlöschung aus.

§ 10 Haftung, anwendbares Recht und Schlussbestimmungen

⚖️ Haftung

Auftraggeber und Auftragnehmer haften für Verstöße gegen datenschutzrechtliche Vorschriften gemäß Art. 82 DSGVO. Die Haftung des Auftragnehmers beschränkt sich auf den Schaden, der durch einen Verstoß gegen die spezifisch dem Auftragnehmer nach diesem Vertrag auferlegten Pflichten verursacht wurde. Im Übrigen gelten die Haftungsregelungen aus den AGB.

• Anwendbares Recht: Deutsches Recht und die DSGVO
• Gerichtsstand: Es gelten die gesetzlichen Regelungen.
• Schriftform: Änderungen dieses Vertrags bedürfen der Textform (E-Mail genügt).
• Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein, bleibt der Rest des Vertrags wirksam.
• Vorrang: Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV für datenschutzrechtliche Fragen Vorrang.

📬 Kontakt für datenschutzrechtliche Anfragen

Bei Fragen zu diesem AVV oder datenschutzrechtlichen Angelegenheiten wenden Sie sich an:
nolte-apps (Angelina Nolte)
E-Mail: info@nolte-apps.de
63329 Egelsbach, Deutschland

Stand: März 2026
Version: 1.0
Rechtsgrundlage: Art. 28 DSGVO
Vertragsschluss: Elektronisch durch Aktivierung des Pflicht-Häkchens bei der Registrierung; Datum und Uhrzeit werden gespeichert.