Auftragsverarbeitungsvertrag (AVV)
Stand: Juli 2026
Dieser Auftragsverarbeitungsvertrag (AVV) wurde gemäß Art. 28 der Datenschutz-Grundverordnung (EU) 2016/679 erstellt.
1. Einleitung und Geltungsbereich
1.1 Vertragsparteien
Dieser AVV wird geschlossen zwischen:
- Ibis Flow GmbH, Krumbacher Str 2, 92421 Schwandorf, Deutschland (nachfolgend „Auftragsverarbeiter"), und
- dem Unternehmen, das die Allgemeinen Geschäftsbedingungen akzeptiert (nachfolgend „Verantwortlicher").
1.2 Einbeziehung
Dieser AVV ist wesentlicher Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) und wird durch Verweis einbezogen. Im Falle eines Widerspruchs zwischen diesem AVV und den AGB in Datenschutzfragen hat dieser AVV Vorrang.
1.3 Anwendbarkeit
Dieser AVV gilt für alle Verarbeitungen personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der Plattform Alle Gewerke (KI-gestütztes Ausschreibungs-Matching für das Bauwesen).
2. Definitionen
Die in der DSGVO definierten Begriffe (personenbezogene Daten, Verarbeitung, betroffene Person, Verantwortlicher, Auftragsverarbeiter, Datenschutzverletzung, Aufsichtsbehörde) haben dieselbe Bedeutung wie in der DSGVO. SCCs bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (Beschluss 2021/914).
3. Einzelheiten der Verarbeitung
3.1 Gegenstand und Dauer
Gegenstand der Verarbeitung ist die Bereitstellung der Plattform Alle Gewerke. Die Verarbeitung erfolgt für die Dauer des Hauptvertrags.
3.2 Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen für folgende Zwecke:
- Bereitstellung der Ausschreibungs-Matching-Plattform
- Tägliche E-Mail-Benachrichtigungen mit passenden Ausschreibungen
- Verwaltung von Nutzerkonto und Organisationsprofil
- Zahlungsabwicklung und Abonnementverwaltung (via Stripe)
- Technischer Support auf Anfrage
3.3 Kategorien personenbezogener Daten
- Identitätsdaten: Name, E-Mail-Adresse, Firmenname
- Kontodaten: Organisationsmitgliedschaft, Abonnementstatus
- Profildaten: Postleitzahl, Gewerke, Regionen, Suchradius
- Technische Daten: IP-Adressen, Zugriffszeitstempel, Gerätekennungen
3.4 Kategorien betroffener Personen
- Autorisierte Nutzer der Organisation des Verantwortlichen
4. Weisungen des Verantwortlichen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen nur auf dokumentierte Weisung. Die Weisungen sind dokumentiert in diesem AVV, den AGB sowie der Konfiguration und Nutzung des Dienstes durch den Verantwortlichen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, eine Weisung verstoße gegen Datenschutzrecht.
5. Sicherheit der Verarbeitung
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Diese sind vollständig in den Technischen und Organisatorischen Maßnahmen (TOMs) beschrieben, die Bestandteil dieses AVV sind. Zu den wesentlichen Maßnahmen zählen:
- TLS 1.2+ für alle Datenübertragungen
- Verschlüsselung im Ruhezustand (AES-256 über Azure SSE)
- Private Endpunkte für alle PaaS-Dienste (kein öffentlicher Zugriff)
- Azure Key Vault für alle Geheimnisse und API-Schlüssel
- Managed Identity für Dienst-zu-Dienst-Authentifizierung
- PCI-DSS SAQ A für Zahlungsabwicklung (Stripe — keine Kartenverarbeitung auf eigenen Servern)
6. Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz der in Anlage 1 aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung/Ersetzung) durch Aktualisierung der Liste auf seiner Website. Der Verantwortliche hat 14 Tage Zeit, aus berechtigten datenschutzrechtlichen Gründen Einspruch zu erheben.
7. Internationale Datenübermittlungen
Personenbezogene Daten werden primär innerhalb der EU verarbeitet (Microsoft Azure West Europe). Bestimmte Unterauftragsverarbeiter können Daten außerhalb der EU/des EWR verarbeiten. Alle Drittlandübermittlungen erfolgen auf Basis der EU-SCCs (Beschluss 2021/914) oder des EU-US-Datenschutzrahmens (wo anwendbar).
8. Rechte betroffener Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit). Wenn der Auftragsverarbeiter eine Betroffenenanfrage erhält, benachrichtigt er den Verantwortlichen unverzüglich (spätestens innerhalb von 5 Werktagen).
9. Datenschutzverletzungen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden, nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten des Verantwortlichen. Die Benachrichtigung enthält Art der Verletzung, betroffene Datenkategorien und -mengen, wahrscheinliche Folgen sowie ergriffene Maßnahmen.
10. Datenlöschung und -rückgabe
Bei Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen, es sei denn, der Verantwortliche beantragt eine Datenexportdatei (JSON/CSV). Erteilt der Verantwortliche innerhalb von 30 Tagen nach Beendigung keine Anweisungen, werden alle Daten gelöscht. Backup-Daten können noch bis zu 35 Tage in automatisierten Systemen verbleiben und werden danach dauerhaft gelöscht.
11. Prüfungsrechte
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind. Prüfungen sind mit 30 Tagen Vorankündigung und einmal pro Kalenderjahr möglich.
12. Anwendbares Recht
Dieser AVV unterliegt deutschem Recht. Gerichtsstand ist Schwandorf, Deutschland. Unberührt bleibt das Recht des Verantwortlichen, gemäß Art. 77 DSGVO Beschwerde bei einer Aufsichtsbehörde einzureichen.
Anlage 1: Unterauftragsverarbeiter
Zuletzt aktualisiert: Juli 2026
| Unterauftragsverarbeiter | Zweck | Standort | Grundlage |
|---|---|---|---|
| Microsoft Azure | Cloud-Infrastruktur, Hosting, Datenbank, Speicher | EU (West Europe, NL) | N/A (EU) |
| Microsoft Entra External ID | Nutzerauthentifizierung (B2C) | EU | N/A (EU) |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung und Abonnementverwaltung | Irland / USA | EU-US DPF; SCCs |
| Postmark (ActiveCampaign, LLC) | Transaktionaler E-Mail-Versand | USA | SCCs |
| Google Ireland Ltd. | Webanalyse (Google Analytics 4) | Irland / USA | SCCs |
DPF = EU-US Data Privacy Framework · SCCs = EU-Standardvertragsklauseln (Beschluss 2021/914)
Kontakt
Bei Fragen zu diesem AVV:
Ibis Flow GmbH
Krumbacher Str 2
92421 Schwandorf
E-Mail: kontakt@alle-gewerke.de