Auftragsverarbeitungsvertrag (AVV)
Stand: Juni 2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") nach Art. 28 DSGVO ist Bestandteil des Vertrags über die Nutzung der Software "sitepit" zwischen dem Kunden (nachfolgend "Verantwortlicher") und Anton Metzler, sitepit, Vinzentiusstraße 37, 83395 Freilassing (nachfolgend "Auftragnehmer"). Er regelt die Verarbeitung personenbezogener Daten, die der Auftragnehmer im Auftrag des Verantwortlichen im Rahmen der Leistungserbringung verarbeitet. Mit Bestätigung im Registrierungsprozess akzeptiert der Verantwortliche diesen AVV.
1. Gegenstand und Dauer des Auftrags
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Verantwortlichen zur Bereitstellung der sitepit-Software (SaaS). Die Dauer entspricht der Laufzeit des Hauptvertrags; der AVV endet automatisch mit dessen Beendigung.
2. Art, Zweck und Umfang der Verarbeitung
Zweck der Verarbeitung ist die Verwaltung von Bau- und Handwerksbetrieben (Projekte, Mitarbeiter, Geräte, Zeiterfassung, Dokumente, Abrechnung). Art und Umfang ergeben sich aus der Nutzung der Software durch den Verantwortlichen.
- Kategorien betroffener Personen: Mitarbeiter, Poliere und Arbeiter des Verantwortlichen, Ansprechpartner von Kunden/Lieferanten, Nutzerkonten.
- Arten personenbezogener Daten: Stammdaten (Name, Kontaktdaten, Personalnummer), Beschäftigungsdaten (Rolle, Qualifikationen, Arbeitszeiten), ggf. Lohn-/Bankdaten und Sozialversicherungsdaten, Geräte- und Projektzuordnungen, hochgeladene Dokumente und Fotos.
3. Weisungsbindung
Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. Die Nutzung der Software stellt die dokumentierte Weisung dar. Erkennt der Auftragnehmer, dass eine Weisung gegen Datenschutzrecht verstößt, informiert er den Verantwortlichen.
4. Technisch-organisatorische Maßnahmen (TOM, Art. 32 DSGVO)
Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen zum Schutz der Daten, insbesondere: Verschlüsselung in Transport und Ruhe, rollen- und mandantenbasierte Zugriffskontrolle (Tenant-Isolation), serverseitige Autorisierung, Audit-Logging, Mehr-Faktor-Authentifizierung für Administratoren, regelmäßige Backups sowie Maßnahmen zur Verfügbarkeit und Belastbarkeit der Systeme. Details sind in der Datenschutzerklärung beschrieben.
5. Unterauftragsverhältnisse (Subprozessoren)
Der Verantwortliche stimmt der Beauftragung der in der Liste der Subprozessoren genannten Unterauftragnehmer zu (u. a. Hosting/Infrastruktur und E-Mail-Versand). Der Auftragnehmer informiert über beabsichtigte Änderungen; der Verantwortliche kann begründet widersprechen. Mit Subprozessoren bestehen vertragliche Datenschutzverpflichtungen entsprechend diesem AVV.
6. Unterstützung des Verantwortlichen
Der Auftragnehmer unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Wahrung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) sowie bei Datenschutz-Folgenabschätzungen und Meldepflichten.
7. Meldung von Datenschutzverletzungen
Der Auftragnehmer meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt bei den Meldepflichten nach Art. 33, 34 DSGVO.
8. Löschung und Rückgabe nach Auftragsende
Nach Beendigung des Vertrags löscht der Auftragnehmer die verarbeiteten Daten oder gibt sie nach Wahl des Verantwortlichen zurück, soweit keine gesetzlichen Aufbewahrungspflichten (insbesondere nach HGB/AO/GoBD) entgegenstehen. Ein Export der Daten wird vor der Löschung ermöglicht.
9. Nachweise und Kontrollen
Der Auftragnehmer stellt dem Verantwortlichen die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen.
10. Haftung
Die Haftung richtet sich nach Art. 82 DSGVO sowie den Regelungen des Hauptvertrags (AGB).
Bei Fragen zur Auftragsverarbeitung: [email protected].