← Zurück zum Datenschutz

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: Juli 2026

Dieser AVV regelt die Verarbeitung personenbezogener Daten, die Sie als Betrieb (Verantwortlicher) über Ihre eigenen Kunden und Mitarbeiter in handwerkstool.de erfassen. handwerkstool.de verarbeitet diese Daten ausschließlich in Ihrem Auftrag. Er gilt mit der Nutzung des Dienstes als vereinbart; auf Wunsch stellen wir Ihnen zusätzlich eine gegengezeichnete Fassung zur Verfügung (E-Mail an info@handwerkstool.de).

1. Parteien

Verantwortlicher: der nutzende Handwerksbetrieb (Sie).

Auftragsverarbeiter: Anton Meschede · handwerkstool.de, Am Stadtgarten 23, 44575 Castrop-Rauxel, Deutschland.

2. Gegenstand & Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten zur Bereitstellung der SaaS-Anwendung handwerkstool.de (Kunden-, Auftrags-, Angebots-, Rechnungs- und Personalverwaltung). Die Dauer entspricht der Laufzeit des Nutzungsvertrags. Nach Beendigung werden die Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

3. Art, Umfang & Zweck der Verarbeitung

Erheben, Speichern, Ordnen, Anzeigen, Übermitteln (z. B. Rechnungs-/Angebotsversand), Löschen — jeweils zur Erfüllung der über die Anwendung genutzten Funktionen und ausschließlich auf dokumentierte Weisung des Verantwortlichen.

4. Kategorien betroffener Personen & Daten

Betroffene: Kunden, Interessenten, Mitarbeiter und Kontaktpersonen des Verantwortlichen.

Datenarten: Stammdaten (Name, Anschrift, Kontakt), Auftrags- und Vertragsdaten, Rechnungs- und Zahlungsdaten, Zeiterfassungs- und Lohnkostendaten, ggf. Unterschriften und Fotos.

5. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)

– Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.

– Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.

– Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (siehe Ziffer 7).

– Unterstützung des Verantwortlichen bei Betroffenenrechten, Meldepflichten und Datenschutz-Folgenabschätzung.

– Meldung von Datenschutzverletzungen unverzüglich nach Bekanntwerden.

– Löschung oder Rückgabe der Daten nach Auftragsende; Nachweis der Einhaltung, Ermöglichung von Überprüfungen.

6. Unterauftragsverarbeiter (genehmigt)

Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter. Ein Wechsel wird mit angemessener Frist mitgeteilt; ein Widerspruchsrecht bleibt unberührt.

Supabase Inc. — Datenbank/Authentifizierung, Hosting EU (Frankfurt). SCCs gem. Art. 46 DSGVO.

Vercel Inc. — Anwendungs-Hosting/Auslieferung, USA. SCCs.

Stripe Inc. — Zahlungsabwicklung. Eigene Datenschutzregelungen, SCCs.

Resend (Plus Five Five, Inc.) — Transaktions-/Benachrichtigungs-E-Mails, USA. SCCs.

OpenAI, L.L.C. — KI-Sprach-/Textverarbeitung (z. B. „Per Sprache ausfüllen"), USA. SCCs; keine Nutzung der Inhalte zum Modelltraining.

Anthropic PBC — KI-Textverarbeitung, USA. SCCs.

7. Technische & organisatorische Maßnahmen (Art. 32 DSGVO)

– Verschlüsselung der Übertragung (TLS) und Zugangsschutz je Nutzerkonto.

– Mandantentrennung auf Datenbankebene (Row-Level-Security je Betrieb).

– Serverseitige Zugriffe über abgesicherte Schlüssel; Protokollierung sicherheitsrelevanter Ereignisse (Audit-Log).

– Regelmäßige Backups, Zugriff nur für befugte Personen, EU-Datenhaltung der Primärdatenbank.

8. Rechte des Verantwortlichen

Der Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung verantwortlich und kann Weisungen erteilen, die Einhaltung dieses Vertrags überprüfen sowie Auskunft über die getroffenen Maßnahmen verlangen.

Hinweis: Dieser AVV ist ein sorgfältig erstelltes Muster nach Art. 28 DSGVO und ersetzt keine individuelle Rechtsberatung. Für besondere Konstellationen lassen Sie ihn bitte anwaltlich prüfen.

Fragen zum AVV: info@handwerkstool.de