Auftragsverarbeitungsvertrag (AVV)

Stand: 13. Dezember 2024

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter (AbnahmePilot / Ivan Pervushin) verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Kunde) im Rahmen der Nutzung der Software "AbnahmePilot" zur Erstellung und Verwaltung von Bauabnahme-Protokollen.

(2) Die Verarbeitung beginnt mit der Registrierung des Kunden und endet mit der vollständigen Löschung aller Daten nach Vertragsbeendigung (max. 30 Tage nach Kündigung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung und Verwaltung von Abnahmeprotokollen
• Speicherung von Fotodokumentationen (inkl. automatischer Gesichtsunkenntlichmachung)
• Synchronisation von Daten zwischen Geräten und Cloud
• Erstellung und Versand von PDF-Dokumenten
• Backup und Archivierung gemäß gesetzlicher Aufbewahrungsfristen

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

• Stammdaten: Name, Anschrift, E-Mail-Adresse, Telefonnummer
• Protokolldaten: Namen der Abnahmeteilnehmer, Unterschriften
• Bilddaten: Fotos von Baustellen (automatische Gesichtsunkenntlichmachung aktiviert)
• Nutzungsdaten: Login-Zeiten, Geräte-IDs, IP-Adressen

§ 4 Kategorien betroffener Personen

• Mitarbeiter des Kunden (Bauleiter, Poliere, Architekten)
• Geschäftspartner des Kunden (Auftraggeber, Subunternehmer)
• Abnahmeteilnehmer (Bauherren, Vertreter)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Daten nur nach dokumentierter Weisung des Verantwortlichen zu verarbeiten
• Zur Vertraulichkeit verpflichtete Personen einzusetzen
• Geeignete technische und organisatorische Maßnahmen zu ergreifen
• Weitere Auftragsverarbeiter nur mit Genehmigung einzusetzen
• Den Verantwortlichen bei Betroffenenrechten zu unterstützen
• Datenschutzverletzungen unverzüglich zu melden (max. 24 Stunden)
• Nach Beendigung alle Daten zu löschen oder zurückzugeben

§ 6 Technische und organisatorische Maßnahmen

Folgende Maßnahmen werden zum Schutz der Daten ergriffen:

Vertraulichkeit

• Verschlüsselung aller Daten bei Übertragung (TLS 1.3)
• Verschlüsselung ruhender Daten (AES-256)
• Zugriffskontrolle durch Authentifizierung
• Strikte Mandantentrennung (Row Level Security)

Integrität

• Eingabevalidierung und Protokollierung
• Audit-Trail für alle Änderungen
• Automatische Backups

Verfügbarkeit

• Hosting in ISO 27001 zertifizierten Rechenzentren (Hetzner, Deutschland)
• Redundante Datenspeicherung
• Disaster-Recovery-Konzept

§ 7 Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt:

Der Verantwortliche stimmt dem Einsatz der genannten Unterauftragsverarbeiter zu. Bei Änderungen wird der Verantwortliche vorab informiert und hat ein Widerspruchsrecht.

§ 8 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen. Der Auftragsverarbeiter stellt hierfür alle erforderlichen Informationen zur Verfügung.

§ 9 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Der Auftragsverarbeiter haftet für Schäden, die durch eine nicht den Weisungen des Verantwortlichen entsprechende Verarbeitung oder durch Verstoß gegen die DSGVO entstehen.

§ 10 Schlussbestimmungen

(1) Änderungen dieses Vertrags bedürfen der Schriftform.

(2) Es gilt das Recht der Bundesrepublik Deutschland.

(3) Dieser AVV tritt mit Nutzung der Software automatisch in Kraft.