Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO — Stand: 3. März 2026
zwischen
[Name des Verantwortlichen]
[Adresse]
– nachfolgend „Verantwortlicher“ –
und
Building Control Experts UG (haftungsbeschränkt)
Bernhard-Bästlein-Straße 20
10367 Berlin, Deutschland
E-Mail: klemczak.t@buildingcontrolexperts.de
– nachfolgend „Auftragsverarbeiter“ –
§ 1 Gegenstand des Vertrags
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung des Online-Dienstes „LV-Extraktor“.
Der Verantwortliche bleibt im datenschutzrechtlichen Sinne Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.
§ 2 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer der Nutzung des Dienstes durch den Verantwortlichen.
Der Vertrag endet automatisch mit Beendigung der Nutzung des Dienstes, sofern keine gesonderte Vereinbarung getroffen wird.
§ 3 Art und Zweck der Verarbeitung
Zweck der Verarbeitung ist:
- automatisierte Analyse und Extraktion von Positionen, Mengen und Einheiten aus Leistungsverzeichnissen (PDF-Dateien),
- Generierung strukturierter Ausgabedateien (Excel, GAEB DA XML),
- optionaler E-Mail-Versand von Verarbeitungsergebnissen.
Die Verarbeitung erfolgt ausschließlich zur technischen Durchführung des Dienstes.
§ 4 Art der personenbezogenen Daten
Es können folgende Datenarten verarbeitet werden:
- Namen und Kontaktdaten (soweit im LV enthalten)
- Firmennamen und Geschäftsadressen
- Projektbezeichnungen und Projektadressen
- E-Mail-Adresse des Nutzers
- technische Protokolldaten (IP-Adresse, Zeitstempel)
§ 5 Kategorien betroffener Personen
- Mitarbeiter des Verantwortlichen
- Planer, Architekten, Fachingenieure
- Auftraggeber und Bauherren
- Nutzer des Dienstes
§ 6 Weisungsrecht
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Weisungen erfolgen grundsätzlich durch Nutzung des Dienstes.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen Datenschutzrecht verstößt.
§ 7 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- personenbezogene Daten vertraulich zu behandeln;
- nur befugtes Personal einzusetzen, das auf Vertraulichkeit verpflichtet wurde;
- geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen;
- den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren;
- den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten gemäß Art. 15–22 DSGVO zu unterstützen;
- den Verantwortlichen bei Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO zu unterstützen;
- alle personenbezogenen Daten nach Vertragsende zu löschen.
§ 8 Unterauftragsverarbeiter
Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz folgender Unterauftragsverarbeiter:
| Unternehmen | Zweck | Standort | Transfergrundlage |
|---|---|---|---|
| Contabo GmbH | Hosting | Deutschland | EU |
| Google Ireland Ltd | KI-Textanalyse (Gemini API) | Irland / USA | EU-US DPF + SCC |
| Resend Inc. | E-Mail-Versand | USA | EU-US DPF |
Der Auftragsverarbeiter informiert über wesentliche Änderungen bei Unterauftragsverarbeitern.
§ 9 Drittlandübermittlung
Soweit Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere:
- EU-US Data Privacy Framework (DPF),
- Standardvertragsklauseln (SCC).
§ 10 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter setzt folgende Maßnahmen um:
- TLS 1.2+ Verschlüsselung sämtlicher Datenübertragungen
- Serverstandort Deutschland (Contabo GmbH)
- Zugriff ausschließlich über SSH-Key-Authentifizierung
- Zugriffsbeschränkung auf autorisierte Personen
- automatische Löschroutine (PDF innerhalb 1 Stunde, Ergebnisdaten innerhalb 24 Stunden)
- keine dauerhafte Speicherung über die Verarbeitungsdauer hinaus
- regelmäßige Sicherheitsupdates der Serverumgebung
§ 11 Kontrollrechte
Der Verantwortliche ist berechtigt, die Einhaltung der vertraglichen und gesetzlichen Datenschutzpflichten in angemessenem Umfang zu überprüfen.
Die Prüfung erfolgt unter Wahrung von Betriebs- und Geschäftsgeheimnissen des Auftragsverarbeiters.
§ 12 Löschung und Rückgabe
Nach Beendigung der Verarbeitung werden sämtliche personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Eine Rückgabe von Daten erfolgt nur auf ausdrücklichen Wunsch des Verantwortlichen vor Löschung.
§ 13 Schlussbestimmungen
Es gilt das Recht der Bundesrepublik Deutschland.
Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform (z. B. per E-Mail).
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Dieser Auftragsverarbeitungsvertrag wird elektronisch durch die Zustimmung des Nutzers bei der Inanspruchnahme des Dienstes (Clickwrap-Verfahren) rechtsgültig geschlossen und bedarf keiner eigenhändigen Unterschrift.