Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO — zwischen dem Kunden (Verantwortlicher) und Paul Lüdeke, LDK Webdesign (Auftragsverarbeiter).

AVV als PDF herunterladen

1. Parteien & Geltung

Dieser AVV gilt zwischen dem Kunden (nachfolgend „Verantwortlicher") und

Paul Lüdeke
LDK Webdesign (Einzelunternehmen)
Ernst-Mantius-Straße 12, 21029 Hamburg
E-Mail: kontakt@nachweis-radar.de

(nachfolgend „Auftragsverarbeiter"). Der AVV wird für registrierte Betriebe mit Nutzung von Nachweis-Radar automatisch Vertragsbestandteil, ohne dass es einer gesonderten Unterzeichnung bedarf. Der Kunde kann jederzeit eine unterschriebene Ausfertigung per E-Mail anfordern.

2. Gegenstand & Dauer

Gegenstand ist die Speicherung und Verarbeitung von Nachweisdokumenten und zugehörigen Mitarbeiterdaten im Rahmen des SaaS-Angebots Nachweis-Radar. Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags. Nach Beendigung werden die Daten gemäß Ziffer 7 gelöscht oder zurückgegeben.

3. Art & Zweck der Verarbeitung

  • Ablage und Verwaltung von Bescheinigungen, Zertifikaten und Unterweisungen
  • Fristüberwachung und automatische Warnung vor Ablauf
  • Automatische Auslesung von Typ, Aussteller und Ablaufdatum durch KI (Anthropic Claude)
  • Versand von E-Mail-Benachrichtigungen (Fristwarnungen, Systemhinweise)
  • Export von Nachweispaketen (z. B. für Präqualifikation, Auftraggeber-Nachfragen)

4. Datenarten

  • Stammdaten von Mitarbeitern: Name, Funktion/Rolle, ggf. Personalnummer
  • Nachweisdokumente: Bescheinigungen, Zertifikate, Unterweisungsnachweise inkl. Aussteller
  • Fristdaten: Ausstellungs- und Ablaufdaten, Kategorien, Erinnerungsstatus
  • Konto- und Nutzungsdaten des Kundenbetriebs

Ausnahme Gesundheitsdaten: Gesundheitsdokumente (z. B. G-Untersuchungen, arbeitsmedizinische Vorsorge) werden nicht automatisiert ausgelesen und nicht an die KI übermittelt. Sie werden ausschließlich verschlüsselt gespeichert; die Eckdaten trägt der Kunde manuell ein.

5. Kategorien betroffener Personen

  • Mitarbeiter des Kundenbetriebs
  • Ansprechpartner und berechtigte Nutzer des Kundenbetriebs

6. Unterauftragsverarbeiter

Der Kunde stimmt den nachfolgenden Unterauftragsverarbeitern zu. Der Auftragsverarbeiter informiert den Kunden vorab per E-Mail über beabsichtigte Änderungen dieser Liste; der Kunde kann innerhalb von 30 Tagen aus wichtigem Grund widersprechen.

DienstleisterZweckRegion
Supabase Inc.Datenbank (Postgres), Authentifizierung, Datei-StorageEU-Central (Frankfurt am Main)
Cloudflare Inc.Hosting der Web-Anwendung (Edge/Workers), CDN, DDoS-SchutzEuropäisches Edge-Netzwerk
Anthropic PBCKI-gestützte Auslesung von Nachweisdokumenten (Typ, Aussteller, Ablaufdatum) — keine Nutzung zum ModelltrainingUSA (EU-US Data Privacy Framework / SCCs)
Resend / Supabase Auth E-MailTransaktionaler E-Mail-Versand (Fristwarnungen, Konto-E-Mails)EU

7. Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (Nutzung der Software gilt als Weisung); Hinweis, wenn eine Weisung rechtswidrig erscheint
  • Verpflichtung der eingesetzten Personen auf Vertraulichkeit
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (siehe Ziffer 9 und /sicherheit)
  • Unterstützung des Verantwortlichen bei Anfragen betroffener Personen (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit, Widerspruch)
  • Unverzügliche Meldung von Datenschutzverletzungen an den Verantwortlichen — spätestens innerhalb von 72 Stunden nach Bekanntwerden
  • Nach Vertragsende: Löschung oder Rückgabe aller personenbezogenen Daten nach Wahl des Verantwortlichen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht

8. Kontrollrechte des Kunden

Der Verantwortliche hat das Recht, sich vom Auftragsverarbeiter die Einhaltung dieses Vertrags und der TOM nachweisen zu lassen — vorrangig durch schriftliche Auskunft und geeignete Dokumentation. Vor-Ort-Prüfungen sind nach vorheriger Abstimmung während der üblichen Geschäftszeiten möglich, sofern sie den Betrieb nicht unverhältnismäßig stören.

9. TOM-Anhang

  • Transportverschlüsselung aller Verbindungen per TLS (HTTPS)
  • Verschlüsselte Speicherung von Datenbank und Datei-Storage
  • Mandantentrennung auf Datenbankebene per Row-Level-Security (nicht nur in der Anwendungslogik)
  • Zugriffskontrolle nach dem Least-Privilege-Prinzip; personalisierte Zugänge, keine geteilten Konten
  • Backups mit Point-in-Time-Recovery der Datenbank
  • Löschkonzept: Kontolöschung entfernt Nutzerdaten inkl. Dokumente unwiderruflich
  • Serverstandort für Kernverarbeitung: EU (Frankfurt am Main)

Stand: 07. Juli 2026