Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: 4. Mai 2026 · Version 1.0

zwischen dem Kunden, der die BauKastl-Plattform nutzt (nachfolgend „Verantwortlicher" oder „Auftraggeber"),

und

Weinzierl IT- & Softwaresolutions
Inhaber: Martin Weinzierl
Einbüglweg 14, 94036 Passau, Deutschland
E-Mail: martin@weinzierl-solutions.de
Steuernummer: 153/286/31935

(nachfolgend „Auftragsverarbeiter" oder „Anbieter"),

— gemeinsam die „Parteien".

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform „BauKastl" gemäß den zwischen den Parteien geltenden AGB.

(2) Die Verarbeitung erfolgt für die Dauer des Hauptvertrags (Modul-Buchung) zwischen den Parteien und endet mit dessen Beendigung, vorbehaltlich der Regelungen in § 12 (Datenrückgabe und -löschung).

§ 2 Art und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung und des Betriebs der SaaS-Plattform „BauKastl" und ihrer Module:

• Mein.BauKastl — Authentifizierung, Konto-Verwaltung, Modul-Zuweisung
• Rechnungs.BauKastl (RBK) — Erstellen, Versenden und Verwalten von Angeboten, Rechnungen, Mahnungen, Belegen sowie Auswertungen für die EÜR
• Web.BauKastl (WBK) — Erstellen und Hosten der durch den Verantwortlichen betriebenen Website inkl. Anzeige von Inhalten an Endbesucher

(2) Eine Verarbeitung der personenbezogenen Daten zu eigenen Zwecken des Auftragsverarbeiters (insbesondere Werbung, Profiling, Marktanalyse, Verkauf oder Weitergabe an Dritte) ist ausgeschlossen.

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung können — abhängig vom genutzten Modul — die folgenden Datenkategorien verarbeitet werden:

• Stammdaten des Verantwortlichen und seiner Mitarbeiter (Name, E-Mail, Anschrift, Telefon, Login-Daten)
• Endkunden-Daten des Verantwortlichen (RBK): Name, Firma, Anschrift, USt-IdNr., E-Mail, Telefon, Bankverbindung (IBAN/BIC), Rechnungs- und Zahlungsdaten, Vertragsbeziehungen
• Endbesucher-Daten der durch WBK erstellten Website: Inhalte aus Kontaktformularen (Name, E-Mail, Nachricht), Server-Logfiles (IP-Adresse, User-Agent, Zugriffszeit)
• Inhaltsdaten, die der Verantwortliche oder seine Endbesucher in die Plattform eingeben (Texte, Bilder, Dateien, Belege)
• Technische Metadaten zur Plattform-Nutzung (Login-Zeiten, IP-Adresse, Audit-Log-Einträge gemäß GoBD)

§ 4 Kategorien betroffener Personen

• Mitarbeiter und Beauftragte des Verantwortlichen mit Plattform-Zugang
• Kunden und Geschäftspartner des Verantwortlichen, deren Daten in RBK erfasst werden
• Besucher der durch WBK betriebenen Website des Verantwortlichen
• ggf. weitere Personen, deren Daten der Verantwortliche im Rahmen der Plattform verarbeitet

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

(1) Weisungsgebundenheit — die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Als Weisung gelten in erster Linie die Vorgaben dieses Vertrags und der AGB.

(2) Vertraulichkeit — sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Sicherheit der Verarbeitung — die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOM) zu treffen und einzuhalten.

(4) Unterstützung — den Verantwortlichen bei der Erfüllung der ihn betreffenden gesetzlichen Pflichten zu unterstützen, insbesondere bei der Beantwortung von Anfragen Betroffener (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch — Art. 15-22 DSGVO), der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und der Erfüllung von Informations- und Meldepflichten (Art. 33-34 DSGVO).

(5) Meldung von Datenschutzverletzungen — Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung dem Verantwortlichen in Textform mitzuteilen.

(6) Hinweispflicht — den Verantwortlichen unverzüglich zu informieren, wenn der Auftragsverarbeiter der Auffassung ist, dass eine Weisung des Verantwortlichen gegen Datenschutzbestimmungen verstößt.

(7) Datenschutzbeauftragter — beim Anbieter ist aktuell aufgrund der Mitarbeiterzahl und Verarbeitungstätigkeiten kein Datenschutzbeauftragter bestellt (§ 38 BDSG). Ansprechpartner für Datenschutzfragen ist der Inhaber, Martin Weinzierl, martin@weinzierl-solutions.de.

§ 6 Technische und organisatorische Maßnahmen (TOM)

Die TOM sind in Anlage 1 dieses Vertrags beschrieben. Der Auftragsverarbeiter ist berechtigt, die Maßnahmen während der Vertragslaufzeit fortzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.

§ 7 Sub-Auftragsverarbeiter

(1) Der Verantwortliche willigt in den Einsatz weiterer Auftragsverarbeiter zur Erbringung der Leistungen ein. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anlage 2 aufgeführt.

(2) Bei Wechsel oder Ergänzung der Sub-Auftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen mindestens 4 Wochen vor dem geplanten Einsatz. Der Verantwortliche kann der Beauftragung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen.

(3) Drittlandtransfer: Stand des Vertrags findet kein Drittlandtransfer statt — sämtliche Sub-Auftragsverarbeiter haben ihren Sitz in der EU.

§ 8 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist im Sinne der DSGVO und sonstiger Datenschutzgesetze allein verantwortlich für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der Betroffenen.

(2) Der Verantwortliche stellt insbesondere sicher, dass

• für jede in die Plattform eingegebene Datenkategorie eine tragfähige Rechtsgrundlage vorliegt (Art. 6 DSGVO);
• die Betroffenen ordnungsgemäß über die Verarbeitung informiert werden (Art. 13/14 DSGVO);
• die durch Web.BauKastl erstellte Website mit einer ordnungsgemäßen Datenschutzerklärung und Impressum versehen ist;
• besonders sensible Datenkategorien nach Art. 9 DSGVO nicht ohne vorherige Abstimmung mit dem Auftragsverarbeiter verarbeitet werden.

(3) Der Verantwortliche kann jederzeit über die Plattform-Funktionen seine Daten einsehen, exportieren und Betroffenenanfragen selbst beantworten.

§ 9 Anfragen Betroffener

Wenden sich Betroffene mit Anfragen zur Berichtigung, Löschung oder Auskunft direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht selbst, sofern nicht anders mit dem Verantwortlichen abgestimmt.

§ 10 Kontroll- und Prüfungsrechte

(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der Pflichten aus diesem Vertrag durch den Auftragsverarbeiter zu überzeugen.

(2) Der Auftragsverarbeiter weist die Einhaltung in folgender Weise nach:

• Bereitstellung der TOM-Dokumentation auf Anfrage (Anlage 1);
• Bereitstellung der aktuellen Liste der Sub-Auftragsverarbeiter (Anlage 2);
• auf Verlangen schriftliche Beantwortung eines Fragenkatalogs zu konkreten Sicherheits- oder Datenschutzaspekten.

§ 11 Haftung

Die Haftung der Parteien aus diesem Vertrag richtet sich nach den Bestimmungen der AGB sowie nach Art. 82 DSGVO. Eine Verschärfung über die gesetzlichen Vorgaben hinaus erfolgt durch diesen Vertrag nicht.

§ 12 Beendigung, Datenrückgabe und Löschung

(1) Mit Beendigung des Hauptvertrags endet auch dieser AVV.

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen nach Beendigung des Hauptvertrags die Daten für 30 Tage über die Plattform-Export-Funktion zur Verfügung (DSGVO Art. 20 — strukturiertes, maschinenlesbares Format).

(3) Nach Ablauf der Frist nach Absatz 2 löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, einschließlich aller Kopien und Backups, innerhalb von 90 Tagen.

(4) Soweit gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen (z.B. § 257 HGB, § 147 AO, GoBD), werden die betroffenen Datensätze gesperrt und nach Ablauf der Frist gelöscht.

§ 13 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist — sofern der Verantwortliche Kaufmann ist — Passau.

(3) Bei Widersprüchen zwischen den Regelungen dieses AVV und den AGB des Auftragsverarbeiters gehen die Bestimmungen dieses AVV in Datenschutzfragen vor.

Anlage 1 — Technische und organisatorische Maßnahmen (TOM)

1. Vertraulichkeit

1.1 Zutrittskontrolle (physisch): Hosting in zertifiziertem Rechenzentrum (Hetzner, Falkenstein/Nürnberg — ISO 27001-zertifiziert).

1.2 Zugangskontrolle (System-Login): Plattform-Zugang nur über E-Mail + Passwort, Passwort als bcrypt-Hash gespeichert (kein Klartext). SSH-Zugang zum Server ausschließlich über ed25519-Key, kein Passwort-Login. Server-Firewall (UFW): nur Port 22, 80, 443 öffentlich.

1.3 Zugriffskontrolle (Datenebene): Mandantentrennung auf Datenbank-Ebene — jeder RBK-/WBK-Mandant hat eigene PostgreSQL-Datenbank, kein Cross-Mandanten-Zugriff. Audit-Log für sicherheitsrelevante Aktionen, GoBD-konform 10 Jahre.

1.4 Trennungskontrolle: Produktion und Entwicklung sind physisch getrennt; echte Kundendaten werden nicht in Entwicklungsumgebungen kopiert.

2. Integrität

2.1 Eingabekontrolle: Server-seitige Validierung aller Eingaben; parametrisierte Queries (Schutz gegen SQL-Injection); Content Security Policy (CSP) und konsequentes Escapen (Schutz gegen XSS).

2.2 Übertragungskontrolle: Sämtliche Datenübertragungen über HTTPS (TLS 1.2+), Let's Encrypt-Zertifikate mit automatischer Erneuerung, HSTS-Header gesetzt.

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeit: Tägliche automatisierte Backups der Datenbank und Anwendungsdaten, Aufbewahrung 14 Tage. Off-Site-Backup auf separate Cloud-Storage (Strato HiDrive), deutsches Rechenzentrum. Server-Monitoring (Uptime, Festplatten-Auslastung).

3.2 Wiederherstellbarkeit: Restore-Prozedur dokumentiert; Wiederherstellung einer Datenbank-Instanz aus dem letzten Backup innerhalb von ca. 30 Minuten möglich.

4. Verfahren zur regelmäßigen Überprüfung

System-Patches werden regelmäßig eingespielt (Ubuntu LTS, kritische Updates innerhalb 7 Tage). Library-Dependencies werden bei sicherheitsrelevanten CVEs aktualisiert. AVV und TOM werden mindestens jährlich überprüft.

Anlage 2 — Sub-Auftragsverarbeiter

Unternehmen	Sitz	Zweck	Verarbeitete Daten
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen	Deutschland (EU)	Server-Hosting der Plattform (VM, Datenbank, Storage)	Sämtliche durch den Verantwortlichen verarbeiteten Daten (technische Speicherung)
STRATO AG Pascalstr. 10, 10587 Berlin	Deutschland (EU)	Off-Site-Backup-Speicherung (verschlüsselt)	Sämtliche durch den Verantwortlichen verarbeiteten Daten (verschlüsseltes Backup)

Bei Wechsel oder Ergänzung der Sub-Auftragsverarbeiter wird der Verantwortliche gemäß § 7 dieses Vertrags mit mindestens 4 Wochen Vorlauf in Textform informiert.

Stand: 4. Mai 2026 · Version 1.0.