Auftragsverarbeitungsvereinbarung
Gemäß Art. 28 DSGVO — Stand: Februar 2026
Präambel
Diese Vereinbarung regelt die Auftragsverarbeitung personenbezogener Daten durch die sober care GmbH (nachfolgend "Auftragsverarbeiter") im Auftrag des Kunden (nachfolgend "Verantwortlicher") gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur im Rahmen der dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet.
1. Gegenstand und Dauer der Auftragsverarbeitung
1.1 Gegenstand
Gegenstand der Auftragsverarbeitung ist die Bereitstellung einer cloudbasierten Immobilienverwaltungssoftware (Software-as-a-Service). Der Auftragsverarbeiter erbringt für den Verantwortlichen folgende Leistungen:
- Hosting und Betrieb der Softwareplattform
- Speicherung und Verarbeitung von Immobilien- und Mieterdaten
- Bereitstellung von Analyse- und Reporting-Funktionen
- Versand transaktionaler E-Mails und Verarbeitung eingehender E-Mails
- Abwicklung von Zahlungen und Abonnement-Verwaltung
- Technischer Support und Wartung
- Datensicherung und -wiederherstellung
1.2 Dauer
Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter.
2. Art und Zweck der Verarbeitung
2.1 Art der Verarbeitung
Der Auftragsverarbeiter führt folgende Verarbeitungstätigkeiten durch:
- Erhebung, Erfassung und Speicherung
- Organisation und Strukturierung
- Aufbewahrung und Anpassung
- Auslesen, Abfragen und Verwendung
- Übermittlung durch Bereitstellung
- Abgleich und Verknüpfung
- Einschränkung und Löschung
2.2 Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zum Zweck der Verwaltung von Immobilien und Mietverhältnissen durch den Verantwortlichen sowie zur Erfüllung der vertraglichen Pflichten gegenüber dem Verantwortlichen.
3. Kategorien betroffener Personen und Daten
3.1 Kategorien betroffener Personen
- Mieter und Mietinteressenten
- Eigentümer von Immobilien
- Mitarbeiter des Verantwortlichen
- Dienstleister und Handwerker
- Kontaktpersonen bei Behörden und Versorgern
3.2 Kategorien personenbezogener Daten
- Stammdaten (Name, Adresse, Geburtsdatum)
- Kontaktdaten (E-Mail, Telefon)
- Vertragsdaten (Mietverträge, Vertragskonditionen)
- Zahlungsdaten (Bankverbindungen, Zahlungshistorie)
- Dokumente (Ausweise, Gehaltsnachweise, Schufa-Auskünfte)
- Kommunikationsdaten (Nachrichten, Tickets, E-Mails)
4. Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus getroffen:
4.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Rechenzentren mit Zugangskontrollen und Überwachungssystemen
- Zugangskontrolle: Mehrfaktor-Authentifizierung für administrative Zugriffe
- Zugriffskontrolle: Rollenbasierte Zugriffsrechte und Berechtigungskonzepte (Row Level Security)
- Trennungskontrolle: Logische Trennung von Kundendaten
- Pseudonymisierung: Wo möglich werden Daten pseudonymisiert verarbeitet
4.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle: Verschlüsselte Datenübertragung (TLS 1.3)
- Eingabekontrolle: Protokollierung von Datenänderungen
- Transportkontrolle: Verschlüsselte Backups
4.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle: Redundante Systeme und automatisches Failover
- Rasche Wiederherstellbarkeit: Tägliche Backups mit verschlüsselter Speicherung
4.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Datenschutz-Management: Regelmäßige Überprüfung und Aktualisierung der Maßnahmen
- Incident-Response: Notfallpläne für Datenschutzverletzungen
- Datenschutzfreundliche Voreinstellungen: Privacy by Design und by Default
5. Berichtigung, Löschung und Sperrung von Daten
Der Auftragsverarbeiter darf die zur Verarbeitung überlassenen Daten nicht eigenständig berichtigen, löschen oder sperren. Dies erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen.
Der Verantwortliche kann über die Benutzeroberfläche der Software jederzeit selbständig Berichtigungen, Löschungen und Sperrungen vornehmen.
6. Unterauftragsverhältnisse
Der Verantwortliche erteilt dem Auftragsverarbeiter mit Unterzeichnung dieser Vereinbarung seine generelle Genehmigung zur Beauftragung von Subunternehmern (Unterauftragsverarbeiter).
Der Auftragsverarbeiter nutzt folgende Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Zweck | Standort / Rechtsgrundlage |
|---|---|---|
| Supabase Inc. | Datenbankhosting, Authentifizierung, Dateispeicher, Edge Functions | Singapur / USA – Standardvertragsklauseln gem. Art. 46 DSGVO; Datenverarbeitung in AWS EU (Frankfurt) |
| Vercel Inc. | Hosting und Bereitstellung der Webanwendung | USA – EU-U.S. Data Privacy Framework |
| Stripe Payments Europe, Ltd. / Stripe, Inc. | Zahlungsabwicklung, Abonnement-Verwaltung, Rechnungserstellung | Irland / USA – EU-U.S. Data Privacy Framework |
| Resend, Inc. | Transaktionaler E-Mail-Versand und E-Mail-Empfang (Inbound) | USA – Standardvertragsklauseln gem. Art. 46 DSGVO |
| Google Ireland Limited / Google LLC | Google Tag Manager, ggf. Google Analytics (Webanalyse) | Irland / USA – EU-U.S. Data Privacy Framework |
| Meta Platforms Ireland Limited / Meta Platforms, Inc. | Meta Pixel (Conversion-Tracking, Remarketing) | Irland / USA – EU-U.S. Data Privacy Framework |
Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern zu informieren.
7. Pflichten des Verantwortlichen
Der Verantwortliche ist verpflichtet:
- Nur rechtmäßig erhobene Daten an den Auftragsverarbeiter zu übermitteln
- Die betroffenen Personen über die Datenverarbeitung zu informieren
- Die Rechtmäßigkeit der Datenverarbeitung sicherzustellen
- Erforderliche Einwilligungen einzuholen, soweit erforderlich
8. Mitwirkungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, seinen Pflichten gemäß Art. 32 bis 36 DSGVO nachzukommen.
Soweit der Verantwortliche hierzu verpflichtet ist, unterstützt der Auftragsverarbeiter diesen bei der Durchführung von Datenschutz-Folgenabschätzungen und der vorherigen Konsultation der Aufsichtsbehörde.
9. Kontrollrechte des Verantwortlichen
Der Verantwortliche hat das Recht, beim Auftragsverarbeiter Kontrollen durchzuführen oder durch einen unabhängigen und zur Verschwiegenheit verpflichteten Dritten durchführen zu lassen.
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten erforderlich sind.
10. Mitteilung bei Verstößen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
Die Meldung muss mindestens folgende Informationen enthalten:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
- Name und Kontaktdaten des Datenschutzbeauftragten
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
11. Löschung und Rückgabe von Daten
Nach Beendigung der Vertragsbeziehung löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten und vorhandene Kopien, soweit nicht gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen.
Auf Wunsch des Verantwortlichen werden die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format zur Verfügung gestellt.
12. Haftung und Schadensersatz
Für Schäden, die der Verantwortliche aufgrund der Auftragsverarbeitung erleidet, haftet der Auftragsverarbeiter gemäß den im Hauptvertrag geregelten Haftungsbestimmungen.
Bei datenschutzrechtlichen Verstößen haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen gemäß Art. 82 DSGVO.