Vertrag zur Auftragsverarbeitung (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Zwischen dem Nutzer der Software AngebotFIX (im Folgenden „Verantwortlicher“ oder „Kunde“)
und
Jan Angrick, Silvesterstraße 35a, 46348 Raesfeld (im Folgenden „Auftragsverarbeiter“ oder „Anbieter“).
Dieser Vertrag wird mit der Erstellung eines Nutzerkontos bei AngebotFIX und der Zustimmung zu den AGB automatisch elektronisch geschlossen.
§ 1 Gegenstand und Dauer des Auftrags
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies geschieht zur Erbringung der SaaS-Dienstleistungen der Software „AngebotFIX“ (Angebotserstellung, Rechnungsstellung, KI-gestützte Text- und Sprachverarbeitung, Kundenverwaltung).
(2) Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages (Nutzungsvertrag über AngebotFIX). Er endet automatisch mit der Löschung des Nutzer-Accounts.
§ 2 Art und Zweck der Verarbeitung
(1) Art der Verarbeitung: Erheben, Speichern, Übermitteln, Sperren, Löschen sowie KI-gestützte Verarbeitung von Daten in einer Cloud-Infrastruktur. Die KI-gestützte Verarbeitung umfasst:
- Textgenerierung (z. B. Smartplanner für Angebote, Texthilfen)
- Sprachtranskription (Whisper) zur Umwandlung von Sprachaufnahmen in Text (z. B. „Voice OS“-Funktion zur Diktiereingabe)
(2) Zweck der Verarbeitung: Bereitstellung der Softwarefunktionen zur Handwerksorganisation und Dokumentenerstellung.
(3) KI-Verarbeitung:
a) Bei Nutzung von KI-Funktionen können personenbezogene Daten von Endkunden des Verantwortlichen (z. B. Name, Anschrift, Projektbeschreibung) an den KI-Sub-Auftragsverarbeiter (OpenAI L.L.C., USA) übermittelt werden.
b) Eine technische Pseudonymisierung dieser Daten vor der Übermittlung erfolgt derzeit nicht, da dies die Qualität der KI-Ergebnisse erheblich einschränken würde. Bei Sprachtranskription (Whisper) ist eine Pseudonymisierung technisch nicht möglich.
c) Der KI-Sub-Auftragsverarbeiter (OpenAI) ist vertraglich verpflichtet, übermittelte API-Daten nicht zu Trainingszwecken zu verwenden und nach Verarbeitungsabschluss sofort zu löschen („Zero Data Retention Policy“ für API-Kunden gemäß OpenAI Data Processing Addendum).
d) Der Auftragsverarbeiter wird auf Wunsch des Verantwortlichen eine Mandanten-Opt-Out-Möglichkeit für KI-Funktionen bereitstellen, sofern technisch umsetzbar.
e) Verbot besonderer Kategorien personenbezogener Daten: Der Verantwortliche verpflichtet sich, keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (insbesondere Gesundheitsdaten, religiöse Überzeugungen, sexuelle Orientierung, ethnische Herkunft, biometrische Daten) über die KI-Funktionen zu verarbeiten, weder durch Text- noch durch Spracheingabe. Diese Beschränkung folgt auch aus den Vertragsbedingungen des KI-Sub-Auftragsverarbeiters (Schedule 1 Nr. 5 des OpenAI DPA).
§ 3 Art der Daten und Kreis der Betroffenen
(1) Art der personenbezogenen Daten:
- Stammdaten der Endkunden (Titel, Vorname, Nachname)
- Kontaktdaten (Postanschrift, E-Mail-Adresse, Telefonnummer)
- Projektdaten und bauspezifische Notizen (die ggf. personenbezogene Rückschlüsse zulassen)
- Vertrags- und Abrechnungsdaten
- Bei Nutzung der KI-/Voice-Funktionen: ggf. Sprachaufzeichnungen mit personenbezogenem Inhalt
(2) Kategorien betroffener Personen:
- Kunden und Interessenten des Verantwortlichen (Handwerkers)
- Mitarbeiter des Verantwortlichen
§ 4 Pflichten des Auftragsverarbeiters und des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen. Die Nutzung der App durch den Kunden gilt als solche Weisung.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (z. B. Auskunft, Löschung).
(4) Informationspflicht des Verantwortlichen gegenüber seinen Endkunden:
Der Verantwortliche (Handwerker) ist verpflichtet, seine eigenen Endkunden in seiner Datenschutzerklärung gemäß Art. 13 DSGVO darüber zu informieren, dass
a) im Rahmen der Auftragsabwicklung KI-gestützte Funktionen (Textgenerierung, Sprachtranskription) eingesetzt werden,
b) personenbezogene Daten an OpenAI L.L.C. (USA) als Sub-Auftragsverarbeiter übermittelt werden können,
c) die Datenübermittlung in die USA auf Grundlage des EU-US Data Privacy Framework (DPF) und ergänzend durch EU-Standardvertragsklauseln (SCC) abgesichert ist.
Auf Anfrage stellt der Auftragsverarbeiter einen Mustertext bereit.
§ 5 Technische und organisatorische Maßnahmen (TOMs)
(1) Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen ergriffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
(2) Zu den Kernmaßnahmen gehören:
- Verschlüsselung: TLS-Verschlüsselung bei der Datenübertragung (Transport Layer Security) und Verschlüsselung der Datenbanken im Ruhezustand (Encryption at Rest).
- Zugangskontrolle: Absicherung der Datenbanken (Supabase) durch strenge Row Level Security (RLS) Policies, sodass Mandanten strikt voneinander getrennt sind.
- Authentifizierung: JWT-basierte API-Authentifizierung; alle privilegierten Endpunkte erzwingen User-Token-Validierung sowie Mitgliedschafts- und Rollen-Prüfung.
- Eingaben-Maskierung: Alle Texteingaben in Session-Replays (PostHog) werden clientseitig maskiert und nicht übertragen.
- Verfügbarkeit: Regelmäßige automatisierte Backups der Datenbank.
§ 6 Einsatz von Unterauftragsverarbeitern
(1) Der Verantwortliche stimmt dem Einsatz der nachfolgenden Unterauftragsverarbeiter (Sub-Dienstleister) zur Erbringung der Leistung zu.
(2) Aktuell eingesetzte Unterauftragsverarbeiter:
| Sub-Auftragsverarbeiter | Zweck | Sitz | Datenstandort | Rechtsgrundlage Drittlandtransfer |
|---|---|---|---|---|
| Supabase, Inc. | Hosting & Datenbank | Singapur (Konzern), Wartungszugriff USA möglich | EU (Frankfurt/AWS) | EU-Standardvertragsklauseln (SCC) |
| Vercel Inc. | Hosting Web-Anwendung & API-Routen | USA | EU (Frankfurt) | EU-US Data Privacy Framework (DPF) + SCC |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland (EU); Konzern Stripe Inc. USA | EU/USA | EU-US Data Privacy Framework (DPF) + SCC |
| Resend, Inc. | Transaktions-E-Mail-Versand | USA | USA | EU-US Data Privacy Framework (DPF) + SCC |
| OpenAI Ireland Ltd. / OpenAI OpCo, LLC | KI-Textgenerierung und Sprachtranskription (Whisper) | Irland (EU-Vertragspartner für EWR-Daten); Konzern USA | USA (mit EU-Vertragspartner OpenAI Ireland Ltd. für EWR-Daten) | Data Processing Addendum (DPA) abgeschlossen am 24.05.2026 (Vertrags-ID: 60142c0d-3f00-4f77-bc59-0b5750657297); EU-US Data Privacy Framework (DPF) + EU-Standardvertragsklauseln (SCC); Zero Data Retention Policy für API-Kunden (keine Nutzung für Modelltraining); aktuelle Sub-Processor-Liste: https://platform.openai.com/subprocessors |
| PostHog, Inc. | Nutzungsanalyse, Heatmaps, Session Replays | USA (Konzern) | EU Cloud, Frankfurt am Main, Deutschland | EU-US Data Privacy Framework (DPF) + SCC (wegen US-Konzernsitz); IP-Adressen werden nicht erfasst, sämtliche Texteingaben werden clientseitig maskiert |
(3) Ein Wechsel oder die Hinzufügung von Sub-Auftragsverarbeitern wird dem Verantwortlichen mindestens 30 Tage vor Wirksamwerden per E-Mail an die hinterlegte Account-E-Mail oder über einen In-App-Hinweis angekündigt. Der Verantwortliche hat das Recht, einem neuen Sub-Auftragsverarbeiter aus berechtigtem datenschutzrechtlichen Grund schriftlich zu widersprechen. Im Falle eines berechtigten Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht zu.
(4) Für sämtliche Sub-Auftragsverarbeiter wurde eine Bewertung des Drittlandtransfers (Transfer Impact Assessment) durchgeführt bzw. die Rechtsgrundlage (DPF-Zertifizierung) verifiziert.
§ 7 Löschung und Rückgabe von Daten
(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen oder nach Kündigung des Accounts löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten unwiederbringlich, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO für eigene Rechnungsdaten des Anbieters) bestehen.
(2) Der Kunde hat die Möglichkeit, seine Daten vor der Kontolöschung über die Export-Funktionen (GoBD-Export) der Software selbstständig zu sichern.
(3) Konkrete Löschfristen:
- Aktive Daten: Löschung unverzüglich nach Account-Löschung, spätestens innerhalb von 30 Tagen.
- Backups: Vollständige Bereinigung spätestens innerhalb von 90 Tagen (Backup-Rotationszyklus).
- Daten mit gesetzlicher Aufbewahrungspflicht (z. B. eigene Rechnungen des Auftragsverarbeiters gem. § 147 AO): 10 Jahre, danach Löschung.
- KI-Anfragen: Werden vom Sub-Auftragsverarbeiter (OpenAI) gemäß Zero Data Retention Policy nicht gespeichert.
§ 8 Meldung von Datenpannen
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung).
(2) Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich mit, sobald er Kenntnis davon erlangt. Die Mitteilung hat so rechtzeitig zu erfolgen, dass der Verantwortliche seine Benachrichtigungspflicht gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO (innerhalb von 72 Stunden) erfüllen kann.
(3) Die Mitteilung nach Abs. 2 hat mindestens folgende Angaben zu enthalten: eine Beschreibung der Art der Verletzung, soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, eine Beschreibung der wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.
§ 9 Haftung
(1) Die Haftung des Auftragsverarbeiters für Schäden aus diesem Vertrag ist – soweit gesetzlich zulässig – beschränkt auf die vom Verantwortlichen im Jahr des schadensauslösenden Ereignisses an den Auftragsverarbeiter gezahlte Jahresvergütung, maximal jedoch auf 10.000 EUR pro Schadensereignis.
(2) Die Haftungsbeschränkung nach Abs. 1 gilt NICHT bei:
- a) Vorsatz oder grober Fahrlässigkeit,
- b) Verletzung von Leben, Körper oder Gesundheit,
- c) Ansprüchen aus dem Produkthaftungsgesetz,
- d) Verletzung wesentlicher Vertragspflichten (Kardinalpflichten); hier ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt.
(3) Der Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen Dritter frei, die aus Datenverarbeitungen entstehen, welche der Verantwortliche unter Verletzung seiner eigenen datenschutzrechtlichen Pflichten (insbesondere fehlende Rechtsgrundlage gem. Art. 6 DSGVO oder fehlende Information seiner Endkunden gem. Art. 13 DSGVO) veranlasst hat.
(4) Bei Datenschutzverstößen durch Sub-Auftragsverarbeiter haftet der Auftragsverarbeiter nur für eigenes Verschulden bei deren Auswahl und Überwachung (Auswahl- und Überwachungsverschulden).
(5) Ergänzend gelten die Haftungsregelungen aus § 9 der AGB. Bei Widersprüchen zwischen AGB und AVV gilt die jeweils für den Verantwortlichen günstigere Regelung.
§ 10 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der technisch-organisatorischen Maßnahmen zu überzeugen. Dies erfolgt in der Regel durch:
a) Bereitstellung aktueller Zertifikate, Testate und Auditberichte des Auftragsverarbeiters oder seiner Sub-Auftragsverarbeiter (z. B. SOC 2, ISO 27001).
b) Schriftliche Auskunft zu konkreten Datenschutzfragen.
(2) Eine Vor-Ort-Kontrolle ist nur bei begründetem Verdacht eines Datenschutzverstoßes und nach vorheriger schriftlicher Ankündigung mit angemessener Frist (mindestens 14 Tage) zulässig. Die Kosten einer Vor-Ort-Prüfung trägt der Verantwortliche, sofern sich kein Verstoß bestätigt.
Version 3.1 · Stand: Mai 2026