Rechtliches
Auftragsverarbeitungsvertrag
Stand: April 2026
Präambel
Dieser Auftragsverarbeitungsvertrag (AVV) wird geschlossen zwischen dem Kunden (Verantwortlicher im Sinne der DSGVO) und FacilityStack – Rene Staude (Einzelunternehmen), (Auftragsverarbeiter im Sinne der DSGVO). Er ergänzt die Nutzungsvereinbarung und regelt die datenschutzrechtlichen Pflichten bei der Verarbeitung personenbezogener Daten.
§ 1 Gegenstand und Dauer der Verarbeitung
Gegenstand: FacilityStack stellt eine cloudbasierte Facility-Management-Software zur Verfügung. Im Rahmen der Nutzung verarbeitet FacilityStack personenbezogene Daten im Auftrag des Kunden.
Dauer: Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses. Nach Vertragsende werden alle Daten gemäß § 9 gelöscht.
Art der Daten: Bestandsdaten, Kontaktdaten, Nutzungsdaten, Vertragsdaten, Inhaltsdaten (alle vom Kunden eingegebenen Daten).
§ 2 Pflichten des Auftragsverarbeiters
FacilityStack verpflichtet sich:
- Verarbeitung ausschließlich gemäß den Weisungen des Kunden
- Vertraulichkeit: Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet (§ 5)
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen (§ 6)
- Unterstützung bei der Erfüllung der Betroffenenrechte (§ 7)
- Benachrichtigung bei Datenschutzverletzungen (§ 8)
- Löschung oder Rückgabe aller Daten nach Vertragsende (§ 9)
- Information über eingesetzte Unterauftragsverarbeiter (§ 10)
§ 3 Rechte und Pflichten des Verantwortlichen
Der Kunde ist für die rechtmäßige Erhebung und Übermittlung der Daten verantwortlich. Er hat FacilityStack unverzüglich zu informieren, wenn er Fehler oder rechtswidrige Verarbeitung feststellt. Der Kunde trägt die Verantwortung für die Datenschutz-Folgenabschätzung, sofern erforderlich.
§ 4 Weisungen
FacilityStack verarbeitet personenbezogene Daten nur nach dokumentierten Weisungen des Kunden, einschließlich der in diesem AVV erteilten Generalweisungen. Davon abweichende Weisungen müssen schriftlich oder per E-Mail erteilt werden. FacilityStack informiert den Kunden unverzüglich, wenn eine Weisung gegen Datenschutzvorschriften verstößt.
§ 5 Vertraulichkeit
Alle Personen, die unter der Autorität von FacilityStack tätig werden und Zugang zu personenbezogenen Daten haben, werden auf die Vertraulichkeit entsprechender Daten gemäß Art. 28 Abs. 3 lit. b DSGVO verpflichtet. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der Tätigkeit fort.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
FacilityStack implementiert folgende Maßnahmen gemäß Art. 32 DSGVO:
- Pseudonymisierung: Möglich durch mandantenspezifische Tenant-IDs
- Verschlüsselung: TLS 1.3 für Datenübertragung, bcrypt für Passwörter
- Vertraulichkeit: Row Level Security (RLS) für mandantenspezifische Isolation
- Integrität: Regelmäßige Backups, Datenbank-Constraints
- Verfügbarkeit: Redundante Server, 99,5% Uptime-Ziel
- Zugriffskontrolle: Authentifizierung via Supabase Auth, rollenbasierte Berechtigungen
- Übertragungskontrolle: HTTPS für alle Datenübertragungen
- Eingabekontrolle: Audit-Logs für kritische Operationen
§ 7 Unterstützung bei Betroffenenrechten
FacilityStack unterstützt den Kunden bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit). Die Unterstützung erfolgt innerhalb von 5 Werktagen nach schriftlicher Anfrage. Technische Möglichkeiten: Datenexport als CSV/Excel, direkte Löschung über die Anwendung.
§ 8 Datenschutzverletzungen
FacilityStack benachrichtigt den Kunden unverzüglich nach Bekanntwerden einer Datenschutzverletzung (Art. 33, 34 DSGVO). Die Benachrichtigung erfolgt per E-Mail an die hinterlegte Kontaktadresse. FacilityStack unterstützt den Kunden bei der Dokumentation und Meldung an die Aufsichtsbehörde.
§ 9 Löschung nach Vertragsende
Nach Beendigung des Vertragsverhältnisses hat FacilityStack alle personenbezogenen Daten zu löschen oder dem Kunden zurückzugeben. Der Kunde kann vor Vertragsende einen Datenexport durchführen. 30 Tage nach Vertragsende werden alle Daten unwiderruflich gelöscht (ON DELETE CASCADE). Ausgenommen hiervon sind Daten, die aufgrund gesetzlicher Aufbewahrungspflichten zu speichern sind.
§ 10 Unterauftragsverarbeiter
FacilityStack setzt folgende Unterauftragsverarbeiter ein:
| Dienstleister | Tätigkeit | Sitz |
|---|---|---|
| Supabase Inc. | Datenbank, Auth, Storage | USA (Server: EU) |
| Hetzner Online GmbH | Hosting | Deutschland (Server: Nürnberg) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) |
| Resend Inc. | E-Mail-Versand | USA (DPA + SCC) |
| IONOS SE | Domain, E-Mail-Server | Deutschland |
| Google Ireland Ltd. | Push-Benachrichtigungen (Firebase Cloud Messaging) | Irland (EU) |
| Cloudflare Inc. | Bot-Schutz (Cloudflare Turnstile) | USA (SCC) |
| Anthropic PBC | KI-gestützte Analysen und Dokumentengenerierung (Claude API, optional, KI-Modul erforderlich) | USA (EU-SCC) |
Mit allen Unterauftragsverarbeitern bestehen AVVs gemäß Art. 28 Abs. 2 DSGVO.
Änderungen bei Unterauftragsverarbeitern: Beabsichtigte Änderungen (Hinzufügung oder Ersetzung von Unterauftragsverarbeitern) werden dem Kunden mindestens 30 Tage vor Inkrafttreten per E-Mail an die hinterlegte Kontaktadresse mitgeteilt. Der Kunde kann binnen 14 Tagen nach Zugang der Mitteilung schriftlich oder per E-Mail Einspruch gegen die geplante Änderung erheben. Der Einspruch muss sachlich begründet sein (insbesondere datenschutzrechtliche Bedenken). Bei begründetem Einspruch steht dem Kunden ein außerordentliches Kündigungsrecht zum Zeitpunkt des geplanten Inkrafttretens der Änderung zu, ohne dass hierfür Vertragsstrafen oder Gebühren anfallen.
§ 11 Audit-Recht und Kontrollen
Der Kunde hat das Recht, die Einhaltung der in diesem AVV festgelegten Pflichten durch FacilityStack zu überprüfen. FacilityStack unterstützt den Kunden bei dieser Überprüfung. Die Überprüfung erfolgt zu den üblichen Geschäftszeiten nach vorheriger Anmeldung und unter Berücksichtigung der Vertraulichkeit anderer Kunden.
§ 12 Haftungsbegrenzung
Die Haftung von FacilityStack richtet sich nach den Allgemeinen Geschäftsbedingungen (AGB). Für datenschutzrechtliche Verstöße, die auf Anweisungen des Kunden oder auf vom Kunden bereitgestellten Daten beruhen, haftet der Kunde.
§ 13 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung wird durch eine wirksame ersetzt, die dem wirtschaftlichen Zweck möglichst nahekommt.
§ 14 Änderungen
Änderungen dieses AVV bedürfen der Schriftform oder E-Mail. Sie werden dem Kunden 30 Tage vor Inkrafttreten mitgeteilt. Stillschweigende Zustimmung gilt als erteilt, wenn der Kunde nicht innerhalb dieser Frist widerspricht.
Vertragsparteien
Verantwortlicher (Kunde):
[Name/Firma des Kunden]
[Adresse]
[E-Mail]
(Wird bei Registrierung ausgefüllt)
Auftragsverarbeiter:
FacilityStack – Rene Staude (Einzelunternehmen)
Nordring 26
34513 Waldeck
E-Mail: [email protected]
Dieser AVV wird bei Abschluss des Nutzungsvertrags wirksam. Die Zustimmung erfolgt per Checkbox bei der Registrierung.