← Zurück zur Startseite

Vereinbarung zur Auftragsverarbeitung (AVV)

Stand: April 2026 · gemäß Art. 28 DSGVO

Hinweis: Diese Fassung ist inhaltlich zwischen AGB, Datenschutzerklärung und AVV abgestimmt. Für den Versand transaktionaler E-Mails wird Resend genutzt. Das Support-Postfach send@angebotspro.com läuft nach deiner Angabe über GMX.

§ 1 Gegenstand und Dauer der Verarbeitung

  1. Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der Plattform AngebotsPro.
  2. Gegenstand der Verarbeitung ist die Bereitstellung einer SaaS-Plattform zur Erstellung, Speicherung, Bearbeitung, PDF-Erzeugung und – je nach Tarif – Versendung von Handwerksangeboten.
  3. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags über die Nutzung von AngebotsPro sowie den dort und in dieser Vereinbarung geregelten Aufbewahrungs- und Löschfristen.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten für folgende Zwecke:

  • Bereitstellung und Betrieb der Plattform
  • Nutzerverwaltung und Authentifizierung
  • Speicherung und Bearbeitung von Angebotsdaten
  • PDF-Erstellung
  • Transaktionaler E-Mail-Versand von Angeboten
  • Technische Absicherung, Fehlersuche und Missbrauchsprävention
  • KI-gestützte Erstellung von Angebotsvorschlägen im Rahmen der Nutzung durch den Verantwortlichen

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

Kategorien personenbezogener Daten (insbesondere):

  • Stammdaten und Kontaktdaten
  • Betriebliche Profildaten
  • Angebots- und Projektdaten
  • Empfängerdaten und Kommunikationsdaten
  • Dateiinhalte (z.B. Logo, Unterschrift)
  • Technische Nutzungs- und Protokolldaten

Betroffene Personen (insbesondere):

  • Nutzer / Mitarbeiter / Ansprechpartner des Verantwortlichen
  • Kunden und Interessenten des Verantwortlichen
  • Sonstige in Angeboten oder projektbezogenen Unterlagen enthaltene Personen

§ 4 Weisungsgebundenheit

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen, soweit keine gesetzliche Verpflichtung zur abweichenden Verarbeitung besteht.
  2. Die in Hauptvertrag, Produktfunktionalität und dieser AVV beschriebenen Verarbeitungsvorgänge gelten als dokumentierte Weisung des Verantwortlichen.
  3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere,

  1. personenbezogene Daten vertraulich zu behandeln,
  2. Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten,
  3. geeignete technische und organisatorische Maßnahmen zu treffen,
  4. den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten im erforderlichen Umfang zu unterstützen,
  5. den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO angemessen zu unterstützen,
  6. Datenschutzverletzungen, die die im Auftrag verarbeiteten Daten betreffen, unverzüglich nach Kenntniserlangung mitzuteilen,
  7. nach Vertragsende personenbezogene Daten nach Maßgabe dieser Vereinbarung zu löschen oder zurückzugeben, sofern keine gesetzliche Pflicht zur weiteren Speicherung besteht.

§ 6 Pflichten des Verantwortlichen

Der Verantwortliche ist insbesondere dafür verantwortlich,

  1. die Rechtmäßigkeit der Datenverarbeitung sicherzustellen,
  2. betroffene Personen ordnungsgemäß zu informieren,
  3. die Zulässigkeit der Verarbeitung einschließlich etwaiger Einwilligungen oder sonstiger Rechtsgrundlagen sicherzustellen,
  4. Weisungen vollständig und datenschutzkonform zu erteilen,
  5. keine unzulässigen oder offensichtlich rechtswidrigen Inhalte verarbeiten zu lassen.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken geeignete technische und organisatorische Maßnahmen. Die derzeit wesentlichen Maßnahmen ergeben sich aus Anlage 1 zu dieser Vereinbarung.

§ 8 Unterauftragsverhältnisse

  1. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Unterauftragsverarbeiter einzusetzen.
  2. Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte wesentliche Änderungen bei Unterauftragsverarbeitern in geeigneter Weise informieren.
  3. Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die dem Wesensgehalt dieser Vereinbarung entsprechen.
  4. Die zum Zeitpunkt dieser Vereinbarung eingesetzten Unterauftragsverarbeiter ergeben sich aus Anlage 2.

§ 9 Drittlandtransfers

  1. Soweit der Auftragsverarbeiter oder ein Unterauftragsverarbeiter personenbezogene Daten in einem Drittland verarbeitet, erfolgt dies nur auf Grundlage eines zulässigen Übermittlungsmechanismus.
  2. Hierzu zählen insbesondere ein Angemessenheitsbeschluss nach Art. 45 DSGVO, Standardvertragsklauseln (SCC) sowie gegebenenfalls ergänzende Schutzmaßnahmen.

§ 10 Unterstützung bei Betroffenenrechten, DSFA und Behördenanfragen

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen im angemessenen Umfang bei der Erfüllung von Anträgen betroffener Personen.
  2. Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei Datenschutz-Folgenabschätzungen und etwaigen Konsultationen mit Aufsichtsbehörden, soweit dies aufgrund der Auftragsverarbeitung erforderlich ist.

§ 11 Meldung von Datenschutzverletzungen

  1. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Verletzungen des Schutzes personenbezogener Daten, soweit Daten betroffen sind, die im Auftrag des Verantwortlichen verarbeitet werden.
  2. Die Mitteilung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, der betroffenen Daten, der betroffenen Personengruppen und der bereits ergriffenen oder vorgeschlagenen Maßnahmen.

§ 12 Nachweise und Audits

  1. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zur Erfüllung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung.
  2. Audits sind grundsätzlich mit angemessener Vorankündigung, während üblicher Geschäftszeiten und unter Wahrung von Betriebs- und Geschäftsgeheimnissen durchzuführen.
  3. Der Auftragsverarbeiter kann Nachweise zunächst durch geeignete Unterlagen, Zertifikate, Dokumentationen, TOM-Beschreibungen oder aktuelle Datenschutz- und Sicherheitsinformationen erbringen.

§ 13 Löschung und Rückgabe nach Vertragsende

  1. Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht.
  2. Soweit im Produkt eine Nachhaltefrist vorgesehen ist, können Daten für bis zu 30 Tage nach Vertragsende zur Ermöglichung von Export oder Wiederherstellung vorgehalten werden.
  3. Gesetzliche Aufbewahrungspflichten bleiben unberührt.
  4. Backup-Daten und technisch bedingte Restbestände werden nach den üblichen Überschreibungs- und Löschzyklen des jeweiligen Systems gelöscht.

§ 14 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften sowie ergänzend nach dem Hauptvertrag, soweit dort zulässigerweise Regelungen getroffen wurden.

§ 15 Schlussbestimmungen

  1. Im Übrigen gelten die Regelungen des Hauptvertrags.
  2. Sollte eine Bestimmung dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit

  • Zugriffsschutz über Authentifizierungssystem
  • HTTPS/TLS für Datenübertragungen
  • Zugriff auf Produktivsysteme nur mit administrativen Berechtigungen
  • Row Level Security (RLS) zur Mandantentrennung in der Datenbank
  • Getrennte Dateiablage nach Nutzerkontext
  • Serverseitige Verwahrung sensibler Schlüssel und Secrets
  • MFA-Funktion über Clerk verfügbar; für Administrator-Zugänge organisatorisch zu aktivieren

2. Integrität

  • Zugriffsbeschränkungen auf Datenbank- und Storage-Ebene
  • Serverseitige Verarbeitung sensibler Operationen
  • Beschränkung direkter Datenbankzugriffe für Endnutzer
  • Kontrollierte Bereitstellung von API-Schlüsseln und Secrets

3. Verfügbarkeit und Belastbarkeit

  • Cloudbasierte Infrastruktur
  • Tägliche Backups / providerseitige Backup-Mechanismen
  • Hosting über etablierte Plattformdienste
  • Wiederherstellung im Rahmen der providerseitigen Möglichkeiten

4. Pseudonymisierung / Datensparsamkeit

  • Nur erforderliche Datenfelder
  • Keine dauerhafte Speicherung des Anthropic-Prompts in der eigenen Datenbank
  • Speicherung des KI-Outputs statt der vollständigen Prompt-Historie

5. Mandantentrennung

  • Datenzugriff nur auf Basis des jeweiligen Nutzerkontexts
  • RLS-Policies nach user_id
  • Isolierte Dateipfade nach Nutzer-ID

6. Verfahren zur regelmäßigen Überprüfung

  • Logs im Rahmen der verfügbaren Plattformfunktionen
  • Prüfung von Berechtigungen und Policies
  • Manuelle Kontrolle sicherheitsrelevanter Einstellungen
  • Dokumentierter Incident-Response-Prozess vorhanden
  • Monatliche Sicherheits-Checkliste vorhanden

Anlage 2 – Unterauftragsverarbeiter

Clerk Inc.

Zweck: Authentifizierung, Session-Management

Daten: E-Mail-Adresse, Nutzer-ID, Login-/Sessiondaten, IP-Adresse, Zeitstempel

Land/Region: USA

Supabase, Inc.

Zweck: Datenbank, Storage

Daten: Accountdaten, Profildaten, Angebotsdaten, Logos, Unterschriften, Nutzungsprotokolle

Land/Region: Frankfurt (Central EU / eu-central-1)

Vercel Inc.

Zweck: Hosting, CDN, Serverless Functions, technische Plattform-Logs

Daten: IP-Adresse, Request-Metadaten, technische Protokolle

Land/Region: USA

Resend, Inc.

Zweck: Transaktionaler E-Mail-Versand

Daten: Empfängeradresse, E-Mail-Metadaten, Angebots-PDF / Angebotsinhalte

Land/Region: USA

Anthropic PBC

Zweck: KI-gestützte Generierung von Angebotsvorschlägen

Daten: Projektbeschreibung, Gewerk, Kalkulationsparameter, Firmenname, weitere Promptbestandteile

Land/Region: USA

Stripe / Stripe Payments Europe, Ltd.

Zweck: Zahlungsabwicklung und Abo-Verwaltung

Daten: Name, E-Mail-Adresse, Rechnungs-/Zahlungsdaten, Customer ID, Abo-Status

Land/Region: EU / USA je nach Stripe-Struktur

GMX / 1&1 Mail & Media GmbH

Zweck: Hosting des Support-Postfachs send@angebotspro.com

Daten: Support-E-Mails, Metadaten, Anhänge, ggf. in Supportanfragen enthaltene personenbezogene Daten

Land/Region: Deutschland

Impressum·AGB·Datenschutz