BilanQo | E-Rechnung & Buchhaltung für KMU

Stand: 27.02.2026

gemäß Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)

1. Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer (Canteq, Anbieter der SaaS "Bilanqo") führt für den Auftraggeber (Nutzer) die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung der SaaS-Anwendung durch.

(2) Die Dauer dieses Vertrages (AVV) entspricht der Laufzeit des Hauptvertrages über die Nutzung der SaaS-Anwendung.

2. Art und Zweck der Verarbeitung, Art der Daten und Kategorien betroffener Personen

(1) Art und Zweck der Verarbeitung: Bereitstellung einer Cloud-Software zur Erstellung und Verwaltung von Rechnungen, Angeboten, Belegen und damit verbundenen betriebswirtschaftlichen Prozessen.

(2) Art der Daten: Personenstammdaten (Name, Anschrift), Kontaktdaten (E-Mail, Telefon), Vertragsstammdaten, Rechnungsdaten, Buchungsdaten sowie alle vom Auftraggeber in der Software gespeicherten Daten.

(3) Kategorien betroffener Personen: Kunden, Mitarbeiter, Lieferanten und sonstige Geschäftspartner des Auftraggebers.

3. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Die Nutzung der SaaS-Anwendung durch den Auftraggeber gilt als grundlegende Weisung.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten berechtigten Personen zur Vertraulichkeit verpflichtet haben.

(3) Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM).

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person sowie bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.

4. Unterauftragsverhältnisse

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Ein aktuelles Verzeichnis der eingesetzten Unterauftragsverarbeiter (z. B. Hosting-Anbieter) ist in der Datenschutzerklärung einsehbar.

(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung neuer Unterauftragsverarbeiter.

5. Kontrollrechte des Auftraggebers

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen.

6. Löschung und Rückgabe

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

7. Schlussbestimmungen

Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Gesamtvollstreckungsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren.