Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Stand: 11. Juni 2026 (Version: 2026-06-11-avv)

Hinweis: Dieser Auftragsverarbeitungsvertrag ergänzt die AGB von DokuLabel. Mit Abschluss eines DokuLabel-Abonnements als Unternehmer (§ 14 BGB) wird dieser AVV zwischen dem Kunden als Verantwortlichem und Penzkofer-EDV als Auftragsverarbeiter wirksam. Eine separate Unterzeichnung ist nicht erforderlich, sofern nicht ausdrücklich eine individuelle schriftliche Vereinbarung gewünscht wird.

Präambel

Der Auftraggeber nutzt die Software-as-a-Service-Lösung „DokuLabel“. Im Rahmen der Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Auftraggebers. Dieser Vertrag regelt die Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.

§ 1 Vertragsparteien

Auftraggeber (Verantwortlicher):
Der jeweilige DokuLabel-Kunde, der im Rahmen des Registrierungs- oder Bestellprozesses seine Unternehmensdaten hinterlegt (Name, Anschrift, E-Mail, ggf. USt-ID). Der Auftraggeber handelt als Unternehmer im Sinne des § 14 BGB.

Auftragsverarbeiter:
Penzkofer-EDV
Inhaber: Michael Penzkofer
Graf-Konrad-Str. 21
85368 Moosburg
Deutschland
E-Mail: info@dokulabel.de
Telefon: +49 8761 666942

§ 2 Gegenstand und Dauer

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers im Zusammenhang mit der Bereitstellung und Nutzung der DokuLabel-Software (Web-Anwendung, mobile App, zugehörige Speicher- und Kommunikationsdienste).
(2) Die Dauer dieses Vertrags entspricht der Laufzeit des zwischen den Parteien bestehenden DokuLabel-Abonnementvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, vorbehaltlich der in § 11 geregelten Nachverarbeitung.

§ 3 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der:

  • Bereitstellung und Betrieb der DokuLabel-Software (Hosting, Authentifizierung, Speicherung)
  • Verwaltung von Projekten, Bauteilen, Kabeln und technischen Dokumentationen
  • Erzeugung und Bereitstellung von QR-Code-Verlinkungen zu Bauteilinformationen
  • Speicherung und Bereitstellung vom Auftraggeber hochgeladener PDF-Dokumente
  • KI-gestützter Typenschild- und PDF-Datenextraktion (Hilfsfunktion)
  • Versand transaktionaler E-Mails an Nutzer des Auftraggebers
  • Erstellung von Datenexporten und Archiven bei Vertragsende
  • IT-Sicherheit, Fehleranalyse und Missbrauchsprävention

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers, die sich aus diesem Vertrag, den AGB und der vertragsgemäßen Nutzung der Software ergibt.

§ 4 Art der personenbezogenen Daten

Je nach Nutzung durch den Auftraggeber können folgende Datenarten verarbeitet werden:

  • Stammdaten von Nutzern (Name, E-Mail-Adresse, Rolle, Firmenzugehörigkeit)
  • Projekt-, Bauteil- und Kabeldaten (Bezeichnungen, technische Attribute, Beschreibungen)
  • QR-Code-Tokens und Verknüpfungen zu Dokumenten
  • Hochgeladene PDF-Dokumente und zugehörige Metadaten
  • Fotos von Typenschildern und Textauszüge aus PDFs (KI-Verarbeitung)
  • Nutzungs- und Protokolldaten (Zeitstempel, IP-Adressen, Aktivitätsprotokolle)
  • Support-Kommunikation

§ 5 Kategorien betroffener Personen

  • Mitarbeiter und Beauftragte des Auftraggebers, die DokuLabel nutzen
  • Weitere vom Auftraggeber benannte Personen, deren Daten in der Software erfasst werden
  • Personen, die über öffentliche QR-Links auf Bauteilinformationen zugreifen (soweit der Auftraggeber solche Links bereitstellt)

§ 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  1. personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, vorgeschrieben; in diesem Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht wegen wichtiger öffentlicher Interessen verbietet;
  2. zu gewährleisten, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten bereitzustellen und Audits sowie Inspektionen durch den Auftraggeber oder einen von ihm beauftragten Prüfer zu ermöglichen und dazu beizutragen;
  4. den Auftraggeber unverzüglich zu informieren, wenn er der Auffassung ist, eine Weisung verstoße gegen die DSGVO oder andere Datenschutzvorschriften;
  5. dem Auftraggeber unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen (Anlage 1) bei der Erfüllung der Pflichten zur Beantwortung von Anträgen betroffener Personen behilflich zu sein;
  6. den Auftraggeber unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten zu informieren (§ 9);
  7. dem Auftraggeber bei der Erfüllung der Pflichten gemäß Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen behilflich zu sein;
  8. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten gemäß § 11 zu löschen oder zurückzugeben, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Aufbewahrung vorgeschrieben ist;
  9. dem Auftraggeber alle Informationen bereitzustellen, die zur Überprüfung der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.

§ 7 Pflichten des Auftraggebers

Der Auftraggeber ist insbesondere verantwortlich für:

  • die Rechtmäßigkeit der Datenverarbeitung und das Bestehen einer Rechtsgrundlage gemäß Art. 6 DSGVO
  • die Information der betroffenen Personen gemäß Art. 13 und 14 DSGVO, soweit er Verantwortlicher ist
  • die Richtigkeit und Aktualität der von ihm eingegebenen oder hochgeladenen Daten
  • die Auswahl der in der Software verarbeiteten Daten und deren Umfang
  • die Einhaltung datenschutzrechtlicher Vorgaben bei der Nutzung von QR-Links und öffentlich zugänglichen Bauteilansichten
  • die ordnungsgemäße Datensicherung seiner Daten, insbesondere durch regelmäßige Exporte

§ 8 Weisungsbefugnis

(1) Weisungen des Auftraggebers erfolgen in Textform (E-Mail an info@dokulabel.de, Support-Ticket oder vertraglich vereinbarte Kanäle). Die vertragsgemäße Nutzung der Software gilt als standing instruction für Standardverarbeitungen.
(2) Der Auftragsverarbeiter informiert den Auftraggeber, wenn er zur Annahme einer Weisung rechtlich nicht in der Lage ist.
(3) Mehrkosten aus außergewöhnlichen Weisungen, die über den vertraglichen Leistungsumfang hinausgehen, können gesondert berechnet werden, sofern der Auftraggeber vorab informiert wurde.

§ 9 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, sofern personenbezogene Daten des Auftraggebers betroffen sind.
(2) Die Meldung enthält mindestens: Beschreibung der Art der Verletzung, betroffene Datenkategorien und Personengruppen, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Abhilfemaßnahmen sowie Ansprechpartner für Rückfragen.
(3) Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen gemäß Art. 33 und 34 DSGVO.

§ 10 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen. Der Auftragsverarbeiter informiert den Auftraggeber über beabsichtigte Änderungen (Hinzufügung oder Ersetzung) mindestens 30 Tage im Voraus per E-Mail oder durch Aktualisierung dieser Seite. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 30 Tagen nach Mitteilung widersprechen.
(2) Der Auftragsverarbeiter stellt sicher, dass mit Unterauftragsverarbeitern Vereinbarungen geschlossen werden, die mindestens die in Art. 28 Abs. 3 DSGVO genannten Pflichten enthalten.
(3) Die zum Vertragszeitpunkt eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.

§ 11 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags sperrt der Auftragsverarbeiter den Zugang und stellt dem Auftraggeber für 90 Tage ein vollständiges Export-Archiv (ZIP) zur Verfügung (siehe AGB § 8).
(2) Nach Ablauf der 90-tägigen Aufbewahrungsfrist löscht der Auftragsverarbeiter alle personenbezogenen Daten des Auftraggebers aus den aktiven Systemen unwiderruflich, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(3) Daten in Backups werden im Rahmen der regulären Backup-Rotation überschrieben; eine sofortige Löschung aus allen Backups kann technisch nicht garantiert werden.
(4) Auf schriftliche Anweisung des Auftraggebers kann eine vorzeitige Löschung bestimmter Daten erfolgen, soweit technisch möglich und vertraglich vorgesehen.

§ 12 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags und der datenschutzrechtlichen Vorschriften durch geeignete Nachweise (z.B. Zertifikate, Audit-Berichte, Fragebögen) zu überprüfen.
(2) Vor-Ort-Inspektionen sind nach vorheriger Terminvereinbarung und in angemessenem Umfang zulässig, höchstens einmal jährlich, sofern kein berechtigter Anlass für häufigere Prüfungen besteht. Der Auftraggeber trägt die Kosten, sofern keine Verstöße des Auftragsverarbeiters festgestellt werden.
(3) Der Auftragsverarbeiter kann Nachweise auch durch unabhängige Dritte (z.B. ISO-Zertifizierungen, SOC-Berichte der Unterauftragsverarbeiter) erbringen.

§ 13 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Er passt diese bei Bedarf dem Stand der Technik und den Risiken der Verarbeitung an.

§ 14 Übermittlung in Drittländer

Soweit Unterauftragsverarbeiter in Drittländern (insbesondere USA) eingesetzt werden, erfolgt die Übermittlung auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln der EU-Kommission und/oder Angemessenheitsbeschluss). Betroffene Unterauftragsverarbeiter sind in Anlage 2 gekennzeichnet.

§ 15 Haftung und Schlussbestimmungen

(1) Für Haftungsfragen gelten die Regelungen in den AGB des Auftragsverarbeiters, soweit nicht zwingende datenschutzrechtliche Vorschriften entgegenstehen.
(2) Es gilt deutsches Recht. Gerichtsstand ist Moosburg, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
(3) Änderungen dieses AVV werden dem Auftraggeber mindestens vier Wochen vor Inkrafttreten mitgeteilt. Widerspricht der Auftraggeber nicht innerhalb von vier Wochen, gelten die Änderungen als angenommen. Bei Widerspruch steht beiden Parteien ein außerordentliches Kündigungsrecht zu.
(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 — Technische und organisatorische Maßnahmen (TOMs)

Bereich Maßnahme
Zutrittskontrolle Rechenzentren der Hosting-Partner mit physischer Zutrittskontrolle; kein unberechtigter physischer Zugang zu Servern durch den Auftragsverarbeiter außer über gesicherte Remote-Verwaltung
Zugangskontrolle Authentifizierung per Benutzerkonto und Passwort; optional Zwei-Faktor-Authentifizierung; rollenbasierte Berechtigungen; sichere Passwort-Hashing-Verfahren
Zugriffskontrolle Mandantentrennung nach Unternehmen (company_id); Zugriff auf Bauteildaten nur für berechtigte Nutzer des jeweiligen Auftraggebers; QR-Links über nicht erratbare Tokens
Weitergabekontrolle HTTPS-Verschlüsselung für Datenübertragung; signierte bzw. tokenisierte Zugriffe auf PDF-Dokumente; kein ungeschützter Massenexport ohne Authentifizierung
Eingabekontrolle Protokollierung sicherheitsrelevanter Ereignisse; Zuordnung von Änderungen zu Benutzerkonten
Verfügbarkeitskontrolle Regelmäßige Datenbank-Backups; redundante Speicherung auf S3/Object Storage; Monitoring und Fehlerprotokollierung
Trennungsgebot Logische Trennung der Kundendaten pro Mandant; getrennte Speicherpfade für Kundendateien
Pseudonymisierung/Verschlüsselung Verschlüsselte Übertragung (TLS); Speicherung in gesicherten Rechenzentren; QR-Tokens ohne direkten Personenbezug in der URL

Anlage 2 — Unterauftragsverarbeiter

Stand: 11. Juni 2026

Dienst / Funktion Unternehmen Standort Drittland
Hosting (Web/App-Server) Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen Deutschland Nein
Object Storage (PDF, Archive) STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin Deutschland (eu-central-1) Nein
Zahlungsabwicklung Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland EU (Irland) Nein
Transaktions-E-Mails Mailgun Technologies, Inc., 112 E. Pecan St., San Antonio, TX, USA USA Ja (SCC)
KI-Verarbeitung (Typenschild/PDF) OpenAI, L.L.C., San Francisco, CA, USA USA Ja (SCC / DPF)

Individuelle schriftliche AVV-Exemplare oder Aktualisierungen der Unterauftragsverarbeiter-Liste können unter info@dokulabel.de angefordert werden.