Auftragsverarbeitungsvertrag (AVV)
nach Art. 28 DSGVO · Stand: April 2026
Parteien
Auftragsverarbeiter:
nebelcode, Inhaber Aser Gabriel
Rolandseckstraße 15 · 81375 München
E-Mail: info@nebelcode.de
(„Auftragnehmer")
Verantwortlicher:
Der bei AutoMappe registrierte Kunde (Autohändler) gemäß den in der App
hinterlegten Firmendaten („Auftraggeber")
§ 1 Gegenstand und Dauer des Auftrags
(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber im Rahmen der Nutzung der Software „AutoMappe".
(2) Dauer entspricht der Laufzeit des Hauptvertrages (AGB AutoMappe).
§ 2 Art, Umfang und Zweck der Datenverarbeitung
Zweck: Abwicklung von Fahrzeugkaufverträgen, insbesondere:
- Erfassung und Speicherung von Endkundendaten (Fahrzeugkäufer)
- Scan und OCR-Auslesen von Ausweisdokumenten
- Erstellung von Kaufvertrags-PDFs
- Erfassung digitaler Unterschriften
- Versand der erstellten Dokumente per E-Mail
- Archivierung der Dokumente für den Auftraggeber
Art der Daten:
- Personenstammdaten (Name, Anschrift, Geburtsdatum)
- Kontaktdaten (Telefon, E-Mail)
- Ausweisdaten (Ausweisnummer, Führerscheinnummer, Ablaufdatum)
- Gescannte Bilder von Ausweisdokumenten
- Digitale Unterschriften
- Fahrzeug- und Kaufvertragsdaten
Kategorien betroffener Personen: Endkunden des Auftraggebers, ggf. weitere Vertragspartner.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach Weisung des Auftraggebers.
(2) Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage A).
(3) Schriftliche Verpflichtung aller Mitarbeiter zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
(4) Unverzügliche Information bei datenschutzrechtlich bedenklichen Weisungen.
(5) Unterstützung bei Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung (Art. 32–36 DSGVO).
(6) Unterstützung bei der Wahrnehmung von Betroffenenrechten.
§ 4 Technische und organisatorische Maßnahmen
Siehe Anlage A am Ende dieses Dokuments.
§ 5 Subunternehmer
(1) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung zur Heranziehung folgender Subunternehmer:
| Subunternehmer | Ort | Gegenstand |
|---|---|---|
| Google Ireland Ltd. (Firebase) | Dublin / Frankfurt (europe-west3) | Hosting, Auth, DB, Storage |
| Google LLC (ggf. Subbetreiber) | USA | Infrastruktur (EU-US DPF) |
| Apple Distribution Intl. Ltd. | Cork, Irland | App-Store |
| Sendinblue/Brevo | Frankreich / EU | E-Mail-Versand |
| Stripe Payments Europe | Dublin, Irland | Web-Zahlungen |
| RevenueCat Inc. | USA | Abo-Management (EU-US DPF + SCC) |
(2) Bei beabsichtigten Änderungen wird der Auftraggeber informiert. Einspruchsrecht: 30 Tage. Bei Einspruch: außerordentliches Kündigungsrecht beider Parteien.
(3) Mit allen Subunternehmern bestehen Verträge nach Art. 28 DSGVO.
§ 6 Ort der Datenverarbeitung
Primär in der EU (Firebase Frankfurt, europe-west3). Drittland-Übermittlung
(USA) nur bei bestimmten Subunternehmern auf Basis EU-US DPF oder Standardvertragsklauseln.
§ 7 Informationspflicht bei Datenschutzverletzungen
Information unverzüglich, spätestens binnen 48 Stunden nach Kenntniserlangung. Inhaltlich gemäß Art. 33 Abs. 3 DSGVO.
§ 8 Kontrollrechte
(1) Kontrolle durch:
- Vorlage aktueller Zertifikate (z. B. ISO 27001, SOC 2)
- Vorlage aktueller TOMs
- Vor-Ort-Kontrolle nach 4 Wochen Anmeldung
(2) Auf Wunsch durch unabhängigen Dritten.
§ 9 Löschung und Rückgabe
(1) Nach Beendigung Löschung/Rückgabe innerhalb von 30 Tagen.
(2) Vor Löschung: Möglichkeit zum Daten-Export.
(3) Gesetzliche Aufbewahrungspflichten bleiben unberührt.
§ 10 Haftung
Es gelten die Haftungsregelungen der AGB. Art. 82 DSGVO bleibt unberührt.
§ 11 Schlussbestimmungen
(1) Deutsches Recht. (2) Änderungen und Ergänzungen in Textform. (3) Salvatorische Klausel. (4) Bei Widersprüchen zwischen AVV und AGB: AVV geht vor.
Anlage A — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
A.1 Vertraulichkeit
- Zutrittskontrolle: Server in zertifizierten Google-Cloud-Rechenzentren
- Zugangskontrolle: Authentifizierung via E-Mail+Passwort, sicheres Hashing (Firebase Auth), optional Biometrie
- Zugriffskontrolle: Rollenbasiert, Multi-Tenant via Firestore Security Rules
- Trennungskontrolle: getrennte Datenbestände pro Händler-Account
- Pseudonymisierung/Verschlüsselung: TLS 1.2+, AES-256 at rest
A.2 Integrität
- Audit-Logs für kritische Aktionen (Login, Änderungen, Löschungen)
- Verschlüsselte Übertragung aller Daten
- Keine E-Mail-Übertragung unverschlüsselter personenbezogener Daten
A.3 Verfügbarkeit und Belastbarkeit
- Automatische Backups via Firebase (Point-in-Time-Recovery)
- Redundante Speicherung in Google-Rechenzentren
- Monitoring der Systemverfügbarkeit
A.4 Verfahren zur regelmäßigen Überprüfung
- Jährliche Prüfung der TOMs
- Datenschutz-Folgenabschätzung bei wesentlichen Änderungen
A.5 Auftragskontrolle
- Schriftliche AVV mit allen Subunternehmern
- Dokumentation aller Subunternehmer-Änderungen
Dieser AVV wird mit Abschluss des Hauptvertrages (AGB AutoMappe) automatisch zwischen dem Auftraggeber und dem Auftragnehmer wirksam.