Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien für die Verarbeitung personenbezogener Daten, die der Auftragnehmer im Rahmen der Bereitstellung von cleanlist.app im Auftrag des Auftraggebers durchführt. Er gilt mit Abschluss des Hauptvertrages (Nutzung von cleanlist.app) und ist dessen integrierender Bestandteil.

Verantwortlicher (im Folgenden „Auftraggeber“): der jeweilige Kunde, der cleanlist.app nutzt.

Auftragsverarbeiter (im Folgenden „Auftragnehmer“):
Wogenfels GmbH, Pribelsdorf 87, 9125 Eberndorf, Österreich · FN 494514 b, Landesgericht Klagenfurt · E-Mail: hallo@cleanlist.app

1. Gegenstand und Dauer

1.1. Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers zur Erbringung der vertraglich vereinbarten SaaS-Leistungen (digitale Checklisten, Durchläufe, Nachweise, Schadensmeldungen, API/MCP/Webhooks).

1.2. Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrages. Eine Kündigung des Hauptvertrages gilt zugleich als Kündigung dieses AVV.

2. Art und Zweck der Verarbeitung

Die Verarbeitung dient der Bereitstellung der cleanlist-Plattform: Erstellen und Veröffentlichen von Checklisten, login-loses Ausfüllen durch ausführende Personen per Link/QR-Code, Erfassung von Ergebnissen, Notizen, Foto- und Schadensnachweisen, Auswertung im Dashboard sowie – soweit vom Auftraggeber konfiguriert – Übermittlung von Ereignisdaten über API und Webhooks.

3. Kategorien betroffener Personen und Daten

3.1. Betroffene Personen: Mitarbeitende und Administratoren des Auftraggebers, ausführende Personen (Operatoren, z. B. Reinigungskräfte), gegebenenfalls weitere vom Auftraggeber einbezogene Personen.

3.2. Datenkategorien:

• Bestands-/Kontaktdaten von Administratoren (Name, E-Mail-Adresse, Organisation, Passwort-Hash);
• Namen und Angaben der ausführenden Personen, die diese beim Ausfüllen angeben;
• Inhalts- und Nutzungsdaten der Durchläufe (Häkchen, Werte, Notizen, Zeitstempel, Report-Codes);
• Foto-/Bilddaten als Nachweis sowie Schadensmeldungen (Beschreibung, Ort, Schweregrad, Status);
• technische Metadaten (z. B. Sprache, Zeitpunkte).

3.3. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Gegenstand dieses AVV; der Auftraggeber stellt sicher, dass solche Daten nicht ohne gesonderte Vereinbarung und Rechtsgrundlage in die Plattform eingebracht werden.

4. Pflichten des Auftragnehmers

4.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern nicht eine Rechtsvorschrift ihn zur Verarbeitung verpflichtet.

4.2. Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

4.3. Der Auftragnehmer ergreift die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Punkt 5).

4.4. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Möglichen bei der Beantwortung von Anträgen Betroffener sowie bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO.

4.5. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

5. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragnehmer trifft insbesondere folgende Maßnahmen:

• Verschlüsselung: TLS-Verschlüsselung der Datenübertragung; sichere Speicherung von Passwörtern als Hash.
• Vertraulichkeit & Zugriffskontrolle: rollen- und organisationsbezogene Zugriffsbeschränkungen (strenge Mandantentrennung), Authentifizierung über etablierte Bibliotheken, API-Key-/OAuth-basierte Zugriffe.
• EU-Datenresidenz: Hosting der Kerndaten ausschließlich auf Servern innerhalb der EU (Hetzner, Deutschland).
• Integrität & Verfügbarkeit: abgesicherte Server-Infrastruktur, Logging, Backups im Rahmen des Hostings.
• Speicherbegrenzung: automatische Löschung von Nachweis-Fotos nach den je Workspace eingestellten Löschfristen.
• Datensparsamkeit: login-loses Ausfüllen ohne Profilbildung; Erfassung nur der für den Nachweis erforderlichen Daten.

6. Unterauftragsverarbeiter

6.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, die nachfolgenden Unterauftragsverarbeiter einzusetzen:

Unterauftragsverarbeiter	Sitz	Zweck
Hetzner Online GmbH	Deutschland (EU)	Hosting / Server-Infrastruktur
WebBuilds B.V. (Ploi)	Niederlande (EU)	Servermanagement / Deployment
Resend, Inc.	USA	Versand von System-/Transaktions-E-Mails
Stripe Payments Europe, Ltd.	Irland (EU)	Zahlungsabwicklung
HubSpot Ireland Ltd.	Irland (EU)	CRM / Bearbeitung von Anfragen

6.2. Bei Unterauftragsverarbeitern außerhalb der EU/des EWR stellt der Auftragnehmer ein angemessenes Datenschutzniveau sicher (EU-US Data Privacy Framework bzw. Standardvertragsklauseln).

6.3. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.

7. Bring your own AI (MCP) — Klarstellung der Verantwortlichkeit

cleanlist betreibt keine eigene Künstliche Intelligenz. Bindet der Auftraggeber ein externes KI-Modell (z. B. ChatGPT oder Claude) über die MCP-Schnittstelle an, übermittelt cleanlist die angefragten Daten an das vom Auftraggeber gewählte Modell. Diese Übermittlung erfolgt auf Veranlassung und in Verantwortung des Auftraggebers; der jeweilige KI-Anbieter ist nicht Unterauftragsverarbeiter im Sinne dieses AVV, sondern ein vom Auftraggeber eigenständig beauftragter Empfänger. Der Auftraggeber ist für die Rechtmäßigkeit dieser Anbindung und einen etwaig erforderlichen Vertrag mit dem KI-Anbieter selbst verantwortlich.

8. Betroffenenrechte und Mitwirkung

Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträgen Betroffener auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch nachzukommen. Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter.

9. Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer meldet dem Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wurde, und unterstützt ihn bei dessen Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.

10. Löschung und Rückgabe nach Beendigung

Nach Abschluss der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern keine gesetzliche Pflicht zur Speicherung besteht. Es gilt die im Hauptvertrag vereinbarte Übergangsfrist von maximal 30 Tagen für den Datenexport.

11. Nachweise und Kontrollen

Der Auftragnehmer stellt dem Auftraggeber auf Anforderung die zum Nachweis der Einhaltung der Pflichten aus diesem AVV erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen.

12. Schlussbestimmungen

Im Übrigen gelten die Bestimmungen des Hauptvertrages und dieser AGB. Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen gehen hinsichtlich der Datenverarbeitung die Regelungen dieses AVV vor. Es gilt österreichisches Recht.

Diesen AVV stellen wir auf Anfrage auch als unterzeichenbares Dokument (PDF) bereit. Bitte wenden Sie sich an hallo@cleanlist.app.