Auftragsverarbeitungsvertrag (AVV)

---

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

zwischen dem jeweiligen Nutzer (nachfolgend „Auftraggeber“) und
Marcel Keller, Niederfeldweg 116, 47447 Moers, Deutschland (nachfolgend „Auftragnehmer“), E‑Mail: info@malerplus.app
gemeinsam auch „Parteien“.

Dieser AVV gilt für die Nutzung der Software MalerPlus (SaaS) und ergänzt die AGB. Er wird mit der Nutzung bzw. durch Zustimmung im Rahmen der Registrierung / Vertragsannahme wirksam.

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung, des Betriebs und der Wartung der SaaS‑Plattform MalerPlus. Der AVV gilt für die Dauer des Hauptvertrags sowie bis zur vollständigen Rückgabe/Löschung der Daten.

2. Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet Daten ausschließlich zur Erbringung der vertraglichen Leistungen (u. a. Nutzerverwaltung, Projekt-/Kundenverwaltung, Angebots- und Rechnungserstellung, PDF‑Erstellung/Export, Synchronisation/Backups, Support, Abrechnung/Subscription).

3. Art der Daten

• Stammdaten (z. B. Name, Anschrift, Kontaktdaten, Kundennummern)
• Vertrags- und Abrechnungsdaten (z. B. Rechnungspositionen, Zahlungsstatus, Steuern/UID, Stripe‑Customer‑Referenzen)
• Projekt- und Leistungsdaten (z. B. Baustellen, Aufmaß, Leistungen, Materiallisten)
• Nutzungs- und Protokolldaten (z. B. Login‑Zeitpunkte, technische Logs, Geräte-/Browser‑Metadaten)

4. Kategorien betroffener Personen

• Kunden/Interessenten des Auftraggebers
• Mitarbeiter/Erfüllungsgehilfen des Auftraggebers
• Lieferanten/Ansprechpartner (soweit im System erfasst)

5. Weisungsrecht

Der Auftragnehmer verarbeitet Daten nur auf dokumentierte Weisung des Auftraggebers, soweit nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht. Weisungen können über die Produktfunktionen (z. B. Löschung/Export) sowie in Textform (E‑Mail) erteilt werden.

6. Pflichten des Auftragnehmers

• Vertraulichkeit: Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit.
• Datensicherheit: Umsetzung und Aufrechterhaltung geeigneter TOMs (siehe Anlage 2).
• Unterstützung: Unterstützung bei Betroffenenrechten, Meldung von Datenschutzvorfällen, Datenschutz‑Folgenabschätzung – jeweils im Rahmen der Zumutbarkeit.
• Löschung/Rückgabe: Rückgabe oder Löschung nach Vertragsende gemäß Ziffer 12.

7. Pflichten des Auftraggebers

• Rechtsgrundlagen, Informationspflichten und ggf. Einwilligungen gegenüber Betroffenen liegen in Verantwortung des Auftraggebers.
• Der Auftraggeber ist für Inhalte, Datenqualität, Rechtmäßigkeit der Datenübermittlung sowie für eine angemessene Nutzer- und Rechteverwaltung (Passwörter, Zugriffsrechte) verantwortlich.

8. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer setzt TOMs gemäß Anlage 2 um. TOMs können weiterentwickelt werden, sofern das Sicherheitsniveau nicht unterschritten wird.

9. Unterauftragsverarbeiter

Der Auftragnehmer setzt Unterauftragsverarbeiter ein (siehe Anlage 3). Der Auftraggeber erteilt hierfür eine allgemeine Genehmigung. Über wesentliche Änderungen (Hinzufügen/Ersetzen) wird der Auftraggeber in geeigneter Form informiert; er kann aus wichtigem Grund widersprechen.

10. Drittlandtransfer

Soweit im Rahmen der eingesetzten Dienste Daten in Drittländer übermittelt werden, erfolgt dies ausschließlich unter Beachtung der gesetzlichen Vorgaben (insbesondere geeignete Garantien wie EU‑Standardvertragsklauseln bzw. Angemessenheitsbeschlüsse) durch den jeweiligen Anbieter und im Rahmen der Konfiguration.

11. Kontrollrechte / Nachweise

Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV nach angemessener Vorankündigung zu überprüfen. Als Nachweis können insbesondere aktuelle Sicherheits- und Compliance‑Informationen der eingesetzten Plattformdienste sowie eine schriftliche Eigenerklärung dienen. Vor‑Ort‑Audits nur, sofern erforderlich und nach Abstimmung.

12. Rückgabe und Löschung nach Vertragsende

Nach Ende des Hauptvertrags löscht der Auftragnehmer die im Auftrag verarbeiteten Daten innerhalb angemessener Frist, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Soweit der Auftraggeber vorab einen Export über Produktfunktionen anfordert, hat dies Vorrang. Backups werden im Rahmen der Backup‑Zyklen überschrieben/gelöscht.

13. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber ohne unangemessene Verzögerung über Verletzungen des Schutzes personenbezogener Daten, soweit diese Daten des Auftraggebers betreffen, und unterstützt bei der Erfüllung gesetzlicher Meldepflichten.

14. Haftung

Für Haftung und Haftungsbegrenzung gelten die Regelungen des Hauptvertrags/AGB, soweit gesetzlich zulässig. Unabhängig davon bleiben die gesetzlichen Regelungen der DSGVO unberührt.

15. Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Im Konfliktfall gehen die Regelungen dieses AVV den übrigen vertraglichen Regelungen zur Auftragsverarbeitung vor.

---

Anlage 1 – Beschreibung der Verarbeitung

• Gegenstand: Bereitstellung und Betrieb der SaaS‑Plattform MalerPlus
• Zwecke: Nutzerverwaltung, Projekt-/Kundenverwaltung, Angebots-/Rechnungsprozesse, PDF‑Erstellung/Export, Cloud‑Sync/Backups, Support, Abrechnung
• Verarbeitungsvorgänge: Erheben, Speichern, Strukturieren, Übermitteln (z. B. an Zahlungsdienst), Löschen

Anlage 2 – Technische und organisatorische Maßnahmen (TOMs)

• Zugriffskontrolle: Authentifizierung, rollenbasierte Berechtigungen, Principle of Least Privilege
• Übertragung: TLS/HTTPS für Transport, sichere API‑Kommunikation
• Speicherung: Zugriffsschutz auf Datenbanken/Storage, getrennte Mandantenlogik soweit technisch vorgesehen
• Protokollierung: technische Logs zur Fehleranalyse, Missbrauchserkennung
• Verfügbarkeit: Backup-/Restore‑Konzepte, Monitoring, Fehler‑/Incident‑Prozesse
• Integrität: Validierungen, Berechtigungsprüfungen (z. B. Firestore‑Rules), Schutz vor unberechtigter Änderung
• Datenschutz durch Technik: Datenminimierung, Zweckbindung, Lösch-/Exportmöglichkeiten

Anlage 3 – Unterauftragsverarbeiter

• Google Firebase / Google Cloud – Hosting, Authentifizierung, Datenbank/Storage, ggf. Logging
• Stripe – Zahlungsabwicklung, Subscription‑Management
• E‑Mail (SMTP) – Versand transaktionaler E‑Mails (z. B. Registrierung/Benachrichtigungen)

---