Auftragsverarbeitungsvertrag

Art. 28 DSGVO · Letzte Aktualisierung: 28. Juni 2026

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag bei der Nutzung von Bestandsdepot. Er ergänzt die AGB und die Datenschutzerklärung.

1. Gegenstand und Dauer

Der Auftraggeber nutzt die Webanwendung Bestandsdepot zur Verwaltung von Immobilien und Mietverhältnissen. Der Auftragnehmer verarbeitet dabei personenbezogene Daten im Auftrag des Auftraggebers.

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit der Nutzung der Anwendung.

2. Art und Zweck der Verarbeitung

  • Speicherung und Verwaltung von Mieterstammdaten
  • Speicherung und Verwaltung von Vertragsdaten
  • Buchhaltung und Betriebskostenabrechnung
  • Verschlüsselte Speicherung von Dokumenten
  • Erstellung von steuerbezogenen Übersichten
  • Optionaler KI-Hilfechat für Produkt- und Orientierungshilfe ohne dauerhafte Chatverlaufsspeicherung

3. Daten und betroffene Personen

Verarbeitet werden insbesondere Stammdaten, Kontaktdaten, Vertragsdaten, Finanzdaten und Dokumente.

Betroffene Personen sind Mieter, ehemalige Mieter und Vertragspartner des Auftraggebers.

4. Pflichten des Auftragnehmers

  • Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung
  • Verpflichtung befugter Personen auf Vertraulichkeit
  • Umsetzung technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO
  • Unterstützung bei Betroffenenrechten und Datenschutz-Folgenabschätzungen
  • Löschung oder Rückgabe aller personenbezogenen Daten sowie Löschung vorhandener Kopien nach Vertragsende, sofern nicht das Recht der Union oder eines Mitgliedstaates die Speicherung vorschreibt

5. Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter sind genehmigt:

DienstleisterZweckStandort
IONOS SEHosting der Anwendung und Datenbank (VPS)Deutschland
IONOS SEVerschlüsselte Dokumentenablage (S3-Objektspeicher)Deutschland
OVH SASDomain, DNS und E-Mail-Versand/-PostfachFrankreich (EU)
Optionale KI-Anbieter (z. B. Mistral AI)KI-Dokumentenauswertung und KI-Hilfechat, jeweils nur bei aktivierter NutzungEU / vertragsabhängig

Der Auftragnehmer informiert den Auftraggeber rechtzeitig über beabsichtigte Änderungen bei Unterauftragsverarbeitern (Hinzufügen oder Ersetzen). Der Auftraggeber hat das Recht, solchen Änderungen zu widersprechen (Art. 28 Abs. 2 DSGVO).

6. Technische und organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen sind Bestandteil dieser AVV. Dazu gehören insbesondere Verschlüsselung, Zugriffsschutz, Protokollierung, Mandantentrennung, Backups und Schutz der Übertragungswege. Eine Übersicht der eingesetzten Maßnahmen ist in der Datenschutzerklärung (§ 12) beschrieben.

7. Kontrollrechte und Datenschutzverletzungen

Der Auftraggeber kann die Einhaltung dieser AVV nach angemessener Vorankündigung prüfen. Der Auftragnehmer unterstützt Kontrollen im erforderlichen Umfang.

Datenschutzverletzungen werden dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, gemeldet.