Auftragsverarbeitungsvertrag (AVV)
Zweck dieses Dokuments
Sobald du in Werkset personenbezogene Daten Dritter speicherst (z. B. die Kontaktdaten deiner eigenen Kunden), verarbeitet der Anbieter diese Daten in deinem Auftrag. Nach Art. 28 DSGVO ist dafür ein Auftragsverarbeitungsvertrag erforderlich.
Mit Bestätigung bei der Registrierung (Checkbox „AGB und AV-Vertrag akzeptieren") oder fortgesetzter Nutzung der App ab dem Tag der Veröffentlichung dieser Bedingungen kommt der untenstehende Vertrag zwischen dir (Verantwortlicher) und dem Anbieter (Auftragsverarbeiter) zustande.
§ 1 Gegenstand und Dauer
(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Software Werkset. Die Verarbeitung umfasst: Speicherung, Organisation, Abfrage, Nutzung, Löschung.
(2) Die Dauer dieses Auftrags entspricht der Laufzeit des Hauptvertrags (Nutzung der App) zuzüglich der vereinbarten 3 Monate Datenhaltung nach Kündigung.
§ 2 Art der Daten und Betroffenenkategorien
| Kategorie | Typische Daten |
|---|---|
| Endkunden des Verantwortlichen | Name, Anschrift, Telefon, E-Mail, Notizen, Grundstücke, Fotos |
| Rechnungs- und Angebotsdaten | Positionen, Preise, Mahnhistorie, Leistungszeit |
| Mitarbeiter des Verantwortlichen | Name, E-Mail, Rolle, zugewiesene Kunden |
| Dokumente | hochgeladene Dateien und Fotos |
§ 3 Rechte und Pflichten des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich.
(2) Er erteilt Einzelweisungen über die Funktionen der App oder schriftlich/per E-Mail an handwerkerkundenuebersichtbgf@gmail.com.
§ 4 Pflichten des Auftragsverarbeiters
(1) Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (§ 3).
(2) Gewährleistung, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Ergreifung angemessener technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO (siehe § 7).
(4) Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenanfragen und Datenschutz-Folgenabschätzungen.
(5) Meldung von Datenschutzverletzungen ohne schuldhaftes Zögern nach Bekanntwerden.
(6) Auf Weisung Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung, spätestens nach 90 Tagen.
§ 5 Sub-Auftragsverarbeiter
Der Verantwortliche stimmt der Einbindung folgender Sub-Auftragsverarbeiter zu:
| Anbieter | Leistung | Standort / Sitz |
|---|---|---|
| Google Ireland Ltd. / Google LLC (Firebase) | Hosting, Datenbank (Firestore), Authentifizierung, File Storage | Irland / USA (EU-Standardvertragsklauseln, Data Privacy Framework) |
| Google LLC (Gemini / Firebase AI Logic) | KI-gestützte Analyse von Nutzereingaben (optional, nutzerausgelöst) | USA |
| Stripe Payments Europe Ltd. (geplant) | Zahlungsabwicklung | Irland |
Mit Google besteht ein Data Processing Addendum (DPA). Die Einbindung weiterer Sub-Auftragsverarbeiter wird dem Verantwortlichen mit angemessener Frist (mind. 30 Tage) mitgeteilt, sodass er widersprechen kann.
§ 6 Datenübermittlung in Drittländer
Durch die Nutzung von Firebase kann eine Übermittlung in die USA (Google LLC) stattfinden. Grundlage sind die EU-Standardvertragsklauseln sowie das EU-U.S. Data Privacy Framework, dem Google LLC beigetreten ist.
§ 7 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)
- Transportverschlüsselung: sämtliche Datenübertragung per TLS 1.2/1.3
- Ruhende Verschlüsselung: Firebase verschlüsselt Daten at-rest (AES-256)
- Zugriffskontrolle: Firestore-Security-Rules, Trennung nach Besitzer-/Mitarbeiter-UID
- Authentifizierung: Firebase Auth, Passwort-Hashing durch Google, optional Google-Login
- Rollen- und Rechtekonzept: Team-Leiter definiert individuelle Rechte pro Mitarbeiter
- Backup: Google-seitige Georedundanz; zusätzlich Export-Funktion für Kunden
- Protokollierung: Auth-Events werden durch Firebase geloggt
- Löschkonzept: automatische Löschung 90 Tage nach Kündigung, Sofortlöschung auf Antrag
§ 8 Kontrollrechte
Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags im Wege einer dokumentierten Abfrage oder — bei konkretem Anlass — durch Vor-Ort-Prüfung zu kontrollieren. Für die Kernsysteme (Firebase) gelten die Prüfberichte von Google (SOC 2 Type II, ISO 27001), die der Auftragsverarbeiter auf Anfrage bereitstellt.
§ 9 Beendigung
Mit Beendigung des Hauptvertrags sind sämtliche Daten des Verantwortlichen nach Wahl zu exportieren oder zu löschen. Die Standardeinstellung ist Löschung nach 90 Tagen Grace-Period.
§ 10 Schlussbestimmungen
Es gilt deutsches Recht. Bei Widersprüchen zwischen AGB und diesem AVV hat der AVV Vorrang für Fragen der Auftragsverarbeitung.
Google/Firebase DPA
Das Data Processing Addendum zwischen Google und dem Anbieter ist öffentlich einsehbar:
Google DPA ansehen →