Costor Bau / Rechtliches

Stand des Dokuments: 2. Juli 2026

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

1. Parteien

Dieser Auftragsverarbeitungsvertrag ist Bestandteil der Vereinbarung über die Nutzung von Costor Bau.

Kunde ist der Verantwortliche im Sinne der DSGVO.

SoftCode Piotr Nowacki, Górnicza 67c, 42-600 Tarnowskie Góry, Polen, USt-IdNr.: PL6482058477, ist Auftragsverarbeiter.

2. Gegenstand und Zweck

Gegenstand ist die Bereitstellung, Wartung, Support und Weiterentwicklung von Costor Bau als SaaS-System für Bau-, Sanierungs- und Renovierungsbetriebe.

Die Verarbeitung erfolgt, um dem Kunden Funktionen für Kundenverwaltung, Angebote, Kalkulation, Projektakte, Baustellendokumentation, Nachträge, Kosten, Abrechnung, Support und Sicherheit bereitzustellen.

3. Dauer

Die Auftragsverarbeitung läuft für die Dauer des Vertrags über Costor Bau. Nach Vertragsende gelten die Regelungen zu Export, Löschung, Retention und Backups.

4. Kategorien betroffener Personen

Die Verarbeitung kann Daten folgender Personen betreffen:

  • Benutzer des Kunden
  • Endkunden des Kunden
  • Mitarbeiter und Ansprechpartner
  • Auftraggeber
  • Subunternehmer
  • Lieferanten und Vertragspartner
  • sonstige am Bauprojekt beteiligte Personen

5. Kategorien personenbezogener Daten

Die Verarbeitung kann insbesondere umfassen:

  • Identifikations- und Kontaktdaten
  • Unternehmens- und Adressdaten
  • Projekt-, Baustellen- und Leistungsdaten
  • Fotos, Notizen, Dokumente, Audiodaten und Transkripte
  • Kalkulationen, Angebote, Kostenvoranschläge und Abrechnungsdaten
  • Daten zu Mitarbeitern, Subunternehmern und Ansprechpartnern
  • technische Daten, Logdaten, Benutzer- und Berechtigungsdaten

6. Pflichten des Auftragsverarbeiters

SoftCode verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, sofern keine gesetzliche Pflicht entgegensteht.

SoftCode verpflichtet sich:

  • Vertraulichkeit zu wahren
  • geeignete technische und organisatorische Maßnahmen umzusetzen
  • Personen mit Zugriff auf Daten zur Vertraulichkeit zu verpflichten
  • den Kunden bei Betroffenenrechten im Rahmen des Zumutbaren zu unterstützen
  • den Kunden bei Sicherheits-, Melde- und Nachweispflichten zu unterstützen
  • Verletzungen des Schutzes personenbezogener Daten ohne unangemessene Verzögerung mitzuteilen
  • Informationen bereitzustellen, die für den Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind
  • Daten nach Vertragsende nach Wahl des Kunden zurückzugeben oder zu löschen, soweit keine gesetzlichen Pflichten entgegenstehen

7. Pflichten des Kunden

Der Kunde bleibt verantwortlich für Rechtmäßigkeit, Zweck, Rechtsgrundlage und Informationspflichten gegenüber betroffenen Personen.

Der Kunde muss sicherstellen, dass nur solche Daten in Costor Bau verarbeitet werden, für die eine Rechtsgrundlage besteht.

8. Subprozessoren

Der Kunde erteilt eine allgemeine Genehmigung zur Einbindung von Subprozessoren. Die jeweils aktuelle Liste der Subprozessoren wird unter der entsprechenden Legal-Seite veröffentlicht. Über wesentliche Änderungen wird der Kunde in geeigneter Weise informiert.

Der Kunde kann aus wichtigem datenschutzrechtlichem Grund gegen einen neuen Subprozessor widersprechen. In diesem Fall bemühen sich die Parteien um eine angemessene Lösung.

9. Technisch-organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen sind im Dokument Technisch-organisatorische Maßnahmen / TOMs beschrieben und Bestandteil dieses Vertrags.

10. Unterstützung und Nachweise

SoftCode stellt dem Kunden Informationen zur Verfügung, die zur Erfüllung seiner Pflichten nach Art. 28 DSGVO erforderlich sind, soweit dies technisch, organisatorisch und wirtschaftlich zumutbar ist.

Prüfungen und Audits müssen verhältnismäßig sein, vorher angekündigt werden und dürfen Sicherheit, Betrieb oder Rechte anderer Kunden nicht gefährden.

11. Löschung und Rückgabe

Nach Vertragsende kann der Kunde Export oder Löschung seiner Daten verlangen. Backups werden im Rahmen regulärer Backup-Zyklen überschrieben oder gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten, Sicherheitsgründe oder berechtigte Interessen entgegenstehen.