Auftragsverarbeitung (AVV)
Vertrag nach Art. 28 DSGVO – Stand: Mai 2026
1. Gegenstand und Dauer der Verarbeitung
Die IHE Ingenieurgesellschaft mbH (nachfolgend "Auftragsverarbeiter") verarbeitet personenbezogene Daten im Auftrag des Kunden (nachfolgend "Verantwortlicher") im Rahmen der Bereitstellung des Kundenportals und der Ingenieurleistungen (Elektrotechnik und Gebäudeautomation).
Die Verarbeitung beginnt mit Vertragsabschluss und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Auftragsende unter Beachtung gesetzlicher Aufbewahrungsfristen.
2. Art und Zweck der Verarbeitung
- Bereitstellung und Betrieb des IHE-Kundenportals
- Dokumentenmanagement (Upload, Versionierung, Archivierung)
- Projektverwaltung und Kostentracking (DIN 276)
- KI-gestützte Planungsunterstützung (MCP-Assistent)
- E-Mail-Benachrichtigungen zu Projektfortschritt
3. Art der personenbezogenen Daten
- Kontaktdaten (Name, E-Mail, Telefon)
- Zugangsdaten (verschlüsselte Passwörter, Sessions)
- Projektbezogene Daten (Planungsdokumente, Protokolle)
- Nutzungsdaten (Zugriffszeiten, Aktivitätsprotokolle)
- Kommunikationsdaten (Projektnotizen, Kommentare)
4. Kategorien betroffener Personen
- Mitarbeiter des Verantwortlichen
- Projektbeteiligte (Architekten, Fachplaner, Bauherrenvertreter)
- Externe Dienstleister und Subunternehmer
5. Technische und organisatorische Maßnahmen (TOM)
- SSL/TLS-Verschlüsselung aller Übertragungen
- Row Level Security (RLS) für mandantenbasierte Datenisolation
- Rollenbasierte Zugriffskontrolle (RBAC)
- Verschlüsselte Datenspeicherung in EU-Rechenzentren
- Regelmäßige Backups und Disaster Recovery
- Logging und Audit-Trail für datenschutzrelevante Aktionen
6. Unterauftragnehmer
Folgende Unterauftragnehmer werden für die Verarbeitung eingesetzt:
| Dienst | Anbieter | Zweck | Standort | AVV |
|---|---|---|---|---|
| Supabase | Supabase Inc. | Datenbank, Auth, Storage | Frankfurt, EU | ✓ |
| IONOS | IONOS SE | VPS-Hosting Frontend & Backend (Docker) | Deutschland | ✓ |
| Scaleway | Scaleway SAS (Iliad) | KI-Inferenz (GPU) | Paris, Frankreich | ✓ |
| Microsoft 365 | Microsoft Ireland Operations Ltd. | E-Mail-Versand (Graph App-Permission Mail.Send), Shared-Mailboxes datenschutz@ / bewerbung@, optional M365-Co-Pilot-Plugin (Mail / Kalender, OAuth-delegiert) | Dublin, Irland (EU) — Mutterkonzern Microsoft Corp. (USA) | ✓ +SCC+TIA |
| Hornetsecurity | Hornetsecurity GmbH | Inbound-Mailflow-Filter / MX-Provider für @ihe.de (Spam-, Malware-, Phishing-Schutz vor M365-Postfächern) | Hannover, Deutschland | ✓ |
Alle Unterauftragnehmer wurden auf Konformität mit der DSGVO geprüft. Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO liegen für alle genannten Dienste vor. Für Microsoft 365 wird die Datenübermittlung in die USA durch die EU-Standardvertragsklauseln (SCC) der Europäischen Kommission vom 04.06.2021 abgesichert; ein Transfer Impact Assessment (TIA) gemäß Schrems II ist intern dokumentiert und wird auf Anfrage zur Verfügung gestellt. Mailjet wurde mit v1.10 abgelöst — der Versand läuft seither vollständig über Microsoft Graph.
7. Rechte und Pflichten des Verantwortlichen
- Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
- Er erteilt dem Auftragsverarbeiter Weisungen zur Datenverarbeitung.
- Er kontrolliert die Einhaltung der datenschutzrechtlichen Vorgaben.
8. Kontakt für Datenschutzanfragen
IHE – Innovative Hybrid Elektroplanung
Datenschutzbeauftragter
Nikolastr. 9, 94081 Fürstenzell
E-Mail: datenschutz@ihe.de