gemäß Art. 28 DSGVO · Stand: Juli 2026
Verantwortlicher: der nutzende Handwerksbetrieb (Sie).
Auftragsverarbeiter: Anton Meschede · handwerkstool.de, Am Stadtgarten 23, 44575 Castrop-Rauxel, Deutschland.
Gegenstand ist die Verarbeitung personenbezogener Daten zur Bereitstellung der SaaS-Anwendung handwerkstool.de (Kunden-, Auftrags-, Angebots-, Rechnungs- und Personalverwaltung). Die Dauer entspricht der Laufzeit des Nutzungsvertrags. Nach Beendigung werden die Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Erheben, Speichern, Ordnen, Anzeigen, Übermitteln (z. B. Rechnungs-/Angebotsversand), Löschen — jeweils zur Erfüllung der über die Anwendung genutzten Funktionen und ausschließlich auf dokumentierte Weisung des Verantwortlichen.
Betroffene: Kunden, Interessenten, Mitarbeiter und Kontaktpersonen des Verantwortlichen.
Datenarten: Stammdaten (Name, Anschrift, Kontakt), Auftrags- und Vertragsdaten, Rechnungs- und Zahlungsdaten, Zeiterfassungs- und Lohnkostendaten, ggf. Unterschriften und Fotos.
– Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen.
– Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.
– Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (siehe Ziffer 7).
– Unterstützung des Verantwortlichen bei Betroffenenrechten, Meldepflichten und Datenschutz-Folgenabschätzung.
– Meldung von Datenschutzverletzungen unverzüglich nach Bekanntwerden.
– Löschung oder Rückgabe der Daten nach Auftragsende; Nachweis der Einhaltung, Ermöglichung von Überprüfungen.
Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter. Ein Wechsel wird mit angemessener Frist mitgeteilt; ein Widerspruchsrecht bleibt unberührt.
Supabase Inc. — Datenbank/Authentifizierung, Hosting EU (Frankfurt). SCCs gem. Art. 46 DSGVO.
Vercel Inc. — Anwendungs-Hosting/Auslieferung, USA. SCCs.
Stripe Inc. — Zahlungsabwicklung. Eigene Datenschutzregelungen, SCCs.
Resend (Plus Five Five, Inc.) — Transaktions-/Benachrichtigungs-E-Mails, USA. SCCs.
OpenAI, L.L.C. — KI-Sprach-/Textverarbeitung (z. B. „Per Sprache ausfüllen"), USA. SCCs; keine Nutzung der Inhalte zum Modelltraining.
Anthropic PBC — KI-Textverarbeitung, USA. SCCs.
– Verschlüsselung der Übertragung (TLS) und Zugangsschutz je Nutzerkonto.
– Mandantentrennung auf Datenbankebene (Row-Level-Security je Betrieb).
– Serverseitige Zugriffe über abgesicherte Schlüssel; Protokollierung sicherheitsrelevanter Ereignisse (Audit-Log).
– Regelmäßige Backups, Zugriff nur für befugte Personen, EU-Datenhaltung der Primärdatenbank.
Der Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung verantwortlich und kann Weisungen erteilen, die Einhaltung dieses Vertrags überprüfen sowie Auskunft über die getroffenen Maßnahmen verlangen.
Fragen zum AVV: info@handwerkstool.de