Vertrag zur Auftragsverarbeitung (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) | Stand: Februar 2026
Hinweis: Dieser AVV ist integraler Bestandteil des Nutzungsvertrages (AGB) zwischen Ihnen und Meister Weber. Durch die Nutzung der Aufmaß App im Rahmen eines entgeltlichen Tarifs stimmen Sie den Bedingungen dieses AVV zu. Dieser AVV gilt ab dem Zeitpunkt der Freischaltung Ihres kostenpflichtigen Accounts.
Präambel
Der Auftraggeber (Nutzer der Aufmaß App, im Folgenden „Verantwortlicher") beauftragt den Auftragnehmer (Meister Weber, Andreas Weber, im Folgenden „Auftragsverarbeiter") mit der Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO. Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit dieser Auftragsverarbeitung gemäß Art. 28 DSGVO.
§ 1 – Gegenstand und Dauer der Verarbeitung
Gegenstand der Auftragsverarbeitung ist die Bereitstellung der Aufmaß App als SaaS-Dienst (Software-as-a-Service), über den der Verantwortliche personenbezogene Daten seiner Kunden (Endkunden, Bauherren, Auftraggeber) verarbeitet.
Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrages. Nach Vertragsende werden die Daten gemäß § 9 dieses Vertrages gelöscht oder zurückgegeben.
§ 2 – Art und Zweck der Verarbeitung
| Kategorie | Details |
|---|---|
| Art der Verarbeitung | Erhebung, Speicherung, Übermittlung, Strukturierung, Abruf, Verwendung, Löschung von personenbezogenen Daten im Rahmen der App-Nutzung |
| Zweck | Aufmaß-Erfassung, Projektdokumentation, Dateiexport (PDF, Excel), Übermittlung an ERP-Systeme (z. B. FenOffice NG, Klaes, Cobus Adulo, MFR, Odoo) im Auftrag und nach Weisung des Verantwortlichen; optional: KI-gestützte Bildanalyse von Messfotos und Fassadenaufnahmen, Transkription von Sprachnotizen, Erkennung von Papier-Aufmaßformularen (siehe § 4a) |
| Kategorien betroffener Personen | Kunden und Geschäftspartner des Verantwortlichen (Bauherren, Endkunden, Auftraggeber) |
| Kategorien personenbezogener Daten | Name, Anschrift, Kontaktdaten (Telefon, E-Mail), Projektdaten, Adress- und Gebäudedaten, Fotografien von Gebäuden/Objekten, Audioaufnahmen (Sprachnotizen), daraus erzeugte Transkripte, Fotografien von Papier-Aufmaßformularen |
| Besondere Kategorien | Keine (keine Verarbeitung besonderer Kategorien gem. Art. 9 DSGVO vorgesehen) |
§ 3 – Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere:
- Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist rechtlich dazu verpflichtet; in diesem Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.
- Sicherzustellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
- Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe § 7 dieses Vertrages).
- Die in § 4 festgelegten Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragsverarbeiter) einzuhalten.
- Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung soweit möglich mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seine Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person zu erfüllen.
- Den Verantwortlichen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten zu unterstützen.
- Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen.
§ 4 – Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO)
Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen. Er informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern und gibt dem Verantwortlichen damit die Möglichkeit, Einwände gegen derartige Änderungen zu erheben.
Aktuell eingesetzte Unterauftragsverarbeiter:
all-inkl.com – Neue Medien Münnich (Webhosting)
Inhaber: René Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland
Datenschutz: all-inkl.com/datenschutzinformationen/
Zweck: Hosting der Marketing-Website (aufmass-app.com) – Serverstandort: Deutschland (EU)
Rechtsgrundlage: Art. 28 DSGVO – AVV mit all-inkl.com abgeschlossen
OpenAI, LLC (nur bei Nutzung der KI-Funktionen)
3180 18th Street, San Francisco, CA 94110, USA
Zweck: KI-gestützte Bildanalyse von Messfotos, Fassadenaufnahmen und Papier-Aufmaßformularen (OpenAI Vision / GPT-4o); Transkription von Sprachnotizen (OpenAI Whisper); optionale Textaufbereitung von Transkripten (GPT-4o-mini) – jeweils über die OpenAI API (nicht über Consumer-Produkte wie ChatGPT Free); ausschließlich bei aktiver Nutzung entsprechender optionaler App-Funktionen durch den Verantwortlichen
Rechtsgrundlage: Art. 28 DSGVO – Nutzung über die OpenAI API mit aktivierter Zero Data Retention (ZDR); OpenAI Data Processing Agreement (DPA) abgeschlossen
Transfermechanismus: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); EU–US Data Privacy Framework
Datenspeicherung: Keine dauerhafte Speicherung personenbezogener Daten; Eingabedaten werden nicht zum Training von KI-Modellen verwendet (Opt-out gemäß OpenAI API Terms)
Google LLC (nur bei Nutzung der KI-Funktionen)
1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Zweck: KI-gestützte Bildanalyse von Messfotos und Fassadenaufnahmen über die Google Gemini API (nicht über Consumer-Produkte); ausschließlich bei aktiver Nutzung entsprechender optionaler App-Funktionen durch den Verantwortlichen; der Verantwortliche wählt je Analyse-Vorgang zwischen OpenAI und Google als Anbieter
Rechtsgrundlage: Art. 28 DSGVO – Nutzung über die Google Cloud / Gemini API; Google Cloud Data Processing Addendum abgeschlossen
Transfermechanismus: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); EU–US Data Privacy Framework
Datenspeicherung: Keine dauerhafte Speicherung personenbezogener Daten; Eingabedaten werden nicht zum Training von KI-Modellen verwendet (Opt-out gemäß Google Cloud API Terms)
§ 4a – Besondere Regelungen zur KI-gestützten Datenverarbeitung
Soweit der Verantwortliche KI-gestützte Funktionen der Aufmaß App nutzt, gelten ergänzend folgende Regelungen:
Verfügbare KI-Funktionen und übermittelte Datenarten:
| KI-Funktion | Anbieter | Übermittelte Daten |
|---|---|---|
| Bildanalyse von Messfotos und Skizzen | OpenAI (GPT-4o Vision) oder Google (Gemini) – wählbar | Fotografien von Wandöffnungen, Fenstern, Skizzen (als Bilddatei); fachlicher Analyse-Prompt |
| Bildanalyse von Fassaden-/Auftragsfotos | OpenAI (GPT-4o Vision) oder Google (Gemini) – wählbar | Fotografien von Gebäudefassaden und Fenstern (als Bilddatei); fachlicher Analyse-Prompt |
| Transkription von Sprachnotizen | OpenAI (Whisper) | Audioaufnahmen (Sprache); optional: Transkript zur strukturierten Aufbereitung an GPT-4o-mini |
| Erkennung von Papier-Aufmaßformularen | OpenAI (GPT-4o Vision) | Fotografien von handschriftlichen Aufmaßformularen (als Bilddatei); fachlicher Extraktions-Prompt |
- API-Nutzung: Die KI-Verarbeitung erfolgt ausschließlich über die kommerziellen API-Schnittstellen von OpenAI (GPT-4o, GPT-4o-mini, Whisper) und Google (Gemini API) – nicht über kostenlose Consumer-Produkte. Die Verarbeitung erfolgt serverseitig; API-Schlüssel verbleiben auf dem Server des Auftragsverarbeiters und werden nicht an den Client/Browser übermittelt.
- Kein KI-Training: Der Auftragsverarbeiter stellt sicher, dass die an OpenAI und Google übermittelten Daten nicht zum Trainieren, Verbessern oder Weiterentwickeln von KI-Modellen verwendet werden. Dies wird durch die Nutzung der API mit aktiviertem Opt-out (Zero Data Retention bei OpenAI; vergleichbare Regelung bei Google Cloud im Paid Tier) gewährleistet.
- Keine dauerhafte Speicherung: Personenbezogene Daten werden nur für die Dauer der jeweiligen API-Anfrage verarbeitet. Eine dauerhafte Speicherung der Eingabe- oder Ausgabedaten durch OpenAI oder Google findet nicht statt, soweit dies nach den jeweiligen API-Bedingungen technisch und vertraglich sichergestellt ist. Eine temporäre Verarbeitung zum Zweck der Missbrauchserkennung kann nach den API-Bedingungen der Anbieter erfolgen (bis zu 30 Tage bei OpenAI, bis zu 55 Tage bei Google).
- Datenminimierung: Der Auftragsverarbeiter übermittelt an die KI-Dienste nur die Daten, die für die jeweilige Verarbeitungsaufgabe technisch erforderlich sind. Bei Bildanalysen wird das jeweilige Einzelbild übermittelt; bei Sprachnotizen die jeweilige Audioaufnahme. Projektübergreifende Daten, Login-Daten oder Kundenstammdaten werden nicht an die KI-Dienste übermittelt.
- Optionalität und aktive Auslösung: Sämtliche KI-Funktionen sind optional. Der Verantwortliche kann die Aufmaß App vollumfänglich ohne KI-Funktionen nutzen. Die Übermittlung personenbezogener Daten an OpenAI oder Google erfolgt ausschließlich dann, wenn der Verantwortliche (oder seine autorisierten Nutzer) eine KI-Analyse aktiv auslöst (z. B. durch Betätigung einer Analyse-Schaltfläche). Es findet keine automatische oder im Hintergrund laufende Übermittlung statt.
- Anbieterwahl: Bei Bildanalysen kann der Verantwortliche je Vorgang zwischen OpenAI und Google als KI-Anbieter wählen. Sprachtranskription und Formularerkennung erfolgen ausschließlich über OpenAI.
- Verantwortung des Verantwortlichen: Der Verantwortliche ist dafür verantwortlich, seine betroffenen Personen (Kunden/Endkunden) in seiner eigenen Datenschutzerklärung über die mögliche Nutzung von KI-Diensten und die damit verbundene Datenübermittlung in die USA zu informieren.
§ 5 – Weisungsrecht des Verantwortlichen
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Grundlage der Dokumentierten Weisungen des Verantwortlichen. Die grundlegenden Weisungen sind in diesem Vertrag (§ 2) festgelegt. Weitergehende Einzelweisungen können schriftlich oder in Textform (z. B. per E-Mail) erteilt werden.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.
§ 6 – Pflichten des Verantwortlichen
Der Verantwortliche (Nutzer) trägt die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung. Er verpflichtet sich insbesondere:
- Sicherzustellen, dass eine geeignete Rechtsgrundlage für die Verarbeitung der in die App eingegebenen Personendaten seiner Kunden existiert.
- Den Auftragsverarbeiter unverzüglich zu informieren, wenn er bei der Prüfung der Aufträge Fehler oder Unregelmäßigkeiten feststellt.
- Seine Kunden (betroffene Personen) über die Weitergabe ihrer Daten an den Auftragsverarbeiter im Rahmen der eigenen Datenschutzerklärung zu informieren.
§ 7 – Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)
Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten:
Vertraulichkeit
- Zugriffskontrolle (passwortgeschützte Accounts)
- Zugriff nur für autorisiertes Personal
- Verschlüsselung der Datenübertragung (TLS/SSL)
Integrität
- Protokollierung von Zugriffen
- Eingabekontrolle (Validierung)
- Übertragungsverschlüsselung
Verfügbarkeit
- Regelmäßige Datensicherungen (Backups)
- Backup-Retention: 90 Tage
- Serverstandort: EU
Belastbarkeit / Wiederherstellung
- Offline-Fähigkeit der App (PWA)
- Wiederherstellungsverfahren nach Zwischenfall
- Regelmäßige Überprüfung der Maßnahmen
§ 8 – Meldepflicht bei Datenpannen (Art. 33, 34 DSGVO)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 33 und 34 DSGVO (Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten). Er meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden per E-Mail an die im Konto hinterlegte E-Mail-Adresse.
Die Meldung enthält mindestens die Art der Verletzung, die Kategorien der betroffenen Daten, die Anzahl der betroffenen Personen sowie die ergriffenen Abhilfemaßnahmen.
§ 9 – Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Nutzungsvertrages oder auf Anforderung des Verantwortlichen werden alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, wie folgt behandelt:
- Auf Wunsch des Verantwortlichen: Herausgabe in einem maschinenlesbaren Format (z. B. JSON, CSV, PDF-Export) innerhalb von 30 Tagen nach Anforderung.
- Anschließende Löschung aus den aktiven Systemen innerhalb von 30 Tagen nach Vertragsende oder nach Herausgabe.
- Löschung aus den Backup-Systemen innerhalb von 90 Tagen nach der aktiven Löschung.
- Gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters bleiben unberührt (z. B. steuerrechtliche Belege aus der Abrechnung).
§ 10 – Kontakt und Ansprechpartner
Auftragsverarbeiter (Ansprechpartner für Datenschutzfragen):
Meister Weber, Andreas Weber
Hauptstraße 25, 36157 Ebersburg
E-Mail: andreas@meister-weber.de
Telefon: +49 6656 432 9807
§ 11 – Schlussbestimmungen
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Sollte eine Bestimmung unwirksam sein, bleibt die Gültigkeit der übrigen Bestimmungen unberührt. Änderungen dieses AVV bedürfen der Textform. Bei Widersprüchen zwischen diesem AVV und den AGB hat dieser AVV in Bezug auf datenschutzrechtliche Aspekte Vorrang.
Dieser AVV gilt als mit dem Abschluss des Nutzungsvertrages (Aktivierung eines kostenpflichtigen Accounts) vereinbart und ist nach Art. 28 Abs. 3 DSGVO in schriftlicher Form in elektronischer Gestalt abgeschlossen.