Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Vertrag regelt die Auftragsverarbeitung personenbezogener Daten im Sinne von Art. 28 DSGVO zwischen dem Verantwortlichen (Kunde) und dem Auftragsverarbeiter (vermieter1.de).

1. Vertragsparteien

Verantwortlicher (Auftraggeber/Kunde)

Auftragsverarbeiter

2. Gegenstand und Dauer der Verarbeitung

Gegenstand: Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen im Bereich der webbasierten Immobilienverwaltung (SaaS). Im Rahmen dieser Dienstleistungen werden personenbezogene Daten verarbeitet.

Dauer: Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages über die Nutzung der Software vermieter1.de.

3. Art und Zweck der Verarbeitung

Art der Verarbeitung:

• Speicherung von Daten
• Bereitstellung der Software-Plattform
• Durchführung von Backups
• Technischer Support
• Hosting der Anwendung und Datenbank

Zweck der Verarbeitung:

• Ermöglichung der Immobilienverwaltung
• Erstellung von Nebenkostenabrechnungen
• Mieterverwaltung
• Dokumentenverwaltung

4. Kategorien betroffener Personen und Daten

Betroffene Personen:

• Mieter des Kunden
• Vermieter (Kunden)
• Geschäftspartner des Kunden

Kategorien personenbezogener Daten:

• Stammdaten (Name, Adresse, Geburtsdatum)
• Kontaktdaten (E-Mail, Telefon)
• Vertragsdaten (Mietverhältnisse, Konditionen)
• Zahlungsdaten (Bankverbindung, Mietzahlungen)
• Abrechnungsdaten (Nebenkostenabrechnungen)
• Dokumentendaten (hochgeladene Dokumente)

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Die Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten
• Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen (Art. 32 DSGVO)
• Die Vertraulichkeit zu wahren
• Mitarbeiter zur Vertraulichkeit zu verpflichten
• Den Verantwortlichen bei der Einhaltung der DSGVO zu unterstützen
• Nach Beendigung des Auftrags alle Daten zu löschen oder zurückzugeben

6. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen implementiert:

Zutrittskontrolle:

• Hosting in professionellen Rechenzentren (Render.com)
• Physische Zugangskontrolle durch Hosting-Provider

Zugangskontrolle:

• Passwortgeschützte Benutzerkonten
• Verschlüsselte Passwörter (Bcrypt)
• Session-Management

Zugriffskontrolle:

• Rollenbasiertes Zugriffskonzept
• Nutzer können nur eigene Daten einsehen

Übertragungskontrolle:

• TLS/SSL-Verschlüsselung (HTTPS)
• Verschlüsselte Datenbankverbindungen

Verfügbarkeitskontrolle:

• Regelmäßige Backups
• Hochverfügbare Infrastruktur
• Monitoring und Alerting

7. Einsatz von Subunternehmern

Der Auftragsverarbeiter ist berechtigt, folgende Subunternehmer einzusetzen:

Änderungen der Subunternehmer werden dem Verantwortlichen mindestens 4 Wochen im Voraus mitgeteilt. Der Verantwortliche hat ein Widerspruchsrecht.

8. Rechte des Verantwortlichen

Der Verantwortliche hat das Recht:

• Auskünfte über die Verarbeitung zu erhalten
• Die Einhaltung der Vereinbarungen zu überprüfen
• Bei Verstößen außerordentlich zu kündigen
• Weisungen zur Datenverarbeitung zu erteilen

9. Beendigung des Auftrags

Nach Beendigung des Hauptvertrages werden alle personenbezogenen Daten gelöscht oder auf Wunsch des Verantwortlichen zurückgegeben. Der Verantwortliche hat 30 Tage Zeit, seine Daten zu exportieren. Danach erfolgt die vollständige und unwiderrufliche Löschung.