Auftragsverarbeitungs-Vereinbarung (AVV)

nach Art. 28 DSGVO · Version 2026-05 · zwischen Geschäftspartner und Ingenieurbüro Biegel
Hinweis: Diese Vereinbarung gilt für alle Geschäftspartner, die die Plattform preise-partner.biegel24.de nutzen, um Angebote hochzuladen. Mit dem digitalen Klick auf „AVV akzeptieren" im Partner-Bereich nimmt der Partner diese Vereinbarung in der jeweils dort angezeigten Version verbindlich an. Datum, Username und IP-Adresse werden zum Nachweis gespeichert.

§ 1 Vertragsparteien

Diese Vereinbarung wird geschlossen zwischen:

  1. Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO: der jeweilige Geschäftspartner (im Folgenden „Partner"), dessen Benutzer-Account in der Authentifizierungs-Komponente Authelia angelegt ist und der per Klick die Annahme erklärt — und
  2. Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO: Marco Biegel, Ingenieurbüro Marco Biegel, Strackgasse 14, 65520 Bad Camberg (im Folgenden „Auftragsverarbeiter").

§ 2 Gegenstand und Dauer

Gegenstand der Verarbeitung ist die automatische Strukturierung von Angebots-PDFs des Partners zu vergleichbaren, anonymisierten Marktdaten („Sanierungspreise-DB") einschließlich der Bereitstellung einer Auswertung als PDF an den Partner.

Die Vereinbarung beginnt mit dem digitalen Akzept und endet automatisch mit der Beendigung der Nutzung der Plattform durch den Partner; eine Kündigung ist jederzeit formlos per E-Mail an info@energieberatung-biegel.de möglich.

§ 3 Art und Zweck der Verarbeitung, Datenarten, Betroffene

Art der Verarbeitung Speicherung, automatische Text-Extraktion, KI-gestützte Strukturierung, Anonymisierung, Aggregation, Bereitstellung an befugte Empfänger (Partner für eigene Auswertung, Markt-Domain in anonymisierter Form)
Zweck Aufbau einer Marktdatenbank zu typischen Sanierungspreisen sowie Lieferung einer Vergleichs-Auswertung an den Partner
Datenarten Aus PDFs extrahierte Daten: Auftraggeber-Name und -Anschrift, Anbieter-Name und -Anschrift, Telefonnummern und E-Mail-Adressen soweit im Angebot enthalten, Auftragsdetails (Maßnahme, Mengen, Preise), Datum und Angebots-Nummer, ggf. weitere im PDF enthaltene Inhalte
Kategorien Betroffener Auftraggeber des Partners (in der Regel Privatpersonen oder Unternehmen), Mitarbeiter und Geschäftsführer der Anbieter-Unternehmen, ggf. weitere im Angebot benannte Personen

§ 4 Rechte und Pflichten des Verantwortlichen (Partners)

  1. Der Partner ist allein verantwortlich für die Rechtmäßigkeit der Datenerhebung und -übermittlung. Er stellt sicher, dass er alle erforderlichen Einwilligungen seiner Kunden bzw. eine andere ausreichende Rechtsgrundlage (z.B. Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO) für die Übermittlung der PDFs an den Auftragsverarbeiter besitzt.
  2. Der Partner informiert seine Auftraggeber gemäß Art. 13 DSGVO darüber, dass Angebote zur Marktanalyse weitergegeben und verarbeitet werden, und nennt den Auftragsverarbeiter sowie den eingesetzten Sub-Auftragsverarbeiter (siehe § 7).
  3. Der Partner erteilt Weisungen ausschließlich in Textform (E-Mail genügt). Die Annahme dieser AVV gilt als generelle Weisung zur Verarbeitung gemäß § 3 dieser Vereinbarung.
  4. Der Partner ist berechtigt, Auskunft über die Verarbeitung zu verlangen, Audits durchzuführen oder durchführen zu lassen (siehe § 8).

§ 5 Pflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Partners (insbesondere im Rahmen dieser AVV).
  2. Er gewährleistet, dass die mit der Verarbeitung befassten Personen (derzeit: Marco Biegel persönlich) zur Vertraulichkeit verpflichtet sind.
  3. Er trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 6).
  4. Er unterstützt den Partner bei der Wahrnehmung der Betroffenenrechte (Art. 12–22 DSGVO) sowie bei datenschutzrechtlichen Pflichten (Art. 32–36 DSGVO).
  5. Er informiert den Partner unverzüglich bei Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
  6. Er stellt nach Beendigung der Auftragsverarbeitung dem Partner alle überlassenen personenbezogenen Daten zurück oder löscht sie auf Wunsch des Partners. Anonymisierte Marktdaten dürfen weiter verwendet werden, da sie keinen Personenbezug mehr aufweisen.

§ 6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

BereichMaßnahme
Zutrittskontrolle Server steht in einem zugriffsbeschränkten Raum des Verantwortlichen.
Zugangskontrolle Mehrstufige Authentifizierung (Authelia 2FA) für alle Partner- und Admin-Funktionen, LDAP-Gruppen-basierte Autorisierung, einzelnes Postgres-Konto mit eigenem starken Passwort.
Zugriffskontrolle Rollenkonzept Admin/Partner/Markt; Klarnamen werden auf der Markt-Domain serverseitig per Whitelist gefiltert (Anonymisierung).
Übertragungskontrolle Ausschließlich TLS 1.2+ über Traefik-Reverse-Proxy.
Eingabekontrolle Audit-Log (90 Tage) protokolliert Logins und schreibende Aktionen.
Verfügbarkeitskontrolle Tägliche DB-Snapshots, monatliches Restore-Probe.
Trennungsgebot Verarbeitung der Marktdaten erfolgt logisch getrennt von ggf. weiteren Datenbanken des Auftragsverarbeiters.
Pseudonymisierung Anbieter und Projekte erhalten in der Markt-Auswertung pauschale Pseudonyme („Anbieter A", „Projekt 12"), Klarnamen sind nicht enthalten.

§ 7 Sub-Auftragsverarbeiter

Der Partner stimmt dem Einsatz folgender Sub-Auftragsverarbeiter zu:

Sub-AVSitzLeistungRechtsgrundlage Drittland
Anthropic PBC USA, San Francisco KI-gestützte automatische Extraktion strukturierter Daten aus den hochgeladenen PDFs (Modell „Claude") EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023); ergänzend Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO

Der Auftragsverarbeiter setzt für die Übermittlung an Anthropic ausschließlich Konfigurationen ein, in denen die übertragenen Daten nicht zum Training der Modelle verwendet werden („no-train"-Bedingungen gemäß den Nutzungs-AGB von Anthropic).

Eine Änderung oder Ergänzung der Sub-Auftragsverarbeiter wird dem Partner vorab in Textform angekündigt; widerspricht der Partner nicht binnen 14 Tagen, gilt die Änderung als genehmigt.

§ 8 Kontroll- und Auditrechte

Der Partner hat das Recht, die Einhaltung dieser AVV beim Auftragsverarbeiter zu prüfen oder durch einen schriftlich benannten Dritten prüfen zu lassen. Audits werden mit angemessenem Vorlauf von mindestens vier Wochen abgestimmt und so durchgeführt, dass sie den laufenden Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

§ 9 Haftung

Es gelten die gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO und § 280 BGB. Im Innenverhältnis verteilt sich die Haftung gemäß den jeweiligen Verantwortungsbereichen: Für die Rechtmäßigkeit der Erhebung und der Zwecke ist der Partner (Verantwortlicher) verantwortlich; für die ordnungsgemäße technische Verarbeitung ist der Auftragsverarbeiter verantwortlich.

§ 10 Schlussbestimmungen

  1. Mündliche Nebenabreden bestehen nicht. Änderungen und Ergänzungen bedürfen der Textform.
  2. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  3. Anwendbar ist deutsches Recht.
  4. Diese AVV gilt in der jeweils im Partner-Bereich angezeigten Version. Bei Aktualisierungen muss der Partner die neue Version digital erneut annehmen, bevor er weitere Uploads tätigen kann.