Auftragsverarbeitung (AVV)
Vertrag nach Art. 28 DSGVO – Stand: März 2026
1. Gegenstand und Dauer der Verarbeitung
Die IHE Ingenieurgesellschaft mbH (nachfolgend "Auftragsverarbeiter") verarbeitet personenbezogene Daten im Auftrag des Kunden (nachfolgend "Verantwortlicher") im Rahmen der Bereitstellung des Kundenportals und der TGA-Planungsleistungen.
Die Verarbeitung beginnt mit Vertragsabschluss und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Auftragsende unter Beachtung gesetzlicher Aufbewahrungsfristen.
2. Art und Zweck der Verarbeitung
- Bereitstellung und Betrieb des IHE-Kundenportals
- Dokumentenmanagement (Upload, Versionierung, Archivierung)
- Projektverwaltung und Kostentracking (DIN 276)
- KI-gestützte Planungsunterstützung (MCP-Assistent)
- E-Mail-Benachrichtigungen zu Projektfortschritt
3. Art der personenbezogenen Daten
- Kontaktdaten (Name, E-Mail, Telefon)
- Zugangsdaten (verschlüsselte Passwörter, Sessions)
- Projektbezogene Daten (Planungsdokumente, Protokolle)
- Nutzungsdaten (Zugriffszeiten, Aktivitätsprotokolle)
- Kommunikationsdaten (Projektnotizen, Kommentare)
4. Kategorien betroffener Personen
- Mitarbeiter des Verantwortlichen
- Projektbeteiligte (Architekten, Fachplaner, Bauherrenvertreter)
- Externe Dienstleister und Subunternehmer
5. Technische und organisatorische Maßnahmen (TOM)
- SSL/TLS-Verschlüsselung aller Übertragungen
- Row Level Security (RLS) für mandantenbasierte Datenisolation
- Rollenbasierte Zugriffskontrolle (RBAC)
- Verschlüsselte Datenspeicherung in EU-Rechenzentren
- Regelmäßige Backups und Disaster Recovery
- Logging und Audit-Trail für datenschutzrelevante Aktionen
6. Unterauftragnehmer
Folgende Unterauftragnehmer werden für die Verarbeitung eingesetzt:
| Dienst | Anbieter | Zweck | Standort | AVV |
|---|---|---|---|---|
| Supabase | Supabase Inc. | Datenbank, Auth, Storage | Frankfurt, EU | ✓ |
| IONOS | IONOS SE | VPS-Hosting Frontend & Backend (Docker) | Deutschland | ✓ |
| Scaleway | Scaleway SAS (Iliad) | KI-Inferenz (GPU) | Paris, Frankreich | ✓ |
| Mailjet | Mailjet SAS | E-Mail-Versand | Paris, Frankreich | ✓ |
Alle Unterauftragnehmer wurden auf Konformität mit der DSGVO geprüft. Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO liegen für alle genannten Dienste vor.
7. Rechte und Pflichten des Verantwortlichen
- Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
- Er erteilt dem Auftragsverarbeiter Weisungen zur Datenverarbeitung.
- Er kontrolliert die Einhaltung der datenschutzrechtlichen Vorgaben.
8. Kontakt für Datenschutzanfragen
IHE – Innovative Hybrid Elektroplanung
Datenschutzbeauftragter
Nikolastr. 9, 94081 Fürstenzell
E-Mail: datenschutz@ihe.de