IFClint

Auftragsverarbeitungsvertrag (AVV)

Stand: 29. April 2026

Dieser Auftragsverarbeitungsvertrag („AVV") ergänzt die Allgemeinen Geschäftsbedingungen (AGB) zwischen Enertec Engineering AG („Auftragsverarbeiter") und dem Kunden („Verantwortlicher") gemäß Art. 28 DSGVO. Mit Annahme der AGB akzeptiert der Verantwortliche zugleich die Bestimmungen dieses AVV.

1. Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung des SaaS-Dienstes IFClint zur Validierung und Bearbeitung von IFC-Modellen. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Vertragserfüllung. Der AVV läuft, solange ein Hauptvertrag (Abonnement) besteht.

2. Art und Zweck der Verarbeitung

  • Speicherung von Konto- und Profildaten (E-Mail, Anzeigename, Rolle)
  • Speicherung und Verarbeitung von vom Verantwortlichen hochgeladenen IFC-Dateien
  • Erstellung und Speicherung von Prüflauf-Ergebnissen, Reports, Aktivitätslogs
  • Einladung weiterer Nutzer durch den Verantwortlichen

3. Art der personenbezogenen Daten

  • Identifikationsdaten: Name, E-Mail-Adresse, Rolle
  • Technische Zugangsdaten: IP, User-Agent, Zeitstempel
  • Inhaltsdaten: ggf. Personenbezug innerhalb hochgeladener IFC-Modelle (z. B. Architekt-Name)

4. Kategorien betroffener Personen

  • Mitarbeitende und freie Mitarbeiter des Verantwortlichen
  • Externe Nutzer, die der Verantwortliche einlädt

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten;
  • die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten;
  • alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe Anlage 1);
  • den Verantwortlichen unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt;
  • den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen;
  • nach Beendigung des Auftrags sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben.

6. Unterauftragsverarbeitung

Der Verantwortliche genehmigt allgemein die Beauftragung der unter /sub-processors aufgeführten Sub-Processors. Der Auftragsverarbeiter informiert mindestens 30 Tage vor dem Hinzuziehen oder der Ersetzung eines Sub-Processors. Der Verantwortliche kann gegen die Änderung Einspruch erheben (§ 5).

7. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Anfragen, die direkt an den Auftragsverarbeiter gerichtet sind, werden an den Verantwortlichen weitergeleitet.

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, über jede Verletzung des Schutzes personenbezogener Daten. Die Mitteilung enthält mindestens die in Art. 33 Abs. 3 DSGVO geforderten Angaben.

9. Audits und Nachweise

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung und ermöglicht Audits, einschließlich Inspektionen, durch den Verantwortlichen oder einen von ihm beauftragten Prüfer (mit Vorlauf von mindestens 30 Tagen, höchstens 1× pro Jahr, auf Kosten des Verantwortlichen).

10. Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

  • Vertraulichkeit: Zugangskontrolle (Auth via Supabase + JWT, 2FA für privilegierte Konten), Zutrittskontrolle (Cloud-Hosting bei ISO-27001-zertifizierten Anbietern), Pseudonymisierung wo möglich.
  • Integrität: Eingabekontrolle (Audit-Logs), Weitergabekontrolle (TLS 1.3 für alle Übertragungen).
  • Verfügbarkeit: Tägliche Backups (PITR 7 Tage Supabase Pro), Disaster-Recovery-Runbook, redundante Hosting-Regionen.
  • Belastbarkeit: Auto-Scaling, regelmäßige Restore-Tests.
  • Verfahren zur regelmäßigen Überprüfung: Jährliche Sicherheitsaudits, Sentry-Monitoring.

11. PDF-Version & individueller Vertrag

Eine unterschreibbare PDF-Version dieses AVV stellen wir auf Anfrage zur Verfügung: info@ifclint.com. Für Enterprise-Kunden ist auch ein individuell verhandelter AVV möglich.

Dieser AVV wurde am 29. April 2026 zuletzt aktualisiert.