Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Vertragsverhältnis

(1) Dieser AVV ergänzt den zwischen den Parteien geschlossenen Hauptvertrag über die Nutzung der Plattform (siehe AGB) für den Bereich der Verarbeitung personenbezogener Daten. Bei Widersprüchen zwischen AVV und Hauptvertrag geht der AVV in datenschutzrechtlichen Fragen vor.

(2) „Verantwortlicher" im Sinne dieses AVV ist der im Hauptvertrag benannte Kunde. „Auftragsverarbeiter" ist der im Hauptvertrag benannte Anbieter (Tobias Boehm Softwareentwicklung).

(3) Der AVV kommt mit Vertragsschluss über den Hauptvertrag und der erstmaligen Verarbeitung personenbezogener Daten über die Plattform zustande, spätestens jedoch mit ausdrücklicher Zustimmung des Verantwortlichen in Textform.

§ 2 Definitionen

Es gelten die Begriffsbestimmungen des Art. 4 DSGVO, insbesondere für „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter", „betroffene Person", „Aufsichtsbehörde" und „Verletzung des Schutzes personenbezogener Daten". Ergänzend bedeuten: „Plattform" das im Hauptvertrag beschriebene SaaS-Angebot Begehung.pro; „Subprozessor" jeder weitere Auftragsverarbeiter im Sinne des Art. 28 Absatz 4 DSGVO; „TOM" technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO.

§ 3 Gegenstand, Dauer, Art und Zweck der Verarbeitung

(1) Gegenstand: Die Erbringung der im Hauptvertrag vereinbarten SaaS-Leistungen, einschließlich Erfassung, Speicherung, Auswertung und KI-gestützter Berichts-Erstellung.

(2) Dauer: Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags zuzüglich des Zeitraums für Datenrückgabe und -löschung gemäß § 11.

(3) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten.

(4) Zweck: Digitale Durchführung und Dokumentation von Begehungen, Erstellung KI-gestützter Berichte sowie Bereitstellung der zugehörigen Funktionen (Mobile App, Web App, Export) gemäß Hauptvertrag.

(5) Kategorien personenbezogener Daten: Stammdaten von Mitarbeitenden des Verantwortlichen (Name, Funktion, Kontakt), Bild- und Audioaufnahmen aus Begehungssituationen (mit ggf. erkennbaren Personen), Standortdaten, Notizen mit Personenbezug und – im Einzelfall – besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten in Unfalldokumentation). Kategorien betroffener Personen: Mitarbeitende des Verantwortlichen, Mitarbeitende von Auftragnehmern oder Fremdfirmen, Besucher, Mieter und sonstige Anwesende auf den begangenen Liegenschaften.

§ 4 Weisungsbefugnis des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen in Drittländer.

(2) Die initiale Weisung ist die Verarbeitung gemäß Hauptvertrag und § 3 dieses AVV.

(3) Spätere Einzelweisungen sind in Textform (genügt: E-Mail an datenschutz@begehung.pro) zu erteilen. Mündliche Weisungen sind unverzüglich textlich zu bestätigen.

(4) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich; bis zur Klärung darf er die fragliche Verarbeitung aussetzen.

(5) Der Auftragsverarbeiter setzt KI-Verfahren ausschließlich als Werkzeug zur Erbringung der vom Verantwortlichen beauftragten Leistung ein. Eine darüber hinausgehende Verwendung der Daten – insbesondere zum Training, zur Feinjustierung oder zur dauerhaften Verbesserung eigener oder fremder KI-Modelle – findet nicht statt.

§ 5 Subunternehmer (Subprozessoren)

(1) Der Verantwortliche stimmt allgemein dem Einsatz weiterer Auftragsverarbeiter (Subprozessoren) gemäß Art. 28 Absatz 2 Satz 2 DSGVO zu.

(2) Die jeweils aktuelle Liste der eingesetzten Subprozessoren ist über diese Übersicht abrufbar und Bestandteil dieses AVV als Anlage 1.

(3) Beabsichtigte Änderungen am Bestand der Subprozessoren teilt der Auftragsverarbeiter dem Verantwortlichen mindestens vier Wochen vor Inkrafttreten in Textform mit. Der Verantwortliche kann der Änderung innerhalb von vier Wochen nach Zugang aus berechtigtem Grund (insbesondere DSGVO-Bedenken) in Textform widersprechen.

(4) Bei berechtigtem Widerspruch wird der betreffende Subprozessor nicht eingesetzt. Ist dies dem Auftragsverarbeiter aus zumutbaren Gründen nicht möglich, ist jede Partei berechtigt, den Hauptvertrag zum Wirksamkeitsdatum der Änderung außerordentlich zu kündigen.

(5) Der Auftragsverarbeiter verpflichtet jeden Subprozessor schriftlich oder in elektronischer Form auf die gleichen Datenschutzpflichten, wie sie in diesem AVV festgelegt sind. Er haftet für das Handeln seiner Subprozessoren wie für eigenes Handeln (Art. 28 Absatz 4 Satz 2 DSGVO).

(6) Nicht als Subprozessoren im Sinne dieses AVV gelten reine Telekommunikations-, Post- und Logistikdienstleistungen sowie sonstige Nebenleistungen, die nicht der eigentlichen Datenverarbeitung dienen.

§ 6 Vertraulichkeit

(1) Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung befassten Personen schriftlich zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Die Vertraulichkeitsverpflichtung wirkt über das Beschäftigungs- bzw. Mitarbeiterverhältnis hinaus.

(3) Auf Verlangen des Verantwortlichen weist der Auftragsverarbeiter die Verpflichtungen in geeigneter Form nach, etwa durch Vorlage einer Mustererklärung.

§ 7 Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen (TOM) und passt sie dem Stand der Technik an.

(2) Wesentliche Änderungen der TOM, die das Schutzniveau mindern könnten, zeigt der Auftragsverarbeiter dem Verantwortlichen rechtzeitig in Textform an.

(3) Die TOM gewährleisten die Schutzziele nach Art. 32 DSGVO: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie die Fähigkeit zur raschen Wiederherstellung und ein Verfahren zur regelmäßigen Überprüfung.

§ 8 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter leitet Anfragen betroffener Personen (Art. 15 bis 22 DSGVO) unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht eigenmächtig.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten aus den Art. 12 bis 22 DSGVO durch geeignete technische und organisatorische Maßnahmen, soweit dies im Rahmen seiner Auftragsverarbeitung möglich ist.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Erstellung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und ggf. bei der vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO) durch Bereitstellung der erforderlichen Informationen über die TOM und die eingesetzten Subprozessoren.

(4) Soweit der Unterstützungsaufwand über die Bereitstellung von Standardinformationen hinausgeht, ist der Auftragsverarbeiter berechtigt, diesen nach Aufwand angemessen zu vergüten; auf voraussichtlich vergütungspflichtige Tätigkeiten weist er den Verantwortlichen vorab hin.

§ 9 Meldung von Datenschutzverletzungen

(1) Bei Kenntnis einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme, in Textform.

(2) Die Meldung enthält die nach Art. 33 Absatz 3 DSGVO erforderlichen Angaben (Beschreibung des Vorfalls, betroffene Datenkategorien, voraussichtliche Folgen, ergriffene und geplante Maßnahmen), soweit sie zum Meldezeitpunkt verfügbar sind. Weitere Erkenntnisse werden unverzüglich nachgemeldet.

(3) Die Pflicht zur Meldung an die Aufsichtsbehörde nach Art. 33 Absatz 1 DSGVO und zur Information betroffener Personen nach Art. 34 DSGVO obliegt dem Verantwortlichen; der Auftragsverarbeiter unterstützt durch Bereitstellung aller hierfür erforderlichen Informationen.

§ 10 Kontroll- und Auditrechte

(1) Der Verantwortliche darf die Einhaltung der vertraglichen und gesetzlichen Pflichten des Auftragsverarbeiters überprüfen.

(2) Primärer Nachweisweg ist eine jährlich aktualisierte Selbstauskunft des Auftragsverarbeiters mit Beschreibung der TOM sowie ggf. Zertifikaten oder Auditberichten unabhängiger Prüfer (z. B. ISO 27001, BSI C5, SOC 2), soweit vorhanden.

(3) Eine Vor-Ort-Prüfung ist nur zulässig, wenn die Nachweise nach Absatz 2 nicht ausreichen. Sie ist mit einer Vorlauffrist von mindestens 30 Tagen anzukündigen, auf den Geschäftsbetrieb des Auftragsverarbeiters Rücksicht zu nehmen und – zum Schutz von Geschäftsgeheimnissen und der Daten anderer Kunden – durch einen vom Auftragsverarbeiter benannten unabhängigen, zur Verschwiegenheit verpflichteten Prüfer durchzuführen.

(4) Die Kosten der Erstauskunft trägt der Auftragsverarbeiter. Kosten zusätzlicher Audits trägt der Verantwortliche, sofern nicht eine wesentliche Pflichtverletzung des Auftragsverarbeiters bestätigt wird.

§ 11 Rückgabe und Löschung von Daten

(1) Nach Beendigung der Verarbeitung hat der Verantwortliche das Wahlrecht zwischen Rückgabe oder Löschung der personenbezogenen Daten (Art. 28 Absatz 3 lit. g DSGVO).

(2) Die Wahl ist innerhalb von 30 Tagen nach Vertragsende in Textform mitzuteilen. Erfolgt keine ausdrückliche Wahl, löscht der Auftragsverarbeiter die Daten nach Ablauf dieser Frist.

(3) Die Rückgabe erfolgt in einem standardisierten, maschinenlesbaren Format (PDF, DOCX, ZIP). Sonderformate können nach gesonderter Vereinbarung zu angemessenem Aufwand bereitgestellt werden.

(4) Auf Anforderung erteilt der Auftragsverarbeiter einen Löschnachweis in Textform.

(5) Soweit gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen, werden die betroffenen Daten nur eingeschränkt verarbeitet (gesperrt) und nach Ablauf der Aufbewahrungspflichten gelöscht.

(6) Daten in regulären Backups werden im Zuge des normalen Backup-Zyklus überschrieben; eine sofortige Löschung aus Backups ist technisch nicht zumutbar. Eine Wiederverwendung der Daten aus Backups erfolgt nicht.

§ 12 Haftung

(1) Es gelten die Haftungsregelungen der AGB (§ 12), einschließlich der Klarstellung zu DSGVO-Bußgeldern bei Vorsatz oder grober Fahrlässigkeit aus AVV-Pflichtverletzungen (§ 12 Absatz 6 AGB).

(2) Für die gesamtschuldnerische Haftung gegenüber betroffenen Personen nach Art. 82 DSGVO gelten die gesetzlichen Bestimmungen.

(3) Der Auftragsverarbeiter unterhält eine angemessene Berufs- bzw. Betriebshaftpflichtversicherung. Auf Anfrage werden Eckdaten der Deckung mitgeteilt.

§ 13 Drittlandübermittlung

(1) Eine Verarbeitung personenbezogener Daten findet ausschließlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Sämtliche eingesetzten Subprozessoren verarbeiten in der EU/EWR; einschlägig ist Anlage 1.

(2) Sollte im Einzelfall ein Drittlandtransfer erforderlich werden, erfolgt dieser ausschließlich auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO), hilfsweise auf Basis von EU-Standardvertragsklauseln (Art. 46 Absatz 2 lit. c DSGVO), erforderlichenfalls ergänzt um zusätzliche technische, organisatorische oder vertragliche Maßnahmen nach den Anforderungen der Schrems-II-Rechtsprechung.

(3) Drittlandtransfers werden vorab nach den Regeln des § 5 angekündigt; das Widerspruchsrecht des Verantwortlichen besteht entsprechend.

§ 14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieser Textformklausel.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG). Ausschließlicher Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragsverarbeiters.

(4) In allen datenschutzrechtlichen Fragen geht dieser AVV den Regelungen des Hauptvertrags vor.

(5) Maßgeblich ist die deutsche Sprachfassung dieses AVV. Übersetzungen dienen ausschließlich dem besseren Verständnis.

Anlage 1: Verzeichnis der Subprozessoren

Diese Anlage führt sämtliche vom Auftragsverarbeiter eingesetzten Subprozessoren auf, einschließlich Sitz, Verarbeitungszweck und Verarbeitungsort. Sie wird laufend aktualisiert; Änderungen werden gemäß § 5 angekündigt.

Die jeweils aktuelle Fassung ist unter der Subprozessoren-Übersicht abrufbar und Bestandteil dieses AVV.

Anlage 2: Technische und organisatorische Maßnahmen (TOM)

Die nachfolgenden technischen und organisatorischen Maßnahmen gewährleisten ein dem Risiko angemessenes Schutzniveau im Sinne des Art. 32 DSGVO. Sie sind dem Stand der Technik anzupassen und werden mindestens jährlich überprüft.

• Vertraulichkeit

  Zutrittskontrolle (geregelter Zutritt zu Geschäftsräumen, Hosting bei zertifizierten Rechenzentren in der EU); Zugangskontrolle (Zwei-Faktor-Authentifizierung für Administratoren und privilegierte Zugriffe; rollenbasierte Berechtigungen, Need-to-know-Prinzip); Zugriffskontrolle (Logging sicherheitsrelevanter Aktionen, Datenbank-Verschlüsselung at rest); Trennungskontrolle (logische Mandantentrennung über Kunden-IDs, getrennte Test- und Produktionsumgebungen); Verschlüsselung in transit (TLS 1.2 oder höher) und at rest (AES-256).

• Integrität

  Eingabekontrolle durch revisionssichere Audit-Logs für sicherheitsrelevante Aktionen (Erstellen, Ändern, Löschen, Exportieren von Begehungen und Berichten); Übermittlungs- und Transportkontrolle durch ausschließliche TLS-Verbindungen, kein unverschlüsseltes HTTP.

• Verfügbarkeit und Belastbarkeit

  Tägliche Datensicherung mit mindestens 30 Tagen Aufbewahrung; jährlicher Restore-Test; Hosting in der EU mit – soweit verfügbar – redundanten Verfügbarkeitszonen; Verfügbarkeitsziel gemäß § 4 Absatz 1 AGB.

• Wiederherstellbarkeit

  Definierte Recovery Time Objective (RTO) ≤ 24 Stunden; Recovery Point Objective (RPO) ≤ 24 Stunden; dokumentierte Wiederherstellungsverfahren.

• Verfahren zur regelmäßigen Überprüfung

  Jährliche Überprüfung der TOM; Penetrationstests vor produktivem Roll-out und nach wesentlichen Architekturänderungen; kontinuierliche Vulnerability-Scans (mindestens monatlich); jährliche Mitarbeiterschulungen zu Datenschutz und Informationssicherheit.

• Auftragskontrolle (Subprozessoren)

  Sorgfältige Auswahl der Subprozessoren; schriftliche Auftragsverarbeitungsverträge mit jedem Subprozessor; Verpflichtung auf gleichwertige Schutzmaßnahmen; regelmäßige Überprüfung der Einhaltung.

Solange die Plattform sich in einer öffentlichen Beta- oder Vorabphase befindet, gelten die vorstehenden TOM als angestrebter Soll-Zustand. Die jeweils aktuellen Maßnahmen werden vor produktivem Vertragsschluss konkretisiert und in einer aktualisierten Fassung dieser Anlage dokumentiert.