Zum Inhalt springen

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO)

§ 1 Vertragsparteien

Auftragsverarbeiter:
smartpower GmbH (SRL)
Mühlenweg, Wallerode 11
4780 Sankt Vith, Belgien
KBO/BCE: BE 0777.644.149

Verantwortlicher:
Der Kunde, der sich bei BauAgent.ai registriert und den Dienst nutzt (nachfolgend "Auftraggeber").

§ 2 Gegenstand und Dauer der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten im Rahmen der SaaS-Plattform BauAgent.ai zur digitalen Baudokumentation.

Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags (Nutzungsvertrag / AGB). Nach Beendigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung dient der Bereitstellung folgender Funktionen:

  • Empfang und Verarbeitung von WhatsApp-Nachrichten zur Baudokumentation
  • KI-gestützte Klassifizierung und Strukturierung von Baustellen-Informationen
  • Erstellung von Tagesberichten, Mängelberichten und Nachtrags-Dokumentationen
  • Zeiterfassung und Arbeitsbericht-Generierung
  • Speicherung und Bereitstellung der Daten über das Web-Dashboard

Die Verarbeitung umfasst die KI-gestützte Analyse und Klassifizierung von Nachrichten mittels des Sprachmodells Claude (Anthropic PBC). Kundendaten werden von Anthropic nicht zum Training von KI-Modellen verwendet (Zero Data Retention Policy).

§ 4 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Kontaktdaten: Name, Telefonnummer, E-Mail-Adresse der Nutzer
  • Textnachrichten: WhatsApp-Nachrichten mit Baubezug (Tagesberichte, Mängel, Nachträge)
  • Bilder und Fotos: Baustellenfotos, Mängelbilder, Dokumentationsfotos
  • Sprachnachrichten: Werden transkribiert und nach Verarbeitung gelöscht
  • Standortdaten: GPS-Koordinaten (nur wenn vom Nutzer freigegeben)
  • Arbeitszeiten: Beginn, Ende, Pausen der Arbeitstage
  • Nutzungsdaten: Login-Zeiten, Dashboard-Zugriffe

§ 5 Kategorien betroffener Personen

  • Monteure und Handwerker auf der Baustelle
  • Bauleiter und Projektleiter
  • Weitere Projektbeteiligte (Subunternehmer, Planer)

§ 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
  • Vertraulichkeit aller mit der Verarbeitung betrauten Personen sicherzustellen
  • Geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen
  • Weitere Auftragsverarbeiter nur mit vorheriger Genehmigung des Auftraggebers einzusetzen
  • Den Auftraggeber bei der Erfüllung der Betroffenenrechte zu unterstützen
  • Nach Beendigung alle personenbezogenen Daten zu löschen oder zurückzugeben
  • Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Pflichten zur Verfügung zu stellen

§ 7 Technisch-organisatorische Maßnahmen (TOMs)

Folgende Maßnahmen sind implementiert:

Vertraulichkeit

  • Verschlüsselte Datenübertragung (TLS 1.3)
  • Verschlüsselte Datenspeicherung (AES-256)
  • Zugriffskontrolle mit rollenbasiertem Berechtigungssystem
  • Multi-Tenant-Isolation auf Datenbankebene

Integrität

  • Eingabevalidierung und Plausibilitätsprüfungen
  • Audit-Logging aller relevanten Zugriffe
  • Regelmäßige Sicherheitsupdates

Verfügbarkeit

  • Tägliche Backups mit geo-redundanter Speicherung
  • Monitoring und Alerting der Systemkomponenten
  • Disaster-Recovery-Plan mit definierter Wiederherstellungszeit

Belastbarkeit

  • Skalierbare Cloud-Infrastruktur
  • Automatische Lastverteilung

§ 8 Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Unternehmen Zweck Standort
Meta Platforms Ireland Ltd. WhatsApp Business API EU (Irland)
Supabase Inc. Datenbank-Hosting (PostgreSQL) EU (Frankfurt)
Stripe Inc. Zahlungsabwicklung EU (Irland)
Microsoft (Azure) Application Hosting EU (West Europe)
Twilio Inc. WhatsApp Business API, Nachrichtenübermittlung EU (Dublin) / USA – SCCs
Anthropic PBC KI-Verarbeitung (Sprachmodell Claude) USA – SCCs, Zero Data Retention
Netlify Inc. Website-Hosting (statische Seiten) EU – AVV

Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber hat die Möglichkeit, innerhalb von 14 Tagen Einspruch zu erheben.

§ 9 Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt ausschließlich an die in §8 genannten Unterauftragsverarbeiter mit Sitz in den USA (Anthropic PBC, Supabase Inc., Stripe Inc.). Die Übermittlung erfolgt auf Basis von:

  • EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
  • EU-US Data Privacy Framework (Angemessenheitsbeschluss) für zertifizierte Unternehmen
  • Zusätzliche technische Maßnahmen: Transportverschlüsselung (TLS 1.3), Zero Data Retention bei KI-Verarbeitung

Soweit möglich, erfolgt die Verarbeitung in EU-Rechenzentren (Supabase: Frankfurt, Azure: West Europe, Twilio: Dublin).

§ 10 Laufzeit und Beendigung

Dieser AVV gilt für die Dauer des Hauptvertrags. Nach Beendigung des Auftrags hat der Auftraggeber die Wahl zwischen:

  • a) Rückgabe aller personenbezogenen Daten in einem gängigen, maschinenlesbaren Format (CSV/JSON-Export über das Dashboard), oder
  • b) Löschung aller personenbezogenen Daten einschließlich aller Kopien.

Der Auftraggeber teilt seine Wahl innerhalb von 30 Tagen nach Vertragsende mit. Erfolgt keine Mitteilung, werden die Daten nach Ablauf von 30 Tagen unwiderruflich gelöscht. Die Löschung wird dem Auftraggeber schriftlich bestätigt.

§ 11 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens:

  • Art der Verletzung und betroffene Datenkategorien
  • Ungefähre Anzahl betroffener Personen und Datensätze
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen

Die Meldung erfolgt per E-Mail an die vom Auftraggeber benannte Kontaktadresse.

§ 12 Kontrollrechte und Audits

Der Auftraggeber hat das Recht, die Einhaltung der Pflichten aus diesem Vertrag durch Inspektionen zu überprüfen oder durch einen beauftragten, zur Verschwiegenheit verpflichteten Prüfer überprüfen zu lassen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung und duldet Überprüfungen. Inspektionen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

§ 13 Kontakt

Für Fragen zum Datenschutz und zu diesem AVV wenden Sie sich bitte an:

smartpower GmbH (SRL)
Michael Hilgers
E-Mail: info@bauagent.ai
Telefon: +49 000 0000 0000

Stand: April 2026