Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO — Stand: 15.04.2026
§ 1 Gegenstand und Dauer
(1) Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die Allgemeinen Geschäftsbedingungen zwischen
- Verantwortlicher (Auftraggeber): Der Tenant (Holzbaubetrieb), nachfolgend „Auftraggeber“
- Auftragsverarbeiter: Thomas Tischner IT Systems, Georg-Strobel-Straße 54, 90489 Nürnberg, nachfolgend „Auftragnehmer“
(2) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung des SaaS-Dienstes „Holzbau-Konfigurator“.
(3) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrages (Abonnement gemäß AGB). Mit Beendigung des Hauptvertrages endet auch dieser AVV.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung dient der Bereitstellung des 3D-Konfigurators und umfasst:
- Entgegennahme und temporäre Speicherung von E-Mail-Adressen der Endkunden zur Verifizierung (Einmalcode, max. 10 Minuten)
- Weiterleitung von Anfragedaten (Lead-Daten) per E-Mail an den Auftraggeber sowie Bestätigungsmail an den Endkunden
- Vorübergehende Zwischenspeicherung von E-Mail-Inhalten in einer serverseitigen Warteschlange zur zuverlässigen Zustellung
- Erhebung anonymisierter Nutzungsstatistiken (Produkttyp, Preisbereich, gewählte Optionen — ohne Personenbezug)
- Protokollierung von Zugriffen in Server-Logs (IP-Adressen, Zeitstempel)
§ 3 Art der personenbezogenen Daten
Folgende Datenkategorien werden verarbeitet:
| Datenkategorie | Speicherdauer | Speicherort |
|---|---|---|
| E-Mail-Adresse (Endkunde) | Max. 10 Minuten | Datenbank (automatische Löschung) |
| Name, Telefon, PLZ, Konfiguration (Endkunde) | Bis zur erfolgreichen E-Mail-Zustellung, max. 7 Tage | Server (Hetzner, Deutschland), automatische Löschung nach Zustellung |
| Anonymisierte Nutzungsstatistiken (Produkttyp, Preis, Optionen) | Dauerhaft (kein Personenbezug) | Server (Hetzner, Deutschland) |
| IP-Adressen (Server-Logs) | 14 Tage | Grafana Cloud (automatische Löschung) |
§ 4 Kategorien betroffener Personen
- Endkunden des Auftraggebers, die den eingebetteten 3D-Konfigurator nutzen und eine Preisanfrage absenden
§ 5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Die Weisungen ergeben sich aus diesem AVV und den AGB. Weitergehende Weisungen bedürfen der Textform.
(2) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind und einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 8).
(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) sowie bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Art. 28 Abs. 3 lit. e und f DSGVO).
(5) Nach Beendigung des Auftrags löscht der Auftragnehmer alle personenbezogenen Daten, soweit keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO). Temporäre Daten (Verifizierungscodes) werden automatisch gelöscht.
(6) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO). Inspektionen sind mit angemessener Vorankündigung (mindestens 14 Tage) und unter Wahrung von Geschäftsgeheimnissen durchzuführen. Die Kosten der Überprüfung trägt der Auftraggeber, es sei denn, die Überprüfung ergibt Verstöße des Auftragnehmers gegen diesen AVV.
§ 6 Pflichten des Auftraggebers
(1) Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
(2) Der Auftraggeber ist verpflichtet, auf seiner eigenen Website eine Datenschutzerklärung bereitzustellen, die die Einbindung des Konfigurators und die Lead-Weiterleitung per E-Mail transparent darstellt.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
§ 7 Unterauftragsverarbeiter
(1) Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO):
| Unterauftragsverarbeiter | Sitz | Zweck | Verarbeitete Daten |
|---|---|---|---|
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen | Deutschland | Server-Hosting | Alle Daten (verschlüsselt in Transit) |
| Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | USA (EU-US Data Privacy Framework) | Zahlungsabwicklung | E-Mail-Adresse, Firmenname, Abonnement-Daten |
| Strato AG, Pascalstraße 10, 10587 Berlin | Deutschland | E-Mail-Versand (SMTP) | E-Mail-Adressen, E-Mail-Inhalte (Verifizierungscodes, Lead-Daten) |
| Grafana Labs, Inc., 33 Irving Pl, New York, NY 10003, USA | Datenhaltung EU / Deutschland (Frankfurt) — Cloud-Stack in EU-Region konfiguriert | Log-Aggregation und Monitoring | Server-Logs (IP-Adressen, Zeitstempel, anonymisierte Metriken) |
(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf Unterauftragsverarbeiter per E-Mail. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Information widersprechen. Im Falle eines berechtigten Widerspruchs steht dem Auftraggeber ein außerordentliches Kündigungsrecht zu.
(3) Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten wie in diesem AVV vereinbart (Art. 28 Abs. 4 DSGVO).
§ 8 Technische und organisatorische Maßnahmen (TOM)
Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:
Vertraulichkeit
- Zugriff auf Produktivsysteme ausschließlich über schlüsselbasierte Authentifizierung
- Administrativer Zugang per Einmal-Login-Link (zeitlich begrenzt) und verschlüsselten Sitzungs-Cookies mit nach dem Stand der Technik konfigurierten Sicherheitsattributen
- Superadmin-Zugang per nach dem Stand der Technik gehashtem Passwort
- API-Zugriff per eindeutigem Zugriffsschlüssel je Auftraggeber mit Zugriffsbeschränkung
- Alle Mitarbeiter zur Vertraulichkeit verpflichtet
Integrität
- Serverseitige Schema-Validierung auf allen API-Endpoints
- Schutz vor XSS durch HTML-Escaping und Content Security Policy
- Rate-Limiting auf allen sensiblen Schnittstellen
- Webhook-Verifizierung per kryptographischer Signatur
Verfügbarkeit und Belastbarkeit
- Hosting in deutschem Rechenzentrum mit automatischen Backups
- Containerisierte Anwendung mit automatischem Neustart
- Externes Monitoring- und Alerting-System
Verschlüsselung
- TLS/HTTPS für alle Datenübertragungen mit automatischer Zertifikatsverwaltung
- Erzwingung verschlüsselter Verbindungen durch serverseitige Sicherheitsrichtlinien
- SMTP-Versand über TLS-verschlüsselte Verbindung
- Passwörter ausschließlich mit branchenständigen Hashing-Verfahren gespeichert
- Login-Tokens als kryptographischer Hash in der Datenbank gespeichert
Datenminimierung und Löschkonzept
- Verifizierungscodes: Automatische Löschung nach 10 Minuten
- Magic-Link-Tokens: Automatische Löschung nach 30 Minuten, einmalige Nutzung
- Server-Logs: Automatische Löschung nach 14 Tagen
- Lead-Daten (E-Mail-Warteschlange): Automatische Löschung nach erfolgreicher Zustellung, spätestens nach 7 Tagen
- Anonymisierte Nutzungsstatistiken: Dauerhaft gespeichert (kein Personenbezug)
§ 9 Meldung von Datenschutzverletzungen
(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich nach Kenntniserlangung, in der Regel innerhalb von 24 Stunden, spätestens jedoch innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
(2) Die Meldung erfolgt per E-Mail an die hinterlegte Kontakt-E-Mail-Adresse des Auftraggebers und enthält:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen
§ 10 Schlussbestimmungen
(1) Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen. Mit Annahme der AGB stimmt der Auftraggeber auch diesem AVV zu.
(2) Änderungen dieses AVV bedürfen der Textform.
(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Es gilt das Recht der Bundesrepublik Deutschland.