Vertrag zur Auftragsverarbeitung (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) | Stand: Februar 2026
Hinweis: Dieser AVV ist integraler Bestandteil des Nutzungsvertrages (AGB) zwischen Ihnen und Meister Weber. Durch die Nutzung der Aufmaß App im Rahmen eines entgeltlichen Tarifs stimmen Sie den Bedingungen dieses AVV zu. Dieser AVV gilt ab dem Zeitpunkt der Freischaltung Ihres kostenpflichtigen Accounts.
Präambel
Der Auftraggeber (Nutzer der Aufmaß App, im Folgenden „Verantwortlicher") beauftragt den Auftragnehmer (Meister Weber, Andreas Weber, im Folgenden „Auftragsverarbeiter") mit der Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO. Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit dieser Auftragsverarbeitung gemäß Art. 28 DSGVO.
§ 1 – Gegenstand und Dauer der Verarbeitung
Gegenstand der Auftragsverarbeitung ist die Bereitstellung der Aufmaß App als SaaS-Dienst (Software-as-a-Service), über den der Verantwortliche personenbezogene Daten seiner Kunden (Endkunden, Bauherren, Auftraggeber) verarbeitet.
Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrages. Nach Vertragsende werden die Daten gemäß § 9 dieses Vertrages gelöscht oder zurückgegeben.
§ 2 – Art und Zweck der Verarbeitung
| Kategorie | Details |
|---|---|
| Art der Verarbeitung | Erhebung, Speicherung, Übermittlung, Strukturierung, Abruf, Verwendung, Löschung von personenbezogenen Daten im Rahmen der App-Nutzung |
| Zweck | Aufmaß-Erfassung, Projektdokumentation, Dateiexport (PDF, Excel), Übermittlung an ERP-Systeme (z. B. FenOffice NG, Klaes, Cobus Adulo, MFR, Odoo) im Auftrag und nach Weisung des Verantwortlichen |
| Kategorien betroffener Personen | Kunden und Geschäftspartner des Verantwortlichen (Bauherren, Endkunden, Auftraggeber) |
| Kategorien personenbezogener Daten | Name, Anschrift, Kontaktdaten (Telefon, E-Mail), Projektdaten, Adress- und Gebäudedaten, Fotografien von Gebäuden/Objekten |
| Besondere Kategorien | Keine (keine Verarbeitung besonderer Kategorien gem. Art. 9 DSGVO vorgesehen) |
§ 3 – Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere:
- Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist rechtlich dazu verpflichtet; in diesem Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.
- Sicherzustellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
- Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe § 7 dieses Vertrages).
- Die in § 4 festgelegten Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragsverarbeiter) einzuhalten.
- Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung soweit möglich mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seine Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person zu erfüllen.
- Den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten zu unterstützen.
- Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen.
§ 4 – Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO)
Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Er informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern und gibt dem Verantwortlichen damit die Möglichkeit, Einwände gegen derartige Änderungen zu erheben.
Aktuell eingesetzte Unterauftragsverarbeiter:
all-inkl.com – Neue Medien Münnich (Webhosting)
Inhaber: René Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland
Datenschutz: all-inkl.com/datenschutzinformationen/
Zweck: Hosting der Marketing-Website (aufmass-app.com) – Serverstandort: Deutschland (EU)
Rechtsgrundlage: Art. 28 DSGVO – AVV mit all-inkl.com abgeschlossen
OpenAI, LLC (nur bei Nutzung der KI-Funktionen)
3180 18th Street, San Francisco, CA 94110, USA
Zweck: KI-gestützte Texterkennung und Bildanalyse (nur bei Nutzung entsprechender optionaler App-Funktionen)
Transfermechanismus: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Google LLC (nur bei Nutzung der KI-Funktionen)
1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Zweck: KI-gestützte Datenanalyse (Gemini API, nur bei Nutzung entsprechender optionaler App-Funktionen)
Transfermechanismus: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
§ 5 – Weisungsrecht des Verantwortlichen
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Grundlage der Dokumentierten Weisungen des Verantwortlichen. Die grundlegenden Weisungen sind in diesem Vertrag (§ 2) festgelegt. Weitergehende Einzelweisungen können schriftlich oder in Textform (z. B. per E-Mail) erteilt werden.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.
§ 6 – Pflichten des Verantwortlichen
Der Verantwortliche (Nutzer) trägt die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung. Er verpflichtet sich insbesondere:
- Sicherzustellen, dass eine geeignete Rechtsgrundlage für die Verarbeitung der in die App eingegebenen Personendaten seiner Kunden existiert.
- Den Auftragsverarbeiter unverzüglich zu informieren, wenn er bei der Prüfung der Aufträge Fehler oder Unregelmäßigkeiten feststellt.
- Seine Kunden (betroffene Personen) über die Weitergabe ihrer Daten an den Auftragsverarbeiter im Rahmen der eigenen Datenschutzerklärung zu informieren.
§ 7 – Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)
Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten:
Vertraulichkeit
- Zugriffskontrolle (passwortgeschützte Accounts)
- Zugriff nur für autorisiertes Personal
- Verschlüsselung der Datenübertragung (TLS/SSL)
Integrität
- Protokollierung von Zugriffen
- Eingabekontrolle (Validierung)
- Übertragungsverschlüsselung
Verfügbarkeit
- Regelmäßige Datensicherungen (Backups)
- Backup-Retention: 90 Tage
- Serverstandort: EU
Belastbarkeit / Wiederherstellung
- Offline-Fähigkeit der App (PWA)
- Wiederherstellungsverfahren nach Zwischenfall
- Regelmäßige Überprüfung der Maßnahmen
§ 8 – Meldepflicht bei Datenpannen (Art. 33, 34 DSGVO)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 33 und 34 DSGVO (Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten). Er meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden per E-Mail an die im Konto hinterlegte E-Mail-Adresse.
Die Meldung enthält mindestens die Art der Verletzung, die Kategorien der betroffenen Daten, die Anzahl der betroffenen Personen sowie die ergriffenen Abhilfemaßnahmen.
§ 9 – Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Nutzungsvertrages oder auf Anforderung des Verantwortlichen werden alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, wie folgt behandelt:
- Auf Wunsch des Verantwortlichen: Herausgabe in einem maschinenlesbaren Format (z. B. JSON, CSV, PDF-Export) innerhalb von 30 Tagen nach Anforderung.
- Anschließende Löschung aus den aktiven Systemen innerhalb von 30 Tagen nach Vertragsende oder nach Herausgabe.
- Löschung aus den Backup-Systemen innerhalb von 90 Tagen nach der aktiven Löschung.
- Gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters bleiben unberührt (z. B. steuerrechtliche Belege aus der Abrechnung).
§ 10 – Kontakt und Ansprechpartner
Auftragsverarbeiter (Ansprechpartner für Datenschutzfragen):
Meister Weber, Andreas Weber
Hauptstraße 25, 36157 Ebersburg
E-Mail: andreas@meister-weber.de
Telefon: +49 6656 432 9807
§ 11 – Schlussbestimmungen
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Sollte eine Bestimmung unwirksam sein, bleibt die Gültigkeit der übrigen Bestimmungen unberührt. Änderungen dieses AVV bedürfen der Textform. Bei Widersprüchen zwischen diesem AVV und den AGB hat dieser AVV in Bezug auf datenschutzrechtliche Aspekte Vorrang.
Dieser AVV gilt als mit dem Abschluss des Nutzungsvertrages (Aktivierung eines kostenpflichtigen Accounts) vereinbart und ist nach Art. 28 Abs. 3 DSGVO in schriftlicher Form in elektronischer Gestalt abgeschlossen.