Eigentum²
v130 März 2026

Auftragsverarbeitungsvertrag

Version 1.0

Dieser Auftragsverarbeitungsvertrag („AVV") wird geschlossen zwischen:

Dem Kunden (nachfolgend „Verantwortlicher") — die natürliche oder juristische Person, die sich für die Plattform Eigentum² registriert hat und diese nutzt, und

Ilya Baskakov (Handelnd unter: Eigentum²) Von-Müller-Straße 15a 82467 Garmisch-Partenkirchen, Deutschland E-Mail: support@dein-eigentum.de

(nachfolgend „Auftragsverarbeiter")

Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der Plattform Eigentum² gemäß Art. 28 der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO").

§ 1 Gegenstand und Dauer der Verarbeitung

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der Immobilienverwaltungsplattform Eigentum² gemäß den Allgemeinen Geschäftsbedingungen.

  2. Die Laufzeit dieses AVV entspricht der Laufzeit des zugrunde liegenden Dienstleistungsvertrags (Allgemeine Geschäftsbedingungen). Dieser AVV endet automatisch mit Beendigung des Dienstleistungsvertrags, vorbehaltlich der Pflichten zur Datenlöschung und -rückgabe in § 12.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu folgenden Zwecken:

  • Speicherung und Verwaltung von Mieter- und Kontaktdaten, die vom Verantwortlichen eingegeben werden
  • Verarbeitung von Mietzahlungen, Mietkautionen und Finanztransaktionsdaten
  • Verwaltung von Mietverträgen und zugehöriger Dokumentation
  • Speicherung und Organisation von immobilienbezogenen Dokumenten und Dateien
  • Ermöglichung der Freigabe von Immobilieninformationen an vom Verantwortlichen bestimmte Dritte
  • Abwicklung von Eigentumsübertragungen
  • Erstellung von KI-gestützten Immobilienbewertungen auf Grundlage von Immobiliendaten
  • Versand von Transaktions-E-Mails im Auftrag des Verantwortlichen (z. B. Benachrichtigungen zur Immobilienfreigabe, Einladungen zu Eigentumsübertragungen)

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nicht zu eigenen Zwecken.

§ 3 Art der personenbezogenen Daten

Folgende Arten personenbezogener Daten werden verarbeitet:

  • Identifikationsdaten: Vorname, Nachname, Anrede, Geburtsdatum, Staatsangehörigkeit
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Faxnummer, Postanschrift
  • Finanzdaten: IBAN, BIC, Name der Bank, Zahlungsbeträge, Mietbeträge, Kautionsbeträge, Transaktionsdaten
  • Vertragsdaten: Mietvertragsdetails (Beginn-/Enddatum, Mietmodell, Kündigungsfrist, besondere Vereinbarungen), Vertragsnummern
  • Immobilienbezogene Daten: Immobilienadressen, Einheitendetails, Flächenmaße
  • Kommunikationsdaten: Notizen, Korrespondenzaufzeichnungen, Freigabenachrichten
  • Dokumentendaten: Hochgeladene Dokumente und Dateien (Dateinamen, Metadaten)
  • Notfallkontaktdaten: Name, Beziehung, Telefonnummer benannter Notfallkontakte
  • Identitätsverifizierungsdaten: Verifizierungsstatus und Zeitstempel

§ 4 Kategorien betroffener Personen

Die verarbeiteten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

  • Mieter — aktuelle Mieter der vom Verantwortlichen verwalteten Immobilien
  • Mietinteressenten — Personen, die für ein Mietverhältnis in Betracht gezogen werden
  • Bürgen — Personen, die Bürgschaften für Mieter stellen
  • Mitmieter und Mitbewohner — weitere im Mietvertrag aufgeführte Personen
  • Notfallkontakte — von Mietern benannte Notfallkontaktpersonen
  • Hausverwalter und Dienstleister — Drittkontakte, die Immobilien verwalten
  • Beteiligte an Eigentumsübertragungen — Käufer, Verkäufer, Notare, Makler, die an Eigentumsübertragungen beteiligt sind

§ 5 Weisungsrecht des Verantwortlichen

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland, es sei denn, er ist nach dem Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

  2. Die Weisungen des Verantwortlichen werden zunächst durch diesen AVV, die Allgemeinen Geschäftsbedingungen und die Funktionalität der Plattform Eigentum² festgelegt. Der Verantwortliche kann weitere Weisungen in Textform (§ 126b BGB) per E-Mail an support@dein-eigentum.de erteilen.

  3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen die DSGVO oder andere Datenschutzvorschriften der Europäischen Union oder der Mitgliedstaaten verstößt.

§ 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter:

  1. Verarbeitet personenbezogene Daten nur innerhalb des Europäischen Wirtschaftsraums (EWR), sofern nicht anderweitig vereinbart oder für die Beauftragung genehmigter Unterauftragnehmer erforderlich (siehe § 8).

  2. Stellt sicher, dass die Verarbeitung in Übereinstimmung mit der DSGVO, dem BDSG und allen anderen anwendbaren Datenschutzgesetzen erfolgt.

  3. Bestellt einen Datenschutzbeauftragten, sofern gesetzlich vorgeschrieben. Zum Zeitpunkt dieses AVV liegen die Voraussetzungen gemäß § 38 BDSG nicht vor (weniger als 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind).

  4. Verwendet die personenbezogenen Daten nicht für andere Zwecke als die Erbringung der in diesem AVV und den Allgemeinen Geschäftsbedingungen beschriebenen Leistungen.

§ 7 Vertraulichkeit

  1. Der Auftragsverarbeiter stellt sicher, dass sich alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

  2. Diese Vertraulichkeitsverpflichtung besteht über die Beendigung dieses AVV hinaus fort.

§ 8 Unterauftragsverarbeitung

  1. Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern für die Verarbeitung personenbezogener Daten, vorbehaltlich der Bedingungen dieses Abschnitts.

  2. Die aktuelle Liste der genehmigten Unterauftragsverarbeiter ist in Anlage 2 dieses AVV aufgeführt und ist auch unter https://dein-eigentum.de/legal/subprocessors abrufbar.

  3. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor dem Wirksamwerden über jede beabsichtigte Hinzufügung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen solche Änderungen Einspruch zu erheben.

  4. Erhebt der Verantwortliche aus berechtigten datenschutzrechtlichen Gründen Einspruch gegen einen neuen Unterauftragsverarbeiter, erörtern die Parteien den Einspruch nach Treu und Glauben. Kann der Einspruch nicht beigelegt werden, kann der Verantwortliche den Dienstleistungsvertrag ohne Vertragsstrafe zum Zeitpunkt des beabsichtigten Wirksamwerdens der Unterauftragsverarbeiteränderung kündigen.

  5. Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten auf, wie sie in diesem AVV festgelegt sind, insbesondere unter Bereitstellung hinreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.

  6. Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Pflichten des Unterauftragsverarbeiters.

  7. Für Unterauftragsverarbeiter außerhalb des EWR stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Kapitel V der DSGVO vorhanden sind (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln oder Zertifizierung unter dem EU-US-Datenschutzrahmen).

§ 9 Rechte der betroffenen Personen

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung der Pflicht des Verantwortlichen, Anträge auf Ausübung der Rechte der betroffenen Personen gemäß Kapitel III der DSGVO (Art. 15-22) zu beantworten, einschließlich:

    • Auskunftsrecht (Art. 15)
    • Recht auf Berichtigung (Art. 16)
    • Recht auf Löschung (Art. 17)
    • Recht auf Einschränkung der Verarbeitung (Art. 18)
    • Recht auf Datenübertragbarkeit (Art. 20)
    • Widerspruchsrecht (Art. 21)

  2. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiter und antwortet der betroffenen Person nicht direkt, es sei denn, der Verantwortliche weist ihn entsprechend an.

§ 10 Meldepflichten bei Datenschutzverletzungen

  1. Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.

  2. Die Meldung enthält, soweit möglich:

    • Eine Beschreibung der Art der Verletzung, einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen Datensätze
    • Den Namen und die Kontaktdaten der Anlaufstelle beim Auftragsverarbeiter für weitere Informationen
    • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
    • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

  3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 33 und 34 DSGVO (Meldung an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen).

§ 11 Kontrollrechte des Verantwortlichen

  1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

  2. Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden. Der Verantwortliche hat den Auftragsverarbeiter mindestens 14 Tage vor einer Überprüfung schriftlich zu benachrichtigen.

  3. Überprüfungen sind auf eine Überprüfung pro Kalenderjahr beschränkt, es sei denn, eine Datenschutzverletzung oder ein anderer konkreter Vorfall erfordert zusätzliche Überprüfungen. Überprüfungen sind grundsätzlich auf einen Geschäftstag begrenzt und werden während der regulären Geschäftszeiten durchgeführt.

  4. Der Verantwortliche trägt die Kosten der von ihm veranlassten Überprüfungen, es sei denn, die Überprüfung ergibt einen wesentlichen Verstoß des Auftragsverarbeiters gegen diesen AVV — in diesem Fall trägt der Auftragsverarbeiter die Kosten.

  5. Der Auftragsverarbeiter kann die Einhaltung durch Vorlage einschlägiger Zertifizierungen (z. B. SOC 2 Type II-Berichte, ISO 27001-Zertifikate) seiner Hosting-Anbieter oder durch Ergebnisse unabhängiger Prüfungen Dritter nachweisen, sofern diese aktuell und umfassend sind.

§ 12 Löschung und Rückgabe von Daten

  1. Nach Beendigung des Dienstleistungsvertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:

    • Alle personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format an den Verantwortlichen zurückgeben, oder
    • Alle personenbezogenen Daten und alle vorhandenen Kopien löschen

  2. Der Verantwortliche kann seine Daten innerhalb von 30 Tagen nach Wirksamwerden der Beendigung exportieren. Nach Ablauf dieses Zeitraums löscht der Auftragsverarbeiter alle verbleibenden personenbezogenen Daten.

  3. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (z. B. Finanzunterlagen gemäß § 147 AO, Handelskorrespondenz gemäß § 257 HGB), werden für den gesetzlich vorgeschriebenen Zeitraum aufbewahrt und danach gelöscht. Während dieses Zeitraums werden die Daten in der Verarbeitung eingeschränkt und nur zum Zweck der Erfüllung der Aufbewahrungspflichten verwendet.

  4. Der Auftragsverarbeiter bestätigt die vollständige Datenlöschung auf Anfrage des Verantwortlichen.

§ 13 Unterstützung bei Compliance-Pflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung folgender Pflichten:

  • Sicherheit der Verarbeitung (Art. 32 DSGVO)
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden (Art. 33 DSGVO)
  • Benachrichtigung betroffener Personen über Datenschutzverletzungen (Art. 34 DSGVO)
  • Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
  • Vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)

§ 14 Haftung

Die Haftung der Parteien aus diesem AVV richtet sich nach Art. 82 DSGVO und den Haftungsbestimmungen der Allgemeinen Geschäftsbedingungen. Jede Partei haftet für Schäden, die durch eine gegen die DSGVO verstoßende Verarbeitung verursacht werden, entsprechend ihrer jeweiligen Rolle als Verantwortlicher oder Auftragsverarbeiter.

§ 15 Schlussbestimmungen

  1. Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

  2. Im Falle eines Widerspruchs zwischen diesem AVV und den Allgemeinen Geschäftsbedingungen hat dieser AVV in Bezug auf Datenschutzangelegenheiten Vorrang.

  3. Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB).

  4. Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleiben die übrigen Bestimmungen in Kraft. Die unwirksame Bestimmung wird durch eine wirksame Bestimmung ersetzt, die dem ursprünglichen Zweck am nächsten kommt.

Anlage 1: Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

I. Vertraulichkeit

Zugangskontrolle:

  • Authentifizierung über sicheres Passwort-Hashing (bcrypt)
  • Optionale Google OAuth-Authentifizierung für Single Sign-On
  • Sitzungsverwaltung mit sicheren, HttpOnly-Cookies
  • Automatischer Sitzungsablauf nach Inaktivität

Zugriffskontrolle:

  • Rollenbasierte Zugriffskontrolle (RBAC) mit granularen Berechtigungen
  • Organisationsbezogene Datenisolierung (Mandantenfähigkeit)
  • Prinzip der minimalen Berechtigungen für alle Benutzerrollen

Benutzerkontrolle:

  • Eindeutige Benutzerkonten mit E-Mail-Verifizierung
  • Kontosperre nach wiederholten fehlgeschlagenen Anmeldeversuchen
  • Administrative Benutzer-Impersonation mit vollständiger Prüfungsspur

Trennbarkeit:

  • Logische Datentrennung zwischen Organisationen
  • Separate Datenbankschemata für unterschiedliche Datenbereiche

II. Integrität

Übertragungskontrolle:

  • Alle Daten werden über TLS 1.2 oder höher übertragen
  • Gesicherte API-Endpunkte mit Authentifizierungstoken

Eingabekontrolle:

  • Umfassende Prüfungsprotokollierung aller datenändernden Operationen
  • Änderungsverfolgung mit Vorher-/Nachher-Werten, Benutzerzuordnung, Zeitstempeln, IP-Adressen und User-Agents

III. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle:

  • Hosting auf Vercel EU-Region (Frankfurt) (SOC 2 Type II, ISO 27001-zertifizierte Infrastruktur)
  • Datenbank gehostet bei Neon EU-Region (Frankfurt) (verwaltetes PostgreSQL mit automatischen Backups)
  • Dateispeicherung auf Google Cloud Storage (georedundant)

Wiederherstellbarkeit:

  • Automatisierte Datenbank-Backups mit Point-in-Time-Recovery
  • Infrastructure-as-Code für schnelle Umgebungswiederherstellung
  • 30-tägige Datenaufbewahrung für vorläufig gelöschte Datensätze

IV. Verfahren zur regelmäßigen Überprüfung

Auftragskontrolle:

  • Datenverarbeitung wird durch diesen AVV geregelt
  • Regelmäßige Überprüfung der Compliance von Unterauftragsverarbeitern
  • Dokumentierte Verfahren zur Reaktion auf Vorfälle

Anlage 2: Genehmigte Unterauftragsverarbeiter

UnterauftragsverarbeiterStandortVerarbeitungszweckÜbermittlungsgarantie
Vercel Inc.EU (Frankfurt)Hosting, Content Delivery, Serverless ComputingEU-Verarbeitung; keine Drittlandübermittlung
Google Cloud Platform (Google LLC)EU (Frankfurt) / USADatei- und Dokumentenspeicherung (Firebase Cloud Storage)EU-US-Datenschutzrahmen; Standardvertragsklauseln
Neon Inc.EU (Frankfurt)Verwaltetes PostgreSQL-Datenbank-HostingEU-Verarbeitung; keine Drittlandübermittlung
Stripe, Inc.USA / IrlandAbonnementabrechnung und ZahlungsabwicklungEU-US-Datenschutzrahmen; Stripe Ireland als EU-Niederlassung
Resend (Plus Five Five, Inc.)USATransaktions-E-Mail-Versand (inkl. Freigabe- und Übertragungs-Benachrichtigungen)EU-US-Datenschutzrahmen; Standardvertragsklauseln
OpenAI, Inc.USAKI-gestützte Immobilienbewertung (pro API-Anfrage; nicht zum Modelltraining verwendet)EU-US-Datenschutzrahmen; Standardvertragsklauseln
Google Ireland Ltd.Irland / USAOAuth-Authentifizierung (Google-Anmeldung)EU-US-Datenschutzrahmen

Änderungen dieser Liste werden dem Verantwortlichen mindestens 30 Tage vor dem Wirksamwerden der Änderung mitgeteilt. Die aktuelle Fassung ist unter https://dein-eigentum.de/legal/subprocessors abrufbar.

Das Gültigkeitsdatum dieser Version wird oberhalb dieses Dokuments angezeigt.