Auftragsverarbeitungsvertrag (AVV)
Verarbeitung im Auftrag gemäß Art. 28 DSGVO für die Nutzung von AETHERIS BAU · Stand: Juni 2026
Vertragsparteien
| Auftragnehmer (Auftragsverarbeiter) | Auftraggeber (Verantwortlicher) |
|---|---|
| PPI Konzept GmbH Johann-Philipp-Reis-Str. 6a 55469 Simmern AG Bad Kreuznach, HRB 24004 GF: A. Kleinmann · info@ppi-konzept.de |
Der Kunde, der den Hauptvertrag (AGB) akzeptiert hat. Ansprechpartner: die im Kundenkonto hinterlegte Kontaktperson. |
AETHERIS BAU ist ein Produkt der PPI Konzept GmbH.
§ 1 Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung von AETHERIS BAU (Bau-/TGA-Dokumentation, Plan-Aufmaß, Ausschreibungs-Radar, Fristen, Rechnungsstellung). Die Dauer entspricht der Laufzeit des Hauptvertrags inkl. Test-/Prepaid-Phasen.
§ 2 Art, Umfang und Zweck
Art, Umfang, Zweck, Datenarten und Kategorien Betroffener ergeben sich aus Anlage 1. Verarbeitung nur zur Erfüllung des Hauptvertrags und nach Weisung des Auftraggebers.
§ 3 Weisungsrecht
Verarbeitung ausschließlich auf dokumentierte Weisung; Hauptvertrag und AVV sind die Erstweisung. Weitere Weisungen in Textform an datenschutz@ppi-konzept.de. Rechtswidrige Weisungen zeigt der Auftragnehmer an.
§ 4 Pflichten des Auftragnehmers
- Verarbeitung nur im Rahmen von § 2 und der Weisungen;
- Verpflichtung der befugten Personen auf Vertraulichkeit (Art. 28, 29, 32 Abs. 4 DSGVO);
- technisch-organisatorische Maßnahmen gemäß Anlage 2 (Art. 32 DSGVO);
- Unterstützung bei Betroffenenrechten, Datenpannen, DSFA (Art. 32–36 DSGVO).
§ 5 Technisch-organisatorische Maßnahmen
Siehe Anlage 2. Maßnahmen dürfen weiterentwickelt werden, sofern das Schutzniveau nicht unterschritten wird.
§ 6 Unterauftragsverhältnisse
(1) Allgemeine schriftliche Genehmigung (Art. 28 Abs. 2 DSGVO). Aktuelle Liste: Unterauftragsverarbeiter (siehe Anlage 3).
(2) Information über neue/geänderte Unterauftragsverarbeiter mindestens 30 Tage im Voraus; Widerspruchsrecht binnen 14 Tagen aus wichtigem Grund, sonst Sonderkündigungsrecht.
(3) Verpflichtung der Unterauftragsverarbeiter auf gleichwertiges Niveau; außerhalb EU/EWR Garantien nach Art. 44 ff. DSGVO (EU-Standardvertragsklauseln + Transfer-Folgenabschätzung).
§ 7 Unterstützung bei Betroffenenrechten
Unterstützung des Auftraggebers bei Anträgen Betroffener; Weiterleitung direkt eingehender Anfragen.
§ 8 Meldung von Datenschutzverletzungen
Meldung an den Auftraggeber unverzüglich, in der Regel innerhalb von 48 Stunden nach Bekanntwerden, mit den Informationen nach Art. 33 Abs. 3 DSGVO.
§ 9 Kontroll- und Nachweisrechte
Bereitstellung der erforderlichen Nachweise (TOM-Dokumentation, Zertifikate); erforderlichenfalls Audits/Vor-Ort-Prüfungen mit angemessener Vorankündigung.
§ 10 Löschung und Rückgabe
Nach Vertragsende Löschung oder Rückgabe nach Wahl des Auftraggebers, vorbehaltlich gesetzlicher Aufbewahrungspflichten (finalisierte/aufbewahrungspflichtige Dokumente erst nach Fristablauf).
§ 11 Ort der Verarbeitung / Drittland
Verarbeitung grundsätzlich in der EU/im EWR (Hosting: Hetzner Online GmbH, Deutschland). Drittlandübermittlung nur bei Nutzung der optionalen KI-Funktionen (Anthropic, USA) unter EU-Standardvertragsklauseln. Spracherkennung (Whisper) selbst gehostet, keine Weitergabe.
§ 12 Haftung & § 13 Schlussbestimmungen
Es gelten die Regelungen des Hauptvertrags und Art. 82 DSGVO. Bei Widersprüchen geht dieser AVV in Datenschutzfragen vor. Deutsches Recht; Gerichtsstand/Form nach Hauptvertrag. Der AVV kommt mit Annahme der AGB zustande.
Anlage 1 — Beschreibung der Verarbeitung
Kategorien betroffener Personen
- Nutzer der Software (Mitarbeitende/Beauftragte des Auftraggebers);
- Ansprech-/Kontaktpersonen (z. B. Auftraggeber, Vergabestellen);
- in Bau-Dokumenten genannte Personen (Fotos, Protokolle, Mängelanzeigen).
Kategorien personenbezogener Daten
- Stammdaten (Name, E-Mail, Telefon, Unternehmen, Anschrift);
- Zugangs-/Systemdaten (Kennung, IP, Zeitstempel, Rollen, Logs);
- Inhaltsdaten (PDFs, Pläne, Fotos, Texte, Sprachnotizen, erzeugte Dokumente);
- Projekt-/Baustellendaten; Vertrags-/Abrechnungsdaten; Kommunikationsdaten.
Besondere Kategorien (Art. 9 DSGVO): werden nicht zweckgerichtet verarbeitet.
Art & Zweck
Cloudbasierte Bereitstellung: Erfassung (auch Foto/Sprache), KI-gestützte Dokumentenerstellung, Speicherung, Plan-Aufmaß, Ausschreibungs-/Fristenmanagement, Rechnungsstellung, Betrieb/Wartung/Backups/Support.
Anlage 2 — Technische und organisatorische Maßnahmen
Vertraulichkeit
- Zertifizierte Rechenzentren (Hetzner Online GmbH, ISO/IEC 27001), physische Zutrittssicherung;
- individuelle Konten, Authentifizierung Passwort + Token (JWT), Passwort-Hashing (bcrypt);
- rollenbasiertes Berechtigungskonzept, Beschränkung Admin-Zugriffe, Audit-Log (u. a. § 240 HGB);
- strikte Mandantentrennung, getrennte Produktiv-/Testumgebungen;
- Transportverschlüsselung (TLS), Verschlüsselung gespeicherter Daten auf Infrastrukturebene.
Integrität & Verfügbarkeit
- Protokollierung von Erstellung/Änderung/Löschung; verschlüsselte Übermittlung;
- USV, Brand-/Klima-/Zutrittsschutz, RAID, regelmäßige Backups & Wiederherstellung, DDoS-Schutz;
- revisionssichere Ablage finalisierter Dokumente (Prüfsumme).
Verfahren zur Überprüfung
- Auftragskontrolle/Verpflichtung der Unterauftragsverarbeiter, Datenschutz-Management, Behandlung von Anfragen und Datenpannen; selbst gehostete Spracherkennung.
TOM final mit der tatsächlichen Betriebsumgebung abgleichen (z. B. konkrete Verschlüsselung, MFA, Backup-Zyklen).
Anlage 3 — Unterauftragsverarbeiter
| Anbieter | Zweck | Ort / Garantie |
|---|---|---|
| Hetzner Online GmbH | Hosting & Speicherung | Deutschland (EU) |
| netcup GmbH | E-Mail-Versand | Deutschland (EU) |
| Anthropic PBC | KI-Dokumentenerstellung (optional) | USA — EU-Standardvertragsklauseln |
| Mollie B.V. | Zahlungsabwicklung (optional) | Niederlande (EU) |
Aktuelle Fassung: Unterauftragsverarbeiter.