Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Stand: Februar 2026

📄 AVV als PDF herunterladen

§1 Gegenstand und Dauer

Auftraggeber: Der Kunde (Handwerksbetrieb), der den Dienst BauOrdner nutzt.

Auftragnehmer: BauOrdner / Ordnung fürs Handwerk, Raik Rische, Johannesstr. 49, 99084 Erfurt.

Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung des Dienstes BauOrdner.

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrages. Nach Beendigung werden alle Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der:

• Entgegennahme und Speicherung von WhatsApp-Nachrichten (Fotos, Sprachnachrichten, Dokumente)
• Transkription von Sprachnachrichten in Text
• Automatischen Klassifizierung und Zuordnung zu Kunden und Baustellen
• Bereitstellung des Kundenportals zur Einsicht und Verwaltung der Daten
• Erstellung und Versand von Rechnungen
• Automatische Bilderkennung zur Klassifizierung von Baustellenfotos
• Automatische Textextraktion aus PDF-Dokumenten zur Klassifizierung

§3 Art der personenbezogenen Daten

• Telefonnummern der Mitarbeiter des Auftraggebers
• Namen der Mitarbeiter
• Inhalte von WhatsApp-Nachrichten (Text, Bilder, Sprachnachrichten, Dokumente)
• Baustellendokumentation (Fotos, Protokolle, Notizen)
• Kundennamen und -adressen des Auftraggebers
• E-Mail-Adressen und Zugangsdaten für das Portal

§4 Kategorien betroffener Personen

• Mitarbeiter des Auftraggebers (Handwerker, Bauleiter)
• Kunden/Auftraggeber des Auftraggebers (Bauherren)
• Ansprechpartner des Auftraggebers (Geschäftsführer, Büro)

§5 Pflichten des Auftragnehmers

• Verarbeitung der Daten nur auf dokumentierte Weisung des Auftraggebers
• Gewährleistung der Vertraulichkeit (alle Mitarbeiter sind zur Vertraulichkeit verpflichtet)
• Ergreifung aller erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO
• Unterstützung des Auftraggebers bei der Erfüllung von Betroffenenrechten
• Unterstützung bei Datenschutz-Folgenabschätzungen
• Löschung aller Daten nach Beendigung des Auftrags
• Bereitstellung aller Informationen zum Nachweis der Einhaltung der Pflichten

§6 Technische und organisatorische Maßnahmen (TOMs)

Maßnahme	Umsetzung
Zutrittskontrolle	Serverzugang über SSH mit Key-Authentifizierung, Hetzner-Rechenzentrum mit Zugangskontrolle
Zugangskontrolle	Passwortgeschütztes Portal, gehashte Passwörter (Werkzeug/bcrypt), Session-Management
Zugriffskontrolle	Firmen-basierte Datentrennung, jeder Nutzer sieht nur eigene Firmendaten
Übertragungskontrolle	TLS/SSL-Verschlüsselung für alle Verbindungen (HTTPS), verschlüsselte SMTP-Verbindung
Eingabekontrolle	Protokollierung aller Datenänderungen, Zuordnungs-Log
Verfügbarkeitskontrolle	Hetzner-Rechenzentrum mit Redundanz, regelmäßige Backups
Trennungskontrolle	Logische Datentrennung pro Firma durch separate Ordnerstrukturen und Datenbank-Felder
Datenschutz durch Technik	Spracherkennung lokal auf dem Server (keine Audiodaten an Dritte), minimale Datenweiterleitung
KI-Bildklassifizierung	Bildanalyse über Anthropic API (Claude), keine dauerhafte Speicherung durch Anthropic, kein Training mit Kundendaten gemäß API-Nutzungsbedingungen

§7 Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:

Dienstleister	Zweck	Standort	Grundlage
Hetzner Online GmbH	Server-Hosting	Deutschland	AVV mit Hetzner
Meta Platforms Ireland Ltd.	WhatsApp Business API (Nachrichtenempfang)	Irland / USA	EU-Standardvertragsklauseln
Anthropic PBC	KI-Klassifizierung von Texten und Bildern zur automatischen Dokumentensortierung	USA	EU-Standardvertragsklauseln, keine Datenspeicherung durch Anthropic

Der Auftraggeber stimmt dem Einsatz der genannten Unterauftragsverarbeiter zu. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung.

§8 Rechte des Auftraggebers

• Recht auf Auskunft über die verarbeiteten Daten
• Recht auf Prüfung der technischen und organisatorischen Maßnahmen
• Recht auf Weisung bezüglich der Datenverarbeitung
• Recht auf Datenexport (über die ZIP-Download-Funktion im Portal)
• Recht auf Löschung nach Vertragsende

§9 Meldepflichten

Der Auftragnehmer informiert den Auftraggeber unverzüglich über:

• Verletzungen des Schutzes personenbezogener Daten (Data Breach)
• Prüfungen durch Aufsichtsbehörden
• Wesentliche Änderungen an den technischen und organisatorischen Maßnahmen

§10 Schlussbestimmungen

Dieser AVV ist Bestandteil des Nutzungsvertrages für BauOrdner. Er tritt mit der Registrierung in Kraft und endet mit der Beendigung des Nutzungsvertrages.

Änderungen dieses AVV bedürfen der Textform. Es gilt deutsches Recht.