Auftragsverarbeitungsvertrag (AVV)
nach Art. 28 DSGVO
Entwurf / Vorlage. Diese Fassung ist ein unverbindliches Muster und noch nicht rechtsverbindlich. Die finale, juristisch geprüfte Version inklusive TOM-Anlage folgt vor dem Go-Live und ersetzt diesen Entwurf.
§ 1 Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die Pflichten der Parteien aus Art. 28 DSGVO für den Fall, dass der Anbieter im Rahmen der Bereitstellung der App personenbezogene Daten im Auftrag des Nutzers (Verantwortlicher) verarbeitet.
Die Dauer entspricht der Laufzeit des zugrunde liegenden Hauptvertrages (Nutzung der App).
§ 2 Art, Umfang und Zweck der Verarbeitung
Die Verarbeitung dient der Bereitstellung der App-Funktionen (u. a. Verwaltung von Objekten, Mietern, Verträgen, Zahlungen, Dokumenten sowie der Aufbereitung steuerlicher Unterlagen). Verarbeitet wird ausschließlich nach dokumentierter Weisung des Verantwortlichen.
§ 3 Kategorien betroffener Personen und Daten
Betroffene Personen: insbesondere Mieter, Interessenten, Bürgen, Ansprechpartner sowie Nutzer des Auftraggebers.
Datenkategorien: Stammdaten (Name, Anschrift, Kontakt), Vertrags- und Zahlungsdaten, Bonitäts-/Selbstauskunftsdaten, hochgeladene Dokumente sowie Kommunikationsinhalte.
§ 4 Pflichten des Auftragsverarbeiters
Der Anbieter verarbeitet Daten nur auf dokumentierte Weisung, verpflichtet die eingesetzten Personen zur Vertraulichkeit und unterstützt den Verantwortlichen bei der Erfüllung seiner Betroffenenrechte.
§ 5 Technische und organisatorische Maßnahmen (TOM)
Der Anbieter trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, u. a. Verschlüsselung bei Übertragung und Speicherung, strikte Mandantentrennung (Row-Level-Security), rollenbasierte Zugriffskontrolle und Hosting in einem Rechenzentrum in Deutschland. Eine detaillierte TOM-Anlage folgt in der finalen Fassung.
§ 6 Unterauftragsverarbeiter
Der Verantwortliche stimmt dem Einsatz der nachfolgend genannten Unterauftragsverarbeiter zu. Über beabsichtigte Änderungen wird er rechtzeitig informiert und kann diesen widersprechen.
| Dienstleister | Zweck | Ort |
|---|---|---|
| Hetzner Online GmbH / Coolify | Server-Hosting der Anwendung | Deutschland (Frankfurt) |
| Supabase | Datenbank, Authentifizierung, Datei-Speicher | EU (Region Frankfurt) |
| finAPI GmbH | Bankkontoinformationsdienst (PSD2), Abruf von Kontoumsätzen | Deutschland |
| Resend | Versand von Transaktions-E-Mails | EU/USA (Standardvertragsklauseln) |
| Cloudflare | DNS, E-Mail-Routing eingehender Nachrichten | EU/USA (Standardvertragsklauseln) |
| Anthropic | KI-gestützte Beleg-/Dokumentenerkennung (OCR) | USA (Standardvertragsklauseln) |
§ 7 Meldung von Datenschutzverletzungen
Der Anbieter informiert den Verantwortlichen unverzüglich über Verletzungen des Schutzes personenbezogener Daten und unterstützt bei den erforderlichen Melde- und Benachrichtigungspflichten.
§ 8 Kontrollrechte
Der Verantwortliche ist berechtigt, sich von der Einhaltung dieses Vertrages zu überzeugen. Der Anbieter stellt die hierfür erforderlichen Informationen zur Verfügung.
§ 9 Löschung und Rückgabe
Nach Beendigung des Vertrages löscht der Anbieter die verarbeiteten Daten oder gibt sie nach Wahl des Verantwortlichen zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Stand des Entwurfs: 2026. Kein Ersatz für eine anwaltliche Prüfung.