Rechtliches
Auftragsverarbeitungsvertrag (AVV)
Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO. Dieser AVV gilt als Bestandteil der AGB für Geschäftskunden automatisch mit Vertragsschluss als vereinbart.
Stand: 2026-07-17
Zwischen dem Kunden (nachfolgend „Auftraggeber") und der VIBOA UG (haftungsbeschränkt), Kopernikusstr. 14, 30167 Hannover (nachfolgend „Auftragnehmer"). Er ergänzt die AGB und geht diesen bei Widersprüchen in Datenschutzfragen vor.
§ 1 Gegenstand und Dauer
(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der normbill API.
(2) Die Dauer entspricht der Laufzeit des Hauptvertrags. Mit Beendigung des Hauptvertrags endet auch dieser AVV.
§ 2 Art und Zweck der Verarbeitung
Verarbeitet werden Rechnungsdaten, die der Auftraggeber über die API übermittelt, ausschließlich zum Zweck der Erzeugung und Validierung elektronischer Rechnungsdokumente (derzeit XRechnung/UBL 2.1). Die Verarbeitung erfolgt flüchtig und anfragebezogen: Rechnungsinhalte werden nicht gespeichert, nicht protokolliert und nach Abschluss der jeweiligen Anfrage verworfen. Gespeichert werden ausschließlich Konto-, Schlüssel- und Nutzungsmetadaten des Auftraggebers.
§ 3 Art der Daten und Kategorien betroffener Personen
Art der Daten (soweit in Rechnungsdaten enthalten):
- Namen und Firmierungen,
- Anschriften und Kontaktdaten (E-Mail, Telefon),
- Steuer- und Umsatzsteuer-Identifikationsnummern,
- Bankverbindungsdaten (IBAN, BIC),
- Leistungs- und Abrechnungsdaten (Positionen, Beträge, Referenzen).
Kategorien betroffener Personen: Kunden und Lieferanten des Auftraggebers sowie deren Ansprechpartner und Beschäftigte, ferner Beschäftigte des Auftraggebers, soweit sie in Rechnungsdaten genannt sind.
§ 4 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Transportverschlüsselung (TLS) für sämtliche Verbindungen,
- Verschlüsselung gespeicherter Kontodaten at rest,
- keine Persistierung von Rechnungsinhalten; Log-Redaktion (Request-/Response-Inhalte und Authentifizierungs-Header werden aus Logs ausgeschlossen),
- API-Schlüssel ausschließlich als kryptographischer Hash (SHA-256) gespeichert,
- Passwörter ausschließlich als Hash gespeichert,
- Hosting der API-Infrastruktur in der EU (Hetzner, Deutschland),
- Offsite-Backup von Konto-/Nutzungsmetadaten auf Hetzner Storage Box (ohne Rechnungsinhalte),
- Zugriffs- und Berechtigungskonzept nach dem Need-to-know-Prinzip,
- Mandantentrennung auf Organisationsebene.
Der Auftragnehmer darf die Maßnahmen fortentwickeln, sofern das Schutzniveau nicht unterschritten wird.
§ 5 Weisungsrecht
Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers; die Nutzung der API und ihrer Parameter gilt als Weisung. Hält der Auftragnehmer eine Weisung für datenschutzrechtlich unzulässig, informiert er den Auftraggeber unverzüglich.
§ 6 Unterauftragsverarbeiter
Der Auftraggeber erteilt die allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Leistung | Ort der Verarbeitung |
|---|---|---|
| Hetzner Online GmbH | Hosting der API-Infrastruktur (Falkenstein) sowie offsite-Backup der Konto-/Nutzungsmetadaten (Storage Box, EU-Central) | Deutschland / EU |
| Neon Inc. | Datenbank-Hosting (Konto-, Schlüssel- und Nutzungsmetadaten; PITR) | EU-Region Frankfurt; US-Muttergesellschaft (SCCs/DPF) |
| Vercel Inc. | Hosting der Website und des Dashboards | EU/USA (EU-Region konfiguriert; SCCs/DPF) |
| Stripe Payments Europe Ltd. / Stripe Inc. | Zahlungsabwicklung und Abonnement-Verwaltung (nur Abrechnungsdaten, keine Rechnungsinhalte) | EU/USA (SCCs/DPF) |
| Resend Inc. | Transaktionale E-Mails (Verifikation, Passwort-Reset; nur Kontodaten) | EU/USA (SCCs/DPF) |
Beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) teilt der Auftragnehmer vorab in Textform mit; der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Rechnungsinhalte aus API-Aufrufen verarbeitet ausschließlich die Infrastruktur bei Hetzner in Deutschland.
§ 7 Löschung und Rückgabe
(1) Rechnungsinhalte werden systembedingt nicht gespeichert und sind mit Abschluss der jeweiligen Anfrage gelöscht; eine gesonderte Löschung oder Rückgabe nach Vertragsende ist insoweit nicht erforderlich.
(2) Konto- und Nutzungsmetadaten löscht der Auftragnehmer nach Beendigung des Hauptvertrags, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
§ 8 Unterstützungspflichten
Der Auftragnehmer unterstützt den Auftraggeber in angemessenem Umfang bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO) sowie der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung). Verletzungen des Schutzes personenbezogener Daten meldet der Auftragnehmer dem Auftraggeber unverzüglich.
§ 9 Nachweis- und Auditrechte
Der Auftragnehmer stellt dem Auftraggeber alle zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung. Der Auftraggeber ist berechtigt, die Einhaltung nach angemessener Vorankündigung während der üblichen Geschäftszeiten zu überprüfen oder durch einen zur Verschwiegenheit verpflichteten Dritten überprüfen zu lassen; anerkannte Testate und Zertifizierungen können als Nachweis dienen.
§ 10 Vertraulichkeit
Der Auftragnehmer setzt nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 11 Schlussbestimmungen
Es gilt deutsches Recht. Im Übrigen gelten die Regelungen der AGB. Fragen zu diesem AVV beantworten wir unter support@normbill.com.