Auftragsverarbeitungsvereinbarung (AVV)
Stand: Juli 2026
Diese Auftragsverarbeitungsvereinbarung (AVV) konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO und gilt als Anhang zu den Nutzungsbedingungen von PlanElec. Sie kommt zwischen dem PlanElec nutzenden Fachbetrieb als Verantwortlichem und dem Betreiber von PlanElec als Auftragsverarbeiter zustande, sobald personenbezogene Daten von Endkunden in PlanElec verarbeitet werden.
Parteien
Verantwortlicher: Der PlanElec nutzende Elektrofachbetrieb, der personenbezogene Daten seiner Endkunden in PlanElec eingibt und verarbeitet.
Auftragsverarbeiter: Stephan Behm, Heggen 34, 4837 Baelen, Belgien – Betreiber von PlanElec.be.
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zur Bereitstellung der PlanElec-Software (Planung elektrischer Installationen, Erstellung von Schemata, Grundrissen und Dokumenten). Die Vereinbarung gilt für die Dauer der Nutzung von PlanElec und endet mit Beendigung des Nutzungsverhältnisses.
2. Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich zur Erbringung der vereinbarten Leistungen – Speicherung, Verarbeitung und Anzeige der vom Verantwortlichen eingegebenen Projekt- und Endkundendaten. Eine Verarbeitung zu eigenen Zwecken, insbesondere eine Auswertung, Weitergabe oder ein Verkauf der Daten, findet nicht statt.
3. Kategorien personenbezogener Daten
Im Rahmen der Nutzung werden insbesondere folgende Datenkategorien verarbeitet:
- Kontaktdaten der Endkunden (Name, Anschrift, ggf. E-Mail-Adresse und Telefonnummer)
- Gebäude- und Grundstücksdaten (Adresse, Grundriss, Raumaufteilung)
- Installationsdaten (Stromkreise, Schaltschrank-Konfiguration, Eindrahtschemata, Materiallisten)
- Projekt-Metadaten (Projektbezeichnung, Zeitstempel, Bearbeitungsstatus)
4. Kategorien betroffener Personen
Von der Verarbeitung sind folgende Personengruppen betroffen:
- Endkunden des Verantwortlichen (Bauherren, Eigentümer, Mieter)
- Weitere im Projekt genannte natürliche Personen
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich gemäß Art. 28 Abs. 3 DSGVO insbesondere:
- die Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten;
- die zur Verarbeitung befugten Personen auf Vertraulichkeit zu verpflichten;
- geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO umzusetzen;
- Unterauftragsverarbeiter nur unter den Bedingungen dieser Vereinbarung einzusetzen;
- den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen zu unterstützen;
- den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO zu unterstützen;
- Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Verantwortlichen zu melden;
- die Daten nach Abschluss der Verarbeitung nach Wahl des Verantwortlichen zu löschen oder zurückzugeben;
- dem Verantwortlichen alle zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen bereitzustellen.
6. Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt zur Leistungserbringung folgende Unterauftragsverarbeiter ein. Der Verantwortliche erteilt hierzu seine allgemeine Genehmigung:
| Unterauftragsverarbeiter | Zweck | Standort / Grundlage |
|---|---|---|
| Supabase (AWS, EU-Region) | Authentifizierung, Datenbank- und Dateispeicherung | EU |
| Resend, Inc. | Versand transaktionaler E-Mails (Konto- und Systembenachrichtigungen) | USA – EU-US Data Privacy Framework (Art. 45 DSGVO) |
| PostHog, Inc. (PostHog Cloud EU) | Anonyme Produktanalyse (nur mit Einwilligung) | EU (Frankfurt) – Anbieter USA, DPF-zertifiziert |
| IONOS SE / Coolify | Hosting und Betrieb der Anwendungsinfrastruktur | EU |
| PlanElec-Cockpit (MQTT Event-Bus) | Interner Event-Bus zur Betriebsüberwachung (nur technische Identifier) | EU |
Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei den Unterauftragsverarbeitern und räumt die Möglichkeit zum Widerspruch ein. Sämtliche Datenverarbeitung findet innerhalb der EU statt; Übermittlungen an Anbieter mit Sitz in den USA erfolgen ausschließlich auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO).
7. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter unterhält angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:
- Verschlüsselung der Datenübertragung (TLS/HTTPS);
- Zugriffskontrolle über Authentifizierung und rollenbasierte Berechtigungen;
- Datenhaltung in Rechenzentren innerhalb der Europäischen Union;
- regelmäßige Datensicherungen;
- Protokollierung sicherheitsrelevanter Ereignisse;
- Schutzmaßnahmen gegen unbefugten Zugriff (Rate-Limiting, Brute-Force-Abwehr).
8. Löschung und Rückgabe
Nach Beendigung des Nutzungsverhältnisses werden die personenbezogenen Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Verantwortliche kann seine Projektdaten jederzeit über die Anwendung exportieren.
9. Kontroll- und Auditrechte
Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu überprüfen. Der Auftragsverarbeiter stellt auf Anfrage die hierfür erforderlichen Informationen und Nachweise bereit und ermöglicht Überprüfungen in angemessenem Umfang.
10. Haftung
Die Haftung richtet sich nach Art. 82 DSGVO sowie den Nutzungsbedingungen. Jede Partei haftet für Schäden, die durch eine ihr zurechenbare Verletzung dieser Vereinbarung oder der Vorgaben der DSGVO entstehen.
11. Kontakt
Für Fragen zu dieser Auftragsverarbeitungsvereinbarung erreichen Sie uns unter: info@planelec.be