Vertrag über die Verarbeitung von Daten im Auftrag
(AVV)
zwischen
Nutzern der Webanwendung „hainsoft.io"
-Auftraggeber-
und
1. Allgemeines
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
(2) Sofern in diesem Vertrag der Begriff „Datenverarbeitung" oder „Verarbeitung" (von Daten) benutzt wird, wird die Definition der „Verarbeitung" i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
2. Gegenstand des Auftrags
Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt.
3. Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Dem Auftragnehmer steht nach Ziff. 4 Abs. 5 das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.
(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte im Zusammenhang mit dieser Verarbeitung von Daten im Auftrag gegenüber dem Auftragnehmer geltend machen.
(3) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen müssen in Textform (z.B. E-Mail) erfolgen.
(4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.
(5) Der Auftraggeber kann weisungsberechtigte Personen benennen. Sofern weisungsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftraggeber ändern, wird der Auftraggeber dies dem Auftragnehmer in Textform mitteilen.
(6) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.
(7) Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Meldepflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.
4. Allgemeine Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers.
(2) Der Auftragnehmer verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen, soweit nicht ausnahmsweise gemäß Anlage 2 Drittlandtransfers auf Basis geeigneter Garantien (z.B. Standardvertragsklauseln) stattfinden.
(3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu.
(4) Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind.
(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt.
(6) Die Verarbeitung von Daten im Auftrag des Auftraggebers außerhalb von Betriebsstätten des Auftragnehmers oder Subunternehmern ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig.
(7) Der Auftragnehmer wird die Daten, die er im Auftrag für den Auftraggeber verarbeitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich.
(8) Der Auftragnehmer kann dem Auftraggeber die Person(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind. Sofern weisungsempfangsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt.
5. Datenschutzbeauftragter des Auftragnehmers
(1) Sofern der Auftragnehmer gesetzlich zur Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO verpflichtet ist, wird er dem Auftraggeber auf Wunsch den Namen und die Kontaktdaten seines Datenschutzbeauftragten in Textform mitteilen.
(2) Die Pflicht zur Benennung eines Datenschutzbeauftragten nach Absatz 1 kann im Ermessen des Auftraggebers entfallen, wenn der Auftragnehmer nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu benennen, und betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften gewährleisten.
(3) Kontaktdaten für datenschutzrechtliche Anfragen: info@luneeo.de
6. Meldepflichten des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen.
(2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
(3) Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht im Falle von Datenschutzverletzungen nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird dem Auftraggeber jeden unbefugten Zugriff auf personenbezogene Daten unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis mitteilen. Die Meldung muss insbesondere beinhalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen;
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
7. Mitwirkungspflichten des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12–23 DSGVO.
(2) Der Auftragnehmer wirkt an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten durch den Auftraggeber mit und teilt die insoweit jeweils erforderlichen Angaben in geeigneter Weise mit.
(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten.
8. Kontrollbefugnisse
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
(2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
(3) Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auftraggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
(4) Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist Kontrollen durchführen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig zu stören.
(5) Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO die erforderlichen Auskünfte zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen.
9. Unterauftragsverhältnisse
(1) Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist nur mit Zustimmung des Auftraggebers in Textform zulässig. Der Auftragnehmer wird alle bereits zum Vertragsschluss bestehenden Unterauftragsverhältnisse in der Anlage 2 zu diesem Vertrag angeben.
(2) Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen getroffen hat.
(3) Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
(4) Der Auftragnehmer hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Dem Auftraggeber ist der Auftragsverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln.
(5) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 4 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt (z.B. Reinigungsleistungen, Telekommunikation, Post- und Kurierdienste).
10. Vertraulichkeitsverpflichtung
(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet.
(2) Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er seine Beschäftigten mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit verpflichtet hat.
(3) Die Verpflichtung der Beschäftigten nach Absatz 2 sind dem Auftraggeber auf Anfrage nachzuweisen.
11. Wahrung von Betroffenenrechten
(1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12–23 DSGVO zu bearbeiten, zu unterstützen.
(2) Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung – erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen.
(3) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten entstehen, bleiben unberührt.
(4) Für den Fall, dass ein Betroffener seine Rechte nach den Art. 12–23 DSGVO beim Auftragnehmer geltend macht, obwohl dies offensichtlich eine Verarbeitung personenbezogener Daten betrifft, für die der Auftraggeber verantwortlich ist, ist der Auftragnehmer berechtigt, dem Betroffenen mitzuteilen, dass der Auftraggeber der Verantwortliche für die Datenverarbeitung ist.
12. Geheimhaltungspflichten
(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden.
(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
13. Vergütung
Etwaige Regelungen zu einer Vergütung von Leistungen sind zwischen den Parteien gesondert zu vereinbaren.
14. Technische und organisatorische Maßnahmen zur Datensicherheit
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 3 zu diesem Vertrag beigefügt. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen.
(3) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren.
15. Dauer des Auftrags
(1) Der Vertrag beginnt mit Abschluss des Hauptvertrags (Software-Abonnement) und wird auf unbestimmte Zeit geschlossen.
(2) Er ist mit gleicher Frist wie der geschlossene Hauptvertrag kündbar, mindestens jedoch mit einer Frist von drei Monaten zum Quartalsende.
(3) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.
16. Beendigung
(1) Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten bleiben unberührt.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren.
(3) Der Auftragnehmer darf personenbezogene Daten, die im Zusammenhang mit dem Auftrag verarbeitet worden sind, über die Beendigung des Vertrages hinaus speichern, wenn und soweit ihn eine gesetzliche Pflicht zur Aufbewahrung trifft. Nach Ablauf der Aufbewahrungspflicht sind die Daten unverzüglich zu löschen.
17. Zurückbehaltungsrecht
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.
18. Schlussbestimmungen
(1) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren.
(2) Für Nebenabreden ist die Schriftform erforderlich.
(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.
Stand: Juni 2026
Luneeo Systems
Am Hopfenberg 14c, 34266 Niestetal
Vertreten durch: Maksim Suras
Kontakt: info@luneeo.de
Anlage 1 – Gegenstand des Auftrags
1. Gegenstand und Zweck der Verarbeitung
Der Auftragsverarbeiter ist Hersteller und Anbieter von Unternehmenssoftware zur Abwicklung projektbezogener kaufmännischer Prozesse für Unternehmen im Garten- und Landschaftsbau sowie dem Handwerk allgemein. Hierzu zählen insbesondere Projektverwaltung, Angebots- und Rechnungsstellung, Zeiterfassung, Mitarbeitersteuerung, Dokumentenverwaltung, Baustellendokumentation und weitere betriebliche Prozesse.
Zu folgenden Personengruppen werden personenbezogene Daten erhoben, verarbeitet und genutzt:
- Kunden-/Interessentendaten des Auftraggebers (z.B. Adressdaten, Vertragsdaten, Angebotsdaten)
- Personaldaten zur Verwaltung von Mitarbeitern, Aushilfen und externen Mitarbeitern
- Daten von Geschäftspartnern (z.B. Adressdaten, Vertragsdaten)
- Daten von Lieferanten (z.B. Adressdaten, Vertragsdaten)
- Daten von Subunternehmern und Kooperationspartnern
2. Art(en) der personenbezogenen Daten
Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
- Bestandsdaten (z.B. Namen, Anschriften)
- Inhaltsdaten (z.B. Texteingaben, Bilder, Baudokumentationen, Unterschriften)
- Kontaktdaten (z.B. E-Mail, Telefonnummer)
- Vertragsdaten (z.B. Angebote, Rechnungen, Leistungsverzeichnisse)
- Beschäftigtendaten (z.B. Arbeitszeiten, Qualifikationen)
- Meta-/Kommunikationsdaten (z.B. Geräteinformationen, IP-Adressen)
- Nutzungsdaten (z.B. Zugriffszeiten, Seitenbesuche innerhalb der Anwendung)
- Standortdaten (z.B. GPS-Koordinaten aus der Bautagebuch-Funktion, optional)
3. Kategorien betroffener Personen
Kreis der von der Datenverarbeitung betroffenen Personen:
- Kunden bzw. Ansprechpartner bei Kunden des Auftraggebers
- Mitarbeiter und Mitarbeiterinnen des Auftraggebers
- Nutzer der hainsoft.io-Plattform (Benutzerkonten)
- Sonstige Betroffene (z.B. Interessenten, Kontaktpersonen)
- Lieferanten bzw. Ansprechpartner bei Lieferanten
- Subunternehmer und deren Mitarbeiter
4. Weisungsberechtigte Person(en) beim Auftraggeber
Weisungsberechtigte Person(en) beim Auftraggeber: Die im Nutzerkonto des Auftraggebers als Administrator hinterlegte(n) Person(en).
5. Weisungsempfangsberechtigte Person(en) beim Auftragnehmer
Weisungsempfangsberechtigte Person beim Auftragnehmer: Erreichbar unter info@luneeo.de
Anlage 2 – Unterauftragnehmer
Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer"). Mit diesen Unternehmen wurden gesonderte Verträge zur Verarbeitung der Auftragsdaten geschlossen.
Supabase Inc.
970 Toa Payoh North, #07-04, Singapore 318992
Supabase stellt die PostgreSQL-Datenbankinfrastruktur für hainsoft.io bereit. Sämtliche Mandanten- und Projektdaten werden in einem Supabase-Cluster in der EU (Frankfurt, AWS eu-west-1) gespeichert. Personenbezogene Daten der Nutzer, Mitarbeiter, Kunden und Projektdaten werden dort verarbeitet.
Vertragsgrundlage: Data Processing Agreement (DPA), Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO
Vercel Inc.
440 N Barranca Ave #4133, Covina, CA 91723, USA
Vercel stellt die Serverless-Hosting-Infrastruktur (Fluid Compute) für hainsoft.io bereit. Die Applikation wird in der Region Frankfurt (fra1) ausgeführt. Anfragen und Session-Tokens werden bei der Verarbeitung kurzfristig durch Vercel geleitet.
Vertragsgrundlage: Data Processing Addendum (DPA), Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Deutschland
Hetzner stellt den S3-kompatiblen Object Storage (Standort Falkenstein/DE) für die Speicherung von Dokumenten, Fotos und PDF-Dateien bereit. Zudem wird ein Hetzner-Server für die PDF-Generierung (Browserless) betrieben.
Vertragsgrundlage: Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO, Speicherort Deutschland (EU)
Upstash Inc.
2261 Market Street STE 5891, San Francisco, CA 94114, USA
Upstash stellt Redis-basierte Cache- und Rate-Limiting-Infrastruktur bereit. Es werden temporäre Session- und Cache-Daten (keine personenbezogenen Rohdaten) in EU-Regionen verarbeitet.
Vertragsgrundlage: Data Processing Agreement (DPA), Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO
Resend Inc.
2261 Market Street STE 5891, San Francisco, CA 94114, USA
Resend wird als Transaktions-E-Mail-Dienst für systembezogene Kommunikation (Willkommens-E-Mails, Passwort-Reset, Trial-Erinnerungen) genutzt. Entsprechend werden Kontaktdaten (Name, E-Mail) sowie Inhalte der E-Mails übermittelt. Versand erfolgt über EU-Infrastruktur (eu-west-1).
Vertragsgrundlage: Data Processing Agreement (DPA), Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO
Stripe Payments Europe, Ltd.
c/o A&L Goodbody, IFSC, North Wall Quay, Dublin 1, Irland
Stripe ist der von hainsoft.io genutzte Zahlungsanbieter zur Abwicklung von Abonnements. In diesem Zusammenhang werden Kontaktdaten (Name, E-Mail, Rechnungsadresse) sowie Zahlungsinformationen an Stripe übermittelt.
Vertragsgrundlage: Data Processing Addendum (DPA)
Anthropic, PBC
548 Market St, PMB 90375, San Francisco, CA 94104, USA
Anthropic stellt über die Claude API KI-gestützte Textverarbeitungsfunktionen (z.B. KI-Assistent, automatische Übersetzungen im Bautagebuch) bereit. Kundendaten werden explizit nicht zum Training von Modellen genutzt. Es werden nur die für die jeweilige Funktion notwendigen Daten übermittelt.
Vertragsgrundlage: Data Processing Agreement (DPA), Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO
Typesense, Inc.
2261 Market Street STE 5891, San Francisco, CA 94114, USA
Typesense stellt die Volltext-Suchinfrastruktur bereit. Suchindizes mit Stammdaten (Kundennamen, Projektnummern, Mitarbeiternamen) werden in EU-Regionen gespiegelt.
Vertragsgrundlage: Data Processing Agreement (DPA), Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO
Anlage 3 – Technische und organisatorische Maßnahmen (TOMs)
Angaben zum Auftragnehmer: Luneeo Systems · E-Mail: info@luneeo.de
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
1. Vertraulichkeit
Zutrittskontrolle
Die gesamte Infrastruktur von hainsoft.io wird als Cloud-native Anwendung ohne eigene physische Serverräume betrieben. Rechenzentren der eingesetzten Unterauftragnehmer (Vercel, Supabase, Hetzner) verfügen über zertifizierte Zutrittskontrollsysteme (ISO 27001, SOC 2).
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| ✓ Serverinfrastruktur in ISO-27001-zertifizierten Rechenzentren | ✓ Ausschließliche Nutzung zertifizierter Cloud-Anbieter |
| ✓ Kein physischer Zugang für Dritte zu Produktivsystemen | ✓ Besucher in Begleitung (bei ggf. genutzten Büroräumlichkeiten) |
Zugangskontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| ✓ Passwortbasierter Login mit Mindestanforderungen (Länge, Komplexität) | ✓ Richtlinie zur Passwortvergabe |
| ✓ 2-Faktor-Authentifizierung (TOTP) für alle Admin-Accounts | ✓ Keine Weitergabe von Zugangsdaten |
| ✓ JWT-basierte Sessions mit kurzer Ablaufzeit | ✓ Sofortige Deaktivierung beim Ausscheiden von Mitarbeitern |
| ✓ Automatische Session-Invalidierung bei Inaktivität | |
| ✓ Rate Limiting (300 Req/min pro Tenant) via Upstash | |
| ✓ Brute-Force-Schutz: 10 Fehlversuche → 15 min Sperre |
Zugriffskontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| ✓ Rollenbasiertes Berechtigungssystem (RBAC: ADMIN, SITE_MANAGER, FOREMAN, WORKER, ACCOUNTANT, VIEWER) | ✓ Minimalprinzip: nur notwendige Berechtigungen werden vergeben |
| ✓ Strikte Mandantentrennung: jede DB-Abfrage gefiltert nach tenantId | ✓ Regelmäßige Überprüfung der Zugriffsrechte |
| ✓ Protokollierung sicherheitsrelevanter Ereignisse (Audit-Log) | ✓ Verwaltung der Benutzerrechte ausschließlich durch Administratoren |
| ✓ Automatisierte Datenlöschung nach Ablauf gesetzlicher Fristen |
Trennungskontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| ✓ Mandantenfähige Architektur: alle Tabellen enthalten tenantId | ✓ Dokumentiertes Datenbankrechte-Konzept |
| ✓ Logische Trennung aller Kundendaten in der Datenbank | ✓ Keine Vermischung von Test- und Produktivdaten |
| ✓ Separate Vercel-Deployments für Produktiv- und Staging-Umgebung |
2. Integrität
Weitergabekontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| ✓ Ausschließliche Datenübertragung über verschlüsselte Verbindungen (TLS 1.2/1.3, HTTPS) | ✓ Dokumentation der Datenempfänger (Unterauftragnehmer, Anlage 2) |
| ✓ Strikte CORS-Policies | ✓ Weitergabe an Dritte nur auf Basis vertraglicher Grundlage |
| ✓ Keine unverschlüsselte Datenübertragung |
Eingabekontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| ✓ Protokollierung sicherheitsrelevanter Datenzugriffe und -änderungen | ✓ Code-Reviews vor Deployment in Produktivumgebung |
| ✓ Validierung und Sanitierung aller Eingaben server-seitig | ✓ CSP-Header (Content Security Policy) aktiv |
| ✓ SQL-Injection-Schutz durch Prisma ORM (parametrisierte Queries) | |
| ✓ XSS-Schutz durch DOMPurify bei HTML-Rendering |
3. Verfügbarkeit und Belastbarkeit
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| ✓ Tägliche automatische Datenbankbackups (Supabase Pro, 30 Tage Retention) | ✓ Regelmäßige Tests der Backup-Wiederherstellung |
| ✓ Redundante Serverinfrastruktur (Vercel Fluid Compute, globale Edge-Infrastruktur) | ✓ Incident-Response-Prozess bei Sicherheitsvorfällen |
| ✓ Echtzeit-Monitoring und automatische Fehlererkennung | ✓ Sicherheitsrelevante Updates werden unverzüglich eingespielt |
| ✓ Automatisches Failover bei Ausfall einzelner Komponenten | |
| ✓ Rate Limiting zum Schutz vor DDoS-Angriffen |
4. Löschung
Der Auftragsverarbeiter stellt sicher, dass personenbezogene Daten gelöscht werden können:
- Selbstbedienungs-Datenlöschung: Nutzer können ihr Konto und alle zugehörigen Daten über die DSGVO-konforme Funktion „Konto löschen" (Art. 17) löschen
- Datenexport: Nutzer können alle ihre Daten über die Exportfunktion (Art. 15) herunterladen
- Automatische Löschung: Soft-deleted Datensätze werden nach 90 Tagen endgültig gelöscht (Ausnahme: Rechnungen/Zeiteinträge gemäß §147 AO)
- Auf Anfrage des Auftraggebers: vollständige Datenlöschung innerhalb von 30 Tagen nach Vertragsende
5. Verfahren zur regelmäßigen Überprüfung
Die aufgeführten Maßnahmen werden mindestens einmal jährlich auf ihre Wirksamkeit überprüft. Für den Fall, dass bei der Überprüfung herauskommt, dass sich technologische Standards oder organisatorische Prozesse geändert haben, werden die erforderlichen Anpassungen unverzüglich umgesetzt. Änderungen werden zudem auf ad-hoc-Basis durchgeführt, sofern dies aus Gründen der Sicherheit erforderlich ist.