Auftragsverarbeitungsvertrag (AVV)

(1) Der Auftragsverarbeiter (CLAWBUIS, Samir Ballhausen) verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Kunde) im Rahmen der Nutzung der CLAWBUIS-Plattform.

(2) Gegenstand der Verarbeitung ist die Bereitstellung der SaaS-Plattform CLAWBUIS mit folgenden Funktionen:

• Kundenverwaltung (Name, Adresse, Kontaktdaten)
• Auftragsverwaltung und Aufmaß-Dokumentation
• KI-gestützte Textgenerierung und Beratung
• Abrechnungs- und Rechnungswesen
• Teamverwaltung und Rollensystem

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

Die Verarbeitung umfasst folgende Tätigkeiten:

• Speicherung und Bereitstellung von Kundenstammdaten
• Verarbeitung von Auftrags- und Projektdaten
• Weiterleitung von Prompt-Daten an KI-Provider (Google Gemini, Anthropic Claude) zur Textgenerierung
• Erstellung und Speicherung von Abrechnungsdaten
• Authentifizierung und Zugriffskontrolle

• Mitarbeiter und Nutzer des Verantwortlichen
• Kunden des Verantwortlichen (soweit deren Daten in der Plattform erfasst werden)
• Ansprechpartner und Kontaktpersonen

• Stammdaten (Name, Firma, Adresse)
• Kontaktdaten (E-Mail, Telefon)
• Auftragsdaten (Auftragsbeschreibung, Aufmaße, Positionen)
• Nutzungsdaten (Login-Zeitpunkte, API-Aufrufe, Token-Verbrauch)
• Abrechnungsdaten (Ledger-Einträge, Rechnungen)

Der Auftragsverarbeiter verpflichtet sich:

• Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
• Alle Personen, die Zugang zu den Daten haben, zur Vertraulichkeit zu verpflichten
• Geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen
• Unterauftragsverarbeiter nur mit vorheriger Genehmigung einzusetzen
• Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
• Nach Ende der Verarbeitung alle Daten zu löschen oder zurückzugeben
• Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen

Folgende Unterauftragsverarbeiter sind vom Verantwortlichen genehmigt:

Zutrittskontrolle

Serverinfrastruktur wird von Supabase (EU-Rechenzentrum Frankfurt) und Vercel (zertifizierte Rechenzentren) betrieben. Kein physischer Zugang durch CLAWBUIS.

Zugangskontrolle

• Authentifizierung über Supabase Auth (E-Mail + Passwort, Magic Link)
• Session-basierte Zugriffskontrolle mit JWT-Tokens
• Row Level Security (RLS) auf Datenbankebene
• Rollenbasiertes Berechtigungssystem (Owner, Admin, Member)

Zugriffskontrolle

• Multi-Tenant-Architektur mit organisationsbasierter Datentrennung
• Capabilities-System für modulspezifische Berechtigungen
• API-Rate-Limiting für alle Endpunkte

Weitergabekontrolle

• TLS-Verschlüsselung für alle Datenübertragungen
• KI-Anfragen: Keine Kundennamen an Provider, nur anonymisierter Kontext
• Kein Datentransfer außerhalb der definierten Unterauftragsverarbeiter

Eingabekontrolle

• Audit-Trail über created_by-Felder in allen Domain-Tabellen
• GDPR-Request-Protokollierung (gdpr_requests-Tabelle)
• Ledger mit Hash-Chain-Integrität (prev_hash)

Verfügbarkeitskontrolle

• Automatische Backups durch Supabase (täglich, Point-in-Time Recovery)
• Vercel Edge Network mit automatischem Failover

Der Verantwortliche ist verpflichtet:

• Die Rechtmäßigkeit der Verarbeitung sicherzustellen
• Betroffene über die Verarbeitung zu informieren
• Weisungen an den Auftragsverarbeiter schriftlich zu erteilen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (spätestens innerhalb von 24 Stunden) über Verletzungen des Schutzes personenbezogener Daten. Die Meldung erfolgt per E-Mail an die hinterlegte Kontaktadresse.

Dieser Vertrag gilt für die Dauer der Nutzung der CLAWBUIS-Plattform. Bei Beendigung der Nutzung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.