Vertrag zur Auftragsverarbeitung (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Zwischen dem Nutzer der Software AngebotFIX (im Folgenden „Verantwortlicher“ oder „Kunde“)
und
Jan Angrick, Silvesterstraße 35a, 46348 Raesfeld (im Folgenden „Auftragsverarbeiter“ oder „Anbieter“).
Dieser Vertrag wird mit der Erstellung eines Nutzerkontos bei AngebotFIX und der Zustimmung zu den AGB automatisch elektronisch geschlossen.
§ 1 Gegenstand und Dauer des Auftrags
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies geschieht zur Erbringung der SaaS-Dienstleistungen der Software „AngebotFIX“ (Angebotserstellung, Rechnungsstellung, KI-gestützte Textgenerierung, Kundenverwaltung).
(2) Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages (Nutzungsvertrag über AngebotFIX). Er endet automatisch mit der Löschung des Nutzer-Accounts.
§ 2 Art und Zweck der Verarbeitung
(1) Art der Verarbeitung: Erheben, Speichern, Übermitteln, Sperren, Löschen und KI-gestützte Verarbeitung (Textgenerierung) von Daten in einer Cloud-Infrastruktur.
(2) Zweck der Verarbeitung: Bereitstellung der Softwarefunktionen zur Handwerksorganisation und Dokumentenerstellung.
§ 3 Art der Daten und Kreis der Betroffenen
(1) Art der personenbezogenen Daten:
- Stammdaten der Endkunden (Titel, Vorname, Nachname)
- Kontaktdaten (Postanschrift, E-Mail-Adresse, Telefonnummer)
- Projektdaten und bauspezifische Notizen (die ggf. personenbezogene Rückschlüsse zulassen)
- Vertrags- und Abrechnungsdaten
(2) Kategorien betroffener Personen:
- Kunden und Interessenten des Verantwortlichen (Handwerkers)
- Mitarbeiter des Verantwortlichen
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen. Die Nutzung der App durch den Kunden gilt als solche Weisung.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (z.B. Auskunft, Löschung).
§ 5 Technische und organisatorische Maßnahmen (TOMs)
(1) Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen ergriffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
(2) Zu den Kernmaßnahmen gehören:
- Verschlüsselung: TLS-Verschlüsselung bei der Datenübertragung (Transport Layer Security) und Verschlüsselung der Datenbanken im Ruhezustand (Encryption at Rest).
- Zugangskontrolle: Absicherung der Datenbanken (Supabase) durch strenge Row Level Security (RLS) Policies, sodass Mandanten strikt voneinander getrennt sind.
- Verfügbarkeit: Regelmäßige automatisierte Backups der Datenbank.
§ 6 Einsatz von Unterauftragsverarbeitern
(1) Der Verantwortliche stimmt dem Einsatz der nachfolgenden Unterauftragsverarbeiter (Sub-Dienstleister) zur Erbringung der Leistung zu.
(2) Aktuell eingesetzte Unterauftragsverarbeiter:
- Supabase / AWS (Hosting & Datenbank) – Serverstandort: EU (z.B. Frankfurt)
- Stripe (Zahlungsabwicklung) – Sitz: USA/EU (Datenübermittlung abgesichert durch EU-Standardvertragsklauseln)
- Resend (E-Mail-Versand) – Sitz: USA/EU
- OpenAI (KI-Textgenerierung für den Smartplanner) – Hinweis: Der KI-Anbieter darf die übermittelten Kundendaten nicht für das Training eigener Modelle verwenden (Zero Data Retention Policy für APIs).
(3) Ein Wechsel oder Hinzufügen von Unterauftragsverarbeitern wird dem Verantwortlichen rechtzeitig per E-Mail oder in der App angekündigt.
§ 7 Löschung und Rückgabe von Daten
(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen oder nach Kündigung des Accounts löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten unwiederbringlich, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. für eigene Rechnungsdaten des Anbieters) bestehen.
(2) Der Kunde hat die Möglichkeit, seine Daten vor der Kontolöschung über die Export-Funktionen (GoBD-Export) der Software selbstständig zu sichern.
Stand: Februar 2026