ConSipo

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Version 1.0

Stand: 17.04.2026

§ 1 Gegenstand und Dauer

(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der ConSipo-Plattform.
(2) Die Dauer richtet sich nach der Laufzeit des Hauptvertrages (Nutzungsvertrag/AGB).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung und Verwaltung von Kundendaten (Name, Adresse, Kontakt)
• Speicherung und Verwaltung von Mitarbeiterdaten (Name, Arbeitszeiten, Einsatzplanung)
• Rechnungsstellung und Zahlungsverwaltung
• Dokumentation von Tätigkeiten und Aufmaßen (inkl. Fotos)
• Bereitstellung der Plattform und technischer Betrieb

§ 3 Kategorien betroffener Personen und Daten

Betroffene Personen:

• Mitarbeiter des Kunden (Nutzer der Plattform)
• Kunden des Kunden (Auftraggeber/Endkunden)

Datenkategorien:

• Stammdaten (Name, Adresse, Kontaktdaten)
• Beschäftigtendaten (Arbeitszeiten, Urlaub, Einsatzpläne)
• Vertragsdaten (Aufträge, Rechnungen, Zahlungen)
• Nutzungsdaten (Login-Zeiten, IP-Adressen)

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Daten nur gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten
• Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten
• Geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
• Keine Unterauftragsverarbeiter ohne vorherige schriftliche Genehmigung einzusetzen
• Den Verantwortlichen bei der Erfüllung der Betroffenenrechte zu unterstützen
• Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben
• Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Compliance zur Verfügung zu stellen

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter gewährleistet insbesondere:

• Zutrittskontrolle: Serverstandort in Deutschland, physischer Zugangsschutz durch Hosting-Anbieter
• Zugangskontrolle: Passwortschutz (bcrypt), optionale Zwei-Faktor-Authentifizierung, Account-Sperrung nach Fehlversuchen
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem, Mandantentrennung durch separate Datenbanken
• Weitergabekontrolle: TLS-Verschlüsselung aller Datenübertragungen
• Eingabekontrolle: Audit-Logging aller sicherheitsrelevanten Aktionen
• Verfügbarkeitskontrolle: Regelmäßige Backups, Redundanz
• Trennungskontrolle: Isolierte Mandanten-Datenbanken (jede Firma hat eigene DB)
• Verschlüsselung: AES-256-Verschlüsselung sensibler Datenfelder in der Datenbank

§ 6 Unterauftragsverarbeiter

(1) Der Einsatz von Unterauftragsverarbeitern bedarf der vorherigen schriftlichen Genehmigung des Verantwortlichen.
(2) Aktuell eingesetzte Unterauftragsverarbeiter: Hosting-Anbieter (Serverstandort Deutschland).
(3) Der Auftragsverarbeiter informiert den Verantwortlichen über Änderungen rechtzeitig.

§ 7 Meldepflichten bei Datenschutzvorfällen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (spätestens innerhalb von 24 Stunden) über Datenschutzverletzungen gemäß Art. 33 DSGVO.
(2) Die Meldung umfasst Art der Verletzung, betroffene Datenkategorien, ergriffene Maßnahmen und geschätzte Auswirkungen.

§ 8 Kontrollrechte

(1) Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrages zu überprüfen.
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung und duldet Überprüfungen.

§ 9 Beendigung

(1) Nach Beendigung der Auftragsverarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten, es sei denn, eine gesetzliche Aufbewahrungspflicht besteht.
(2) Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende. Der Verantwortliche kann vorher einen Datenexport anfordern.

© 2026 MyBau24 UG (haftungsbeschränkt) — Alle Rechte vorbehalten.

Zurück zur Startseite