Auftragsverarbeitungsvereinbarung (AVV)
Diese Vereinbarung nach Art. 28 DSGVO gilt für Kunden, die über Flurwert personenbezogene Daten verarbeiten. In diesem Fall ist der Kunde der Verantwortliche und die Growthpaca GmbH der Auftragsverarbeiter. Sie ergänzt die Allgemeinen Geschäftsbedingungen und wird mit dem Kunden im Rahmen des Vertragsverhältnisses geschlossen. Verarbeitet ein Kunde über Flurwert keine personenbezogenen Daten (z. B. ausschließlich Flurstückskennungen ohne Personenbezug), ist eine Auftragsverarbeitung nicht erforderlich.
§ 1 Gegenstand, Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen (Bereitstellung und Betrieb der Plattform Flurwert). Art, Umfang und Zweck der Verarbeitung, die Art der Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.
§ 2 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung des Verantwortlichen, soweit er nicht durch das Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
§ 3 Vertraulichkeit
Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 4 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Der aktuelle Stand ist in Anlage 2 beschrieben. Die Maßnahmen können im Lauf des Vertrags weiterentwickelt werden, dürfen das Schutzniveau dabei aber nicht unterschreiten.
§ 5 Unterauftragsverarbeiter
Der Verantwortliche erteilt seine allgemeine Genehmigung zum Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter erlegt diesen die gleichen Datenschutzpflichten auf, wie sie in dieser Vereinbarung festgelegt sind. Beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) teilt der Auftragsverarbeiter rechtzeitig mit; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
§ 6 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und stellt die zur Erfüllung der Melde- und Benachrichtigungspflichten erforderlichen Informationen bereit.
§ 8 Löschung und Rückgabe
Nach Abschluss der Leistungen löscht der Auftragsverarbeiter die personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
§ 9 Nachweise und Kontrollen
Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — in angemessenem Rahmen, ggf. nach vorheriger Ankündigung und unter Wahrung der Betriebsabläufe.
§ 10 Haftung und Schlussbestimmungen
Für die Haftung gilt Art. 82 DSGVO; ergänzend gelten die Haftungsregelungen der AGB. Es gilt deutsches Recht. Bei Widersprüchen zwischen dieser Vereinbarung und den AGB gehen in Datenschutzfragen die Regelungen dieser Vereinbarung vor. Änderungen bedürfen der Textform.
Anlage 1 — Gegenstand der Verarbeitung
Art und Zweck
Bereitstellung und Betrieb der Plattform Flurwert zur Verwaltung, Auswertung und Bewertungs-Indikation von land- und forstwirtschaftlichen Flächen für den Verantwortlichen.
Kategorien personenbezogener Daten
- Bestands- und Kontaktdaten der Nutzer des Verantwortlichen (z. B. Name, E-Mail-Adresse, Rolle),
- Anmelde- und Protokolldaten (z. B. Zeitpunkte von An-/Abmeldungen),
- vom Verantwortlichen eingestellte Inhalts- und Flächendaten, soweit diese im Einzelfall einen Personenbezug aufweisen.
Kategorien betroffener Personen
- Beschäftigte und sonstige Nutzer des Verantwortlichen,
- Dritte, deren personenbezogene Daten der Verantwortliche in Flurwert verarbeitet.
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Verschlüsselung: Transportverschlüsselung (TLS/HTTPS) für sämtliche Verbindungen; Passwörter werden ausschließlich als kryptografische Hashes gespeichert.
- Zugriffskontrolle: rollen- und mandantenbezogene Zugriffsbeschränkungen; Trennung der Daten verschiedener Kunden auf Datenbankebene (mandantenbezogene Isolierung).
- Authentifizierung: sichere Sitzungsverwaltung über httpOnly-Cookies.
- Vertraulichkeit/Integrität: Protokollierung sicherheitsrelevanter Vorgänge (Audit-Log).
- Verfügbarkeit: Hosting in deutschen Rechenzentren, regelmäßige Datensicherungen.
- Organisation: Verpflichtung der eingesetzten Personen auf Vertraulichkeit; Auswahl von Auftragsverarbeitern nach Datenschutzkriterien.
Anlage 3 — Genehmigte Unterauftragsverarbeiter
| Dienstleister | Sitz | Leistung |
|---|---|---|
| Hetzner Online GmbH | Deutschland | Hosting / Server-Infrastruktur |
| Brevo GmbH | Deutschland / EU | Versand von System- und Newsletter-E-Mails |
| Stripe Payments Europe, Ltd. | Irland (EU) | Zahlungsabwicklung (nur bei kostenpflichtigen Tarifen) |
Soweit ein Unterauftragsverarbeiter Daten in einem Drittland verarbeitet, erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien (z. B. Standardvertragsklauseln).
Stand: Juni 2026