Auftragsverarbeitungsvertrag
Art. 28 DSGVO · Letzte Aktualisierung: 28. Juni 2026
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag bei der Nutzung von Bestandsdepot. Er ergänzt die AGB und die Datenschutzerklärung.
1. Gegenstand und Dauer
Der Auftraggeber nutzt die Webanwendung Bestandsdepot zur Verwaltung von Immobilien und Mietverhältnissen. Der Auftragnehmer verarbeitet dabei personenbezogene Daten im Auftrag des Auftraggebers.
Die Dauer der Auftragsverarbeitung entspricht der Laufzeit der Nutzung der Anwendung.
2. Art und Zweck der Verarbeitung
- Speicherung und Verwaltung von Mieterstammdaten
- Speicherung und Verwaltung von Vertragsdaten
- Buchhaltung und Betriebskostenabrechnung
- Verschlüsselte Speicherung von Dokumenten
- Erstellung von steuerbezogenen Übersichten
- Optionaler KI-Hilfechat für Produkt- und Orientierungshilfe ohne dauerhafte Chatverlaufsspeicherung
3. Daten und betroffene Personen
Verarbeitet werden insbesondere Stammdaten, Kontaktdaten, Vertragsdaten, Finanzdaten und Dokumente.
Betroffene Personen sind Mieter, ehemalige Mieter und Vertragspartner des Auftraggebers.
4. Pflichten des Auftragnehmers
- Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung
- Verpflichtung befugter Personen auf Vertraulichkeit
- Umsetzung technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO
- Unterstützung bei Betroffenenrechten und Datenschutz-Folgenabschätzungen
- Löschung oder Rückgabe aller personenbezogenen Daten sowie Löschung vorhandener Kopien nach Vertragsende, sofern nicht das Recht der Union oder eines Mitgliedstaates die Speicherung vorschreibt
5. Unterauftragsverarbeiter
Folgende Unterauftragsverarbeiter sind genehmigt:
| Dienstleister | Zweck | Standort |
|---|---|---|
| IONOS SE | Hosting der Anwendung und Datenbank (VPS) | Deutschland |
| IONOS SE | Verschlüsselte Dokumentenablage (S3-Objektspeicher) | Deutschland |
| OVH SAS | Domain, DNS und E-Mail-Versand/-Postfach | Frankreich (EU) |
| Optionale KI-Anbieter (z. B. Mistral AI) | KI-Dokumentenauswertung und KI-Hilfechat, jeweils nur bei aktivierter Nutzung | EU / vertragsabhängig |
Der Auftragnehmer informiert den Auftraggeber rechtzeitig über beabsichtigte Änderungen bei Unterauftragsverarbeitern (Hinzufügen oder Ersetzen). Der Auftraggeber hat das Recht, solchen Änderungen zu widersprechen (Art. 28 Abs. 2 DSGVO).
6. Technische und organisatorische Maßnahmen
Die technischen und organisatorischen Maßnahmen sind Bestandteil dieser AVV. Dazu gehören insbesondere Verschlüsselung, Zugriffsschutz, Protokollierung, Mandantentrennung, Backups und Schutz der Übertragungswege. Eine Übersicht der eingesetzten Maßnahmen ist in der Datenschutzerklärung (§ 12) beschrieben.
7. Kontrollrechte und Datenschutzverletzungen
Der Auftraggeber kann die Einhaltung dieser AVV nach angemessener Vorankündigung prüfen. Der Auftragnehmer unterstützt Kontrollen im erforderlichen Umfang.
Datenschutzverletzungen werden dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, gemeldet.