ToolTrust
AnmeldenKostenlos testen

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Version 1.1, Stand April 2026

Dieser Auftragsverarbeitungsvertrag („AVV“) wird zwischen Ihnen als Auftraggeber (nachfolgend „Verantwortlicher“) und Manuel Büttner, MB SmartSystems, Schlesierstraße 19a, 64665 Alsbach-Hähnlein als Auftragnehmer (nachfolgend „Auftragsverarbeiter“) als Zusatz zu den Nutzungsbedingungen von ToolTrust geschlossen, sobald Sie ToolTrust als Unternehmen einsetzen und dabei personenbezogene Daten Dritter (z. B. Mitarbeiter, Prüfer) erfassen.

1. Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung der SaaS-Anwendung ToolTrust zur Verwaltung von Betriebsmittelprüfungen. Die Auftragsverarbeitung umfasst insbesondere die Speicherung, Strukturierung und Ausgabe von Gerätedaten und Prüfprotokollen.

Die Laufzeit richtet sich nach dem Hauptvertrag (Nutzungsvereinbarung zu ToolTrust). Nach dessen Beendigung werden die Daten innerhalb von 30 Tagen gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

2. Art und Zweck der Verarbeitung

Zweck: Erfassung, Verwaltung und Dokumentation von Prüfergebnissen zur Erfüllung gesetzlicher und berufsgenossenschaftlicher Prüfpflichten (u. a. DGUV V3, BetrSichV).

Art: Elektronische Speicherung in einer Datenbank (Supabase/Hetzner, Frankfurt), Abruf über Web-Anwendung (Vercel), automatisierte Benachrichtigungen (E-Mail-Versand).

3. Art der personenbezogenen Daten

  • Kontaktdaten der Prüfer/Mitarbeiter (Name, E-Mail)
  • Prüfprotokolle inkl. Prüferzuordnung, Datum, Bemerkungen
  • Technische Nutzungsdaten (IP-Adresse, Login-Zeitpunkt)

4. Kategorien betroffener Personen

  • Mitarbeiter des Verantwortlichen
  • Externe Prüfer (Auftragnehmer des Verantwortlichen)

5. Pflichten des Auftragsverarbeiters

  1. Verarbeitung der Daten ausschließlich nach dokumentierter Weisung des Verantwortlichen (Hauptvertrag + diese AVV).
  2. Vertraulichkeit: Alle mit der Verarbeitung befassten Personen sind zur Vertraulichkeit verpflichtet.
  3. Umsetzung technischer und organisatorischer Maßnahmen (TOM) nach Art. 32 DSGVO — siehe Anlage TOM (Abschnitt 10).
  4. Unterstützung des Verantwortlichen bei Betroffenenrechten nach Art. 12-22 DSGVO.
  5. Meldung von Datenschutzverletzungen nach Art. 33 DSGVO unverzüglich, spätestens binnen 48 Stunden nach Kenntnisnahme.
  6. Löschung oder Rückgabe der Daten nach Beendigung der Auftragsverarbeitung.
  7. Zur-Verfügung-Stellung aller erforderlichen Informationen zum Nachweis der Pflichten.

6. Unter-Auftragsverarbeiter

Der Verantwortliche stimmt folgenden Unter-Auftragsverarbeitern zu:

  • Supabase Inc.(Datenbank) — Server in Frankfurt, Hetzner Online GmbH. AVV gemäß Art. 28 DSGVO besteht.
  • Vercel Inc.(Hosting) — Edge-Server weltweit, Origin EU. DPF-zertifiziert, SCC abgeschlossen.
  • Stripe Payments Europe Ltd.(Zahlung) — nur bei kostenpflichtiger Nutzung. DPF + SCC.
  • Anthropic PBC(Typenschild-Erkennung, optional) — Bilder zur automatischen Erkennung von Gerätedaten. DPF-zertifiziert, SCC abgeschlossen.
  • Google Ireland Limited(Google Workspace, Transaktions-E-Mail- Versand) — DPF + SCC.
  • Hetzner Online GmbH(Infrastruktur für n8n / weitere Automatisierung, Umami Web-Analyse) — Rechenzentrum Deutschland.

Änderungen dieser Liste teilen wir 30 Tage im Voraus per E-Mail mit. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

7. Drittlandübermittlung

Soweit Unter-Auftragsverarbeiter Daten außerhalb der EU verarbeiten (insbesondere Vercel, Anthropic, Stripe, Google), erfolgt dies auf Grundlage des EU-US Data Privacy Framework (DPF) und ergänzender EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO.

§ 7a Aktuelle Unterauftragsverarbeiter

Zum Zeitpunkt dieses Vertrags sind folgende Unterauftragsverarbeiter eingesetzt:

  • Vercel Inc., USA — Hosting (DPF, SCC)
  • Supabase Inc., USA — Datenbank/Auth/Storage (Rechenzentrum Hetzner Frankfurt, DPF)
  • Anthropic PBC, USA — Typenschild-Erkennung (optional, DPF, SCC)
  • Stripe Payments Europe Ltd., Irland — Zahlungsabwicklung (DPF, SCC)
  • Google Ireland Limited, Irland — Transaktions-E-Mail-Versand via Google Workspace (DPF, SCC)
  • Hetzner Online GmbH, Deutschland — Infrastruktur für n8n + Umami

Diese Liste wird bei Änderungen aktualisiert. Der Verantwortliche wird vorab über geplante Änderungen informiert (siehe § 6).

8. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieser AVV nach Vorankündigung von mindestens 14 Tagen während der üblichen Geschäftszeiten zu überprüfen. Alternativ können aktuelle Prüfberichte unabhängiger Dritter (z. B. Soc2, ISO 27001) der Unter-Auftragsverarbeiter als Nachweis akzeptiert werden.

9. Löschung oder Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. §§ 147 AO, 257 HGB). Auf Wunsch stellen wir vor Löschung einen vollständigen Datenexport zur Verfügung (Export-Funktion in ToolTrust).

10. Technische und organisatorische Maßnahmen (TOM)

  • Transport-Verschlüsselung aller Verbindungen (TLS 1.2 oder höher)
  • Datenbank at rest verschlüsselt (AES-256)
  • Row-Level-Security: jeder Nutzer sieht ausschließlich eigene Daten
  • Passwort-Hashing mit bcrypt
  • Zugriffsrechte strikt nach Need-to-know-Prinzip
  • Regelmäßige Sicherheitsupdates für alle Komponenten
  • Automatische Backups mit verschlüsselter Off-Site-Ablage
  • Logging aller sicherheitsrelevanten Ereignisse, 14 Tage Aufbewahrung

11. Abschluss dieses AVV

Dieser AVV gilt automatisch ab dem Zeitpunkt, zu dem Sie ToolTrust im Namen eines Unternehmens nutzen und dabei personenbezogene Daten Dritter erfassen. Ein separater unterzeichneter AVV ist nicht erforderlich, kann aber auf Wunsch als PDF zugesandt werden. Schreiben Sie dafür an info@mb-smartsystems.de.

Diese AVV-Fassung ersetzt alle vorherigen Versionen. Änderungen werden mindestens 30 Tage vor Inkrafttreten per E-Mail angekündigt.