Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Auftragsverarbeiter:

Verantwortlicher: der jeweilige Nutzer der Plattform AufMass — dieser AVV wird durch Akzeptieren der AGB bei Registrierung abgeschlossen.

§ 1 Gegenstand und Dauer

Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen im Rahmen der Plattformnutzung. Beginn mit Registrierung, Ende mit Kündigung des Nutzungsvertrags.

§ 2 Art der Verarbeitung

Verarbeitete Daten: Name, E-Mail, Telefon, Adresse der Endkunden des Verantwortlichen, Gebäudedaten (Baujahr, Wohnfläche, Heizungstyp, Bundesland), Fotos des Aufstellraums.

Betroffene Personen: Endkunden des Verantwortlichen (Hauseigentümer, Bauherren).

Zweck: Erstellung von Aufmaßen, Materiallisten, Heizlastberechnungen, Angeboten sowie Versand von Angebots-E-Mails.

§ 3 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
  • Vertraulichkeitsverpflichtung aller zugriffsberechtigten Personen.
  • Ergreifung geeigneter technischer und organisatorischer Schutzmaßnahmen.
  • Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten.
  • Unverzügliche Meldung bei Datenpannen.

§ 4 Unterauftragsverarbeiter

Supabase Inc. (USA, Region Frankfurt)Datenbank, Auth, SpeicherSCCs.
Anthropic PBC (USA)KI-Analyse von Fotos und GebäudedatenSCCs.
Render Services Inc. (USA)Backend-HostingSCCs.
Resend Inc. (USA)E-Mail-VersandSCCs und EU-US Data Privacy Framework.
Vercel Inc. (USA)Frontend-HostingSCCs.

Der Verantwortliche erteilt hiermit allgemeine Genehmigung für diese Unterauftragsverarbeiter. Wesentliche Änderungen werden per E-Mail angekündigt.

§ 5 Löschung nach Vertragsende

Alle personenbezogenen Daten werden innerhalb von 30 Tagen nach Vertragsende gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 6 Technische und organisatorische Maßnahmen

  • Verschlüsselung in Übertragung (TLS) und Speicherung (AES-256 via Supabase).
  • Zugriffskontrollen durch Row-Level-Security und betriebsbezogene Datentrennung.
  • Authentifizierung über sichere Sitzungstoken.
  • Automatisierte Backups via Supabase.
  • Zugang zu Produktionssystemen nur für autorisierte Personen.