Vertrag zur Auftragsverarbeitung (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Zwischen dem Nutzer der Software AngebotFIX (im Folgenden „Verantwortlicher“ oder „Kunde“)
und
Jan Angrick, Silvesterstraße 35a, 46348 Raesfeld (im Folgenden „Auftragsverarbeiter“ oder „Anbieter“).
Dieser Vertrag wird mit der Erstellung eines Nutzerkontos bei AngebotFIX und der Zustimmung zu den AGB automatisch elektronisch geschlossen.
§ 1 Gegenstand und Dauer des Auftrags
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies geschieht zur Erbringung der SaaS-Dienstleistungen der Software „AngebotFIX“ (Angebotserstellung, Rechnungsstellung, KI-gestützte Textgenerierung, Kundenverwaltung).
(2) Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages (Nutzungsvertrag über AngebotFIX). Er endet automatisch mit der Löschung des Nutzer-Accounts.
§ 2 Art und Zweck der Verarbeitung
(1) Art der Verarbeitung: Erheben, Speichern, Übermitteln, Sperren, Löschen und KI-gestützte Verarbeitung (Textgenerierung) von Daten in einer Cloud-Infrastruktur.
(2) Zweck der Verarbeitung: Bereitstellung der Softwarefunktionen zur Handwerksorganisation und Dokumentenerstellung.
§ 3 Art der Daten und Kreis der Betroffenen
(1) Art der personenbezogenen Daten:
- Stammdaten der Endkunden (Titel, Vorname, Nachname)
- Kontaktdaten (Postanschrift, E-Mail-Adresse, Telefonnummer)
- Projektdaten und bauspezifische Notizen (die ggf. personenbezogene Rückschlüsse zulassen)
- Vertrags- und Abrechnungsdaten
(2) Kategorien betroffener Personen:
- Kunden und Interessenten des Verantwortlichen (Handwerkers)
- Mitarbeiter des Verantwortlichen
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen. Die Nutzung der App durch den Kunden gilt als solche Weisung.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (z.B. Auskunft, Löschung).
§ 5 Technische und organisatorische Maßnahmen (TOMs)
(1) Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen ergriffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
(2) Zu den Kernmaßnahmen gehören:
- Verschlüsselung: TLS-Verschlüsselung bei der Datenübertragung (Transport Layer Security) und Verschlüsselung der Datenbanken im Ruhezustand (Encryption at Rest).
- Zugangskontrolle: Absicherung der Datenbanken (Supabase) durch strenge Row Level Security (RLS) Policies, sodass Mandanten strikt voneinander getrennt sind.
- Verfügbarkeit: Regelmäßige automatisierte Backups der Datenbank.
§ 6 Einsatz von Unterauftragsverarbeitern
(1) Der Verantwortliche stimmt dem Einsatz der nachfolgenden Unterauftragsverarbeiter (Sub-Dienstleister) zur Erbringung der Leistung zu.
(2) Aktuell eingesetzte Unterauftragsverarbeiter:
- Supabase / AWS (Hosting & Datenbank) – Serverstandort: EU (z.B. Frankfurt)
- Stripe (Zahlungsabwicklung) – Sitz: USA/EU (Datenübermittlung abgesichert durch EU-Standardvertragsklauseln)
- Resend (E-Mail-Versand) – Sitz: USA/EU
- OpenAI (KI-Textgenerierung für den Smartplanner) – Hinweis: Der KI-Anbieter darf die übermittelten Kundendaten nicht für das Training eigener Modelle verwenden (Zero Data Retention Policy für APIs).
- PostHog Inc. (Nutzungsanalyse, Heatmaps & Session Replays) – Serverstandort: EU Cloud, Frankfurt am Main, Deutschland. Technische Datenschutzmaßnahmen: IP-Adressen werden nicht erfasst; sämtliche Texteingaben (Namen, E-Mail-Adressen, Passwörter, Finanzdaten) werden clientseitig maskiert und nicht an PostHog übertragen.
(3) Ein Wechsel oder Hinzufügen von Unterauftragsverarbeitern wird dem Verantwortlichen rechtzeitig per E-Mail oder in der App angekündigt.
§ 7 Löschung und Rückgabe von Daten
(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen oder nach Kündigung des Accounts löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten unwiederbringlich, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. für eigene Rechnungsdaten des Anbieters) bestehen.
(2) Der Kunde hat die Möglichkeit, seine Daten vor der Kontolöschung über die Export-Funktionen (GoBD-Export) der Software selbstständig zu sichern.
§ 8 Meldung von Datenpannen
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung).
(2) Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich mit, sobald er Kenntnis davon erlangt. Die Mitteilung hat so rechtzeitig zu erfolgen, dass der Verantwortliche seine Benachrichtigungspflicht gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO (innerhalb von 72 Stunden) erfüllen kann.
(3) Die Mitteilung nach Abs. 2 hat mindestens folgende Angaben zu enthalten: eine Beschreibung der Art der Verletzung, soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, eine Beschreibung der wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.
Stand: Februar 2026
