Auftragsverarbeitungs­vertrag (AVV) nach Art. 28 DSGVO

Stand: 12.6.2026

Dieser Auftragsverarbeitungs­vertrag (im Folgenden "AVV" oder "Vertrag") ergänzt den zwischen den Parteien geschlossenen Hauptvertrag über die Nutzung der Software-as-a-Service-Lösung Torqr(im Folgenden "Hauptvertrag") und regelt die Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.

Hinweis: Diese Seite ist druckfertig. Über die Druckfunktion Ihres Browsers (Strg + P / Cmd + P) können Sie ein PDF speichern. Vor dem Druck bestätigen Sie bitte ggf. den Cookie-Banner. Eine unterschriebene Fassung erhalten Sie auf Anfrage unter hello@torqr.de.

§ 1 Vertragsparteien

Verantwortlicher(im Folgenden "Auftraggeber") — vom Auftraggeber auszufüllen:

Firma: [FIRMA]
Anschrift: [STRASSE, PLZ, ORT]
Vertretungsberechtigt: [NAME]
E-Mail: [KONTAKT-EMAIL]

Auftragsverarbeiter(im Folgenden "Auftragnehmer"):

Yannik Dorth (Einzelunternehmer)
Puller Weg 2
35794 Mengerskirchen
Deutschland
E-Mail: hello@torqr.de

§ 2 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb der Plattform Torqr zur Unterstützung des Auftraggebers bei der Verwaltung von Endkunden, Heizungsanlagen, Wartungsterminen und der zugehörigen Dokumentation und Kommunikation.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Beendigung des Hauptvertrags gilt § 12 dieses Vertrags.

§ 3 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erhebung, Erfassung, Organisation, Ordnen, Speichern, Anpassen, Abfragen, Verwendung, Übermittlung, Verbreitung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung personenbezogener Daten im Rahmen des Hauptvertrags, einschließlich des automatisierten Versands von Wartungs-Erinnerungen per E-Mail an Endkunden des Auftraggebers.

(2) Zweck der Verarbeitung ist die Erbringung der vereinbarten SaaS-Leistungen für den Auftraggeber gemäß Hauptvertrag.

(3) Eine weitergehende Verarbeitung der Daten für eigene Zwecke des Auftragnehmers findet nicht statt.

§ 4 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind die folgenden Datenarten:

• Stammdaten: Vorname, Nachname, Anrede, Anschrift, ggf. Firmenbezeichnung
• Kontaktdaten: E-Mail-Adresse, Telefonnummer
• Anlagendaten: Hersteller, Modell, Baujahr, Standort, Installations- und Wartungshistorie
• Auftragsdaten: Wartungstermine, Wartungsumfang, eingesetzte Ersatzteile, Notizen des Technikers
• Dokumentations-Inhalte: Fotos und Notizen zu Wartungseinsätzen, soweit vom Auftraggeber hochgeladen
• Kommunikations-Metadaten: Versand- und Lese-Status der vom System versendeten E-Mails

§ 5 Kategorien betroffener Personen

Von der Verarbeitung sind die folgenden Personenkreise betroffen:

• Endkunden des Auftraggebers (Anlagenbetreiber, Hauseigentümer, Mieter)
• Ansprechpartner bei Endkunden, soweit vom Auftraggeber eingepflegt
• Mitarbeiter des Auftraggebers, die Zugriff auf die Plattform haben (deren Daten werden vom Auftraggeber selbst angelegt)

§ 6 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers (§ 11). Die im Hauptvertrag, in dieser Vereinbarung und in der Standard-Konfiguration der Plattform enthaltenen Festlegungen gelten als anfänglich dokumentierte Weisungen.

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung bis zu einer Bestätigung oder Änderung durch den Auftraggeber auszusetzen.

(3) Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen schriftlich zur Vertraulichkeit oder sichert ab, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung wirkt auch nach Beendigung des Auftrags fort.

(4) Der Auftragnehmer trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmenzur Sicherheit der Verarbeitung; diese ergeben sich aus § 7 sowie der Anlage "TOM" zu diesem Vertrag.

(5) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten

a) bei der Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der Rechte aus Art. 15 bis 22 DSGVO,

b) bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten,

c) bei der Durchführung einer ggf. erforderlichen Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

(6) Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten i.S.d. Art. 33 DSGVO unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnis. Die Meldung enthält die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit dem Auftragnehmer bekannt.

(7) Der Auftragnehmer benennt eine Kontaktstelle für Datenschutzfragen: hello@torqr.de.

(8) Der Auftragnehmer führt ein Verzeichnis aller Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung gemäß Art. 30 Abs. 2 DSGVO.

§ 7 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Die zum Zeitpunkt des Vertragsschlusses bestehenden technischen und organisatorischen Maßnahmen ergeben sich aus der nachstehenden Übersicht. Der Auftragnehmer ist berechtigt, diese Maßnahmen weiterzuentwickeln, solange das vereinbarte Schutzniveau nicht unterschritten wird.

7.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Verarbeitung ausschließlich in Cloud-Rechenzentren der eingesetzten Auftragsverarbeiter (Vercel, Supabase, Upstash, Cal.com, PostHog, Resend), für die zertifizierte Zutrittskontrollkonzepte (ISO 27001 oder vergleichbar) vorliegen.
• Zugangskontrolle: Authentifizierung der Plattformnutzer per E-Mail/Passwort mit bcrypt-Hashing (Cost-Faktor ≥ 12). Optionale Mehr-Faktor-Authentifizierung. Verwaltungszugänge des Auftragnehmers ausschließlich über persönliche Konten mit Mehr-Faktor-Authentifizierung. Keine geteilten Administrator-Accounts.
• Zugriffskontrolle: Tenant-Isolation auf Applikations­ebene durch zwingendes Scoping aller Datenzugriffe auf eine companyId. Endkundendaten eines Auftraggebers sind für andere Auftraggeber technisch nicht erreichbar.
• Trennungskontrolle: Logische Trennung der Daten unterschiedlicher Auftraggeber innerhalb einer gemeinsamen Datenbank durch tenant-gebundene Identifikatoren; getrennte Datenbank-Schemata für Produktiv-, Test- und Entwicklungsumgebungen.
• Pseudonymisierung: Wo technisch möglich (z.B. Analyse-Tooling) werden Daten pseudonymisiert verarbeitet. Endkundendaten werden zur Erfüllung des Hauptvertragszwecks im Klartext verarbeitet, was eine Pseudonymisierung in der Hauptverarbeitung ausschließt.

7.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle / Transportverschlüsselung: Sämtliche Datenübertragungen zwischen Browser/Mobilgerät und Plattform sowie zwischen Plattform und Subunternehmern erfolgen verschlüsselt (TLS 1.3 wo verfügbar, mindestens TLS 1.2). HTTP wird auf HTTPS umgeleitet (HSTS).
• Eingabekontrolle: Protokollierung von Anmelde-, Lösch- und Veränderungsereignissen auf Account-Ebene. Audit-Logs werden mindestens 30 Tage aufbewahrt.
• Verschlüsselung at-rest: Datenbank und Object Storage werden mit AES-256 verschlüsselt auf Speichermedien abgelegt.

7.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Backups: Tägliche, automatische Datenbank-Backups, mindestens 7 Tage rollierend aufbewahrt; Object-Storage-Versionierung für Foto-Uploads.
• Redundanz: Hosting in einer EU-Region mit Multi-AZ-Datenbankreplikation durch den Datenbankanbieter (Supabase) und automatischer Wiederherstellung im Fehlerfall.
• Notfallplan: Dokumentierte Wiederanlauf­prozedur für Account-Recovery und Datenbank-Restore; jährlicher Test-Restore.

7.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Datenschutz-Management: Jährliche Überprüfung dieser Vereinbarung, der eingesetzten Subunternehmer und der getroffenen TOMs auf Aktualität.
• Incident-Response-Prozess: Dokumentierter Prozess für die Behandlung von Datenpannen mit den 72-Stunden-Meldepflichten nach Art. 33 DSGVO.
• Schwachstellen-Management: Abonnement der Sicherheitshinweise der eingesetzten Bibliotheken und Cloud-Anbieter; zeitnahe Einspielung sicherheitsrelevanter Updates.

§ 8 Subunternehmer (weitere Auftragsverarbeiter)

(1) Der Auftraggeber stimmt der Einschaltung der nachstehend genannten Subunternehmer (Unterauftragsverarbeiter) als allgemeine schriftliche Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO zu:

• Vercel Inc. — US-Mutterhaus, Verarbeitung in EU-Region. Hosting, optional Vercel Analytics. Drittlandbezug: DPF + SCC.
• PostHog Inc. — US-Mutterhaus, EU-Server (Frankfurt am Main). Optionales Product Analytics. Drittlandbezug: DPF + SCC.
• Supabase Inc. — US-Mutterhaus, eu-central-1 (Frankfurt am Main). Datenbank + Object Storage. Drittlandbezug: DPF + SCC.
• Resend, Inc. — US-Mutterhaus, EU-Versandregion. Transaktionaler E-Mail-Versand. Drittlandbezug: DPF + SCC.
• Upstash, Inc. — EU-Region. Rate-Limiting / Caching. Drittlandbezug: SCC.
• Cal.com, Inc. — Verarbeitung in EU-Region. Buchungssystem für Wartungstermine. Drittlandbezug: DPF + SCC.

(2) Mit allen Subunternehmern bestehen Auftragsverarbeitungs­verträge auf einem dem vorliegenden Vertrag entsprechenden Schutzniveau.

(3) Der Auftragnehmer wird beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter vorab in Textform anzeigen. Der Auftraggeber kann der Änderung aus wichtigem Grund — insbesondere wenn das Schutzniveau gefährdet ist — innerhalb von vier Wochen widersprechen. Im Fall eines berechtigten Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht des Hauptvertrags zu.

(4) Eine aktuelle Subunternehmer-Liste kann jederzeit unter hello@torqr.de angefordert werden.

§ 9 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Rechtmäßigkeit der Verarbeitung der von ihm in die Plattform eingepflegten personenbezogenen Daten.

(2) Der Auftraggeber bleibt für die Information der betroffenen Personen und die Wahrung ihrer Rechte nach Art. 13 bis 22 DSGVO verantwortlich.

(3) Der Auftraggeber hat das Recht, sich von der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen durch den Auftragnehmer im Rahmen einer Kontrolle zu überzeugen. Die Kontrolle wird mit angemessener Vorankündigung (mindestens 30 Tage), während der üblichen Geschäftszeiten, ohne Störung des Betriebsablaufs und höchstens einmal pro Jahr durchgeführt. Auf Wunsch des Auftragnehmers ist die Kontrolle durch einen zur Verschwiegenheit verpflichteten Sachverständigen durchzuführen.

(4) Der Auftragnehmer kann seinen Nachweispflichten in zumutbarem Umfang durch die Vorlage von Zertifikaten, Selbstauskunfts­berichten oder Auditberichten der eingesetzten Cloud-Anbieter genügen.

§ 10 Mitteilungspflichten

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, sobald ihm

a) Anfragen oder Maßnahmen einer Aufsichtsbehörde gegenüber dem Auftragnehmer im Zusammenhang mit den im Auftrag verarbeiteten Daten bekannt werden,

b) Beschlagnahmungs- oder Sicherstellungsmaßnahmen, Insolvenzverfahren oder Vergleichsverfahren, die diesen Vertrag betreffen, drohen oder ergehen.

(2) Der Auftragnehmer informiert den Auftraggeber zudem unverzüglich über Anfragen von betroffenen Personen, die sich direkt an den Auftragnehmer wenden, und leitet diese Anfragen, soweit der Bezug zum Auftraggeber zweifelsfrei zugeordnet werden kann, an diesen weiter.

(3) Mitteilungen erfolgen über die im Account hinterlegte Datenschutz-Kontakt-E-Mail-Adresse des Auftraggebers; alternativ über jede dem Auftragnehmer bekannte Kontaktadresse.

§ 11 Weisungsrecht des Auftraggebers

(1) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisungen des Auftraggebers. Als Standard-Weisung gelten die im Hauptvertrag und in diesem Vertrag festgelegten Verarbeitungen.

(2) Einzelweisungen, die vom Standard abweichen, bedürfen der Textform (z.B. E-Mail an hello@torqr.de). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Der Auftragnehmer dokumentiert Weisungen und deren Umsetzung; die Dokumentation wird mindestens für die Dauer des Vertrags und drei Jahre darüber hinaus aufbewahrt.

(4) Weisungen, die über das vertraglich vereinbarte Leistungs­spektrum hinausgehen, werden als Auftragserweiterung behandelt. Der Auftragnehmer kann die Umsetzung von einem zusätzlichen Vergütungs­ansatz abhängig machen.

§ 12 Beendigung — Rückgabe und Löschung

(1) Nach Beendigung des Hauptvertrags hat der Auftraggeber 30 Tage lang Gelegenheit, seine Daten in einem strukturierten, gängigen Format aus der Plattform zu exportieren.

(2) Spätestens 90 Tage nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle dem Auftraggeber zuzuordnenden Daten vollständig — einschließlich der bei Subunternehmern gespeicherten Daten —, soweit nicht eine gesetzliche Aufbewahrungspflicht entgegensteht.

(3) Backups werden gemäß ihrer rollierenden Aufbewahrungs­zyklen automatisch überschrieben. Eine darüber hinausgehende vorzeitige Löschung von Backups schuldet der Auftragnehmer nicht.

(4) Auf Verlangen des Auftraggebers stellt der Auftragnehmer eine schriftliche Löschbestätigung in Textform aus.

§ 13 Haftung

(1) Die Haftung der Parteien gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO.

(2) Im Innenverhältnis zwischen Auftraggeber und Auftragnehmer richtet sich die Haftung nach den Bestimmungen des Hauptvertrags. Die dortigen Haftungs­regelungen gelten entsprechend, soweit dieser Vertrag keine Sonderregelung enthält.

(3) Bei Forderungen Dritter aufgrund von Pflichtverletzungen einer Partei stellt diese die jeweils andere Partei in dem ihr zurechenbaren Umfang von Ansprüchen frei.

§ 14 Schlussbestimmungen

(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegen.

(2) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Schriftform­erfordernisses.

(3) Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die ihrem wirtschaftlichen Zweck am nächsten kommt.

(4) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(5) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist — soweit der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist — der Sitz des Auftragnehmers (Mengerskirchen). Der Auftragnehmer ist jedoch berechtigt, den Auftraggeber auch an dessen allgemeinem Gerichtsstand zu verklagen.

(6) Bei Widersprüchen zwischen dem Hauptvertrag und diesem AVV gehen die Regelungen dieses AVV in Bezug auf die Auftragsverarbeitung vor.

Unterschriften

Auftraggeber
Ort, Datum: [ORT], [DATUM]

___________________________________
Name: [NAME]
Funktion: [FUNKTION]

Auftragnehmer
Ort, Datum: Mengerskirchen, [DATUM]

___________________________________
Yannik Dorth

← Zurück zur Startseite