Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Stand: Juli 2026
Präambel
Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Rahmen der Nutzung der Software „ENREDEMA" (nachfolgend „Anwendung"). Datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO) ist und bleibt der Auftraggeber; der Auftragnehmer wird ausschließlich als weisungsgebundener Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) tätig und verarbeitet die Daten nicht zu eigenen Zwecken.
Auftraggeber (Verantwortlicher):
der jeweilige Kunde (Berater/Planer) mit den bei der Registrierung angegebenen Firmen-, Anschrifts-
und Kontaktdaten.
Auftragnehmer (Auftragsverarbeiter):
ENREDEMA GmbH, Dieselstraße 7, 71101 Schönaich,
vertreten durch die Geschäftsführer Pascal Hummel und Robin Hablizel.
§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung
(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers, soweit dies zur Bereitstellung und zum Betrieb der Anwendung erforderlich ist. Der Auftragnehmer erbringt die Leistung nach dem Prinzip der Bereitstellung einer Standardsoftware (Software-as-a-Service); Umfang und Ausgestaltung der Verarbeitung richten sich nach dem jeweiligen Funktionsumfang der Anwendung.
(2) Art, Umfang und Zweck der Verarbeitung, die betroffenen Datenarten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1.
(3) Die Verarbeitung erfolgt in Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums. Eine Verarbeitung durch Unterauftragnehmer in Drittländern erfolgt nur auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO gemäß Anlage 3; der Auftraggeber genehmigt diese mit Abschluss dieses Vertrags.
(4) Die Laufzeit dieses Vertrags entspricht der Laufzeit des zugrunde liegenden Nutzungsvertrags über die Anwendung und endet automatisch mit dessen Beendigung.
§ 2 Verantwortlichkeit und Zusicherungen des Auftraggebers
(1) Der Auftraggeber ist für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen allein verantwortlich (Art. 4 Nr. 7, Art. 24 DSGVO). Dies gilt insbesondere für die Rechtmäßigkeit der Datenerhebung, das Vorliegen einer Rechtsgrundlage sowie die Erfüllung der Informationspflichten gegenüber seinen Endkunden.
(2) Der Auftraggeber sichert zu, dass er berechtigt ist, die in die Anwendung eingegebenen oder hochgeladenen Daten zu verarbeiten und dem Auftragnehmer zur Verarbeitung zu überlassen, und dass seine Weisungen datenschutzkonform sind.
(3) Der Auftraggeber ist für die ordnungsgemäße Einrichtung seiner Konten, die Vergabe und Verwaltung von Zugriffsrechten sowie für das Verhalten der von ihm eingeladenen Nutzer verantwortlich.
(4) Der Auftragnehmer ist nicht verpflichtet, die vom Auftraggeber eingegebenen Daten oder die Zulässigkeit der Verarbeitung zu überprüfen. Eine Prüfpflicht besteht nur, soweit dies gesetzlich zwingend vorgeschrieben ist.
§ 3 Weisungsrecht des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich im Rahmen dieses Vertrags und nach dokumentierten Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet.
(2) Weisungen werden grundsätzlich durch die Nutzung der Funktionen und Einstellungen der Anwendung erteilt und gelten insoweit als dokumentiert. Darüber hinausgehende Einzelweisungen bedürfen der Textform und sind an die vom Auftragnehmer benannte Kontaktstelle zu richten.
(3) Weisungen, die über den Standardfunktionsumfang der Anwendung hinausgehen, setzen die Umsetzbarkeit voraus und werden nach Aufwand gemäß § 10 vergütet. Der Auftragnehmer kann die Umsetzung solcher Weisungen von einer gesonderten Vereinbarung abhängig machen.
(4) Hält der Auftragnehmer eine Weisung für rechtswidrig, ist er berechtigt, den Auftraggeber hierauf hinzuweisen und die Ausführung bis zu deren Bestätigung oder Änderung auszusetzen. Für hieraus entstehende Verzögerungen haftet der Auftragnehmer nicht.
§ 4 Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich im Rahmen des Zumutbaren und unter Berücksichtigung der Art der Verarbeitung sowie der ihm zur Verfügung stehenden Informationen insbesondere:
- personenbezogene Daten nur weisungsgemäß und zweckgebunden zu verarbeiten;
- die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO);
- die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 2 umzusetzen und aufrechtzuerhalten;
- den Auftraggeber unverzüglich zu informieren, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, und ihn bei seinen Pflichten nach Art. 33 und 34 DSGVO in angemessenem Umfang zu unterstützen (siehe § 9);
- den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei Datenschutz-Folgenabschätzungen und Konsultationen (Art. 35, 36 DSGVO) im gesetzlich vorgesehenen und technisch möglichen Umfang zu unterstützen (Art. 28 Abs. 3 lit. e und f DSGVO); ein über das Zumutbare hinausgehender Aufwand wird nach § 10 vergütet.
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
(1) Der Auftragnehmer setzt die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen um, die ein dem Risiko angemessenes Schutzniveau gewährleisten.
(2) Die Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragnehmer ist berechtigt, sie weiterzuentwickeln und anzupassen, solange das vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Eine gesonderte Zustimmung des Auftraggebers ist hierfür nicht erforderlich.
§ 6 Unterauftragsverhältnisse (Art. 28 Abs. 2 und 4 DSGVO)
(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragnehmer) einzusetzen. Die bei Vertragsschluss eingesetzten Unterauftragnehmer sind in Anlage 3 aufgeführt und werden genehmigt.
(2) Der Auftragnehmer informiert den Auftraggeber über beabsichtigte wesentliche Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern, z. B. durch Aktualisierung der Liste oder per E-Mail. Der Auftraggeber kann einer Änderung nur aus einem wichtigen, nachweisbaren datenschutzrechtlichen Grund innerhalb von 14 Tagen widersprechen.
(3) Widerspricht der Auftraggeber, bemühen sich die Parteien um eine einvernehmliche Lösung. Kann diese nicht erzielt werden und ist der Einsatz des Unterauftragnehmers für die Leistungserbringung erforderlich, ist der Auftragnehmer berechtigt, den betroffenen Leistungsteil einzustellen; jede Partei kann den Nutzungsvertrag insoweit mit angemessener Frist kündigen. Ein Anspruch des Auftraggebers auf unveränderte Leistungserbringung oder auf ein dauerhaftes Blockieren einzelner Unterauftragnehmer besteht nicht.
(4) Der Auftragnehmer verpflichtet Unterauftragnehmer auf ein angemessenes, den Anforderungen des Art. 28 DSGVO entsprechendes Datenschutzniveau. Reine Nebenleistungen Dritter (z. B. Telekommunikation, Wartung) gelten nicht als Unterauftragsverhältnis im Sinne dieses Vertrags.
§ 7 Rechte der betroffenen Personen
(1) Für die Wahrung der Rechte betroffener Personen ist der Auftraggeber verantwortlich. Der Auftragnehmer unterstützt ihn hierbei, soweit möglich und mit zumutbarem Aufwand, durch geeignete technische und organisatorische Maßnahmen bzw. die Funktionen der Anwendung.
(2) Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, leitet dieser das Anliegen an den Auftraggeber weiter und trifft ohne dessen Weisung keine eigenen Entscheidungen. Ein über das Zumutbare hinausgehender Unterstützungsaufwand wird nach § 10 vergütet.
§ 8 Nachweis- und Kontrollrechte (Art. 28 Abs. 3 lit. h DSGVO)
(1) Der Auftragnehmer stellt dem Auftraggeber die zum Nachweis der Einhaltung seiner Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung. Der Nachweis erfolgt vorrangig durch geeignete Selbstauskünfte, aktuelle Testate, Zertifikate oder Prüfberichte (auch der eingesetzten Infrastruktur-Dienstleister).
(2) Reichen diese Nachweise im begründeten Einzelfall nicht aus, kann der Auftraggeber eine Kontrolle verlangen. Kontrollen finden höchstens einmal je Kalenderjahr statt – es sei denn, ein konkreter Anlass (z. B. eine Datenschutzverletzung) oder eine behördliche Anordnung erfordert eine weitere Prüfung –, nach rechtzeitiger Ankündigung mit einer Frist von mindestens 30 Tagen, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs. Kontrollierende Personen sind zur Vertraulichkeit zu verpflichten.
(3) Der mit einer Kontrolle verbundene Aufwand des Auftragnehmers sowie etwaige Kosten Dritter trägt der Auftraggeber; im Übrigen gilt § 10.
§ 9 Verletzungen des Schutzes personenbezogener Daten
(1) Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten, die die vom Auftraggeber überlassenen Daten betreffen, unverzüglich nach Kenntnis und unterstützt ihn im zumutbaren Umfang bei seinen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).
(2) Meldungen und Unterstützungshandlungen des Auftragnehmers stellen kein Anerkenntnis eines Verschuldens oder einer Haftung dar. Über die zu ergreifenden technischen Abhilfemaßnahmen entscheidet der Auftragnehmer nach billigem Ermessen.
§ 10 Vergütung
Unterstützungsleistungen, Kontrollen sowie die Umsetzung von Weisungen, die über den Standardfunktionsumfang der Anwendung bzw. die gesetzlich unentgeltlich geschuldeten Mitwirkungspflichten hinausgehen, vergütet der Auftraggeber nach der jeweils gültigen Preisliste des Auftragnehmers oder, mangels einer solchen, nach dem angemessenen üblichen Aufwand.
§ 11 Haftung
(1) Im Außenverhältnis zu betroffenen Personen gilt Art. 82 DSGVO. Im Innenverhältnis der Parteien haftet jede Partei nur für den von ihr zu vertretenden Anteil an einem Schaden.
(2) Der Auftragnehmer haftet nur für schuldhafte Verletzungen seiner Pflichten aus diesem Vertrag. Einzelne Abweichungen, die innerhalb der Frist nach § 14 behoben werden, gelten nicht als haftungsauslösende Vertragsverletzung. Der Auftragnehmer haftet ferner nicht für Schäden, die auf rechtswidrigen Weisungen, unrechtmäßig überlassenen Daten oder einer fehlerhaften Konfiguration bzw. Nutzung durch den Auftraggeber oder dessen Nutzer beruhen.
(3) Die Haftung des Auftragnehmers für einfache Fahrlässigkeit ist auf die Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) beschränkt und in diesem Fall der Höhe nach auf den vertragstypischen, vorhersehbaren Schaden, höchstens jedoch auf die in den zwölf Monaten vor dem schädigenden Ereignis gezahlte Nutzungsvergütung begrenzt. Die Haftungsregelungen und -grenzen des Nutzungsvertrags bzw. der AGB gelten ergänzend; die jeweils für den Auftragnehmer günstigere Regelung ist maßgeblich.
(4) Die vorstehenden Haftungsbeschränkungen gelten nicht bei Vorsatz und grober Fahrlässigkeit, bei der schuldhaften Verletzung von Leben, Körper oder Gesundheit sowie in sonstigen Fällen zwingender gesetzlicher Haftung. Eine Änderung der Beweislast zum Nachteil des Auftraggebers ist damit nicht verbunden.
§ 12 Freistellung
Der Auftraggeber stellt den Auftragnehmer auf erstes Anfordern von sämtlichen Ansprüchen Dritter, betroffener Personen oder Behörden (einschließlich Bußgeldern und angemessener Rechtsverteidigungskosten) frei, die daraus resultieren, dass der Auftraggeber gegen seine Pflichten aus diesem Vertrag oder gegen datenschutzrechtliche Vorschriften verstößt, dem Auftragnehmer rechtswidrige Weisungen erteilt oder Daten ohne ausreichende Rechtsgrundlage überlässt. Dies gilt nicht, soweit der Auftragnehmer den Umstand selbst schuldhaft zu vertreten hat.
§ 13 Löschung und Rückgabe nach Beendigung (Art. 28 Abs. 3 lit. g DSGVO)
(1) Nach Beendigung der Verarbeitung löscht der Auftragnehmer die personenbezogenen Daten oder gibt sie zurück, sofern nicht eine gesetzliche Pflicht zur weiteren Speicherung besteht.
(2) Dem Auftraggeber wird vor Vertragsende die Möglichkeit gegeben, seine Daten über die Funktionen der Anwendung selbst zu exportieren. Der Auftragnehmer löscht die aktiven Datenbestände innerhalb von 30 Tagen nach Vertragsende; in Sicherungen (Backups) enthaltene Daten werden systembedingt im Rahmen der turnusmäßigen Löschzyklen entfernt. Die Bereitstellung von Daten in besonderen Formaten wird nach § 10 vergütet.
(3) Weisungen zur Löschung, Berichtigung oder Herausgabe während der Vertragslaufzeit macht der Auftraggeber über die dafür vorgesehenen Funktionen der Anwendung oder die benannte Kontaktstelle geltend. Der Auftragnehmer setzt begründete Löschweisungen innerhalb von 30 Tagen nach Zugang auf dem vorgesehenen Weg um. Verzögerungen, die darauf beruhen, dass der Auftraggeber den vorgesehenen Weg nicht einhält oder erforderliche Angaben nicht vollständig macht, hat der Auftragnehmer nicht zu vertreten.
§ 14 Rügeobliegenheit, Heilung und Verjährung
(1) Der Auftraggeber zeigt behauptete Pflichtverletzungen dem Auftragnehmer unverzüglich in Textform an und räumt ihm eine angemessene Frist von mindestens 14 Tagen zur Abhilfe (Heilung) ein, bevor er weitergehende Rechte aus diesem Vertrag geltend macht. Eine innerhalb der Frist behobene Abweichung gilt nicht als Vertragsverletzung.
(2) Absatz 1 lässt zwingende gesetzliche Pflichten des Auftraggebers sowie die Rechte betroffener Personen und der Aufsichtsbehörden unberührt und ist nicht als Verzicht hierauf auszulegen.
(3) Ansprüche des Auftraggebers gegen den Auftragnehmer im Zusammenhang mit diesem Vertrag verjähren innerhalb von 12 Monaten ab dem Zeitpunkt, zu dem der Auftraggeber von den anspruchsbegründenden Umständen Kenntnis erlangt oder ohne grobe Fahrlässigkeit hätte erlangen müssen, soweit nicht zwingende gesetzliche Verjährungsfristen entgegenstehen. Bei Vorsatz sowie in den Fällen des § 11 Abs. 4 gelten die gesetzlichen Verjährungsfristen.
§ 15 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle einer unwirksamen Bestimmung gilt die gesetzlich zulässige Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.
(2) Bei Widersprüchen zwischen diesem Vertrag und dem Nutzungsvertrag gehen hinsichtlich des Datenschutzes die Regelungen dieses Vertrags vor; im Übrigen gilt der Nutzungsvertrag.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit zulässig, Schönaich.
Anlage 1 – Beschreibung der Verarbeitung
Gegenstand und Zweck
Bereitstellung und Betrieb der Anwendung zur Organisation und Durchführung von Beratungs- und Sanierungsprojekten, einschließlich Dokumentenverwaltung, KI-gestützter Dokumentenanalyse, Kommunikation (Chat), Terminverwaltung und digitaler Signatur.
Art der Verarbeitung
Erheben, Erfassen, Speichern, Organisieren, Auslesen, Verändern, Übermitteln (an Unterauftragnehmer), Auswerten (Analyse) und Löschen personenbezogener Daten.
Kategorien betroffener Personen
- Endkunden des Auftraggebers (z. B. Eigentümer, Bauherren, Mieter),
- vom Auftraggeber eingeladene Projektbeteiligte und Ansprechpartner,
- Beschäftigte / Nutzer des Auftraggebers.
Kategorien personenbezogener Daten
- Kontakt- und Stammdaten (Name, Anschrift, E-Mail, Telefon),
- Gebäude-, Verbrauchs- und Energiedaten sowie damit verbundene Kosten-/Förderdaten,
- Inhalte hochgeladener Dokumente (z. B. iSFP, Energieausweis, Pläne, Rechnungen),
- Projekt-, Termin-, Aufgaben- und Kommunikationsdaten (inkl. Chat-Nachrichten und Anhängen),
- Signaturdaten (Signaturbild, Zeitpunkt, Protokolldaten zum Nachweis).
Für die Erhebung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist die Anwendung nicht bestimmt; gibt der Auftraggeber solche Daten dennoch ein, geschieht dies in seiner alleinigen Verantwortung.
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragnehmer gewährleistet ein dem Risiko angemessenes Schutzniveau insbesondere durch:
- Datenhaltung in der EU: Betrieb der Anwendung und Speicherung der Daten in Rechenzentren innerhalb der Europäischen Union (Region Frankfurt am Main).
- Verschlüsselung: verschlüsselte Datenübertragung über TLS; Verschlüsselung gespeicherter Daten im Ruhezustand durch die eingesetzte Cloud-Infrastruktur.
- Zugangs- und Zugriffskontrolle: zentrale Authentifizierung, individuelle Benutzerkonten sowie ein rollen- und rechtebasiertes Berechtigungskonzept (Least-Privilege).
- Trennungskontrolle: logische Mandanten-/Projekttrennung der Daten.
- Übermittlung an Unterauftragnehmer: nur an die in Anlage 3 genannten Dienste auf Basis vertraglicher Garantien.
- Verfügbarkeit und Belastbarkeit: Betrieb auf einer redundanten Cloud-Infrastruktur mit regelmäßigen Sicherungen.
- Protokollierung: Protokollierung sicherheitsrelevanter Zugriffe und Ereignisse.
- Vertraulichkeit: Verpflichtung der zugriffsberechtigten Personen auf Vertraulichkeit.
Anlage 3 – Genehmigte Unterauftragsverarbeiter
Zum Zeitpunkt des Vertragsschlusses werden folgende Unterauftragnehmer eingesetzt:
- Amazon Web Services (Amazon Web Services EMEA SARL, Luxemburg) – Hosting, Datenbank, Datei-/Dokumentenspeicher, Authentifizierung und E-Mail-Versand – Region Frankfurt/EU.
- Render (Render Services, Inc., USA; Verarbeitung in Region Frankfurt/EU) – Bereitstellung von Website und Web-Anwendung.
- OpenAI (OpenAI, L.L.C., USA; für den EWR OpenAI Ireland Ltd.) – KI-gestützte Dokumentenanalyse – USA. Garantien: Auftragsverarbeitungsvertrag/DPA mit EU-Standardvertragsklauseln sowie „Zero Data Retention" (keine Speicherung der übermittelten Inhalte, keine Nutzung zum Modelltraining).
- Google (Google Ireland Limited, Irland; ggf. Google LLC, USA) – nur bei aktiver Nutzung: optionale Kalenderanbindung (Google Calendar).
- Microsoft (Microsoft Ireland Operations Limited, Irland; ggf. Microsoft Corporation, USA) – nur bei aktiver Nutzung: optionale Kalenderanbindung (Outlook/Microsoft 365).
- Stripe (Stripe Payments Europe, Ltd., Irland; ggf. Stripe, Inc., USA) – Zahlungsabwicklung für kostenpflichtige Abonnements.
Für Übermittlungen in Drittländer (insbesondere USA) bestehen geeignete Garantien nach Art. 44 ff. DSGVO (EU-Standardvertragsklauseln bzw. EU-US Data Privacy Framework, soweit der Empfänger zertifiziert ist).