Werkset
← zurück zur App

Auftragsverarbeitungsvertrag (AVV)

nach Art. 28 DSGVO · Stand: 18. April 2026

Zweck dieses Dokuments

Sobald du in Werkset personenbezogene Daten Dritter speicherst (z. B. die Kontaktdaten deiner eigenen Kunden), verarbeitet der Anbieter diese Daten in deinem Auftrag. Nach Art. 28 DSGVO ist dafür ein Auftragsverarbeitungsvertrag erforderlich.

Mit Bestätigung bei der Registrierung (Checkbox „AGB und AV-Vertrag akzeptieren") oder fortgesetzter Nutzung der App ab dem Tag der Veröffentlichung dieser Bedingungen kommt der untenstehende Vertrag zwischen dir (Verantwortlicher) und dem Anbieter (Auftragsverarbeiter) zustande.

§ 1 Gegenstand und Dauer

(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Software Werkset. Die Verarbeitung umfasst: Speicherung, Organisation, Abfrage, Nutzung, Löschung.

(2) Die Dauer dieses Auftrags entspricht der Laufzeit des Hauptvertrags (Nutzung der App) zuzüglich der vereinbarten 3 Monate Datenhaltung nach Kündigung.

§ 2 Art der Daten und Betroffenenkategorien

KategorieTypische Daten
Endkunden des VerantwortlichenName, Anschrift, Telefon, E-Mail, Notizen, Grundstücke, Fotos
Rechnungs- und AngebotsdatenPositionen, Preise, Mahnhistorie, Leistungszeit
Mitarbeiter des VerantwortlichenName, E-Mail, Rolle, zugewiesene Kunden
Dokumentehochgeladene Dateien und Fotos

§ 3 Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich.

(2) Er erteilt Einzelweisungen über die Funktionen der App oder schriftlich/per E-Mail an handwerkerkundenuebersichtbgf@gmail.com.

§ 4 Pflichten des Auftragsverarbeiters

(1) Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (§ 3).

(2) Gewährleistung, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Ergreifung angemessener technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO (siehe § 7).

(4) Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenanfragen und Datenschutz-Folgenabschätzungen.

(5) Meldung von Datenschutzverletzungen ohne schuldhaftes Zögern nach Bekanntwerden.

(6) Auf Weisung Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung, spätestens nach 90 Tagen.

§ 5 Sub-Auftragsverarbeiter

Der Verantwortliche stimmt der Einbindung folgender Sub-Auftragsverarbeiter zu:

AnbieterLeistungStandort / Sitz
Google Ireland Ltd. / Google LLC (Firebase)Hosting, Datenbank (Firestore), Authentifizierung, File StorageIrland / USA (EU-Standardvertragsklauseln, Data Privacy Framework)
Google LLC (Gemini / Firebase AI Logic)KI-gestützte Analyse von Nutzereingaben (optional, nutzerausgelöst)USA
Stripe Payments Europe Ltd. (geplant)ZahlungsabwicklungIrland

Mit Google besteht ein Data Processing Addendum (DPA). Die Einbindung weiterer Sub-Auftragsverarbeiter wird dem Verantwortlichen mit angemessener Frist (mind. 30 Tage) mitgeteilt, sodass er widersprechen kann.

§ 6 Datenübermittlung in Drittländer

Durch die Nutzung von Firebase kann eine Übermittlung in die USA (Google LLC) stattfinden. Grundlage sind die EU-Standardvertragsklauseln sowie das EU-U.S. Data Privacy Framework, dem Google LLC beigetreten ist.

§ 7 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

§ 8 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags im Wege einer dokumentierten Abfrage oder — bei konkretem Anlass — durch Vor-Ort-Prüfung zu kontrollieren. Für die Kernsysteme (Firebase) gelten die Prüfberichte von Google (SOC 2 Type II, ISO 27001), die der Auftragsverarbeiter auf Anfrage bereitstellt.

§ 9 Beendigung

Mit Beendigung des Hauptvertrags sind sämtliche Daten des Verantwortlichen nach Wahl zu exportieren oder zu löschen. Die Standardeinstellung ist Löschung nach 90 Tagen Grace-Period.

§ 10 Schlussbestimmungen

Es gilt deutsches Recht. Bei Widersprüchen zwischen AGB und diesem AVV hat der AVV Vorrang für Fragen der Auftragsverarbeitung.

Google/Firebase DPA

Das Data Processing Addendum zwischen Google und dem Anbieter ist öffentlich einsehbar:

Google DPA ansehen →