Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO zwischen dem Kunden („Verantwortlicher“) und der Hephatron UG (haftungsbeschränkt), Propsteistraße 55, 90455 Nürnberg („Auftragsverarbeiter“).
Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Software „Meistron“ gemäß den Allgemeinen Geschäftsbedingungen (Hauptvertrag). Er wird mit Vertragsschluss bzw. mit der elektronischen Bestätigung im Kundenkonto einbezogen (Textform, Art. 28 Abs. 9 DSGVO). Bei Widerspruch zwischen diesem Vertrag und dem Hauptvertrag gehen für Fragen der Auftragsverarbeitung die Regelungen dieses Vertrags vor.
1. Gegenstand und Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS „Meistron“ gemäß dem Hauptvertrag. Die Dauer entspricht der Laufzeit des Hauptvertrags; § 9 (Löschung und Rückgabe) gilt darüber hinaus fort.
2. Art und Zweck der Verarbeitung, Datenarten, betroffene Personen
- Art und Zweck: Auftrags- und Einsatzplanung, Terminkalender, Zeiterfassung, Dokumentation (Fotos, Sprachnotizen, Unterschriften), Material-/Lagerverwaltung, Angebots- und Rechnungsstellung, Zahlungsabwicklung (online und vor Ort), Kundenkommunikation sowie damit verbundene Speicherung, Auswertung und Übermittlung.
- Datenarten: Stammdaten der Endkunden (Name, Anschrift, Kontaktdaten), Auftrags-, Termin- und Standortdaten, Foto-, Sprach- und Unterschriften-Dokumentation, Angebots-, Rechnungs- und Zahlungsdaten, Mitarbeiter-Stammdaten und Arbeitszeiten, Geräte-Tokens für Benachrichtigungen.
- Betroffene Personen: Endkunden des Verantwortlichen, deren Ansprechpartner sowie Mitarbeitende des Verantwortlichen.
Eine detaillierte Aufstellung enthält Anlage 1 (Beschreibung der Verarbeitung) am Ende dieses Dokuments.
3. Weisungsrecht des Verantwortlichen
Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen sowie im Rahmen dieses Vertrags. Die Konfiguration und Nutzung der Funktionen innerhalb der Software gilt als Weisung. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich und darf deren Ausführung bis zur Bestätigung aussetzen.
4. Vertraulichkeit
Der Auftragsverarbeiter verpflichtet alle zur Verarbeitung befugten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO) und stellt sicher, dass diese die personenbezogenen Daten nur auf Weisung verarbeiten.
5. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Die konkreten Maßnahmen sind in Anlage 2 (Technische und organisatorische Maßnahmen) beschrieben und Bestandteil dieses Vertrags. Sie werden nach dem Stand der Technik fortlaufend überprüft und fortentwickelt; der Auftragsverarbeiter darf sie aktualisieren, sofern das Schutzniveau nicht unterschritten wird.
6. Unterauftragsverarbeiter
Der Verantwortliche erteilt die allgemeine schriftliche Genehmigung zum Einsatz der in Anlage 3 (Unterauftragsverarbeiter) genannten Unterauftragsverarbeiter (Art. 28 Abs. 2 Satz 2 DSGVO). Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter auf gleichwertige Datenschutzpflichten (Art. 28 Abs. 4 DSGVO). Beabsichtigte Änderungen (Hinzuziehung oder Austausch) werden mit angemessener Frist (mindestens 30 Tage) in Textform angekündigt; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen und hat in diesem Fall ein Sonderkündigungsrecht hinsichtlich der betroffenen Leistung.
7. Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO) — insbesondere durch integrierte Auskunfts-, Export- und Löschfunktionen — sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation). Anfragen betroffener Personen, die beim Auftragsverarbeiter eingehen, leitet dieser unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht selbst.
8. Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die dessen Daten betrifft (Art. 33 Abs. 2 DSGVO), und stellt die zur Erfüllung der Melde- und Benachrichtigungspflichten erforderlichen Informationen bereit.
9. Löschung und Rückgabe
Nach Beendigung des Vertrags stellt der Auftragsverarbeiter dem Verantwortlichen eine Export-Möglichkeit der verarbeiteten Daten bereit und löscht die Daten anschließend nach Wahl des Verantwortlichen binnen 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Gesetzliche Aufbewahrungspflichten (insbesondere für Rechnungs- und Buchungsdaten, 10 Jahre gemäß § 147 AO, § 14b UStG) bleiben unberührt; insoweit tritt an die Stelle der Löschung eine Einschränkung der Verarbeitung.
10. Nachweise und Kontrollen
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO), vorrangig durch Bereitstellung dieser Anlagen sowie vorhandener Nachweise und Zertifikate der eingesetzten Unterauftragsverarbeiter (z. B. ISO 27001, SOC 2, PCI-DSS). Dem Verantwortlichen stehen Kontrollrechte nach angemessener Vorankündigung und während der üblichen Geschäftszeiten zu, soweit der Betrieb und die Geheimhaltungsinteressen Dritter dadurch nicht beeinträchtigt werden.
11. Haftung und Schlussbestimmungen
Es gelten die Haftungsregelungen des Hauptvertrags; Art. 82 DSGVO bleibt unberührt. Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt das Recht der Bundesrepublik Deutschland.
Anlage 1 — Beschreibung der Verarbeitung
| Zweck | Bereitstellung der Handwerker-Software „Meistron“: Auftrags-/Einsatzplanung, Terminkalender, Zeiterfassung, Dokumentation, Material-/Lagerverwaltung, Angebots-/Rechnungsstellung, Zahlungsabwicklung, Kundenkommunikation. |
| Art der Verarbeitung | Erheben, Erfassen, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln (an die in Anlage 3 genannten Unterauftragsverarbeiter), Einschränken, Löschen. |
| Datenarten | Endkunden-Stammdaten (Name, Anschrift, E-Mail, Telefon); Auftrags-, Termin-, Standort- und Wegedaten; Foto-, Sprachnotiz- und Unterschriften-Dokumentation; Angebots-, Rechnungs- und Zahlungsdaten (Beträge, Referenzen, tokenisierte Zahlungsmittel); Mitarbeiter-Stammdaten, Arbeits-/Pausenzeiten und (nur für Inhaber sichtbare) individuelle Kostensätze zur Auftrags-Nachkalkulation; Geräte-Push-Tokens. |
| Kategorien Betroffener | Endkunden des Verantwortlichen und deren Ansprechpartner; Mitarbeitende des Verantwortlichen. |
| Besondere Kategorien (Art. 9) | Werden nicht zweckgerichtet verarbeitet. Der Verantwortliche ist gehalten, keine Gesundheits- oder sonstigen besonderen Daten in Freitext-/Foto-Feldern zu hinterlegen. |
| Dauer | Laufzeit des Hauptvertrags; danach Export + Löschung gemäß § 9. |
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Stand der Technik; werden fortlaufend überprüft (u. a. regelmäßige Sicherheits-Reviews und Penetrationstests).
2.1 Vertraulichkeit
- Zutrittskontrolle: Betrieb ausschließlich in zertifizierten Rechenzentren der Hosting-Dienstleister (Supabase, EU-Region eu-west-1/Frankfurt; Vercel) mit physischen Zutrittssicherungen und ISO-27001-/SOC-2-Nachweisen der Betreiber. Kein eigener Serverbetrieb.
- Zugangskontrolle: Authentifizierung über Supabase Auth (E-Mail/Passwort mit Hashing, Magic-Link, OAuth Google/Microsoft/Apple); Session-Verwaltung mit serverseitiger Validierung; Plattform-Administrationszugang zusätzlich abgesichert durch IP-/Device-Gate, Session-Hashing und Zwei-Faktor-Authentisierung (TOTP).
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Owner/Office/Worker) mit serverseitiger Durchsetzung; strikte Durchsetzung auf Datenbankebene durch PostgreSQL Row-Level-Security (RLS) — jeder Datenzugriff ist mandanten- und rollengebunden; sensible Felder (z. B. Einkaufspreise/Margen) sind auf Administratorrollen beschränkt.
- Trennungskontrolle (Mandantentrennung): Logische Trennung aller Mandantendaten über eine Mandantenkennung (tenant_id) in Verbindung mit RLS-Richtlinien auf allen relevanten Tabellen; mandantenübergreifender Zugriff ist technisch ausgeschlossen.
- Pseudonymisierung / Verschlüsselung: Transportverschlüsselung mit TLS 1.2+ und HSTS (preload); Verschlüsselung ruhender Daten beim Datenbank-/Storage-Dienstleister; gespeicherte E-Mail-OAuth-/SMTP-Zugangsdaten zusätzlich AES-256-GCM-verschlüsselt; Zahlungsdaten ausschließlich tokenisiert über Stripe (keine Speicherung von Kartennummern); Rate-Limiting auf Basis pseudonymisierter (gehashter) Kennungen.
2.2 Integrität
- Eingabe-/Änderungskontrolle: Unveränderliche, GoBD-konforme Audit-Protokolle für Rechnungs- und Finanzdaten (datenbankseitig durch Trigger geschützt); Protokollierung administrativer Aktionen im Plattform-Admin-Bereich; finalisierte Rechnungen sind gegen nachträgliche Änderung gesperrt.
- Weitergabekontrolle: Verschlüsselte Übertragung (TLS); signaturverifizierte Webhooks (Stripe); Härtung gegen Injection/SSRF/CSRF; restriktive Content-Security-Policy und CORS-Allowlist.
2.3 Verfügbarkeit und Belastbarkeit
- Verfügbarkeit: Betrieb auf redundanter, skalierender Cloud-Infrastruktur (Vercel Edge-Netz, Supabase); Schutz vor Überlastung/Missbrauch durch Rate-Limiting (Upstash) und Bot-/Missbrauchsschutz.
- Wiederherstellbarkeit: Automatische tägliche Datenbank-Backups und Point-in-Time-Recovery beim Datenbank-Dienstleister; getrennte Umgebungen für Entwicklung/Staging und Produktion.
2.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Überprüfung: Dokumentierte Security-Governance; regelmäßige Sicherheits-Reviews und Penetrationstests; Abhängigkeits-/Schwachstellen-Prüfungen; Verifikation sicherheitsrelevanter Datenbank-Migrationen.
- Auftragskontrolle: Auftragsverarbeitungsverträge bzw. EU-Standardvertragsklauseln mit allen Unterauftragsverarbeitern (Anlage 3); Verarbeitung ausschließlich auf dokumentierte Weisung.
- Datenschutzfreundliche Voreinstellungen (Art. 25): Optionale Datenflüsse (Push, Post, Karten-/Kalender-Integrationen, Chatbot) sind standardmäßig deaktiviert und erfordern aktive Aktivierung; mobile Apps ohne Werbe-/Tracking-SDKs.
Anlage 3 — Unterauftragsverarbeiter
Genehmigte Unterauftragsverarbeiter (Stand siehe unten). Drittlandübermittlungen erfolgen auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) bzw. eines Angemessenheitsbeschlusses. Die jeweils aktuelle Fassung ist auf dieser Seite einsehbar.
| Dienstleister | Zweck | Ort / Übermittlung |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Echtzeit, Dateispeicher (alle Anwendungsdaten) | EU (eu-west-1); Unternehmenssitz Singapur — SCC |
| Vercel Inc. | Hosting der Web-App, Edge Functions, API-Routen | USA — SCC |
| Stripe Inc. | Abo-/Zahlungsabwicklung, Online- und Vor-Ort-Kartenzahlung (Tap to Pay); PCI-DSS | USA — SCC |
| Resend (Plus Five Five, Inc.) | Versand transaktionaler E-Mails (Rechnungen, Benachrichtigungen, Magic-Links) | USA — SCC |
| Pingen GmbH (optional) | Postalischer Rechnungsversand | Schweiz — Angemessenheitsbeschluss |
| Google LLC / Firebase | Push-Benachrichtigungen (FCM); Android-Absturzdiagnose (Crashlytics) | USA — SCC |
| Google Ireland Ltd. | Karten-/Geocoding (Auftragsadressen) | Irland (EU); ggf. SCC |
| Upstash, Inc. | Rate-Limiting (kurzlebige, pseudonymisierte Zugriffszähler) | USA — SCC |
| OpenAI, L.L.C. (optional) | Website-Chatbot (gpt-4o-mini) sowie KI-gestützte Angebotserstellung (Foto-/Bildanalyse + Sprach-Transkription); keine Passwörter/Zahlungsdaten | USA — SCC, DPA |
| Microsoft Ireland Ltd. (optional) | E-Mail-Versand über das eigene Microsoft-Konto des Nutzers (Graph API) | EU/USA — SCC |
| Intuition Machines, Inc. (hCaptcha) | Bot-/Missbrauchsschutz bei Formularen | USA — SCC |
| Cloudflare, Inc. / unpkg | Auslieferung statischer Skript-Bibliotheken (CDN) | USA — SCC |
Eine ausführliche Beschreibung der übermittelten Daten je Dienstleister enthält die Datenschutzerklärung (Abschnitt 5).
Stand / Version: 10. Juni 2026 (2026-06-10)
Für einen individuell gegengezeichneten AVV wenden Sie sich an info@meistron.de. · Datenschutzerklärung · AGB