Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien gemäß Art. 28 DSGVO im Zusammenhang mit der Nutzung der SaaS-Plattform Baukraft Go (nachfolgend „Plattform").

1.2 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich im Rahmen dieses AVV und der zugrunde liegenden Nutzungsvereinbarung (AGB).

1.3 Die Verarbeitung beginnt mit der Aktivierung des Accounts des Verantwortlichen und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Vertragsende gemäß § 10 dieses AVV.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt zum Zweck der:

• Bereitstellung und Betrieb der Plattform zur digitalen Baudokumentation und Berichtserstellung
• Speicherung und Verwaltung von Baudokumentationen, Berichten, Fotos und Sprachnachrichten
• KI-gestützten Auswertung, Transkription und Berichtserstellung
• Kommunikation mit Baustellenreportern über Messenger-Dienste (WhatsApp, Telegram)
• Verwaltung digitaler Signaturen und zugehöriger Dokumentation
• Abwicklung von Zahlungsvorgängen (über Stripe)
• Technischen Betriebsführung und Sicherheitsüberwachung

Die Verarbeitung umfasst das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung an Unterauftragsverarbeiter, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten von Daten.

§ 3 Art der personenbezogenen Daten

Folgende Arten personenbezogener Daten werden verarbeitet:

• Stammdaten: Name, E-Mail-Adresse, Firmenname, Benutzerrolle, Telefonnummer (bei Reportern)
• Baudokumentation: Berichte, Fotos, Sprachnachrichten, Standortdaten, Baustellen- und Projektdaten
• Kommunikationsdaten: Messenger-Nachrichten, Chat-IDs, Telefonnummern der Reporter
• Signaturdaten: Name des Unterzeichners, Unterschriftbild, Zeitstempel, IP-Adresse, ggf. Standortdaten
• Zahlungsdaten: Rechnungsadresse, E-Mail (vollständige Zahlungsdaten verbleiben bei Stripe)
• Nutzungsdaten: Log-Daten, IP-Adressen, Session-Daten
• Sprachdaten: Audioaufnahmen zur Transkription (temporär beim Unterauftragsverarbeiter)

§ 4 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind:

• Mitarbeiter des Verantwortlichen: Nutzer der Plattform (Bauleiter, Projektleiter, Backoffice etc.)
• Baustellenreporter: Personen, die über Messenger-Dienste Berichte einsenden (Poliere, Subunternehmer, Handwerker)
• Externe Unterzeichner: Dritte, die Dokumente über das Signatur-Portal unterzeichnen
• Ansprechpartner/Kontakte: Auftraggeber, Bauherren und sonstige im System hinterlegte Kontaktpersonen

§ 5 Pflichten des Auftragsverarbeiters

5.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zu einer anderen Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit.

5.2 Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

5.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Art. 15–22 DSGVO (Art. 28 Abs. 3 lit. e DSGVO).

5.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).

5.5 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).

§ 6 Technische und organisatorische Maßnahmen (TOMs)

6.1 Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Diese umfassen insbesondere:

• Verschlüsselung: TLS-Verschlüsselung sämtlicher Daten in Transit; Verschlüsselung von Daten at rest (AES-256) bei den Cloud-Providern
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept; Authentifizierung über Supabase Auth; Passwortmindestlänge und Brute-Force-Schutz
• Pseudonymisierung: Telefonnummern der Reporter werden verschlüsselt gespeichert (nur letzte 4 Ziffern im Klartext)
• Verfügbarkeit: Hosting auf hochverfügbarer Cloud-Infrastruktur (Azure, Supabase/AWS) mit automatischen Backups
• Trennbarkeit: Mandantentrennung über company_id; Row Level Security (RLS) auf Datenbankebene
• Protokollierung: Logging von sicherheitsrelevanten Zugriffen und Änderungen
• Wiederherstellbarkeit: Regelmäßige Datensicherungen; Point-in-Time Recovery

6.2 Der Auftragsverarbeiter überprüft die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig und passt sie bei Bedarf dem aktuellen Stand der Technik an.

§ 7 Unterauftragsverarbeiter

7.1 Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zur Hinzuziehung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.

7.2 Die aktuell eingesetzten Unterauftragsverarbeiter sind in der Datenschutzerklärung (Abschnitt 3 – Auftragsverarbeiter und eingesetzte Drittanbieter) aufgeführt. Stand bei Vertragsschluss:

• Microsoft Azure (Frankfurt, DE) – Hosting & Infrastruktur
• Microsoft Azure AI Foundry (Stockholm, SE – EU Data Boundary) – KI-Funktionen / LLM
• Supabase (Frankfurt, DE) – Datenbank, Auth & Dateispeicher
• Meta Cloud API (Dublin, IE) – WhatsApp-Kommunikation
• Telegram (Dubai, VAE) – Alternative Messenger-Kommunikation
• Stripe (Dublin, IE) – Zahlungsabwicklung
• Scaleway (Paris, FR) – Sprachtranskription (Whisper)

7.3 Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor der beabsichtigten Hinzuziehung eines neuen oder dem Austausch eines bestehenden Unterauftragsverarbeiters über E-Mail oder eine Benachrichtigung innerhalb der Plattform. Der Verantwortliche kann innerhalb dieser Frist Einspruch erheben.

7.4 Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der diesem mindestens die gleichen datenschutzrechtlichen Pflichten auferlegt wie die in diesem AVV festgelegten (Art. 28 Abs. 4 DSGVO).

7.5 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten durch seine Unterauftragsverarbeiter.

§ 8 Meldung von Datenschutzverletzungen

8.1 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (in der Regel innerhalb von 24 Stunden) nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

8.2 Die Meldung umfasst mindestens:

• Beschreibung der Art der Datenschutzverletzung, einschließlich der Kategorien und ungefähren Zahl betroffener Personen und Datensätze
• Name und Kontaktdaten des Datenschutzverantwortlichen
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

8.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen.

§ 9 Kontroll- und Prüfrechte

9.1 Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch Inspektionen, einschließlich Überprüfungen, zu kontrollieren (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.

9.2 Inspektionen werden nach angemessener Vorankündigung (in der Regel 30 Tage) durchgeführt, sofern keine dringenden Gründe (z. B. Datenschutzvorfall) eine kürzere Frist erfordern. Die Kosten der Inspektion trägt der Verantwortliche.

9.3 Anstelle einer Inspektion kann der Auftragsverarbeiter auch aktuelle Prüfberichte, Zertifizierungen oder andere geeignete Nachweise vorlegen.

§ 10 Löschung und Rückgabe von Daten

10.1 Nach Beendigung des Auftrags löscht der Auftragsverarbeiter alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, oder gibt sie zurück – nach Wahl des Verantwortlichen – und löscht vorhandene Kopien, es sei denn, eine Pflicht zur Speicherung der Daten besteht nach Unionsrecht oder dem Recht eines Mitgliedstaats (Art. 28 Abs. 3 lit. g DSGVO).

10.2 Der Verantwortliche hat nach Vertragsende 30 Tage Zeit, seine Daten über die Export-Funktionen der Plattform (z. B. PDF-Download) zu sichern. Nach Ablauf dieser Frist werden alle Daten endgültig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

10.3 Der Auftragsverarbeiter bestätigt dem Verantwortlichen auf Anfrage die vollständige Löschung schriftlich.

§ 11 Drittlandtransfers

11.1 Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der EU/des EWR.

11.2 Soweit einzelne Unterauftragsverarbeiter Daten in Drittländer übertragen (vgl. § 7), erfolgt dies ausschließlich auf Grundlage von:

• EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, oder
• einem Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO, oder
• der ausdrücklichen Einwilligung der betroffenen Personen gemäß Art. 49 Abs. 1 lit. a DSGVO

11.3 Auf Anfrage stellt der Auftragsverarbeiter dem Verantwortlichen Kopien der abgeschlossenen Standardvertragsklauseln zur Verfügung.

§ 12 Haftung

Die Haftung der Vertragsparteien richtet sich nach Art. 82 DSGVO. Der Auftragsverarbeiter haftet gegenüber betroffenen Personen nur für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung oder durch ein Handeln verursacht wurden, das über die rechtmäßigen Weisungen des Verantwortlichen hinausgeht oder diesen widerspricht.

§ 13 Schlussbestimmungen

13.1 Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (app.baukraft-go.de/legal/agb) und gilt für die gesamte Dauer der Nutzung der Plattform.

13.2 Änderungen dieses AVV bedürfen der Textform. Der Auftragsverarbeiter behält sich vor, den AVV bei Änderungen der Rechtslage oder des Leistungsumfangs mit angemessener Vorankündigung anzupassen. Die Nutzer werden über Änderungen informiert und zur erneuten Zustimmung aufgefordert.

13.3 Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

13.4 Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Wiesbaden, sofern der Verantwortliche Kaufmann ist.

Vertragsparteien

Auftragsverarbeiter:

hy four UG (haftungsbeschränkt)
Kläre-Kluge-Weg 10
65307 Bad Schwalbach
Deutschland

Geschäftsführer: Tobias Delvo
E-Mail: datenschutz@baukraft.co

Verantwortlicher:

Der Vertragspartner (Nutzer/Kunde), wie in den AGB definiert, der die Plattform Baukraft Go nutzt und dessen Firmen- und Kontaktdaten bei der Registrierung erfasst wurden.