Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) ergänzt die Allgemeinen Geschäftsbedingungen zwischen dem Kunden (Verantwortlicher) und KFO Media Konstantin Feltes, Kirchenbungert 4, 54292 Trier (Auftragsverarbeiter, nachfolgend „Anbieter“) und regelt die Verarbeitung personenbezogener Daten, die der Kunde im Rahmen der Nutzung des Dienstes ImmoAlltag in das System eingibt.

Der AVV gilt für die Dauer des Vertragsverhältnisses über die Nutzung von ImmoAlltag. Er tritt mit der Registrierung in Kraft und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Vertragsende.

Der Anbieter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Kunden zum Zweck der Bereitstellung der SaaS-Anwendung ImmoAlltag. Die Verarbeitung umfasst:

• Speicherung und Verwaltung von Mieterdaten
• Erstellung und Archivierung von Nebenkostenabrechnungen
• Verwaltung von Mietverträgen und Zahlungen
• Erstellung von Berichten, Mahnbriefen und Dokumenten
• Speicherung hochgeladener Dokumente und Belege

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Stammdaten der Mieter: Anrede, Titel, Vor- und Nachname, Geburtsdatum, Beruf, Arbeitgeber, Firmenname und Rechtsform (bei juristischen Personen)
• Kontaktdaten: E-Mail-Adresse, Telefon (Festnetz und Mobil), Anschrift (aktuell und vorherige)
• Bankverbindung: IBAN des Mieters (soweit vom Kunden erfasst)
• Vertragsdaten: Mietbeginn, Mietende, Kündigungsdaten, Miethöhe, Kaution, Nebenkosten-Vorauszahlung
• Verbrauchsdaten: Zählerstände (Heizung, Wasser, Strom), Personenanzahl
• Abrechnungsdaten: Nebenkostenabrechnungen mit Einzelpositionen und Ergebnis
• Zahlungsdaten: Sollstellungen und Ist-Zahlungen (Miete, Nebenkosten)
• Dokumente: Hochgeladene Belege, Verträge und sonstige Dateien, die personenbezogene Daten enthalten können
• Sonstige Angaben: Personalausweis-Nummer, Notfallkontakt, Bürgendaten (soweit vom Kunden erfasst)

• Mieter und ehemalige Mieter des Kunden
• Bürgen und Notfallkontakte der Mieter
• Teammitglieder der Organisation des Kunden (Name, E-Mail)

Der Anbieter verpflichtet sich:

• Personenbezogene Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten, es sei denn, eine gesetzliche Pflicht erfordert die Verarbeitung.
• Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten.
• Die in § 8 genannten technischen und organisatorischen Maßnahmen zu treffen und aufrechtzuerhalten.
• Den Kunden unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt.
• Den Kunden unverzüglich über eine Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO) zu informieren, einschließlich aller relevanten Informationen zur Art der Verletzung, den betroffenen Datenkategorien und den ergriffenen Gegenmaßnahmen.
• Den Kunden im Rahmen seiner Möglichkeiten bei der Erfüllung von Betroffenenrechten (Art. 15-22 DSGVO) zu unterstützen.

Der Kunde stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Der Anbieter informiert den Kunden vorab über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Kunde kann innerhalb von 14 Tagen Einspruch erheben. Erhebt der Kunde begründeten Einspruch und kann keine einvernehmliche Lösung gefunden werden, kann der Kunde den Vertrag außerordentlich kündigen.

Die Verarbeitung personenbezogener Daten findet grundsätzlich innerhalb der EU/des EWR statt. Soweit eine Verarbeitung in Drittländern erfolgt (Vercel, USA), geschieht dies auf Grundlage von EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO. Die Server-Funktionen von Vercel laufen ausschließlich in der Region Frankfurt (fra1).

Der Anbieter setzt folgende Maßnahmen zum Schutz der verarbeiteten Daten um:

Zutrittskontrolle: Die Server befinden sich in zertifizierten Rechenzentren (Hetzner: ISO 27001) mit physischer Zugangskontrolle.

Zugangskontrolle: Zugang zum Server ausschließlich über SSH mit Schlüsselauthentifizierung. Passwort-Login ist deaktiviert. Firewall (ufw) beschränkt offene Ports auf 22, 80 und 443. Fail2ban schützt gegen Brute-Force-Angriffe.

Zugriffskontrolle: Jeder Kunde sieht ausschließlich Daten seiner eigenen Organisation. Die Datenisolation wird durch serverseitige Zugriffsregeln (PocketBase Rules) auf Collection-Ebene erzwungen. Die Regeln prüfen bei jedem Datenzugriff die Organisations-Zugehörigkeit über die Mitgliedschafts-Relation.

Verschlüsselung: Alle Daten werden ausschließlich über HTTPS/TLS übertragen (Caddy mit automatischen Let's-Encrypt-Zertifikaten). Die Datenbank befindet sich auf dem Server und ist nicht öffentlich erreichbar (nur über 127.0.0.1).

Datensicherung: Automatische Server-Backups durch Hetzner. Der Anbieter empfiehlt dem Kunden zusätzlich, regelmäßig Datenexporte durchzuführen.

Mandantentrennung: Alle Geschäftsdaten sind über ein Organisations-Feld getrennt. Serverseitige Regeln verhindern den Zugriff auf Daten fremder Organisationen. Die Isolation wird regelmäßig durch automatisierte Tests geprüft.

Der Kunde hat das Recht, die Einhaltung dieses AVV und der technischen und organisatorischen Maßnahmen zu überprüfen. Der Anbieter stellt dem Kunden auf Anfrage die erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen (einschließlich Inspektionen) in angemessenem Umfang.

Der Kunde kündigt Inspektionen mit angemessener Frist (mindestens 14 Tage) an. Die Kosten der Inspektion trägt der Kunde, sofern bei der Inspektion keine wesentlichen Verstöße festgestellt werden.

Nach Beendigung des Vertragsverhältnisses stellt der Anbieter dem Kunden seine Daten für 30 Tage zum Export zur Verfügung. Nach Ablauf dieser Frist werden alle personenbezogenen Daten unwiderruflich gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

Der Anbieter bestätigt dem Kunden die vollständige Löschung auf Anfrage.

Die Haftung des Anbieters als Auftragsverarbeiter richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der AGB.

Dieser AVV ist Bestandteil der AGB und wird mit der Registrierung akzeptiert. Bei Widersprüchen zwischen diesem AVV und den AGB gehen die Regelungen dieses AVV vor, soweit der Schutz personenbezogener Daten betroffen ist.

Änderungen dieses AVV bedürfen der Textform (E-Mail genügt). Der Anbieter informiert den Kunden über Änderungen mit einer Frist von 30 Tagen.