# Auftragsverarbeitungsvertrag (AVV) **nach Art. 28 DSGVO** --- ⚠️ **WICHTIGER HINWEIS — ANWALTSPRÜFUNG ERFORDERLICH** Dieser AVV ist ein **Entwurf**, der auf gängigen Mustern (u.a. Vorlage der Datenschutzkonferenz, GDD-Mustervertrag) basiert. Er ist KEINE rechtsverbindliche Vorlage und ersetzt keine anwaltliche Beratung. Vor dem produktiven Einsatz: - Vom Auftragnehmer (Planakte-Anbieter) einmalig durch einen Fachanwalt für IT-Recht prüfen lassen. - Vom Auftraggeber (Kunde) durch eigenen DSB oder Rechtsanwalt gegenprüfen lassen. --- ## Zwischen **Auftraggeber:** [Firma des Kunden] [Straße, Hausnummer] [PLZ, Stadt] vertreten durch [Geschäftsführer/in] — im Folgenden „Verantwortlicher" — **und** **Auftragnehmer:** [Firmierung Planakte-Anbieter — TBD] [Straße, Hausnummer] [PLZ, Stadt] vertreten durch [Geschäftsführer/in] — im Folgenden „Auftragsverarbeiter" — --- ## § 1 Gegenstand und Dauer (1) Gegenstand des Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Software-as-a-Service-Plattform „Planakte" (im Folgenden: „die Anwendung"). (2) Der Vertrag beginnt mit Unterzeichnung und läuft auf unbestimmte Zeit. Er endet mit Beendigung des zugrundeliegenden Hauptvertrags (Nutzungsvereinbarung Planakte-SaaS). ## § 2 Art und Zweck der Verarbeitung (1) **Art:** Hosting einer Web-Anwendung, Speicherung in Datenbank und Dateispeicher, Spiegelung in SharePoint (optional), automatisierte Backups, Mail-Versand (z.B. Benachrichtigungen). (2) **Zweck:** Bereitstellung der Anwendung für den Verantwortlichen zur projektbezogenen Verwaltung seiner Geschäftsvorgänge. (3) **Datenkategorien:** - Stammdaten des Verantwortlichen (Firma, Anschrift, Kontakt) - Stammdaten von Beschäftigten des Verantwortlichen (Name, E-Mail, Rolle, optional Telefon) - Stammdaten von Kunden, Projektbeteiligten und Externen des Verantwortlichen (Firma, Anschrift, Kontaktpersonen) - Geschäftsdaten (Projekte, Stunden, Kilometer, Briefe, Protokolle, Fotos, Pläne) - Authentifizierungsdaten (Passwort-Hashes, TOTP-Secrets, WebAuthn-Credentials) - Logfiles (Zugriffe, Aktionen) zur Sicherheitsüberwachung (4) **Betroffenenkreise:** - Beschäftigte des Verantwortlichen - Kunden des Verantwortlichen - Projektbeteiligte und Externe (z.B. Architekten, Fachplaner, Behörden) - Endkunden / Bauherren (sofern in Kontakte erfasst) ## § 3 Pflichten des Auftragsverarbeiters (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen, die sich aus dem Hauptvertrag und diesem AVV ergeben. (2) Sofern der Auftragsverarbeiter gesetzlich zu einer weitergehenden Verarbeitung verpflichtet ist (z.B. Auskunft an Strafverfolgungsbehörden), teilt er dies dem Verantwortlichen unverzüglich mit, sofern dies rechtlich zulässig ist. (3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen (Art. 12–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen, insbesondere durch die in der Anwendung bereitgestellten Export- und Löschfunktionen. (4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung). (5) Der Auftragsverarbeiter verpflichtet alle mit der Datenverarbeitung befassten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO). ## § 4 Technische und organisatorische Maßnahmen (TOM) Der Auftragsverarbeiter setzt die in **Anhang 1** beschriebenen technischen und organisatorischen Maßnahmen um. ## § 5 Unterauftragsverarbeiter (1) Die Beauftragung von Unterauftragsverarbeitern ist nur mit vorheriger Zustimmung des Verantwortlichen zulässig. (2) Der Verantwortliche stimmt mit Abschluss dieses Vertrags der Beauftragung folgender Unterauftragsverarbeiter zu (Stand Vertragsabschluss): | Name | Sitz | Leistung | |------|------|----------| | Hetzner Online GmbH | Gunzenhausen, Deutschland | Hosting der Anwendungs-Server | | Strato AG | Berlin, Deutschland | Backup-Storage | | Let's Encrypt (Internet Security Research Group) | Vereinigte Staaten | TLS-Zertifikate (keine personenbezogenen Daten) | (3) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über geplante Änderungen am Kreis der Unterauftragsverarbeiter. Der Verantwortliche kann der Änderung aus wichtigem Grund widersprechen. ## § 6 Rechte und Pflichten des Verantwortlichen (1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen allein verantwortlich (Art. 24 DSGVO). (2) Der Verantwortliche teilt dem Auftragsverarbeiter Änderungen mit, die sich auf die Erfüllung dieses AVV auswirken können. (3) Der Verantwortliche kann sich jederzeit über die Einhaltung der vereinbarten TOM durch Inaugenscheinnahme der dokumentierten Sicherheitsmaßnahmen, Selbstauskünfte des Auftragsverarbeiters oder durch Vor-Ort-Kontrolle nach vorheriger Terminabsprache überzeugen. Kosten einer Vor-Ort-Kontrolle trägt der Verantwortliche. ## § 7 Mitteilungs- und Unterstützungspflichten bei Datenpannen (1) Der Auftragsverarbeiter meldet dem Verantwortlichen Datenschutzverletzungen unverzüglich, spätestens jedoch innerhalb von **24 Stunden** nach Kenntniserlangung. Die Meldung erfolgt per E-Mail an die hinterlegte Admin-Adresse des Verantwortlichen sowie zusätzlich per Telefon bei meldepflichtigen Vorfällen im Sinne von Art. 33 DSGVO. (2) Die Meldung enthält mindestens: - Art der Verletzung und Kategorien betroffener Daten/Personen - voraussichtliche Folgen - bereits ergriffene und vorgeschlagene Maßnahmen ## § 8 Beendigung des Vertrags (1) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter alle verarbeiteten personenbezogenen Daten innerhalb von **30 Tagen** nach Kündigung, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. (2) Vor der Löschung erhält der Verantwortliche die Möglichkeit, einen vollständigen Datenexport als ZIP-Archiv über die in der Anwendung bereitgestellte Export-Funktion durchzuführen. (3) Backups, die personenbezogene Daten enthalten, werden im Rahmen der Backup-Rotation (max. 30 Tage) automatisch überschrieben. Eine gezielte Löschung in einzelnen Backups ist nicht möglich, das Backup wird aber als Ganzes nach Ablauf der Rotation gelöscht. ## § 9 Haftung Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags. Die Haftung des Auftragsverarbeiters für unmittelbare Schäden ist auf die Höhe der vom Verantwortlichen im Schadensjahr gezahlten Vergütung begrenzt, sofern nicht Vorsatz oder grobe Fahrlässigkeit vorliegt. ## § 10 Schlussbestimmungen (1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. (2) Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit des übrigen Vertrags unberührt. (3) Es gilt deutsches Recht. Gerichtsstand ist [TBD Sitz des Auftragsverarbeiters]. --- **Ort, Datum:** _________________________ **Auftraggeber:** _________________________ **Auftragsverarbeiter:** _________________________ --- ## Anhang 1: Technische und organisatorische Maßnahmen (TOM) ### 1. Zutrittskontrolle Server stehen in Rechenzentren der Unterauftragsverarbeiter (Hetzner, Strato). Diese sind ISO-27001 zertifiziert und gewährleisten: - Mehrstufige Zutrittssicherung (Sicherheitsschleusen, Videoüberwachung) - 24/7-Bewachung - Brand- und Wassermelde-Anlagen ### 2. Zugangskontrolle - Authentifizierung an der Anwendung über Benutzername/Passwort (bcrypt-Hash, Mindestlänge 12) - Optional: 2-Faktor-Authentifizierung via TOTP oder WebAuthn-Passkey - Session-Timeouts nach 12 Stunden - Rate-Limiting gegen Brute-Force - Server-Zugang nur via SSH-Public-Key, kein Passwort-Login ### 3. Zugriffskontrolle - Rollen-basierte Berechtigungen (Admin / Mitarbeiter) - Mitarbeiter sehen nur Projekte, denen sie zugewiesen sind - Audit-Log aller relevanten Aktionen - Separater Datenbank-Container pro Kunde — keine Cross-Mandanten-Sicht ### 4. Weitergabekontrolle - TLS 1.2+ für alle Verbindungen (HTTPS via Let's Encrypt) - HSTS mit Preload - Backups verschlüsselt (AES-256) mit individuellem Schlüssel pro Mandant - Keine Datenübertragung in Drittländer (außer Let's Encrypt für TLS, enthält keine personenbezogenen Daten) ### 5. Eingabekontrolle - Audit-Log für alle Änderungen an Projektdaten, Benutzern, Einstellungen - Logs enthalten: Wer (User-ID), Wann (Timestamp), Was (Aktion + Diff) - Logs sind 12 Monate revisionssicher gespeichert ### 6. Auftragskontrolle - Schriftliche Vereinbarungen mit Unterauftragsverarbeitern - Regelmäßige Überprüfung der Unterauftragsverarbeiter (jährlich) - Sensibilisierung aller Mitarbeitenden im Datenschutz (jährliche Schulung) ### 7. Verfügbarkeitskontrolle - Tägliche verschlüsselte Backups, 30 Tage Rotation - Backup-Wiederherstellungs-Tests einmal pro Quartal - Monitoring der Server-Verfügbarkeit (Alerts bei Ausfall) - Recovery Point Objective (RPO): 24 h - Recovery Time Objective (RTO): 4 h ### 8. Trennungskontrolle - Jeder Kunde läuft in einem eigenen Docker-Container - Eigene Datenbank-Datei pro Mandant - Eigene Datei-Volumes pro Mandant - Logs sind pro Mandant getrennt ### 9. Pseudonymisierung / Verschlüsselung - Passwörter werden ausschließlich als bcrypt-Hash gespeichert - TOTP-Secrets sind in der Datenbank verschlüsselt - Backups sind mit AES-256 verschlüsselt - Klartext-Speicherung von personenbezogenen Daten erfolgt nur, wenn dies für die Funktion zwingend nötig ist (z.B. Namen, Adressen) ### 10. Datenschutz-Management - Datenschutzbeauftragter benannt [TBD] - Verzeichnis von Verarbeitungstätigkeiten geführt - Datenschutz-Folgenabschätzung (DSFA) durchgeführt für das Produkt - Datenpannen-Meldeprozess dokumentiert (siehe § 7)