Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
AVV-Version: 1.0 · Gültig ab: 01.01.2026
Verantwortlicher: Der Kunde von Bau-Navi – nachfolgend „Verantwortlicher" –
Auftragsverarbeiter: Nordcode-IT · Inhaber: Patrick Tönges · Am Richteberg 8 · 31600 Uchte · Deutschland · E-Mail: mail@nordcode-it.de – nachfolgend „Auftragsverarbeiter" –
Dieser Vertrag wird ausschließlich elektronisch abgeschlossen und ist ohne Unterschrift gültig (§ 15 Abs. 3 dieses AVV).
§ 1 Gegenstand der Verarbeitung
(1) Der Auftragsverarbeiter stellt die webbasierte Software „Bau-Navi" zur Verfügung.
(2) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Erfüllung des zwischen den Parteien bestehenden Nutzungsvertrages.
(3) Der Verantwortliche bleibt im datenschutzrechtlichen Sinne Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO.
(4) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung dient insbesondere folgenden Zwecken:
- Verwaltung von Mitarbeitern
- Urlaubsverwaltung
- Baustellenplanung
- Personaleinsatzplanung
- Organisation betrieblicher Abläufe
- Bereitstellung der Softwarefunktionen
- Datensicherung und Wiederherstellung
- Fehleranalyse und Systemsicherheit
§ 3 Art der personenbezogenen Daten
Je nach Nutzung der Software können insbesondere folgende Daten verarbeitet werden:
Mitarbeiterdaten
- Vorname, Nachname
- Telefonnummer, E-Mail-Adresse
- Beschäftigungsinformationen
- Urlaubsansprüche und -anträge
- Einsatzplanungen
Kundendaten
- Firmenname, Ansprechpartner
- E-Mail-Adresse, Rechnungsdaten
Systemdaten
- Benutzerkennung, Login-Zeitpunkte
- IP-Adressen, Protokolldaten, Nutzungsdaten
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sind nicht Gegenstand der vorgesehenen Verarbeitung.
§ 4 Kategorien betroffener Personen
Von der Verarbeitung betroffen sind insbesondere:
- Mitarbeiter des Verantwortlichen
- Ansprechpartner des Verantwortlichen
- Administratoren der Kundenkonten
- Nutzer der Software
§ 5 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des zwischen den Parteien bestehenden Vertragsverhältnisses. Nach Beendigung des Vertrags werden personenbezogene Daten entsprechend den gesetzlichen Aufbewahrungspflichten gelöscht oder anonymisiert.
§ 6 Weisungsrecht
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Weisungen können in Textform (z. B. E-Mail) erfolgen.
(3) Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, informiert er den Verantwortlichen unverzüglich.
§ 7 Vertraulichkeit
(1) Der Auftragsverarbeiter verpflichtet sämtliche Personen mit Zugriff auf personenbezogene Daten zur Vertraulichkeit.
(2) Die Verpflichtung besteht auch nach Beendigung ihrer Tätigkeit fort.
§ 8 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Hierzu gehören insbesondere:
Zugangskontrolle
- Passwortgeschützte Benutzerkonten
- Rollen- und Berechtigungskonzepte
- Verschlüsselte Datenübertragung (TLS)
Zugriffskontrolle
- Beschränkung administrativer Zugriffe
- Authentifizierung von Benutzern
Verfügbarkeitskontrolle & Trennungsgebot
- Regelmäßige Datensicherungen
- Ausfallsichere Cloud-Infrastruktur
- Mandantentrennung innerhalb der Anwendung
§ 9 Unterauftragsverarbeiter
(1) Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:
Google Cloud Platform / Firebase
Anbieter: Google Cloud (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland)
Zwecke: Hosting, Datenbankbetrieb (Cloud Firestore), Datenspeicherung, Systemsicherheit
Datenstandort: Europa (Region eur3 / europe-west1, Frankfurt)
(2) Der Auftragsverarbeiter ist berechtigt, weitere Unterauftragsverarbeiter einzusetzen, sofern die Anforderungen des Art. 28 DSGVO eingehalten werden und der Verantwortliche hierüber informiert wird.
§ 10 Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei Betroffenenanfragen, Löschungsersuchen, Auskunftsersuchen, Datenschutz-Folgenabschätzungen und Meldungen von Datenschutzverletzungen.
§ 11 Datenschutzverletzungen
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten.
(2) Die Mitteilung enthält soweit möglich: Art der Verletzung, betroffene Datenkategorien, Anzahl betroffener Personen, bereits getroffene Maßnahmen.
§ 12 Kontrollrechte
(1) Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrages nach angemessener Vorankündigung zu überprüfen.
(2) Der Nachweis kann insbesondere durch geeignete Dokumentationen, Zertifizierungen oder Selbstauskünfte erfolgen.
§ 13 Löschung und Rückgabe von Daten
(1) Nach Vertragsende löscht der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(2) Der Verantwortliche kann vor Vertragsende die Herausgabe seiner Daten verlangen, soweit dies technisch möglich ist.
§ 14 Haftung
Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO sowie den zwischen den Parteien vereinbarten AGB.
§ 15 Vertragsschluss und elektronische Annahme
(1) Dieser Auftragsverarbeitungsvertrag (AVV) wird elektronisch abgeschlossen.
(2) Der Vertrag kommt zustande, sobald der Verantwortliche bei der Registrierung ausdrücklich der Geltung dieses AVV zustimmt (Click-Wrap-Verfahren).
(3) Eine handschriftliche Unterzeichnung ist nicht erforderlich.
(4) Der Auftragsverarbeiter speichert die Annahme des AVV einschließlich Zeitpunkt, Nutzerkonto und Vertragsversion als Nachweis.
Weitere Dokumente: AGB · Datenschutzerklärung