gemäß Art. 28 DSGVO · QuickQuote – quickquote.tech · Stand: März 2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird zwischen dem Anbieter der Software QuickQuote als Auftragsverarbeiter und dem Kunden als Verantwortlichem geschlossen und ergänzt die Allgemeinen Geschäftsbedingungen (AGB) von QuickQuote.
Dieser AVV gilt für alle Verarbeitungstätigkeiten, bei denen der Auftragsverarbeiter im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, die im Rahmen der Nutzung der Software QuickQuote anfallen.
Auftragsverarbeiter:
Lukas Keßler / QuickQuote
Bürgermeister-Fuchs-Str. 70, 68169 Mannheim
E-Mail: info@quickquote.tech
Verantwortlicher:
Der Kunde, wie in den AGB und im Kundenkonto hinterlegt (nachfolgend „Verantwortlicher“ oder „Kunde“).
(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung der cloudbasierten Software QuickQuote zur digitalen Erfassung von Besichtigungsdaten, Projektverwaltung und Angebotsvorbereitung im Handwerksbereich.
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des zwischen den Parteien abgeschlossenen Abonnementvertrags. Nach Beendigung des Vertrags gelten die Regelungen zur Datenlöschung gemäß § 9 dieses AVV.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen, es sei denn, eine rechtliche Verpflichtung schreibt eine anderweitige Verarbeitung vor.
(2) Die Verarbeitung umfasst folgende Tätigkeiten: Speicherung, Strukturierung, Übermittlung und Löschung von Daten im Rahmen der Softwarenutzung.
Im Rahmen der Auftragsverarbeitung können folgende Datenkategorien verarbeitet werden:
| Kategorien betroffener Personen | Art der Daten |
|---|---|
| Mitarbeiter und Nutzer des Kunden | Name, E-Mail-Adresse, Zugangsdaten, Nutzungsverhalten |
| Endkunden des Kunden (z. B. Auftraggeber von Handwerksleistungen) | Name, Adresse, Kontaktdaten, soweit in Projekten erfasst |
| Personen, die auf Fotos abgebildet sind | Bilddaten von Baustellen und Besichtigungen |
| Sonstige Personen, deren Daten der Kunde in der Software erfasst | Sonstige vom Kunden eingegebene personenbezogene Daten |
Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO werden im Rahmen der Nutzung von QuickQuote nicht planmäßig verarbeitet. Der Verantwortliche stellt sicher, dass keine solchen Daten in die Software eingegeben werden.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen und den Bestimmungen dieses AVV.
(2) Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO, soweit dies in seinem Einflussbereich liegt.
(5) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(1) Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Erhebung und Verarbeitung personenbezogener Daten im Rahmen der Nutzung von QuickQuote.
(2) Der Verantwortliche stellt sicher, dass für alle personenbezogenen Daten, die in QuickQuote eingegeben werden, eine geeignete Rechtsgrundlage gemäß Art. 6 DSGVO vorliegt.
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.
(4) Der Verantwortliche gibt Weisungen zur Datenverarbeitung ausschließlich in schriftlicher oder elektronischer Form.
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung zur Beauftragung der folgenden Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Leistung | Sitz / Drittlandtransfer |
|---|---|---|
| Google LLC (Firebase, Cloud) | Hosting, Datenbank, Authentifizierung | USA – EU-U.S. DPF + Standardvertragsklauseln |
| OpenAI, L.L.C. (oder vergleichbarer KI-Dienst) | KI-gestützte Funktionen | USA – Standardvertragsklauseln Art. 46 DSGVO |
| Stripe, Inc. | Zahlungsabwicklung | USA – EU-U.S. DPF + Standardvertragsklauseln |
| Resend, Inc. | Transaktionaler E-Mail-Versand | USA – Standardvertragsklauseln Art. 46 DSGVO |
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder des Austauschs von Unterauftragsverarbeitern. Der Verantwortliche hat das Recht, gegen solche Änderungen innerhalb von vier Wochen nach Mitteilung Einspruch zu erheben.
(3) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter denselben datenschutzrechtlichen Pflichten unterliegen wie er selbst.
(4) Der Auftragsverarbeiter strebt an, personenbezogene Daten primär innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums zu verarbeiten. Soweit eine Verarbeitung in Drittländern erfolgt, wird diese ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO oder eines Angemessenheitsbeschlusses der EU-Kommission durchgeführt.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) im Rahmen des technisch Möglichen.
(2) Eingehende Anfragen betroffener Personen, die sich direkt an den Auftragsverarbeiter wenden, werden unverzüglich an den Verantwortlichen weitergeleitet.
(1) Nach Beendigung des Abonnements werden alle vom Verantwortlichen in QuickQuote gespeicherten Daten für einen Zeitraum von 90 Tagen zur Abholung bereitgehalten. Innerhalb dieses Zeitraums kann der Verantwortliche seine Daten über die Exportfunktion der Software herunterladen. Der Export kann maximal einmal pro Kalendermonat ausgelöst werden; Mediendateien sind nicht Bestandteil des Exportpakets, können jedoch über die im Export enthaltenen Abruflinks geladen werden.
(2) Nach Ablauf der 90-tägigen Frist werden sämtliche personenbezogenen Daten des Verantwortlichen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(3) Auf Wunsch des Verantwortlichen bestätigt der Auftragsverarbeiter die vollständige Löschung der Daten schriftlich.
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.
(2) Die Meldung enthält soweit möglich: eine Beschreibung der Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen.
(3) Die Pflicht zur Meldung der Datenschutzverletzung gegenüber der zuständigen Aufsichtsbehörde liegt beim Verantwortlichen.
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen:
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung | Datenübertragung via TLS/HTTPS, Datenspeicherung verschlüsselt in Google Firebase |
| Zugriffskontrolle | Authentifizierung via Google Firebase Auth, rollenbasierte Zugriffsrechte (Admin/Nutzer) |
| Verfügbarkeitskontrolle | Redundante Cloud-Infrastruktur bei Google Firebase, automatische Backups |
| Trennungskontrolle | Mandantentrennung durch Workspace-Struktur, Datenisolation pro Kunde |
| Pseudonymisierung | Interne Nutzer-IDs statt Klarnamen in Systemlogs |
| Auftragskontrolle | AVV mit allen Unterauftragsverarbeitern (Google, OpenAI, Stripe, Resend) |
| Weitergabekontrolle | Keine Datenweitergabe an Dritte außerhalb der genannten Unterauftragsverarbeiter |
| Eingabekontrolle | Protokollierung von Datenänderungen, Zugriffsrechte nach Rollen |
(1) Der Verantwortliche kann dem Auftragsverarbeiter jederzeit Weisungen zur Verarbeitung personenbezogener Daten erteilen. Weisungen sind schriftlich oder per E-Mail an info@quickquote.tech zu übermitteln.
(2) Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, unterrichtet er den Verantwortlichen unverzüglich. Der Auftragsverarbeiter ist berechtigt, die Ausführung der Weisung bis zur Klärung auszusetzen.
(1) Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Bestimmungen dieses AVV durch den Auftragsverarbeiter zu überprüfen.
(2) Kontrollen werden mit angemessener Vorankündigung (mindestens 5 Werktage) und auf Kosten des Verantwortlichen durchgeführt. Der Auftragsverarbeiter stellt die erforderlichen Informationen und Nachweise zur Verfügung.
(3) Der Auftragsverarbeiter kann anstelle einer Vor-Ort-Prüfung die Vorlage eines aktuellen Prüfberichts eines unabhängigen Dritten anbieten.
(1) Dieser AVV ist Bestandteil der vertraglichen Vereinbarung zwischen den Parteien und ergänzt die AGB von QuickQuote.
(2) Im Falle von Widersprüchen zwischen diesem AVV und den AGB gehen die Bestimmungen dieses AVV in Bezug auf datenschutzrechtliche Fragen vor.
(3) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist Mannheim.
(4) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.
(5) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Dieser AVV tritt mit Abschluss des Abonnementvertrags in Kraft. Durch die Akzeptanz der AGB von QuickQuote stimmt der Kunde gleichzeitig den Bedingungen dieses AVV zu.
Lukas Keßler · Bürgermeister-Fuchs-Str. 70 · 68169 Mannheim · quickquote.tech
Quick