Auftragsverarbeitungsvertrag (AVV)
Stand: Closed-Beta-Fassung · nach Art. 28 DSGVO
§ 1 Vertragsparteien
Verantwortliche:r („Auftraggeber:in"): die/der SiGeKo- Nutzer:in (Unternehmer:in)
Auftragsverarbeiter: lol.marketing LLC, 30 N Gould St Ste N, Sheridan, WY 82801, USA, vertreten durch den/die EU-Vertreter:in nach Art. 27 DSGVO (wird vor Launch ergänzt).
§ 2 Gegenstand
Der Auftragsverarbeiter verarbeitet im Rahmen der SiGeKo-Dienste personenbezogene Daten von Mitarbeiter:innen, Subunternehmern und Teilnehmer:innen an Unterweisungen ausschließlich nach Weisung des/der Auftraggeber:in.
§ 3 Dauer
Beginn: mit Annahme dieses AVV durch den/die Auftraggeber:in. Ende: mit Beendigung des SaaS-Vertrags. Daten werden innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
§ 4 Art und Zweck der Verarbeitung
- Projekt- und Baustellen-Stammdaten
- Begehungs-, Mängel- und Positivmeldungs-Daten (inkl. Fotos, GPS-Koordinaten)
- Teilnehmerlisten mit Unterschriften (Unterweisung)
- Arbeitszeiten, Tagebucheinträge
- SiGe-Pläne, Baustellenaushang-Pflichtdaten
- Dokumente (PDF/Office, durch Auftraggeber:in hochgeladen)
§ 5 Kategorien betroffener Personen
- Mitarbeiter:innen und Nachunternehmer:innen des/der Auftraggeber:in
- Teilnehmer:innen an Sicherheitsunterweisungen
- Gesetzliche Vertreter (Bauherr, Entwurfsverfasser, Bauleitung, Koordinatoren)
§ 6 Technische und organisatorische Maßnahmen (TOMs)
- Hosting in der EU: Firestore in
eur3(EU-Multi-Region), Hosting in Frankfurt (europe-west3), Storage ineurope-west3(nach Migration vor Launch). - Verschlüsselung in transit: TLS 1.2+ für alle Client-Server-Kommunikation.
- Verschlüsselung at rest: Google-Cloud-Infrastruktur verschlüsselt Firestore, Storage und Auth-Daten automatisch mit AES-256.
- Zugangskontrolle: Authentifizierung via Firebase Auth; Firestore-Security-Rules verhindern Zugriff außerhalb des eigenen Namespaces (
users/{uid}/…). - Protokollierung: Firebase-Audit-Logs, Bedarfslogs bei Support-Eskalationen.
- Trennung: Jede Nutzer:in hat einen eigenen isolierten Namespace. Cross-Tenant-Zugriff technisch ausgeschlossen.
- Datensicherung: Automatische Firestore-Backups durch Google Cloud. Nutzer:innen können jederzeit einen vollständigen JSON- Export herunterladen (Profil → „Daten exportieren").
- Löschung: Bei Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen sowohl aus Firestore als auch aus Storage entfernt (Art. 17 DSGVO).
§ 7 Sub-Auftragsverarbeiter
| Dienst | Anbieter | Zweck | Standort |
|---|---|---|---|
| Firebase (Auth · Firestore · Storage · Hosting) | Google Ireland Ltd. | Hosting, Datenbank, Identität, Storage | EU |
| Transaktionales E-Mail + CRM | Sendinblue SAS (Brevo) | Kontaktformular- & System-E-Mails, CRM | Frankreich |
| Wetter-API | Open-Meteo | Wetterdaten für Begehung & Dashboard | EU / Schweiz |
Bei Wechsel von Sub-Auftragsverarbeitern informiert der Auftragsverarbeiter mit 30 Tagen Vorlauf. Widerspruch berechtigt zur außerordentlichen Kündigung.
§ 8 Betroffenenrechte
Der Auftragsverarbeiter stellt technische Funktionen bereit, mit denen der/die Auftraggeber:in ihre eigenen Betroffenen-Rechte erfüllen kann: Datenexport (Art. 15, 20), Konto-Löschung (Art. 17), Korrektur-Möglichkeit über die Anwendungs-UI (Art. 16).
§ 9 Meldepflichten bei Datenschutzverletzungen
Der Auftragsverarbeiter informiert den/die Auftraggeber:in unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnisnahme.
§ 10 Kontrollrechte
Einsicht in aktuelle Zertifikate und Berichte von Google (SOC 2, ISO 27001, ISO 27018).
§ 11 Rückgabe und Löschung
- Datenexport innerhalb von 30 Tagen nach Vertragsende möglich.
- Nach Ablauf der Frist automatische Löschung durch den Account-Delete- Flow.
- Schriftliche Bestätigung auf Wunsch.
Rechtlicher Hinweis: Dieser AVV ist ein Arbeits-Entwurf. Der finale, durch einen Fachanwalt geprüfte Stand wird vor dem Produkt-Launch veröffentlicht und kann per E-Mail an hello@lol.marketing angefordert werden.