Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Abs. 3 DSGVO · Version 1.0 · Stand: 10.06.2026

Vertragsparteien

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen dem Kunden als Verantwortlichem im Sinne des Art. 4 Nr. 7 DSGVO (nachfolgend „Auftraggeber") und der

RaumFaktum Rheinland GmbH
Kohlenstraße 1, 42555 Velbert
vertreten durch den Geschäftsführer Dennis Jan Ott
als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO (nachfolgend „Auftragnehmer").

Der AVV ist Bestandteil des Nutzungsvertrags über die Software „RFplan" und gilt mit der Registrierung eines Firmenkontos als abgeschlossen. Auf Wunsch stellen wir eine unterschriebene Fassung als PDF bereit (Anfrage an info@raumfaktum.de).

1. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer stellt dem Auftraggeber die Software RFplan als Software-as-a-Service zur Verfügung (Projektverwaltung, Zeiterfassung, Berichte, Angebots-/Rechnungswesen, Kundenverwaltung u. a.). Dabei verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

2. Art und Zweck der Verarbeitung

Speicherung, Organisation, Anzeige, Übermittlung und Löschung der vom Auftraggeber in RFplan eingegebenen Daten zum Zweck der Bereitstellung der vertraglich vereinbarten Funktionen, einschließlich Hosting, Backup und technischem Support.

3. Kategorien betroffener Personen

  • Mitarbeiter des Auftraggebers (Nutzerkonten, Zeiterfassung, Einsatzplanung)
  • Kunden und Interessenten des Auftraggebers (Kontaktdaten, Projekte, Belege)
  • Ansprechpartner von Lieferanten und Subunternehmern
  • Bauherren/Endkunden, soweit das Kundenportal genutzt wird

4. Art der personenbezogenen Daten

  • Stammdaten (Name, Anschrift, Kontaktdaten)
  • Vertrags- und Abrechnungsdaten (Angebote, Rechnungen, Zahlungsstatus)
  • Arbeitszeitdaten (Zeiterfassung, Abwesenheiten)
  • Projekt- und Kommunikationsdaten (Berichte, Fotos, Chat-Nachrichten, Dokumente)
  • Standortdaten, soweit vom Auftraggeber aktiviert (z. B. Stempel-Funktion)

5. Pflichten des Auftragnehmers

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO); die Nutzung der Software-Funktionen gilt als Weisung
  • Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (lit. b)
  • Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (lit. c, siehe Ziffer 8)
  • Unterstützung des Auftraggebers bei Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) durch geeignete Export- und Löschfunktionen (lit. e)
  • Unterstützung bei Meldepflichten nach Art. 33/34 DSGVO; Meldung von Datenschutzverletzungen an den Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis (lit. f)
  • Löschung oder Rückgabe aller Daten nach Vertragsende (lit. g, siehe Ziffer 9)
  • Bereitstellung aller erforderlichen Informationen zum Nachweis der Pflichten und Ermöglichung von Überprüfungen (lit. h)

6. Unterauftragsverarbeiter

Der Auftraggeber erteilt die allgemeine Genehmigung zum Einsatz folgender Unterauftragsverarbeiter:

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Hosting der Anwendung, Datenbank und Backups (Rechenzentren in Deutschland)

Drittanbieter-Integrationen (z. B. Lexware Office, Nextcloud, eigener SMTP-Server), die der Auftraggeber selbst aktiviert und mit eigenen Zugangsdaten konfiguriert, sind keine Unterauftragsverarbeiter des Auftragnehmers, sondern eigene Auftragsverarbeiter des Auftraggebers.

Über beabsichtigte Änderungen der Unterauftragsverarbeiter informiert der Auftragnehmer mindestens vier Wochen im Voraus per E-Mail. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen; im Fall des Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht zu.

7. Verarbeitungsort

Die Verarbeitung findet ausschließlich in Rechenzentren in der Bundesrepublik Deutschland statt. Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet nicht statt, sofern der Auftraggeber sie nicht selbst durch Aktivierung einer Integration veranlasst.

8. Technische und organisatorische Maßnahmen (TOM)

  • Verschlüsselte Übertragung sämtlicher Verbindungen (TLS/HTTPS)
  • Verschlüsselte Speicherung von Zugangsdaten und API-Schlüsseln
  • Mandantentrennung auf Datenbankebene (Company-Scoping in jeder Abfrage)
  • Rollen- und Berechtigungssystem mit granularen Modul-/Feldrechten
  • Tägliche automatische, verschlüsselte Backups mit Wiederherstellungstests
  • Zugriffsprotokollierung (Audit-Log) sicherheitsrelevanter Vorgänge
  • Server in deutschen Rechenzentren mit Zutrittskontrolle (ISO 27001 zertifizierter Betreiber)
  • Regelmäßige Sicherheitsupdates und Sicherheitsaudits der Anwendung

9. Löschung und Rückgabe

Nach Beendigung des Nutzungsvertrags kann der Auftraggeber seine Daten innerhalb von 30 Tagen über die Exportfunktionen abrufen. Anschließend löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers einschließlich der Backups innerhalb von 90 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

10. Nachweis und Kontrollrechte

Der Auftragnehmer weist die Einhaltung dieses AVV auf Anfrage durch geeignete Dokumentation nach. Der Auftraggeber ist berechtigt, nach vorheriger Anmeldung mit angemessener Frist Überprüfungen während der üblichen Geschäftszeiten durchzuführen oder durch einen zur Verschwiegenheit verpflichteten Dritten durchführen zu lassen.

11. Haftung und Schlussbestimmungen

Für die Haftung gelten Art. 82 DSGVO sowie die Regelungen des Nutzungsvertrags. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt das Recht der Bundesrepublik Deutschland.

Datenschutz|AGB|Impressum|Startseite