Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO zwischen dem Kunden („Verantwortlicher") und dem Anbieter („Auftragsverarbeiter").

So wird dieser AVV Vertragsbestandteil: Mit Annahme der AGB bei der Registrierung gilt dieses AVV-Muster nach § 9 AGB als zwischen den Parteien vereinbart. Ein gesondertes Unterzeichnen ist nicht erforderlich, kann aber auf Wunsch des Kunden erfolgen (E-Mail an info@qr-vice.app mit Betreff „AVV-Unterzeichnung").

Inhalt:

Vertragsparteien
Gegenstand und Dauer
Art, Zweck und Umfang der Verarbeitung
Kategorien betroffener Personen und Datenkategorien
Pflichten des Auftragsverarbeiters
Technische und organisatorische Maßnahmen (TOM)
Subunternehmer
Kontrollrechte des Verantwortlichen
Löschung und Rückgabe nach Vertragsende
Schlussbestimmungen

1. Vertragsparteien

Verantwortlicher („Kunde"): Der bei der Registrierung angegebene Mandant (Firma, Adresse, Kontaktperson). Die konkreten Daten ergeben sich aus dem Registrierungsdatensatz; auf Anfrage stellt der Anbieter eine ausgefüllte Vertragsausfertigung zur Verfügung.
Auftragsverarbeiter („Anbieter"): Holitschke Werkstattausrüstung
Inhaber: Tom Holitschke
Richard-Wagner-Str. 16
09669 Frankenberg/Sa., Deutschland
E-Mail: info@qr-vice.app

2. Gegenstand und Dauer

Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Anbieter im Rahmen der Bereitstellung des SaaS-Dienstes QR-vice.app. Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrages gemäß § 10 AGB.

3. Art, Zweck und Umfang der Verarbeitung

Der Anbieter verarbeitet die vom Kunden in die Software eingegebenen personenbezogenen Daten ausschließlich zum Zweck der vereinbarten Leistungserbringung gemäß § 4 AGB. Insbesondere umfasst dies:

Speicherung in einer technisch isolierten SQLite-Datenbank pro Mandant
Strukturierung und Bereitstellung über die Web-Anwendung (Browser-Zugriff)
Generierung von QR-Code-Etiketten, PDF-Berichten und transaktionalen E-Mails (Einladungen, Service-Case-Benachrichtigungen, Wartungs-/Kalibrations-/TÜV-/AU-Erinnerungen, Bestellungen an Lieferanten)
Tägliche, verschlüsselte Backups mit Aufbewahrung von 30 Tagen
Wartung, Fehlerbehebung und Sicherheits-Patches durch den Anbieter
Optionale, vom Verantwortlichen aktivierbare Integrationen (Synchronisation mit Google Kalender/Kontakte, Benachrichtigung per Telegram, mandanteneigener Mailserver, Karten-/Routen-Links), die personenbezogene Daten an Dritte — ggf. außerhalb der EU/des EWR — übermitteln können (siehe § 7 sowie die Datenschutzerklärung)

Eine Verarbeitung zu anderen Zwecken — insbesondere zu eigenen Werbe-, Profiling- oder Analysezwecken — findet nicht statt. Der Anbieter verarbeitet die Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen; als Weisung gelten dieser Vertrag sowie die Konfiguration der Anwendung durch den Verantwortlichen.

4. Kategorien betroffener Personen und Datenkategorien

Kategorie	Beispieldaten
Endkunden / Auftraggeber des Mandanten	Firmenname, Anschrift, Telefon, ggf. Privatperson-Daten (Vor-, Nachname)
Ansprechpartner / Kontakte beim Endkunden	Vor- und Nachname, Funktion, E-Mail, Telefon, Anschrift
Mitarbeiter / Techniker des Mandanten	Vor- und Nachname, E-Mail, Telefon, Login-Name, Passwort-Hash, Rolle
Lieferanten und deren Ansprechpartner	Firmenname, Anschrift, Telefon; bei Ansprechpartnern: Vor-/Nachname, Funktion, E-Mail, Telefon/Mobil/privat, Notizen sowie kategorisierte Kommunikationsdaten
Geräte- und Service-Daten	Gerätestammdaten, Wartungshistorie, Service-Case-Berichte, Fotos, Dokumente; bei Rechnungen/E-Rechnungen zusätzlich Zahlungs-/Bankdaten

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden bestimmungsgemäß nicht verarbeitet. Falls der Kunde solche Daten dennoch eingibt, geschieht dies auf seine eigene Verantwortung.

Zentrales Endkunden-Portal-Konto: Für die Anmeldung am Endkunden-Portal wird ein mandantenübergreifendes Konto (E-Mail, Passwort-Hash, Name, Anmelde-Metadaten, Einwilligungs-/AGB- Zeitstempel) in einer gemeinsamen Anmelde-Datenbank des Anbieters geführt. Insoweit handelt der Anbieter ggf. als eigenständig Verantwortlicher und nicht als Auftragsverarbeiter des einzelnen Mandanten. [ANBIETER PRÜFEN: Verantwortlichkeits-Rolle für das zentrale Portal-Konto verbindlich festlegen; Einzelheiten in der Datenschutzerklärung.]

5. Pflichten des Auftragsverarbeiters

Der Anbieter verpflichtet sich, insbesondere:

die personenbezogenen Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen zu verarbeiten;
die Vertraulichkeit aller mit der Verarbeitung befassten Personen sicherzustellen (Verpflichtung auf das Datengeheimnis nach Art. 28 Abs. 3 lit. b DSGVO);
geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen und aufrechtzuerhalten (siehe § 6);
den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen;
den Verantwortlichen unverzüglich (in der Regel innerhalb von 72 Stunden nach Kenntnis) über Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO) zu informieren;
den Verantwortlichen bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und vorheriger Konsultation (Art. 36 DSGVO) zu unterstützen;
nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Vertragsende zu löschen oder zurückzugeben (siehe § 9).

6. Technische und organisatorische Maßnahmen (TOM)

Der Anbieter trifft folgende technische und organisatorische Maßnahmen:

Zutritts- und Zugangskontrolle

Hosting in einem ISO 27001-zertifizierten Rechenzentrum der netcup GmbH in Deutschland
Zugang zum Server-Betriebssystem ausschließlich über SSH mit Public-Key-Authentifizierung; Passwort-Login deaktiviert
Administrativer Zugang nur für den Anbieter persönlich

Zugriffs- und Trennungskontrolle

Jeder Mandant erhält eine eigene SQLite-Datenbank-Datei; eine Vermischung von Mandantendaten ist datei- und applikationsseitig ausgeschlossen
Rollenbasierter Zugriff innerhalb des Mandanten (Admin, Lead, Techniker)
Passwort-Speicherung ausschließlich als gesalzener PBKDF2-Hash
Lockout nach 5 fehlgeschlagenen Login-Versuchen für 15 Minuten

Übertragungskontrolle

Verschlüsselte Übertragung (TLS 1.2+/HTTPS) zwischen Browser und Server (Wildcard-Zertifikat von Let's Encrypt)
HttpOnly- und SameSite=Strict-Cookies für Session-Tokens
CSRF-Schutz durch ASP.NET Core Antiforgery-Token

Eingabekontrolle

Audit-Log für alle Insert-, Update- und Delete-Operationen (Benutzer, Zeitpunkt, Feldänderungen), sensible Felder maskiert
Upload-Härtung: Datei-Größenlimit, Sperrliste gefährlicher Dateitypen, Magic-Byte-Prüfung (für Bild- und PDF-Uploads) gegen umbenannte Dateien sowie Re-Encoding hochgeladener Bilder

Verfügbarkeits- und Wiederherstellungskontrolle

Tägliche, verschlüsselte Backups; Aufbewahrung 30 Tage
SQLite im WAL-Modus (atomare Schreibvorgänge)
Angestrebte Verfügbarkeit von 99 % im Jahresmittel (siehe § 7 AGB)

Auftragskontrolle

Schriftliche Vereinbarung mit allen Subunternehmern nach Art. 28 DSGVO
Verarbeitung der Mandantendaten im Grundbetrieb (Hosting, Backups, transaktionaler Standard-Mailversand über den Anbieter) ausschließlich innerhalb der EU/des EWR. Aktiviert der Verantwortliche optionale Integrationen (Synchronisation mit Google Kalender/Kontakte, Telegram-Benachrichtigung, mandanteneigener Mailserver, Karten-/Routen-Links zu Google Maps), können dabei personenbezogene Daten an Dritte außerhalb der EU/des EWR übermittelt werden — siehe § 7 sowie die Datenschutzerklärung

7. Subunternehmer

Der Verantwortliche stimmt der Beauftragung folgender Subunternehmer („weitere Auftragsverarbeiter" nach Art. 28 Abs. 2 DSGVO) zu:

Subunternehmer	Sitz / Verarbeitungsort	Leistung
netcup GmbH	Karlsruhe, Deutschland (Rechenzentren in Deutschland)	Hosting der Server und Datenbanken inkl. Backup-Speicher
Sendinblue SAS (Brevo)	Paris, Frankreich (Verarbeitung innerhalb der EU)	Versand transaktionaler E-Mails (Einladungen, Service-Benachrichtigungen, Wartungs-/Kalibrations-/TÜV-/AU-Erinnerungen, Bestellungen an Lieferanten) — sofern der Mandant keinen eigenen Mailserver hinterlegt hat
OpenStreetMap-basierte Karten-/Geocoding-Dienste (FOSSGIS e. V.; komoot GmbH / Photon; OpenStreetMap Foundation / Nominatim)	Deutschland / EU [Serverstandort der öffentlichen Photon-Instanz anbieterseitig zu prüfen]	Karten-Kacheln, Geocoding von Adressen und Adress-Autocomplete (serverseitige Aufrufe); nähere Beschreibung in der Datenschutzerklärung § 8
Internet Security Research Group (Let's Encrypt)	USA (Standardvertragsklauseln)	Ausstellung von TLS-Zertifikaten; verarbeitet keine personenbezogenen Daten von Nutzern, sondern ausschließlich Domain-Namen

Optionale Integrationen mit Drittland-Bezug: Aktiviert der Verantwortliche optionale Funktionen (Synchronisation mit Google Kalender/Kontakte, Telegram-Benachrichtigung, mandanteneigener Mailserver, Karten-/Routen-Links zu Google Maps), werden dabei personenbezogene Daten an die jeweiligen Dritten — ggf. in die USA bzw. andere Drittländer — übermittelt. Die Aktivierung dieser Funktionen erfolgt durch den Verantwortlichen; er entscheidet eigenverantwortlich über deren Einsatz und die zugehörige Rechts- und Transfergrundlage. [ANBIETER PRÜFEN: Einordnung dieser Empfänger (weiterer Auftragsverarbeiter des Anbieters vs. eigenständig Verantwortliche bzw. vom Mandanten direkt genutzte Dienste) sowie Transfergrundlage (EU-US Data Privacy Framework / Standardvertragsklauseln) verbindlich festlegen.]

Der Anbieter informiert den Verantwortlichen rechtzeitig vor jedem Wechsel oder jeder Hinzunahme weiterer Subunternehmer in Textform (E-Mail an die hinterlegte Adresse oder Hinweis in der Anwendung). Dem Verantwortlichen steht in diesem Fall ein Widerspruchsrecht innerhalb von 30 Tagen zu; widerspricht der Verantwortliche dem Wechsel in begründeter Weise, ist der Anbieter berechtigt, das Vertragsverhältnis ordentlich zu kündigen.

8. Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrages und der gesetzlichen Bestimmungen durch den Anbieter zu kontrollieren. Auf schriftliche Anfrage stellt der Anbieter alle erforderlichen Auskünfte und Nachweise zur Verfügung. Vor-Ort-Kontrollen sind mit angemessener Vorankündigung (mindestens 14 Tage), während der üblichen Geschäftszeiten und ohne Störung des Betriebes durchzuführen; die Kosten trägt der Verantwortliche, sofern die Kontrolle nicht aufgrund eines konkreten Verdachts erfolgt.

9. Löschung und Rückgabe nach Vertragsende

Nach Vertragsende stellt der Anbieter dem Verantwortlichen einmalig einen Export der Mandantendatenbank im SQLite-Format zur Verfügung. Anschließend werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen vollständig und unwiederbringlich gelöscht; verschlüsselte Backups werden gemäß der Backup-Rotation spätestens nach weiteren 30 Tagen automatisch überschrieben. Vom Verantwortlichen ausdrücklich zur Aufbewahrung verlangte Daten (etwa zur Erfüllung gesetzlicher Aufbewahrungspflichten) sind hiervon ausgenommen.

10. Schlussbestimmungen

Sollten Bestimmungen dieses Vertrages mit denen der Hauptleistungsbeziehung (AGB, Nutzungsvertrag) kollidieren, gehen die Regelungen dieses Vertrages im Hinblick auf die Auftragsverarbeitung vor. Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform; dies gilt auch für die Aufhebung dieser Textformklausel.

Im Übrigen finden die Regelungen unserer AGB und der Datenschutzerklärung ergänzend Anwendung. Es gilt deutsches Recht.

Stand: 9. Juni 2026 (Version 1.1)