Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO
für die Nutzung der SaaS-Plattform „AufmaßPilot"
Stand: 26. April 2026

zwischen

[Name des Kunden / Verantwortlichen]
[Adresse]
– nachfolgend „Verantwortlicher" –

und

Building Control Experts UG (haftungsbeschränkt)
Bernhard-Bästlein-Straße 20
10367 Berlin
Deutschland
E-Mail: klemczak.t@buildingcontrolexperts.de
– nachfolgend „Auftragsverarbeiter" –

§ 1 Gegenstand des Vertrags

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform „AufmaßPilot".

Der Verantwortliche nutzt AufmaßPilot zur digitalen Erfassung, Verwaltung und Dokumentation von Bauleistungen, insbesondere Aufmaßdaten, Bautagesberichten, Regieberichten, Stundenrapporten, Foto-Dokumentationen und Exporten.

Der Verantwortliche bleibt Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen gemäß Art. 28 DSGVO.

§ 2 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen Verantwortlichem und Auftragsverarbeiter.

Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten nach Maßgabe dieses Vertrags gelöscht oder auf Wunsch des Verantwortlichen herausgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 3 Art und Zweck der Verarbeitung

Zweck der Verarbeitung ist die technische Bereitstellung und der Betrieb der SaaS-Plattform „AufmaßPilot".

Die Verarbeitung umfasst insbesondere:

  • Benutzerverwaltung und Rollenverwaltung
  • Projekt- und Baustellenverwaltung
  • Aufmaß-Erfassung
  • Bautagesberichte
  • Regieberichte
  • Stunden-Tracking
  • Foto-Dokumentation
  • Audit-Logging
  • PDF- und Excel-Export
  • Versand transaktionaler E-Mails
  • Geocoding und Wetterdaten für Bautagesberichte

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten SaaS-Leistungen.

§ 4 Art der personenbezogenen Daten

Es können insbesondere folgende Datenarten verarbeitet werden:

4.1 Benutzer- und Kontodaten

  • E-Mail-Adresse
  • Anzeigename / Name
  • Passwort-Hash
  • Rolle / Berechtigungsstufe
  • Tenant-Zugehörigkeit
  • Benutzerstatus
  • Login- und Session-Daten

4.2 Unternehmens- und Tenant-Daten

  • Firmenname
  • Firmenanschrift
  • Firmenlogo
  • Tarif / Plan
  • interne Stundensätze
  • Administrationsdaten

4.3 Projekt- und Baustellendaten

  • Projektname
  • Auftraggeber
  • Baustellenadresse
  • Gewerk
  • Vertragsart
  • Geokoordinaten
  • Projektnotizen

4.4 Aufmaß- und Leistungsdaten

  • erfasste Mengen
  • Leistungspositionen
  • Einheiten
  • Lokalisierungen
  • Notizen
  • Zeitstempel
  • Ersteller, Prüfer und Freigeber

4.5 Bautagebuch- und Regieberichtsdaten

  • Tagesnotizen
  • Tätigkeitsbeschreibungen
  • Arbeitszeiten
  • Pausen
  • Behinderungen
  • Unfallhinweise
  • Statusinformationen
  • Prüf- und Sperrvermerke

4.6 Foto-Dokumentation

  • Baustellenfotos
  • Metadaten zu Fotos
  • ggf. abgebildete Personen
  • Zuordnung zu Projekten, Berichten oder Nachweisen

4.7 Audit- und Protokolldaten

  • Benutzer-ID
  • Aktion
  • betroffene Entität
  • Zeitstempel
  • technische Protokolldaten
  • sicherheitsrelevante Ereignisse

§ 5 Kategorien betroffener Personen

Betroffene Personen können insbesondere sein:

  • Mitarbeiter des Verantwortlichen
  • Bauleiter
  • Projektleiter
  • Monteure
  • Subunternehmer
  • Auftraggeber
  • Bauherren
  • Architekten
  • Fachplaner
  • Kunden des Verantwortlichen
  • sonstige auf Fotos erkennbare Personen

§ 6 Weisungsrecht

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Weisungen erfolgen insbesondere durch:

  • Nutzung der Plattform
  • Konfiguration durch Tenant-Administratoren
  • schriftliche oder elektronische Weisungen
  • vertragliche Vereinbarungen

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

(4) Mündliche Weisungen sind vom Verantwortlichen unverzüglich schriftlich oder elektronisch zu bestätigen.

§ 7 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten;
  • personenbezogene Daten vertraulich zu behandeln;
  • nur Personen einzusetzen, die auf Vertraulichkeit verpflichtet wurden;
  • geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen;
  • den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren;
  • den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten gemäß Art. 15–22 DSGVO zu unterstützen;
  • den Verantwortlichen bei Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO zu unterstützen;
  • den Verantwortlichen bei vorherigen Konsultationen gemäß Art. 36 DSGVO zu unterstützen;
  • behördliche Anfragen, soweit rechtlich zulässig, unverzüglich an den Verantwortlichen weiterzuleiten;
  • nach Beendigung der Verarbeitung personenbezogene Daten nach Weisung zu löschen oder herauszugeben.

§ 8 Pflichten des Verantwortlichen

Der Verantwortliche ist insbesondere verpflichtet:

  • die Rechtmäßigkeit der Verarbeitung sicherzustellen;
  • die betroffenen Personen ordnungsgemäß zu informieren;
  • erforderliche Einwilligungen einzuholen, soweit diese erforderlich sind;
  • die arbeitsrechtliche Zulässigkeit der Nutzung sicherzustellen;
  • betriebsverfassungsrechtliche Mitbestimmungsrechte, insbesondere nach § 87 BetrVG, zu beachten;
  • sicherzustellen, dass Fotoaufnahmen rechtmäßig erstellt und verarbeitet werden;
  • Weisungen klar, vollständig und rechtmäßig zu erteilen.

Der Verantwortliche bleibt insbesondere verantwortlich für die Zulässigkeit der Verarbeitung von Arbeitszeit-, Leistungs- und Foto-Daten.

§ 9 Unterauftragsverarbeiter

Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz folgender Unterauftragsverarbeiter:

Unterauftragsverarbeiter Zweck Standort Transfergrundlage
Contabo GmbH Hosting der Plattform, Datenbank, Dateispeicherung Deutschland EU
Google LLC / Google Ireland Ltd Geocoding API, Weather API, ggf. Gemini API bei aktivierter Übersetzungsfunktion EU / USA EU-US DPF + SCC
Resend Inc. Versand transaktionaler E-Mails USA EU-US DPF + SCC

(1) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters.

(2) Der Verantwortliche kann der Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen.

(3) Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Änderung als genehmigt.

(4) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter vertraglich mindestens denselben Datenschutzpflichten unterliegen wie der Auftragsverarbeiter.

§ 10 Drittlandübermittlung

Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.

Dies umfasst insbesondere:

  • EU-US Data Privacy Framework gemäß Art. 45 DSGVO
  • Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO
  • zusätzliche technische und organisatorische Schutzmaßnahmen, soweit erforderlich

Eine Drittlandübermittlung erfolgt insbesondere bei Nutzung von Google-Diensten und Resend.

§ 11 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen um.

Diese Maßnahmen umfassen insbesondere:

  • Transportverschlüsselung
  • rollenbasierte Zugriffskontrolle
  • Tenant-Isolation
  • Passwort-Hashing
  • Audit-Logging
  • Zugriffsbeschränkung nach dem Need-to-Know-Prinzip
  • Serverbetrieb in Deutschland
  • regelmäßige Sicherheitsupdates
  • sichere Session-Cookies

Der Auftragsverarbeiter ist berechtigt, technische und organisatorische Maßnahmen weiterzuentwickeln, sofern das Sicherheitsniveau nicht unterschritten wird.

§ 12 Multi-Tenant-Verarbeitung

Die Plattform wird als Multi-Tenant-SaaS betrieben.

Die Daten mehrerer Kunden werden in einer gemeinsamen technischen Umgebung verarbeitet, jedoch logisch voneinander getrennt.

Die Trennung erfolgt insbesondere durch:

  • Tenant-ID
  • rollenbasierte Zugriffskontrolle
  • projektbezogene Zugriffskontrollen
  • serverseitige Berechtigungsprüfung

Eine physische Trennung der Datenbanken pro Kunde ist nicht geschuldet, sofern nicht ausdrücklich gesondert vereinbart.

§ 13 Foto-Dokumentation

(1) Die Plattform ermöglicht das Hochladen und Speichern von Baustellenfotos.

(2) Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Fotoerfassung und Fotoverarbeitung.

(3) Der Verantwortliche stellt sicher, dass keine unzulässigen Fotoaufnahmen verarbeitet werden, insbesondere keine unzulässigen Abbildungen von Mitarbeitern, Kunden, Passanten oder sonstigen Dritten.

(4) Der Auftragsverarbeiter prüft Inhalte von Fotos nicht.

(5) Fotos werden für die Dauer des Vertragsverhältnisses gespeichert, sofern keine Löschung durch den Verantwortlichen erfolgt oder keine abweichende Aufbewahrungsfrist vereinbart wurde.

§ 14 Arbeitszeit- und Leistungsdaten

(1) Die Plattform ermöglicht die Erfassung von Arbeitszeiten, Tätigkeiten, Pausen und Effizienzkennzahlen.

(2) Diese Daten können Rückschlüsse auf die Arbeitsleistung einzelner Mitarbeiter zulassen.

(3) Der Verantwortliche ist allein verantwortlich für die arbeitsrechtliche Zulässigkeit dieser Verarbeitung.

(4) Der Verantwortliche stellt sicher, dass etwaige Mitbestimmungsrechte eines Betriebsrats beachtet werden.

§ 15 Audit-Logs und Nachvollziehbarkeit

(1) Die Plattform führt Audit-Logs zur Nachvollziehbarkeit von Änderungen, Prüfungen, Freigaben und sicherheitsrelevanten Ereignissen.

(2) Audit-Logs dienen der Nachweisbarkeit, Integrität und Sicherheit der Verarbeitung.

(3) Audit-Logs können personenbezogene Daten enthalten.

(4) Die Speicherung von Audit-Logs erfolgt für die Dauer des Vertragsverhältnisses sowie nach Maßgabe gesetzlicher Aufbewahrungs- und Nachweispflichten.

§ 16 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang bei der Erfüllung von Anfragen betroffener Personen, insbesondere bei:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch

Soweit technisch möglich, stellt der Auftragsverarbeiter die hierfür erforderlichen Informationen bereit.

§ 17 Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.

(2) Die Mitteilung enthält, soweit verfügbar:

  • Art der Datenschutzverletzung
  • betroffene Datenkategorien
  • betroffene Personengruppen
  • mögliche Folgen
  • getroffene oder vorgeschlagene Maßnahmen

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 18 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Pflichten und der technischen und organisatorischen Maßnahmen in angemessenem Umfang zu überprüfen.

(2) Die Kontrolle erfolgt grundsätzlich durch:

  • Vorlage geeigneter Nachweise
  • Dokumentation der TOM
  • schriftliche Auskünfte
  • technische Dokumentationen

(3) Vor-Ort-Prüfungen sind nur nach vorheriger Abstimmung, während üblicher Geschäftszeiten und unter Wahrung von Betriebs- und Geschäftsgeheimnissen zulässig.

(4) Der Verantwortliche trägt die Kosten einer Vor-Ort-Prüfung, sofern die Prüfung nicht aufgrund eines nachgewiesenen Datenschutzverstoßes erforderlich ist.

§ 19 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Vertragsverhältnisses stellt der Auftragsverarbeiter dem Verantwortlichen auf Wunsch einen angemessenen Export der Daten zur Verfügung, soweit dies technisch möglich und vertraglich vereinbart ist.

(2) Nach Ablauf gesetzlicher oder vertraglicher Aufbewahrungsfristen werden personenbezogene Daten gelöscht.

(3) Eine vollständige Löschung kann ausgeschlossen sein, soweit gesetzliche Aufbewahrungspflichten, Nachweispflichten oder berechtigte Interessen entgegenstehen.

(4) Gelöschte Daten können aus technischen Backups bis zu deren turnusmäßiger Überschreibung fortbestehen.

§ 20 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung personenbezogener Daten befassten Personen zur Vertraulichkeit, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 21 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform oder elektronischen Textform, soweit gesetzlich zulässig.

(2) Es gilt das Recht der Bundesrepublik Deutschland.

(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 — Technische und organisatorische Maßnahmen (TOM)

1. Zutrittskontrolle

Der Auftragsverarbeiter betreibt die Plattform auf Servern eines professionellen Hosting-Anbieters in Deutschland.

Physischer Zutritt zu Rechenzentren wird durch den Hosting-Anbieter kontrolliert.

2. Zugangskontrolle

  • Zugang zur Plattform nur über Benutzerkonto
  • Passwort-Authentifizierung
  • Passwort-Hashing mittels PBKDF2-SHA256 mit Salt
  • Session-Cookies mit Secure- und HTTP-Only-Attribut
  • rollenbasierte Zugriffsbeschränkung
  • Administratorzugriff nur für berechtigte Personen

3. Zugriffskontrolle

  • rollenbasiertes Berechtigungssystem
  • Tenant-Isolation
  • Zugriff nach Need-to-Know-Prinzip
  • projektbezogene Zugriffskontrolle
  • Prüfung von Zugriffsrechten serverseitig

4. Weitergabekontrolle

  • Datenübertragung ausschließlich über HTTPS / TLS 1.2 oder höher
  • keine unverschlüsselte Übertragung über öffentliche Netze
  • Einsatz von Unterauftragsverarbeitern nur gemäß AVV
  • Drittlandübermittlung nur auf Grundlage geeigneter Garantien

5. Eingabekontrolle

  • Audit-Logging von Änderungen
  • Protokollierung von Benutzeraktionen
  • Zeitstempel bei Änderungen, Prüfungen und Freigaben
  • Nachvollziehbarkeit von Ersteller, Prüfer und Freigeber

6. Auftragskontrolle

  • Verarbeitung nur auf Weisung des Verantwortlichen
  • dokumentierte Unterauftragsverarbeiter
  • AVV mit Hosting-Provider und sonstigen Dienstleistern, soweit erforderlich

7. Verfügbarkeitskontrolle

  • Betrieb auf VPS-Infrastruktur in Deutschland
  • regelmäßige Sicherheitsupdates
  • manuelle Backups / Snapshots
  • Wiederherstellung nach technischem Ausfall nach Best-Effort

8. Trennungskontrolle

  • logische Trennung nach Tenant-ID
  • Berechtigungsprüfung je Projekt
  • keine physische Datenbanktrennung pro Kunde, sofern nicht gesondert vereinbart

9. Pseudonymisierung und Verschlüsselung

  • Transportverschlüsselung via HTTPS
  • Passwort-Hashing
  • keine zusätzliche Verschlüsselung der SQLite-Datenbank im Ruhezustand
  • Schutz der Datenbank durch Dateisystemrechte und Serverzugriffsbeschränkungen

10. Organisationsmaßnahmen

  • Zugriff nur für autorisierte Personen
  • Need-to-Know-Prinzip
  • regelmäßige technische Wartung
  • Aktualisierung der Subprocessor-Liste
  • manuelle Bearbeitung von Lösch- und Exportanfragen

Unterschriften

Verantwortlicher

Ort, Datum: ___________________________
Name/Funktion: ________________________
Unterschrift: __________________________

Auftragsverarbeiter

Ort, Datum: ___________________________
Name/Funktion: ________________________
Unterschrift: __________________________