Home / Auftragsverarbeitung (AVV)

Auftragsverarbeitung (AVV)

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO für die Nutzung von BauCockpit.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
für die Nutzung der SaaS-Plattform „BauCockpit“

Version: 2026-01-20
Dokument-URL: https://baucockpit.app/auftragsverarbeitung/

1. Vertragsparteien

1.1 Auftraggeber (Verantwortlicher)

Unternehmen/Organisation: [Firmenname Auftraggeber]
Anschrift: [Straße, Nr.], [PLZ Ort], [Land]
Vertreten durch: [Name, Funktion]
E-Mail: [E-Mail]
(Der Auftraggeber ist „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO.)

1.2 Auftragnehmer (Auftragsverarbeiter)

It & Business Consulting e.K.
Lichtstr. 2, 45127 Essen, Deutschland
Inhaber: Nick Ahadpour (Einzelkaufmann)
E-Mail: admin@baucockpit.app
Telefon: +49 (0) 201 24 87 9177
(Der Auftragnehmer ist „Auftragsverarbeiter“ im Sinne von Art. 4 Nr. 8 DSGVO.)

2. Präambel und Gegenstand

  1. Der Auftragnehmer stellt dem Auftraggeber die cloudbasierte Software-Plattform BauCockpit zur Verfügung, über die der Auftraggeber Bauprojekte, Baustellen, Berichte, Dokumente, Ausgaben und weitere betriebliche Vorgänge verwalten kann (nachfolgend „Hauptvertrag“).
  2. Bei der Nutzung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag und gemäß Weisungen des Auftraggebers. Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO.
  3. Dieser AVV gilt ergänzend zum Hauptvertrag. Im Fall von Widersprüchen gehen die Regelungen dieses AVV hinsichtlich der Auftragsverarbeitung vor.

3. Definitionen

Soweit in diesem Vertrag Begriffe verwendet werden, gelten die Definitionen der DSGVO. Insbesondere:

  • „personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO)
  • „Verarbeitung“ (Art. 4 Nr. 2 DSGVO)
  • „Auftragsverarbeiter“ (Art. 4 Nr. 8 DSGVO)
  • „Unterauftragsverarbeiter“ / „Subunternehmer“ (Art. 28 Abs. 2 DSGVO)

4. Art, Umfang, Zweck, Datenarten und Betroffenengruppen

Die Einzelheiten der Verarbeitung ergeben sich aus Anlage 1 (Beschreibung der Verarbeitung). Anlage 1 ist Bestandteil dieses AVV.

5. Dauer und Beendigung

  1. Dieser AVV tritt mit Wirksamwerden des Hauptvertrags in Kraft und gilt für dessen Dauer.
  2. Nach Beendigung der Vertragsbeziehung gelten die Regelungen zur Rückgabe/Löschung (Ziff. 14) fort, bis die Verarbeitung vollständig beendet ist.

6. Weisungsrecht des Auftraggebers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern nicht eine gesetzliche Verpflichtung des Auftragnehmers entgegensteht (Art. 28 Abs. 3 lit. a DSGVO).
  2. Weisungen erfolgen grundsätzlich über die in BauCockpit vorgesehenen Administrations-/Konfigurationsmöglichkeiten. Ergänzende Weisungen bedürfen zumindest der Textform (z. B. E-Mail).
  3. Hält der Auftragnehmer eine Weisung für datenschutzwidrig, informiert er den Auftraggeber unverzüglich.

7. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich insbesondere:

7.1 Vertraulichkeit

  1. Der Auftragnehmer stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO).
  2. Der Zugriff auf Daten wird nach dem Need-to-know-Prinzip beschränkt.

7.2 Sicherheit der Verarbeitung / TOMs

  1. Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
  2. Die TOMs sind in Anlage 2 beschrieben und werden fortlaufend an den Stand der Technik angepasst.

7.3 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren bei der Erfüllung von Anfragen betroffener Personen (Art. 28 Abs. 3 lit. e DSGVO), insbesondere Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit.

7.4 Unterstützung bei Pflichten des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber bei:

  • Meldungen von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO)
  • Datenschutz-Folgenabschätzung und Konsultation (Art. 35, 36 DSGVO)

(Art. 28 Abs. 3 lit. f DSGVO)

7.5 Verzeichnis von Verarbeitungstätigkeiten

Der Auftragnehmer führt ein Verzeichnis nach Art. 30 Abs. 2 DSGVO, soweit gesetzlich erforderlich.

8. Unterauftragsverarbeiter (Subunternehmer)

  1. Der Auftragnehmer darf Unterauftragsverarbeiter nur unter Einhaltung der Vorgaben aus Art. 28 Abs. 2 und 4 DSGVO einsetzen.
  2. Die aktuell eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
  3. Hosting: Der Betrieb/Hosting erfolgt bei IONOS (Serverstandort EU).
  4. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann aus wichtigem Grund widersprechen.
  5. Der Auftragnehmer schließt mit Unterauftragsverarbeitern Verträge nach Art. 28 DSGVO ab, die mindestens die in diesem AVV geregelten Pflichten enthalten.

9. Datenverarbeitung außerhalb EU/EWR

  1. Eine Verarbeitung außerhalb der EU/EWR findet grundsätzlich nicht statt.
  2. Sollte im Einzelfall eine Verarbeitung außerhalb EU/EWR erforderlich werden (z. B. durch vom Auftraggeber aktivierte Integrationen), erfolgt dies nur bei Vorliegen geeigneter Garantien (z. B. EU-Standardvertragsklauseln) und nach Information des Auftraggebers.

10. Technische Trennung / Mandantenfähigkeit

  1. Der Auftragnehmer stellt sicher, dass Daten verschiedener Auftraggeber logisch getrennt verarbeitet werden (Mandantentrennung).
  2. Zugriff auf Mandantendaten erfolgt ausschließlich nach Authentifizierung und Rollen-/Rechtekonzept.

11. Meldung von Datenschutzverletzungen

  1. Der Auftragnehmer meldet dem Auftraggeber unverzüglich jede ihm bekannt werdende Verletzung des Schutzes personenbezogener Daten, die die Daten des Auftraggebers betrifft.
  2. Die Meldung enthält – soweit möglich – mindestens:
  • Art der Verletzung, betroffene Datenarten/Kategorien
  • voraussichtliche Folgen
  • bereits ergriffene oder vorgeschlagene Maßnahmen
  • Kontaktstelle für Rückfragen

12. Kontrollrechte / Audit

  1. Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV nach angemessener Vorankündigung zu kontrollieren (Art. 28 Abs. 3 lit. h DSGVO).
  2. Audits erfolgen unter Wahrung von Betriebs- und Geschäftsgeheimnissen sowie unter Beachtung der Vertraulichkeit und der Rechte anderer Mandanten.
  3. Alternativ kann der Auftragnehmer geeignete Nachweise (z. B. aktuelle TOM-Dokumentation, Sicherheitskonzepte, Protokolle) bereitstellen.

13. Rückgabe, Löschung und Datenportabilität nach Vertragsende

  1. Der Auftraggeber kann während der Vertragslaufzeit die Daten über die vorgesehenen Funktionen exportieren.
  2. Nach Vertragsbeendigung gewährt der Auftragnehmer dem Auftraggeber eine Abruffrist von 30 Tagen, um Daten zu exportieren, sofern dem keine gesetzlichen Pflichten entgegenstehen.
  3. Nach Ablauf der Abruffrist werden die personenbezogenen Daten des Auftraggebers spätestens nach 30 Tagen gelöscht.
  4. Der Auftraggeber ist verantwortlich dafür, vor Löschung gesetzliche Aufbewahrungspflichten (z. B. handels-/steuerrechtliche Pflichten) eigenständig zu erfüllen und Daten rechtzeitig zu sichern.
  5. Der Auftragnehmer bestätigt auf Wunsch die Löschung in Textform.

14. Vergütung

Soweit im Hauptvertrag nichts Abweichendes geregelt ist, ist die Vergütung für Leistungen nach diesem AVV mit der Vergütung für die Nutzung der Plattform abgegolten.

15. Haftung

  1. Es gelten die Haftungsregelungen des Hauptvertrags.
  2. Die Parteien haften datenschutzrechtlich nach den Regelungen der DSGVO (insb. Art. 82 DSGVO) im jeweiligen Verantwortungsbereich.

16. Schlussbestimmungen

  1. Änderungen und Ergänzungen dieses AVV bedürfen der Textform, sofern nicht eine strengere Form gesetzlich vorgeschrieben ist.
  2. Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  3. Es gilt deutsches Recht unter Beachtung zwingender datenschutzrechtlicher Vorgaben.

17. Elektronische Annahme (Click-Wrap)

  1. Der Auftraggeber kann diesen AVV elektronisch annehmen, indem der vertretungsberechtigte Nutzer (Tenant-Admin) im Registrierungsprozess die Checkbox „Auftragsverarbeitungsvertrag (AVV) akzeptieren“ aktiviert und die Registrierung abschließt.
  2. Der Auftragnehmer protokolliert die Annahme mindestens mit Datum/Uhrzeit, Version, Nutzerkennung (E-Mail), IP-Adresse und User-Agent, um die Nachweisbarkeit sicherzustellen.
  3. Der Auftraggeber bestätigt mit der Annahme, dass der Nutzer zur Annahme dieses AVV für das Unternehmen bevollmächtigt ist.

Anlage 1 – Beschreibung der Verarbeitung (Art, Umfang, Zweck)

A. Gegenstand

Bereitstellung und Betrieb der SaaS-Plattform „BauCockpit“ zur Verwaltung von Bauprojekten und zugehörigen Prozessen.

B. Art der Verarbeitung

Erheben, Erfassen, Organisation, Strukturierung, Speicherung, Anpassung/Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung (nur nach Konfiguration/Weisung), Abgleich, Einschränkung, Löschung/Vernichtung.

C. Zwecke der Verarbeitung

  • Nutzerverwaltung und Authentifizierung
  • Projekt-/Baustellenverwaltung, Zuordnung von Rollen (z. B. Bauleiter, Betrachter)
  • Erstellung/Verwaltung von Berichten, Dokumenten, Ausgaben, Materialbestellungen
  • Systembetrieb, Fehleranalyse, IT-Sicherheit (Logs)
  • Kommunikation per E-Mail (nur gemäß Konfiguration des Auftraggebers; SMTP oder Microsoft 365)

D. Kategorien personenbezogener Daten (typisch)

  • Stammdaten (Name, Unternehmen, Adresse, Kontaktdaten)
  • Account-/Login-Daten (E-Mail, Hash, Rollen)
  • Nutzungs-/Meta-Daten (Zeitpunkte, Protokolleinträge, IP-Adressen in Sicherheitslogs)
  • Inhaltsdaten (Berichte, Dokumente, ggf. Fotos/Anhänge)
  • Abrechnungsdaten (Rechnungsadresse, Leistungszeitraum, Rechnungsnummern)
  • Kommunikationsdaten (E-Mail-Inhalte/Anhänge, soweit durch Auftraggeber ausgelöst)

E. Kategorien betroffener Personen

  • Beschäftigte des Auftraggebers (Tenant-Admin, Bauleiter, Betrachter)
  • Geschäftspartner/Kunden/Lieferanten des Auftraggebers (sofern der Auftraggeber solche Daten in BauCockpit einpflegt)
  • Sonstige vom Auftraggeber erfasste Personen (z. B. Ansprechpartner auf Baustellen)

F. Häufigkeit und Dauer

Fortlaufend während der Vertragslaufzeit; Löschung gemäß Ziff. 13.

Anlage 2 – Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO

Die folgenden Maßnahmen stellen den aktuellen Mindeststandard dar und werden risikobasiert weiterentwickelt:

1) Vertraulichkeit

Zutrittskontrolle

  • Betrieb in Rechenzentren innerhalb der EU (IONOS), physische Zutrittskontrollen des Hosting-Providers.

Zugangskontrolle

  • Benutzerkonten mit Authentifizierung (Passwort/Session), Schutz vor unbefugtem Zugriff.
  • Rollen-/Rechtekonzept (z. B. Tenant-Admin, Bauleiter, Betrachter).
  • Session-Sicherheitsmechanismen (z. B. Session-Handling, Zeitlimits, Sperren).

Zugriffskontrolle

  • Mandantentrennung (logische Trennung der Daten je Tenant).
  • Least-Privilege-Prinzip für administrative Zugriffe.

Weitergabekontrolle

  • Transportverschlüsselung (TLS/HTTPS) für Webzugriff.
  • Zugriff auf Daten nur über authentifizierte Schnittstellen.

Eingabekontrolle / Protokollierung

  • Protokollierung sicherheitsrelevanter Ereignisse, Fehler- und Systemlogs.

2) Integrität

Übertragungskontrolle

  • Schutz der Datenübertragung über verschlüsselte Verbindungen.

Speicherkontrolle

  • Schutz vor unbefugter Manipulation durch Berechtigungs- und Rollenkonzepte.
  • Plausibilitäts- und Validierungsmechanismen auf Anwendungsebene (z. B. Formularvalidierungen).

3) Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

  • Monitoring/Fehlerbehandlung im Rahmen des Plattformbetriebs.
  • Backup-/Restore-Prozesse (plattformseitig), um Daten nach Störungen wiederherzustellen.

Wiederherstellbarkeit

  • Verfahren zur Wiederherstellung nach technischen Störungen.

4) Datenschutz durch Technikgestaltung / datenschutzfreundliche Voreinstellungen

  • Minimierung: Nur erforderliche Daten werden verarbeitet (Funktionsprinzip).
  • Trennung: Mandantentrennung und Zugriffsbeschränkungen.
  • Konfigurierbarkeit: Funktionen/Integrationen nur nach Aktivierung durch Auftraggeber.

5) Organisation

  • Vertraulichkeitsverpflichtung und Zugriffsbeschränkungen für berechtigte Personen.
  • Regelmäßige Überprüfung und Aktualisierung der TOMs.
  • Prozesse für Incident-Handling und Meldungen.

(Bei Bedarf kann Anlage 2 um konkrete Parameter (Backup-Zyklen, Monitoring-Tooling, RTO/RPO) ergänzt werden.)

Anlage 3 – Unterauftragsverarbeiter (Subunternehmerliste)

IONOS – Hosting/Serverbetrieb (Infrastruktur) – EU/EWR – Serverstandort EU, Betrieb der Infrastruktur

Änderungen/Ergänzungen erfolgen gemäß Ziff. 8 dieses AVV.

Anlage 4 – Weisungen und Ansprechpartner (optional)

Kontakt Auftraggeber (Datenschutz/Weisungen):
Name/Funktion: Nick Ahadpour / Inhaber
E-Mail: admin@baucockpit.app

Kontakt Auftragnehmer (Datenschutz/AVV):
It & Business Consulting e.K. – admin@baucockpit.app