AVV

AVV

Vertrag über die Auftrags-
verarbeitung

personenbezogener Daten gemäß Art. 28 DSGVO zwischen dem Kunden


im Folgenden "Verantwortliche" gennant

und der


Immodio UG (haftungsbeschränkt)

Birkenweg 6

91224 Reichenschwand


im Folgenden "Auftragsverarbeiterin" gennant

zugleich Anlage zum Hauptvertrag (nebst Anlagen und Zusatzvereinbarungen)


§ 1 Einführung

Bezugnehmend auf dem diesem Vertrag zu Grunde liegenden Hauptvertrag regeln die Parteien in diesem Vertrag ihre Rechte und Pflichten im Rahmen der datenschutzkonformen Verarbeitung von personenbezogenen Daten im Auftrag.

  1. Für die im Rahmen dieses Vertrages verwendeten Begriffe gelten die Definitionen der Datenschutzgrundverordnung (DSGVO).

  2. In Bezug auf sämtliche personenbezogenen Daten ist der Kunde Verantwortliche und die Immodio UG  Auftragsverarbeiterin. Unbeschadet der Artikel (Art.) 28 Abs. 10, 82, 83 und 84 DSGVO gilt die Auftragsverarbeiterin, sofern sie unter Verstoß gegen die Datenschutzgrundverordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortliche

  3. Mieter, Mietinteressenten und Bewerber werden im Folgenden einheitlich unter dem Begriff Mieterzusammengefasst.

§ 2 Vereinbarung

  1. Gegenstand und Dauer des Auftrages

  1. Die Auftragsverarbeiterin erbringt für die Verantwortliche Leistungen auf der Grundlage des Hauptvertrages. Dabei erhält die Auftragsverarbeiterin personenbezogene Daten von der Verantwortlichen. Diese Vereinbarung erfolgt auf der Grundlage der Datenschutzgrundverordnung (DSGVO). Sie bezieht sich auf alle mit den vereinbarten Leistungen und Gegenleistungen zwischen den Vertragsparteien und auf die Vergabe und Durchführung von Unterauftragsverträgen.

  2. Zweck der Datenverarbeitung (Gegenstand des Auftrags)

    Die Auftragsverarbeiterin übernimmt die Bereitstellung sowie Service- und Wartungsarbeiten der Software zur Abwicklung der Geschäftsprozesse der Verantwortlichen. Es handelt sich um eine Softwarelösung für Vermieter, Hausverwaltungen und Makler mit welcher diese Vermietungen und Verwaltungen ihrer Immobilien organisieren. So können diese über Immodio bspw. Besichtigungen planen, Unterlagen und Daten von Mietern anfordern, Mietverträge und Übergabeprotokolle erstellen und diese an ihre jeweiligen Mieter versenden. Für die Mieter existiert ein Mieterportal in welchem bspw. die vom Vermieter geplanten Besichtigungen koordiniert werden, Mieter dem Vermieter Daten und Dokumente zur Verfügung stellen können, der Mietvertragsentwurf vom Mieter gesichtet und unterschrieben werden kann oder Mieter und Vermieter über Chat kommunizieren können.

  3. Art der Daten

    Die Art der Daten ist im Hauptvertrag beschrieben

  4. Kategorien der Betroffenen

    Die Verarbeitung betrifft ausschließlich die im Hauptvertrag bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen:

    • Verantwortlicher

    • Mieter der Verantwortlichen

  5. Dauer des Vertrages

    Die Dauer dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Die Verantwortliche kann den Vertrag jederzeit kündigen, wenn ein schwerwiegender Verstoß der Auftragsverarbeiterin gegen die Bestimmungen dieses Vertrages oder die DSGVO vorliegt, die Auftragsverarbeiterin eine Weisung der Verantwortlichen nicht ausführen kann oder will oder die Auftragsverarbeiterin vertragliche oder gesetzlich vorgeschriebene Kontrollmaßnahmen der Verantwortlichen vertragswidrig verweigert.

  1. Art und Zweck der Verarbeitung; Art der Daten; Kategorien der Betroffenen

  1. Die Datenverarbeitung erfolgt wie in der Leistungsbeschreibung zum Hauptvertrag spezifiziert.

  2. Die Datenverarbeitung dient dem Zweck, welcher im Hauptvertrag vereinbart wurde.

  3. Die Auftragsverarbeiterin darf die ihr von der Verantwortlichen zur Verfügung gestellten personenbezogenen Daten ausschließlich für die Erbringung der vertragsgegenständlichen Leistungen verwenden. Eine weitergehende Verwendung der Daten, insbesondere zu eigenen Zwecken der Auftragsverarbeiterin oder zu Zwecken Dritter, ist unzulässig.

  4. Art der Daten

    Bei den Daten der Verantwortlichen handelt es sich um Daten der Mieter einschließlich der Daten zum Mietgegenstand.

    Datenfelder sind:

    • IP-Adressen

    • persönliche Kontaktdaten

    • Personaldaten

    • Anschrift

    • Tastatureingaben der Mieter

    • Bonitätsauskünfte

    • Bonitätsnachweise (freiwillige Abgabe)

    • Identitätsnachweise (frewillige Abgabe)

    • Alle weiteren vom Mieter freiwillig zur Verfügung gestellten Daten und Dokumente


  5. Der Kreis der von der Verarbeitung dieser Daten Betroffenen umfasst die Verantwortlichen und Mieter der Verantwortlichen.

§ 3 Pflichten der Auftragsverarbeiterin

  1. Für den Fall, dass die Auftragsverarbeiterin Daten der Verantwortlichen erhebt, verarbeitet und/oder nutzt geschieht dies ausschließlich im Auftrag und nach Weisung der Verantwortlichen. Die Verantwortliche bleibt im datenschutzrechtlichen Sinne Verantwortliche (Art. 4 Nr. 7 DSGVO) und ist insbesondere für die Rechtmäßigkeit der auftragsgemäßen Erhebung, Verarbeitung und/oder Nutzung ihrer Daten verantwortlich. Hiervon unberührt ist die Verpflichtung der Auftragsverarbeiterin selbst, die auf sie anwendbaren datenschutzrechtlichen Bestimmungen einzuhalten. Gemäß Art. 28 Abs. 10 DSGVO gilt die Auftragsverarbeiterin unbeschadet der Art. 82, 83 und 84 DSGVO als Verantwortliche für Verstöße gegen datenschutzrechtliche Bestimmungen in ihrem Verantwortungsbereich.

  2. Die etwaige Erhebung, Verarbeitung und/oder Nutzung von Daten der Verantwortlichen erfolgt ausschließlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR).

  3. Die Auftragsverarbeiterin darf Daten von Betroffenen nur im Rahmen des Auftrages und der Weisungen der Verantwortlichen verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DSGVO vor. Die Auftragsverarbeiterin ist verpflichtet, den datenschutzrechtlichen Weisungen aus dem Hauptvertrag und den im Einzelfall von der Verantwortlichen erteilten datenschutzrechtlichen Weisungen zur Erhebung, Verarbeitung und/oder Nutzung ihrer Daten uneingeschränkt zu folgen. Weisungen bedürfen der Textform. Mündlich erteilte Weisungen sind unverzüglich in Textform zu bestätigen.

  4. Ist die Auftragsverarbeiterin der Ansicht, eine Weisung verstoße gegen gesetzliche Vorschriften und/oder den Hauptvertrag, so ist die Auftragsverarbeiterin verpflichtet, die Verantwortliche hierauf unverzüglich hinzuweisen, sowie berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch die Verantwortliche, auszusetzen.

  5. Anfragen Betroffener oder Dritter zur vereinbarten Auftragsverarbeitung sind unverzüglich an die Verantwortliche weiterzuleiten.

  6. Der Auftragsverarbeiterin informiert die Verantwortliche unverzüglich über

    • Störungen und Verstöße der Auftragsverarbeiterin oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen,

    • den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten sowie

    • Kontrollhandlungen und Maßnahmen zuständiger Aufsichtsbehörden, soweit diese die vertragsgegenständlichen Leistungen betreffen.


  7. Die Auftragsverarbeiterin unterstützt die Verantwortliche bei der Erfüllung ihrer Pflichten nach Art. 32 bis 36 DSGVO. Meldungen nach diesen Vorschriften erfolgen ausschließlich durch die Verantwortliche.

  8. Die Auftragsverarbeiterin verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten der Verantwortlichen, die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder Betroffene darf die Auftragsverarbeiterin nur nach vorheriger Weisung oder Zustimmung durch die Verantwortliche erteilen.

  9. Die Auftragsverarbeiterin bestätigt, dass ihr die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind.

§ 4 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

  1. Die Auftragsverarbeiterin verpflichtet sich, technische und organisatorische Maßnahmen zur Wahrung der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der ihr von der Verantwortlichen zur Verfügung gestellten personenbezogenen Daten zu treffen, und zwar in dem durch die einschlägigen Datenschutzvorschriften (insbesondere Art. 24 und 32 DSGVO) vorgesehenen Umfang (siehe Liste der technischen und organisatorischen Maßnahmen (Anlage 1).

  2. Die bei der Auftragsverarbeiterin getroffenen Maßnahmen sind von dieser in Abstimmung mit der Verantwortlichen während der Vertragslaufzeit kontinuierlich weiterzuentwickeln und an veränderte Gegebenheiten anzupassen. Wesentliche Änderungen muss die Auftragsverarbeiterin mit der Verantwortlichen in dokumentierter Form schriftlich abstimmen.

  3. Die Auftragsverarbeiterin hat bei gegebenem Anlass, mindestens jedoch jährlich, eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DSGVO). Für den Fall, dass ihre jährliche Datenschutzprüfung bzw. ihr internes Audit ergeben hat, dass es keine datenschutzrechtlichen relevanten Veränderung gegeben hat, teilt die Auftragsverarbeiterin dies der Verantwortlichen mit. Im Falle datenschutzrelevanter Veränderung übermittelt sie der Verantwortlichen einen kurzen Auditbericht dazu, welche datenschutzrelevanter Veränderung vorgenommen wurden.

  4. Die für die Verantwortliche verarbeiteten Daten sind von sonstigen Datenbeständen zu trennen. Kopien oder Duplikate hiervon dürfen ohne Wissen der Verantwortlichen nicht angefertigt werden.

  5. Datenträger, die von der Verantwortlichen stammen bzw. für die Verantwortliche genutzt werden, werden besonders gekennzeichnet. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge sind zu dokumentieren.

§ 5 Drittstaatentransfer

  1. Die Auftragsverarbeiterin verpflichtet sich, die Verarbeitung und Nutzung der ihr von der Verantwortlichen zur Verfügung gestellten personenbezogenen Daten, ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum durchzuführen.

  2. Eine Übermittlung der Daten in Drittstaaten bedarf der vorherigen Zustimmung der Verantwortlichen und unterliegt darüber hinaus den besonderen Anforderungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

§ 6 Regelungen zur Berichtigung, Löschung und Sperrung von Daten; Datenrückgabe

  1. Die Auftragsverarbeiterin verpflichtet sich, Daten, die im Rahmen des Auftrages mit der Verantwortlichen verarbeitet wurden, nur entsprechend der vertraglichen Vereinbarung oder auf ausdrückliche Weisung der Verantwortlichen zu berichtigen, zu löschen oder zu sperren.

  2. Die Auftragsverarbeiterin hat nach Abschluss der vertragsgegenständlichen Leistungen oder auf Verlangen der Verantwortlichen dieser die bereitgestellten Daten in einem zu vereinbarenden Format auszuhändigen.

  3. Nach schriftlicher Freigabe durch die Verantwortliche sind die bereitgestellten Daten sodann datenschutzgerecht zu löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Verlangen hat die Auftragsverarbeiterin der Verantwortlichen das Löschungsprotokoll vorzulegen.

§ 7 Qualitätssicherung und sonstige Pflichten der Auftragsverarbeiterin

Die Auftragsverarbeiterin hat zusätzlich zur Einhaltung der Regelungen dieses Auftrages gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet sie insbesondere die Einhaltung folgender Vorgaben:

  1. Führen eines Verarbeitungsverzeichnis gemäß Art. 30 Abs. 2 DSGVO zu den von ihr im Auftrag der Verantwortlichen durchgeführten Verarbeitungstätigkeiten.

  2. Benennung eines Datenschutzbeauftragten: Sofern Art. 37 DSGVO die Benennung eines Datenschutzbeauftragten vorsieht, wird die Auftragsverarbeiterin einen Datenschutzbeauftragten bestellen, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind der Verantwortlichen zum Zweck der direkten Kontaktaufnahme mitzuteilen. Ein Wechsel des Datenschutzbeauftragten wird der Verantwortlichen unverzüglich mitgeteilt.

  3. Vertraulichkeit: Die Auftragsverarbeiterin ist zudem verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der Verantwortlichen vertraulich zu behandeln, insbesondere gemäß der Geschäftsgeheimnis-Richtlinie RL 2016/943/EU. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

  4. Einsatz geeigneten Personals: Die Auftragsverarbeiterin verpflichtet sich, zur Erbringung der vertragsgegenständlichen Leistungen nur solche Personen einzusetzen, die ihr unterstellt und durch geeignete Maßnahmen mit den gesetzlichen Vorschriften über den Datenschutz und die speziellen datenschutzrechtlichen Anforderungen dieses Vertrages vertraut gemacht wurden. Diese Personen müssen umfassend schriftlich zur Vertraulichkeit sowie zur Wahrung von Betriebs- und Geschäftsgeheimnissen der Verantwortlichen verpflichtet worden sein. Die Auftragsverarbeiterin stellt sicher, dass die ihr unterstellten Personen personenbezogene Daten der Verantwortlichen ausschließlich auf Weisung der Auftragsverarbeiterin verarbeiten. Dies ist der Verantwortlichen auf ihr Verlangen hin in geeigneter Form nachzuweisen.

  5. Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten in Anlage 1 TOMs).

  6. Unterstützung der Verantwortlichen durch die Auftragsverarbeiterin bei allen Anfragen der Aufsichtsbehörde und bei der Einhaltung der Pflichten aus den Art. 32 bis 36 DSGVO.

  7. Unverzügliches Informieren der Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, wenn eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf diese vertraglich vereinbarte Verarbeitung personenbezogener Daten bei der Auftragsverarbeiterin ermittelt.

  8. Unterstützung der Verantwortlichen, sofern sie einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei der Auftragsverarbeiterin ausgesetzt ist.

  9. Selbstkontrolle: Die Auftragsverarbeiterin kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in ihrem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

  10. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber der Verantwortlichen im Rahmen ihrer Kontrollbefugnisse nach diesem Vertrag (Die Liste der TOMs findet sich in Anhang 1 zu diesem Vertrag).

§ 8 Unterauftragsverhältnis

  1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die die Auftragsverarbeiterin z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt, sofern dabei ein Zugriff auf personenbezogene Daten ausgeschlossen werden kann. Die Auftragsverarbeiterin ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten der Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

  2. Die Verantwortliche stimmt bereits mit Unterzeichnung dieses Vertrages der Beauftragung der in Anlage 2.aufgelisteten Unterauftragsverarbeiter zu.

  3. Die Auftragsverarbeiterin ist im Rahmen ihrer vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen befugt. Sie setzt die Verantwortliche vorab darüber in Kenntnis und setzt ihr eine angemessene Frist, der Einschaltung der Unterauftragsverarbeiterin zu widersprechen. Erfolgt kein Widerspruch, gilt die Zustimmung als erteilt.

  4. Die Auftragsverarbeiterin verpflichtet sich, die Unterauftragsverarbeiterin unter besonderer Berücksichtigung der Eignung der von dieser getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten sorgfältig auszuwählen und entsprechend den Vorgaben dieses Vertrags auf die Einhaltung der einschlägigen Datenschutzvorschriften zu verpflichten. Die Verpflichtung muss auch das Recht der Auftragsverarbeiterin umfassen, die Einhaltung der Datenschutzvorschriften direkt und im gleichen Umfang bei der Unterauftragsverarbeiterin zu überprüfen, wie dies nach diesem Vertrag der Verantwortlichen bei der Auftragsverarbeiterin gestattet ist.

  5. Der Vertrag mit der Unterauftragsverarbeiterin ist schriftlich oder in einem elektronischen Format abzufassen. Darin sind die Verantwortlichkeiten der Auftragsverarbeiterin und der Unterauftragsverarbeiterin transparent voneinander abzugrenzen. Werden mehrere Unterauftragsverarbeiter eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Unterauftragsverarbeiter.

  6. Eine Beauftragung von Unterauftragsverarbeiter in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

  7. Die Weiterleitung von Daten an die Unterauftragsverarbeiterin ist erst zulässig, wenn die Unterauftragsverarbeiterin die Erfüllung aller Anforderungen der Art. 28 bis 36 DSGVO und dieses Vertrages erfüllt und nachgewiesen hat. Die Auftragsverarbeiterin prüft und dokumentiert dies.

  8. Die Auftragsverarbeiterin hat die Einhaltung der Pflichten der Unterauftragsverarbeiterin regelmäßig, mindestens jedoch jährlich, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist der Verantwortlichen nach Aufforderung vorzulegen.

  9. Die Auftragsverarbeiterin haftet im Verhältnis zur Verantwortlichen dafür, dass die Unterauftragsverarbeiterin den gesetzlichen und vertraglichen Datenschutzpflichten nachkommt, die ihr durch die Auftragsverarbeiterin, im Einklang mit diesem Vertrag, auferlegt wurden.

§ 9 Kontrollrechte der Verantwortlichen

  1. Die Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiterin Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Sie hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch die Auftragsverarbeiterin in deren Geschäftsbetrieb zu überzeugen.

  2. Die Auftragsverarbeiterin stellt sicher, dass sich die Verantwortliche von der Einhaltung der Pflichten der Auftragsverarbeiterin nach Art. 28 DSGVO überzeugen kann. Die Auftragsverarbeiterin verpflichtet sich, der Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

  3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren).

§ 10 Weisungsbefugnis der Verantwortlichen

  1. Mündliche Weisungen bestätigt die Verantwortliche unverzüglich (mind. Textform).

  2. Die Auftragsverarbeiterin hat die Verantwortliche unverzüglich zu informieren, wenn sie der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Die Auftragsverarbeiterin ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch die Verantwortliche bestätigt oder geändert wird.

  3. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten und/oder nicht auf ein Fehlverhalten der Auftragsverarbeiterin zurückzuführen sind, kann die Auftragsverarbeiterin eine angemessene Vergütung beanspruchen.

§ 11 Haftung und Schadensersatz

Verantwortliche und Auftragsverarbeiterin haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. Im Übrigen gelten für die Haftung die Bestimmungen der DSGVO.

§ 12 Informationspflichten, Schriftformklausel, Rechtswahl

  1. Sollten die Daten der Verantwortlichen bei der Auftragsverarbeiterin durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat die Auftragsverarbeiterin die Verantwortliche unverzüglich darüber zu informieren. Die Auftragsverarbeiterin wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei der Verantwortlichen als »Verantwortliche« im Sinne der Datenschutz-Grundverordnung liegen.

  2. Änderungen und Ergänzungen dieses Vertrages und all seiner Bestandteile – einschließlich etwaiger Zusicherungen der Auftragsverarbeiterin – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

  3. Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages zum Datenschutz den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht.

  4. Es gilt deutsches Recht.


Anlagen

  • Anlage 1 Technische und Organisatorische Maßnahmen

  • Anlage 2 Zugelassene Unterauftragsverarbeiter


§ 1 Einführung

Bezugnehmend auf dem diesem Vertrag zu Grunde liegenden Hauptvertrag regeln die Parteien in diesem Vertrag ihre Rechte und Pflichten im Rahmen der datenschutzkonformen Verarbeitung von personenbezogenen Daten im Auftrag.

  1. Für die im Rahmen dieses Vertrages verwendeten Begriffe gelten die Definitionen der Datenschutzgrundverordnung (DSGVO).

  2. In Bezug auf sämtliche personenbezogenen Daten ist der Kunde Verantwortliche und die Immodio UG  Auftragsverarbeiterin. Unbeschadet der Artikel (Art.) 28 Abs. 10, 82, 83 und 84 DSGVO gilt die Auftragsverarbeiterin, sofern sie unter Verstoß gegen die Datenschutzgrundverordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortliche

  3. Mieter, Mietinteressenten und Bewerber werden im Folgenden einheitlich unter dem Begriff Mieterzusammengefasst.

§ 2 Vereinbarung

  1. Gegenstand und Dauer des Auftrages

  1. Die Auftragsverarbeiterin erbringt für die Verantwortliche Leistungen auf der Grundlage des Hauptvertrages. Dabei erhält die Auftragsverarbeiterin personenbezogene Daten von der Verantwortlichen. Diese Vereinbarung erfolgt auf der Grundlage der Datenschutzgrundverordnung (DSGVO). Sie bezieht sich auf alle mit den vereinbarten Leistungen und Gegenleistungen zwischen den Vertragsparteien und auf die Vergabe und Durchführung von Unterauftragsverträgen.

  2. Zweck der Datenverarbeitung (Gegenstand des Auftrags)

    Die Auftragsverarbeiterin übernimmt die Bereitstellung sowie Service- und Wartungsarbeiten der Software zur Abwicklung der Geschäftsprozesse der Verantwortlichen. Es handelt sich um eine Softwarelösung für Vermieter, Hausverwaltungen und Makler mit welcher diese Vermietungen und Verwaltungen ihrer Immobilien organisieren. So können diese über Immodio bspw. Besichtigungen planen, Unterlagen und Daten von Mietern anfordern, Mietverträge und Übergabeprotokolle erstellen und diese an ihre jeweiligen Mieter versenden. Für die Mieter existiert ein Mieterportal in welchem bspw. die vom Vermieter geplanten Besichtigungen koordiniert werden, Mieter dem Vermieter Daten und Dokumente zur Verfügung stellen können, der Mietvertragsentwurf vom Mieter gesichtet und unterschrieben werden kann oder Mieter und Vermieter über Chat kommunizieren können.

  3. Art der Daten

    Die Art der Daten ist im Hauptvertrag beschrieben

  4. Kategorien der Betroffenen

    Die Verarbeitung betrifft ausschließlich die im Hauptvertrag bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen:

    • Verantwortlicher

    • Mieter der Verantwortlichen

  5. Dauer des Vertrages

    Die Dauer dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Die Verantwortliche kann den Vertrag jederzeit kündigen, wenn ein schwerwiegender Verstoß der Auftragsverarbeiterin gegen die Bestimmungen dieses Vertrages oder die DSGVO vorliegt, die Auftragsverarbeiterin eine Weisung der Verantwortlichen nicht ausführen kann oder will oder die Auftragsverarbeiterin vertragliche oder gesetzlich vorgeschriebene Kontrollmaßnahmen der Verantwortlichen vertragswidrig verweigert.

  1. Art und Zweck der Verarbeitung; Art der Daten; Kategorien der Betroffenen

  1. Die Datenverarbeitung erfolgt wie in der Leistungsbeschreibung zum Hauptvertrag spezifiziert.

  2. Die Datenverarbeitung dient dem Zweck, welcher im Hauptvertrag vereinbart wurde.

  3. Die Auftragsverarbeiterin darf die ihr von der Verantwortlichen zur Verfügung gestellten personenbezogenen Daten ausschließlich für die Erbringung der vertragsgegenständlichen Leistungen verwenden. Eine weitergehende Verwendung der Daten, insbesondere zu eigenen Zwecken der Auftragsverarbeiterin oder zu Zwecken Dritter, ist unzulässig.

  4. Art der Daten

    Bei den Daten der Verantwortlichen handelt es sich um Daten der Mieter einschließlich der Daten zum Mietgegenstand.

    Datenfelder sind:

    • IP-Adressen

    • persönliche Kontaktdaten

    • Personaldaten

    • Anschrift

    • Tastatureingaben der Mieter

    • Bonitätsauskünfte

    • Bonitätsnachweise (freiwillige Abgabe)

    • Identitätsnachweise (frewillige Abgabe)

    • Alle weiteren vom Mieter freiwillig zur Verfügung gestellten Daten und Dokumente


  5. Der Kreis der von der Verarbeitung dieser Daten Betroffenen umfasst die Verantwortlichen und Mieter der Verantwortlichen.

§ 3 Pflichten der Auftragsverarbeiterin

  1. Für den Fall, dass die Auftragsverarbeiterin Daten der Verantwortlichen erhebt, verarbeitet und/oder nutzt geschieht dies ausschließlich im Auftrag und nach Weisung der Verantwortlichen. Die Verantwortliche bleibt im datenschutzrechtlichen Sinne Verantwortliche (Art. 4 Nr. 7 DSGVO) und ist insbesondere für die Rechtmäßigkeit der auftragsgemäßen Erhebung, Verarbeitung und/oder Nutzung ihrer Daten verantwortlich. Hiervon unberührt ist die Verpflichtung der Auftragsverarbeiterin selbst, die auf sie anwendbaren datenschutzrechtlichen Bestimmungen einzuhalten. Gemäß Art. 28 Abs. 10 DSGVO gilt die Auftragsverarbeiterin unbeschadet der Art. 82, 83 und 84 DSGVO als Verantwortliche für Verstöße gegen datenschutzrechtliche Bestimmungen in ihrem Verantwortungsbereich.

  2. Die etwaige Erhebung, Verarbeitung und/oder Nutzung von Daten der Verantwortlichen erfolgt ausschließlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR).

  3. Die Auftragsverarbeiterin darf Daten von Betroffenen nur im Rahmen des Auftrages und der Weisungen der Verantwortlichen verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DSGVO vor. Die Auftragsverarbeiterin ist verpflichtet, den datenschutzrechtlichen Weisungen aus dem Hauptvertrag und den im Einzelfall von der Verantwortlichen erteilten datenschutzrechtlichen Weisungen zur Erhebung, Verarbeitung und/oder Nutzung ihrer Daten uneingeschränkt zu folgen. Weisungen bedürfen der Textform. Mündlich erteilte Weisungen sind unverzüglich in Textform zu bestätigen.

  4. Ist die Auftragsverarbeiterin der Ansicht, eine Weisung verstoße gegen gesetzliche Vorschriften und/oder den Hauptvertrag, so ist die Auftragsverarbeiterin verpflichtet, die Verantwortliche hierauf unverzüglich hinzuweisen, sowie berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch die Verantwortliche, auszusetzen.

  5. Anfragen Betroffener oder Dritter zur vereinbarten Auftragsverarbeitung sind unverzüglich an die Verantwortliche weiterzuleiten.

  6. Der Auftragsverarbeiterin informiert die Verantwortliche unverzüglich über

    • Störungen und Verstöße der Auftragsverarbeiterin oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen,

    • den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten sowie

    • Kontrollhandlungen und Maßnahmen zuständiger Aufsichtsbehörden, soweit diese die vertragsgegenständlichen Leistungen betreffen.


  7. Die Auftragsverarbeiterin unterstützt die Verantwortliche bei der Erfüllung ihrer Pflichten nach Art. 32 bis 36 DSGVO. Meldungen nach diesen Vorschriften erfolgen ausschließlich durch die Verantwortliche.

  8. Die Auftragsverarbeiterin verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten der Verantwortlichen, die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder Betroffene darf die Auftragsverarbeiterin nur nach vorheriger Weisung oder Zustimmung durch die Verantwortliche erteilen.

  9. Die Auftragsverarbeiterin bestätigt, dass ihr die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind.

§ 4 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

  1. Die Auftragsverarbeiterin verpflichtet sich, technische und organisatorische Maßnahmen zur Wahrung der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der ihr von der Verantwortlichen zur Verfügung gestellten personenbezogenen Daten zu treffen, und zwar in dem durch die einschlägigen Datenschutzvorschriften (insbesondere Art. 24 und 32 DSGVO) vorgesehenen Umfang (siehe Liste der technischen und organisatorischen Maßnahmen (Anlage 1).

  2. Die bei der Auftragsverarbeiterin getroffenen Maßnahmen sind von dieser in Abstimmung mit der Verantwortlichen während der Vertragslaufzeit kontinuierlich weiterzuentwickeln und an veränderte Gegebenheiten anzupassen. Wesentliche Änderungen muss die Auftragsverarbeiterin mit der Verantwortlichen in dokumentierter Form schriftlich abstimmen.

  3. Die Auftragsverarbeiterin hat bei gegebenem Anlass, mindestens jedoch jährlich, eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DSGVO). Für den Fall, dass ihre jährliche Datenschutzprüfung bzw. ihr internes Audit ergeben hat, dass es keine datenschutzrechtlichen relevanten Veränderung gegeben hat, teilt die Auftragsverarbeiterin dies der Verantwortlichen mit. Im Falle datenschutzrelevanter Veränderung übermittelt sie der Verantwortlichen einen kurzen Auditbericht dazu, welche datenschutzrelevanter Veränderung vorgenommen wurden.

  4. Die für die Verantwortliche verarbeiteten Daten sind von sonstigen Datenbeständen zu trennen. Kopien oder Duplikate hiervon dürfen ohne Wissen der Verantwortlichen nicht angefertigt werden.

  5. Datenträger, die von der Verantwortlichen stammen bzw. für die Verantwortliche genutzt werden, werden besonders gekennzeichnet. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge sind zu dokumentieren.

§ 5 Drittstaatentransfer

  1. Die Auftragsverarbeiterin verpflichtet sich, die Verarbeitung und Nutzung der ihr von der Verantwortlichen zur Verfügung gestellten personenbezogenen Daten, ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum durchzuführen.

  2. Eine Übermittlung der Daten in Drittstaaten bedarf der vorherigen Zustimmung der Verantwortlichen und unterliegt darüber hinaus den besonderen Anforderungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

§ 6 Regelungen zur Berichtigung, Löschung und Sperrung von Daten; Datenrückgabe

  1. Die Auftragsverarbeiterin verpflichtet sich, Daten, die im Rahmen des Auftrages mit der Verantwortlichen verarbeitet wurden, nur entsprechend der vertraglichen Vereinbarung oder auf ausdrückliche Weisung der Verantwortlichen zu berichtigen, zu löschen oder zu sperren.

  2. Die Auftragsverarbeiterin hat nach Abschluss der vertragsgegenständlichen Leistungen oder auf Verlangen der Verantwortlichen dieser die bereitgestellten Daten in einem zu vereinbarenden Format auszuhändigen.

  3. Nach schriftlicher Freigabe durch die Verantwortliche sind die bereitgestellten Daten sodann datenschutzgerecht zu löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Verlangen hat die Auftragsverarbeiterin der Verantwortlichen das Löschungsprotokoll vorzulegen.

§ 7 Qualitätssicherung und sonstige Pflichten der Auftragsverarbeiterin

Die Auftragsverarbeiterin hat zusätzlich zur Einhaltung der Regelungen dieses Auftrages gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet sie insbesondere die Einhaltung folgender Vorgaben:

  1. Führen eines Verarbeitungsverzeichnis gemäß Art. 30 Abs. 2 DSGVO zu den von ihr im Auftrag der Verantwortlichen durchgeführten Verarbeitungstätigkeiten.

  2. Benennung eines Datenschutzbeauftragten: Sofern Art. 37 DSGVO die Benennung eines Datenschutzbeauftragten vorsieht, wird die Auftragsverarbeiterin einen Datenschutzbeauftragten bestellen, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind der Verantwortlichen zum Zweck der direkten Kontaktaufnahme mitzuteilen. Ein Wechsel des Datenschutzbeauftragten wird der Verantwortlichen unverzüglich mitgeteilt.

  3. Vertraulichkeit: Die Auftragsverarbeiterin ist zudem verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der Verantwortlichen vertraulich zu behandeln, insbesondere gemäß der Geschäftsgeheimnis-Richtlinie RL 2016/943/EU. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

  4. Einsatz geeigneten Personals: Die Auftragsverarbeiterin verpflichtet sich, zur Erbringung der vertragsgegenständlichen Leistungen nur solche Personen einzusetzen, die ihr unterstellt und durch geeignete Maßnahmen mit den gesetzlichen Vorschriften über den Datenschutz und die speziellen datenschutzrechtlichen Anforderungen dieses Vertrages vertraut gemacht wurden. Diese Personen müssen umfassend schriftlich zur Vertraulichkeit sowie zur Wahrung von Betriebs- und Geschäftsgeheimnissen der Verantwortlichen verpflichtet worden sein. Die Auftragsverarbeiterin stellt sicher, dass die ihr unterstellten Personen personenbezogene Daten der Verantwortlichen ausschließlich auf Weisung der Auftragsverarbeiterin verarbeiten. Dies ist der Verantwortlichen auf ihr Verlangen hin in geeigneter Form nachzuweisen.

  5. Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten in Anlage 1 TOMs).

  6. Unterstützung der Verantwortlichen durch die Auftragsverarbeiterin bei allen Anfragen der Aufsichtsbehörde und bei der Einhaltung der Pflichten aus den Art. 32 bis 36 DSGVO.

  7. Unverzügliches Informieren der Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, wenn eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf diese vertraglich vereinbarte Verarbeitung personenbezogener Daten bei der Auftragsverarbeiterin ermittelt.

  8. Unterstützung der Verantwortlichen, sofern sie einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei der Auftragsverarbeiterin ausgesetzt ist.

  9. Selbstkontrolle: Die Auftragsverarbeiterin kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in ihrem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

  10. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber der Verantwortlichen im Rahmen ihrer Kontrollbefugnisse nach diesem Vertrag (Die Liste der TOMs findet sich in Anhang 1 zu diesem Vertrag).

§ 8 Unterauftragsverhältnis

  1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die die Auftragsverarbeiterin z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt, sofern dabei ein Zugriff auf personenbezogene Daten ausgeschlossen werden kann. Die Auftragsverarbeiterin ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten der Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

  2. Die Verantwortliche stimmt bereits mit Unterzeichnung dieses Vertrages der Beauftragung der in Anlage 2.aufgelisteten Unterauftragsverarbeiter zu.

  3. Die Auftragsverarbeiterin ist im Rahmen ihrer vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen befugt. Sie setzt die Verantwortliche vorab darüber in Kenntnis und setzt ihr eine angemessene Frist, der Einschaltung der Unterauftragsverarbeiterin zu widersprechen. Erfolgt kein Widerspruch, gilt die Zustimmung als erteilt.

  4. Die Auftragsverarbeiterin verpflichtet sich, die Unterauftragsverarbeiterin unter besonderer Berücksichtigung der Eignung der von dieser getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten sorgfältig auszuwählen und entsprechend den Vorgaben dieses Vertrags auf die Einhaltung der einschlägigen Datenschutzvorschriften zu verpflichten. Die Verpflichtung muss auch das Recht der Auftragsverarbeiterin umfassen, die Einhaltung der Datenschutzvorschriften direkt und im gleichen Umfang bei der Unterauftragsverarbeiterin zu überprüfen, wie dies nach diesem Vertrag der Verantwortlichen bei der Auftragsverarbeiterin gestattet ist.

  5. Der Vertrag mit der Unterauftragsverarbeiterin ist schriftlich oder in einem elektronischen Format abzufassen. Darin sind die Verantwortlichkeiten der Auftragsverarbeiterin und der Unterauftragsverarbeiterin transparent voneinander abzugrenzen. Werden mehrere Unterauftragsverarbeiter eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Unterauftragsverarbeiter.

  6. Eine Beauftragung von Unterauftragsverarbeiter in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

  7. Die Weiterleitung von Daten an die Unterauftragsverarbeiterin ist erst zulässig, wenn die Unterauftragsverarbeiterin die Erfüllung aller Anforderungen der Art. 28 bis 36 DSGVO und dieses Vertrages erfüllt und nachgewiesen hat. Die Auftragsverarbeiterin prüft und dokumentiert dies.

  8. Die Auftragsverarbeiterin hat die Einhaltung der Pflichten der Unterauftragsverarbeiterin regelmäßig, mindestens jedoch jährlich, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist der Verantwortlichen nach Aufforderung vorzulegen.

  9. Die Auftragsverarbeiterin haftet im Verhältnis zur Verantwortlichen dafür, dass die Unterauftragsverarbeiterin den gesetzlichen und vertraglichen Datenschutzpflichten nachkommt, die ihr durch die Auftragsverarbeiterin, im Einklang mit diesem Vertrag, auferlegt wurden.

§ 9 Kontrollrechte der Verantwortlichen

  1. Die Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiterin Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Sie hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch die Auftragsverarbeiterin in deren Geschäftsbetrieb zu überzeugen.

  2. Die Auftragsverarbeiterin stellt sicher, dass sich die Verantwortliche von der Einhaltung der Pflichten der Auftragsverarbeiterin nach Art. 28 DSGVO überzeugen kann. Die Auftragsverarbeiterin verpflichtet sich, der Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

  3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren).

§ 10 Weisungsbefugnis der Verantwortlichen

  1. Mündliche Weisungen bestätigt die Verantwortliche unverzüglich (mind. Textform).

  2. Die Auftragsverarbeiterin hat die Verantwortliche unverzüglich zu informieren, wenn sie der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Die Auftragsverarbeiterin ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch die Verantwortliche bestätigt oder geändert wird.

  3. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten und/oder nicht auf ein Fehlverhalten der Auftragsverarbeiterin zurückzuführen sind, kann die Auftragsverarbeiterin eine angemessene Vergütung beanspruchen.

§ 11 Haftung und Schadensersatz

Verantwortliche und Auftragsverarbeiterin haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. Im Übrigen gelten für die Haftung die Bestimmungen der DSGVO.

§ 12 Informationspflichten, Schriftformklausel, Rechtswahl

  1. Sollten die Daten der Verantwortlichen bei der Auftragsverarbeiterin durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat die Auftragsverarbeiterin die Verantwortliche unverzüglich darüber zu informieren. Die Auftragsverarbeiterin wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei der Verantwortlichen als »Verantwortliche« im Sinne der Datenschutz-Grundverordnung liegen.

  2. Änderungen und Ergänzungen dieses Vertrages und all seiner Bestandteile – einschließlich etwaiger Zusicherungen der Auftragsverarbeiterin – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

  3. Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages zum Datenschutz den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht.

  4. Es gilt deutsches Recht.


Anlagen

  • Anlage 1 Technische und Organisatorische Maßnahmen

  • Anlage 2 Zugelassene Unterauftragsverarbeiter


§ 1 Einführung

Bezugnehmend auf dem diesem Vertrag zu Grunde liegenden Hauptvertrag regeln die Parteien in diesem Vertrag ihre Rechte und Pflichten im Rahmen der datenschutzkonformen Verarbeitung von personenbezogenen Daten im Auftrag.

  1. Für die im Rahmen dieses Vertrages verwendeten Begriffe gelten die Definitionen der Datenschutzgrundverordnung (DSGVO).

  2. In Bezug auf sämtliche personenbezogenen Daten ist der Kunde Verantwortliche und die Immodio UG  Auftragsverarbeiterin. Unbeschadet der Artikel (Art.) 28 Abs. 10, 82, 83 und 84 DSGVO gilt die Auftragsverarbeiterin, sofern sie unter Verstoß gegen die Datenschutzgrundverordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortliche

  3. Mieter, Mietinteressenten und Bewerber werden im Folgenden einheitlich unter dem Begriff Mieterzusammengefasst.

§ 2 Vereinbarung

  1. Gegenstand und Dauer des Auftrages

  1. Die Auftragsverarbeiterin erbringt für die Verantwortliche Leistungen auf der Grundlage des Hauptvertrages. Dabei erhält die Auftragsverarbeiterin personenbezogene Daten von der Verantwortlichen. Diese Vereinbarung erfolgt auf der Grundlage der Datenschutzgrundverordnung (DSGVO). Sie bezieht sich auf alle mit den vereinbarten Leistungen und Gegenleistungen zwischen den Vertragsparteien und auf die Vergabe und Durchführung von Unterauftragsverträgen.

  2. Zweck der Datenverarbeitung (Gegenstand des Auftrags)

    Die Auftragsverarbeiterin übernimmt die Bereitstellung sowie Service- und Wartungsarbeiten der Software zur Abwicklung der Geschäftsprozesse der Verantwortlichen. Es handelt sich um eine Softwarelösung für Vermieter, Hausverwaltungen und Makler mit welcher diese Vermietungen und Verwaltungen ihrer Immobilien organisieren. So können diese über Immodio bspw. Besichtigungen planen, Unterlagen und Daten von Mietern anfordern, Mietverträge und Übergabeprotokolle erstellen und diese an ihre jeweiligen Mieter versenden. Für die Mieter existiert ein Mieterportal in welchem bspw. die vom Vermieter geplanten Besichtigungen koordiniert werden, Mieter dem Vermieter Daten und Dokumente zur Verfügung stellen können, der Mietvertragsentwurf vom Mieter gesichtet und unterschrieben werden kann oder Mieter und Vermieter über Chat kommunizieren können.

  3. Art der Daten

    Die Art der Daten ist im Hauptvertrag beschrieben

  4. Kategorien der Betroffenen

    Die Verarbeitung betrifft ausschließlich die im Hauptvertrag bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen:

    • Verantwortlicher

    • Mieter der Verantwortlichen

  5. Dauer des Vertrages

    Die Dauer dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Die Verantwortliche kann den Vertrag jederzeit kündigen, wenn ein schwerwiegender Verstoß der Auftragsverarbeiterin gegen die Bestimmungen dieses Vertrages oder die DSGVO vorliegt, die Auftragsverarbeiterin eine Weisung der Verantwortlichen nicht ausführen kann oder will oder die Auftragsverarbeiterin vertragliche oder gesetzlich vorgeschriebene Kontrollmaßnahmen der Verantwortlichen vertragswidrig verweigert.

  1. Art und Zweck der Verarbeitung; Art der Daten; Kategorien der Betroffenen

  1. Die Datenverarbeitung erfolgt wie in der Leistungsbeschreibung zum Hauptvertrag spezifiziert.

  2. Die Datenverarbeitung dient dem Zweck, welcher im Hauptvertrag vereinbart wurde.

  3. Die Auftragsverarbeiterin darf die ihr von der Verantwortlichen zur Verfügung gestellten personenbezogenen Daten ausschließlich für die Erbringung der vertragsgegenständlichen Leistungen verwenden. Eine weitergehende Verwendung der Daten, insbesondere zu eigenen Zwecken der Auftragsverarbeiterin oder zu Zwecken Dritter, ist unzulässig.

  4. Art der Daten

    Bei den Daten der Verantwortlichen handelt es sich um Daten der Mieter einschließlich der Daten zum Mietgegenstand.

    Datenfelder sind:

    • IP-Adressen

    • persönliche Kontaktdaten

    • Personaldaten

    • Anschrift

    • Tastatureingaben der Mieter

    • Bonitätsauskünfte

    • Bonitätsnachweise (freiwillige Abgabe)

    • Identitätsnachweise (frewillige Abgabe)

    • Alle weiteren vom Mieter freiwillig zur Verfügung gestellten Daten und Dokumente


  5. Der Kreis der von der Verarbeitung dieser Daten Betroffenen umfasst die Verantwortlichen und Mieter der Verantwortlichen.

§ 3 Pflichten der Auftragsverarbeiterin

  1. Für den Fall, dass die Auftragsverarbeiterin Daten der Verantwortlichen erhebt, verarbeitet und/oder nutzt geschieht dies ausschließlich im Auftrag und nach Weisung der Verantwortlichen. Die Verantwortliche bleibt im datenschutzrechtlichen Sinne Verantwortliche (Art. 4 Nr. 7 DSGVO) und ist insbesondere für die Rechtmäßigkeit der auftragsgemäßen Erhebung, Verarbeitung und/oder Nutzung ihrer Daten verantwortlich. Hiervon unberührt ist die Verpflichtung der Auftragsverarbeiterin selbst, die auf sie anwendbaren datenschutzrechtlichen Bestimmungen einzuhalten. Gemäß Art. 28 Abs. 10 DSGVO gilt die Auftragsverarbeiterin unbeschadet der Art. 82, 83 und 84 DSGVO als Verantwortliche für Verstöße gegen datenschutzrechtliche Bestimmungen in ihrem Verantwortungsbereich.

  2. Die etwaige Erhebung, Verarbeitung und/oder Nutzung von Daten der Verantwortlichen erfolgt ausschließlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR).

  3. Die Auftragsverarbeiterin darf Daten von Betroffenen nur im Rahmen des Auftrages und der Weisungen der Verantwortlichen verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DSGVO vor. Die Auftragsverarbeiterin ist verpflichtet, den datenschutzrechtlichen Weisungen aus dem Hauptvertrag und den im Einzelfall von der Verantwortlichen erteilten datenschutzrechtlichen Weisungen zur Erhebung, Verarbeitung und/oder Nutzung ihrer Daten uneingeschränkt zu folgen. Weisungen bedürfen der Textform. Mündlich erteilte Weisungen sind unverzüglich in Textform zu bestätigen.

  4. Ist die Auftragsverarbeiterin der Ansicht, eine Weisung verstoße gegen gesetzliche Vorschriften und/oder den Hauptvertrag, so ist die Auftragsverarbeiterin verpflichtet, die Verantwortliche hierauf unverzüglich hinzuweisen, sowie berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch die Verantwortliche, auszusetzen.

  5. Anfragen Betroffener oder Dritter zur vereinbarten Auftragsverarbeitung sind unverzüglich an die Verantwortliche weiterzuleiten.

  6. Der Auftragsverarbeiterin informiert die Verantwortliche unverzüglich über

    • Störungen und Verstöße der Auftragsverarbeiterin oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen,

    • den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten sowie

    • Kontrollhandlungen und Maßnahmen zuständiger Aufsichtsbehörden, soweit diese die vertragsgegenständlichen Leistungen betreffen.


  7. Die Auftragsverarbeiterin unterstützt die Verantwortliche bei der Erfüllung ihrer Pflichten nach Art. 32 bis 36 DSGVO. Meldungen nach diesen Vorschriften erfolgen ausschließlich durch die Verantwortliche.

  8. Die Auftragsverarbeiterin verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten der Verantwortlichen, die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder Betroffene darf die Auftragsverarbeiterin nur nach vorheriger Weisung oder Zustimmung durch die Verantwortliche erteilen.

  9. Die Auftragsverarbeiterin bestätigt, dass ihr die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind.

§ 4 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

  1. Die Auftragsverarbeiterin verpflichtet sich, technische und organisatorische Maßnahmen zur Wahrung der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der ihr von der Verantwortlichen zur Verfügung gestellten personenbezogenen Daten zu treffen, und zwar in dem durch die einschlägigen Datenschutzvorschriften (insbesondere Art. 24 und 32 DSGVO) vorgesehenen Umfang (siehe Liste der technischen und organisatorischen Maßnahmen (Anlage 1).

  2. Die bei der Auftragsverarbeiterin getroffenen Maßnahmen sind von dieser in Abstimmung mit der Verantwortlichen während der Vertragslaufzeit kontinuierlich weiterzuentwickeln und an veränderte Gegebenheiten anzupassen. Wesentliche Änderungen muss die Auftragsverarbeiterin mit der Verantwortlichen in dokumentierter Form schriftlich abstimmen.

  3. Die Auftragsverarbeiterin hat bei gegebenem Anlass, mindestens jedoch jährlich, eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DSGVO). Für den Fall, dass ihre jährliche Datenschutzprüfung bzw. ihr internes Audit ergeben hat, dass es keine datenschutzrechtlichen relevanten Veränderung gegeben hat, teilt die Auftragsverarbeiterin dies der Verantwortlichen mit. Im Falle datenschutzrelevanter Veränderung übermittelt sie der Verantwortlichen einen kurzen Auditbericht dazu, welche datenschutzrelevanter Veränderung vorgenommen wurden.

  4. Die für die Verantwortliche verarbeiteten Daten sind von sonstigen Datenbeständen zu trennen. Kopien oder Duplikate hiervon dürfen ohne Wissen der Verantwortlichen nicht angefertigt werden.

  5. Datenträger, die von der Verantwortlichen stammen bzw. für die Verantwortliche genutzt werden, werden besonders gekennzeichnet. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge sind zu dokumentieren.

§ 5 Drittstaatentransfer

  1. Die Auftragsverarbeiterin verpflichtet sich, die Verarbeitung und Nutzung der ihr von der Verantwortlichen zur Verfügung gestellten personenbezogenen Daten, ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum durchzuführen.

  2. Eine Übermittlung der Daten in Drittstaaten bedarf der vorherigen Zustimmung der Verantwortlichen und unterliegt darüber hinaus den besonderen Anforderungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

§ 6 Regelungen zur Berichtigung, Löschung und Sperrung von Daten; Datenrückgabe

  1. Die Auftragsverarbeiterin verpflichtet sich, Daten, die im Rahmen des Auftrages mit der Verantwortlichen verarbeitet wurden, nur entsprechend der vertraglichen Vereinbarung oder auf ausdrückliche Weisung der Verantwortlichen zu berichtigen, zu löschen oder zu sperren.

  2. Die Auftragsverarbeiterin hat nach Abschluss der vertragsgegenständlichen Leistungen oder auf Verlangen der Verantwortlichen dieser die bereitgestellten Daten in einem zu vereinbarenden Format auszuhändigen.

  3. Nach schriftlicher Freigabe durch die Verantwortliche sind die bereitgestellten Daten sodann datenschutzgerecht zu löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Verlangen hat die Auftragsverarbeiterin der Verantwortlichen das Löschungsprotokoll vorzulegen.

§ 7 Qualitätssicherung und sonstige Pflichten der Auftragsverarbeiterin

Die Auftragsverarbeiterin hat zusätzlich zur Einhaltung der Regelungen dieses Auftrages gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet sie insbesondere die Einhaltung folgender Vorgaben:

  1. Führen eines Verarbeitungsverzeichnis gemäß Art. 30 Abs. 2 DSGVO zu den von ihr im Auftrag der Verantwortlichen durchgeführten Verarbeitungstätigkeiten.

  2. Benennung eines Datenschutzbeauftragten: Sofern Art. 37 DSGVO die Benennung eines Datenschutzbeauftragten vorsieht, wird die Auftragsverarbeiterin einen Datenschutzbeauftragten bestellen, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind der Verantwortlichen zum Zweck der direkten Kontaktaufnahme mitzuteilen. Ein Wechsel des Datenschutzbeauftragten wird der Verantwortlichen unverzüglich mitgeteilt.

  3. Vertraulichkeit: Die Auftragsverarbeiterin ist zudem verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der Verantwortlichen vertraulich zu behandeln, insbesondere gemäß der Geschäftsgeheimnis-Richtlinie RL 2016/943/EU. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

  4. Einsatz geeigneten Personals: Die Auftragsverarbeiterin verpflichtet sich, zur Erbringung der vertragsgegenständlichen Leistungen nur solche Personen einzusetzen, die ihr unterstellt und durch geeignete Maßnahmen mit den gesetzlichen Vorschriften über den Datenschutz und die speziellen datenschutzrechtlichen Anforderungen dieses Vertrages vertraut gemacht wurden. Diese Personen müssen umfassend schriftlich zur Vertraulichkeit sowie zur Wahrung von Betriebs- und Geschäftsgeheimnissen der Verantwortlichen verpflichtet worden sein. Die Auftragsverarbeiterin stellt sicher, dass die ihr unterstellten Personen personenbezogene Daten der Verantwortlichen ausschließlich auf Weisung der Auftragsverarbeiterin verarbeiten. Dies ist der Verantwortlichen auf ihr Verlangen hin in geeigneter Form nachzuweisen.

  5. Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten in Anlage 1 TOMs).

  6. Unterstützung der Verantwortlichen durch die Auftragsverarbeiterin bei allen Anfragen der Aufsichtsbehörde und bei der Einhaltung der Pflichten aus den Art. 32 bis 36 DSGVO.

  7. Unverzügliches Informieren der Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, wenn eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf diese vertraglich vereinbarte Verarbeitung personenbezogener Daten bei der Auftragsverarbeiterin ermittelt.

  8. Unterstützung der Verantwortlichen, sofern sie einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei der Auftragsverarbeiterin ausgesetzt ist.

  9. Selbstkontrolle: Die Auftragsverarbeiterin kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in ihrem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

  10. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber der Verantwortlichen im Rahmen ihrer Kontrollbefugnisse nach diesem Vertrag (Die Liste der TOMs findet sich in Anhang 1 zu diesem Vertrag).

§ 8 Unterauftragsverhältnis

  1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die die Auftragsverarbeiterin z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt, sofern dabei ein Zugriff auf personenbezogene Daten ausgeschlossen werden kann. Die Auftragsverarbeiterin ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten der Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

  2. Die Verantwortliche stimmt bereits mit Unterzeichnung dieses Vertrages der Beauftragung der in Anlage 2.aufgelisteten Unterauftragsverarbeiter zu.

  3. Die Auftragsverarbeiterin ist im Rahmen ihrer vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen befugt. Sie setzt die Verantwortliche vorab darüber in Kenntnis und setzt ihr eine angemessene Frist, der Einschaltung der Unterauftragsverarbeiterin zu widersprechen. Erfolgt kein Widerspruch, gilt die Zustimmung als erteilt.

  4. Die Auftragsverarbeiterin verpflichtet sich, die Unterauftragsverarbeiterin unter besonderer Berücksichtigung der Eignung der von dieser getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten sorgfältig auszuwählen und entsprechend den Vorgaben dieses Vertrags auf die Einhaltung der einschlägigen Datenschutzvorschriften zu verpflichten. Die Verpflichtung muss auch das Recht der Auftragsverarbeiterin umfassen, die Einhaltung der Datenschutzvorschriften direkt und im gleichen Umfang bei der Unterauftragsverarbeiterin zu überprüfen, wie dies nach diesem Vertrag der Verantwortlichen bei der Auftragsverarbeiterin gestattet ist.

  5. Der Vertrag mit der Unterauftragsverarbeiterin ist schriftlich oder in einem elektronischen Format abzufassen. Darin sind die Verantwortlichkeiten der Auftragsverarbeiterin und der Unterauftragsverarbeiterin transparent voneinander abzugrenzen. Werden mehrere Unterauftragsverarbeiter eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Unterauftragsverarbeiter.

  6. Eine Beauftragung von Unterauftragsverarbeiter in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

  7. Die Weiterleitung von Daten an die Unterauftragsverarbeiterin ist erst zulässig, wenn die Unterauftragsverarbeiterin die Erfüllung aller Anforderungen der Art. 28 bis 36 DSGVO und dieses Vertrages erfüllt und nachgewiesen hat. Die Auftragsverarbeiterin prüft und dokumentiert dies.

  8. Die Auftragsverarbeiterin hat die Einhaltung der Pflichten der Unterauftragsverarbeiterin regelmäßig, mindestens jedoch jährlich, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist der Verantwortlichen nach Aufforderung vorzulegen.

  9. Die Auftragsverarbeiterin haftet im Verhältnis zur Verantwortlichen dafür, dass die Unterauftragsverarbeiterin den gesetzlichen und vertraglichen Datenschutzpflichten nachkommt, die ihr durch die Auftragsverarbeiterin, im Einklang mit diesem Vertrag, auferlegt wurden.

§ 9 Kontrollrechte der Verantwortlichen

  1. Die Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiterin Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Sie hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch die Auftragsverarbeiterin in deren Geschäftsbetrieb zu überzeugen.

  2. Die Auftragsverarbeiterin stellt sicher, dass sich die Verantwortliche von der Einhaltung der Pflichten der Auftragsverarbeiterin nach Art. 28 DSGVO überzeugen kann. Die Auftragsverarbeiterin verpflichtet sich, der Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

  3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren).

§ 10 Weisungsbefugnis der Verantwortlichen

  1. Mündliche Weisungen bestätigt die Verantwortliche unverzüglich (mind. Textform).

  2. Die Auftragsverarbeiterin hat die Verantwortliche unverzüglich zu informieren, wenn sie der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Die Auftragsverarbeiterin ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch die Verantwortliche bestätigt oder geändert wird.

  3. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten und/oder nicht auf ein Fehlverhalten der Auftragsverarbeiterin zurückzuführen sind, kann die Auftragsverarbeiterin eine angemessene Vergütung beanspruchen.

§ 11 Haftung und Schadensersatz

Verantwortliche und Auftragsverarbeiterin haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. Im Übrigen gelten für die Haftung die Bestimmungen der DSGVO.

§ 12 Informationspflichten, Schriftformklausel, Rechtswahl

  1. Sollten die Daten der Verantwortlichen bei der Auftragsverarbeiterin durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat die Auftragsverarbeiterin die Verantwortliche unverzüglich darüber zu informieren. Die Auftragsverarbeiterin wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei der Verantwortlichen als »Verantwortliche« im Sinne der Datenschutz-Grundverordnung liegen.

  2. Änderungen und Ergänzungen dieses Vertrages und all seiner Bestandteile – einschließlich etwaiger Zusicherungen der Auftragsverarbeiterin – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

  3. Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages zum Datenschutz den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht.

  4. Es gilt deutsches Recht.


Anlagen

  • Anlage 1 Technische und Organisatorische Maßnahmen

  • Anlage 2 Zugelassene Unterauftragsverarbeiter


Anlage 1

Technische und organisatorische Maßnahmen
Art. 32 Datenschutzgrundverordnung (DSGVO)
der Auftragsverarbeiterin
und Sicherheitskonzept


Diese technisch-organisatorischen Maßnahmen dienen der Gewährleistung der Datensicherheit und des Datenschutzes bei der Verarbeitung personenbezogener Daten durch die Immodio-Plattform gemäß Art. 32 DSGVO. Die Maßnahmen betreffen alle Datenverarbeitungen.

Immodio nutzt spezialisierte Dienstleister für verschiedene Funktionalitäten. Mit allen externen Partnern wurden Auftragsverarbeitungsverträge abgeschlossen, die den Anforderungen der DSGVO entsprechen.

Sicherheitskonzept

  • Sämtliche Büroräume sind durch Schließsysteme vor unbefugtem Zutritt geschützt.

  • Bei Immodio hat niemand physischen Zugang zu den Servern, da diese vollständig von externen Dienstleistern betrieben werden.

  • Alle Systemzugänge erfordern eine Multi-Faktor-Authentifizierung mit mindestens zwei verschiedenen Authentifizierungsfaktoren, soweit dies Angeboten wird.

  • Professionelle Passwort-Manager werden eingesetzt und komplexe Passwortrichtlinien werden organisatorisch durchgesetzt.

  • Zugriffsrechte werden ausschließlich im erforderlichen Umfang für die jeweilige Tätigkeit gewährt.

  • Der Zugriff auf das Produktionssystem ist auf eine begrenzte Anzahl autorisierter Administratoren limitiert.

  • Trennung zwischen Systemaccounts und personalisierten Mitarbeiteraccounts

  • Alle Systemzugriffe und -aktionen auf das Produktionssystem werden umfassend dokumentiert.

  • Entwicklungs-, Test- und Produktionsumgebungen sind klar voneinander abgegrenzt.

  • Geregelte Freigabeprozesse werden für Software Deployments in die Produktionsumgebung durchgeführt.

Datenintegrität

  • Aktuelle Verschlüsselungsstandards werden für alle Datenübertragungen verwendet.

  • Ausschließlich verschlüsselte Verbindungen (HTTPS/TLS) werden für die Client-Server-Kommunikation eingesetzt.

  • Geschützte Verbindungen zu allen Backendsystemen und Datenbanken sind vorhanden.

  • Auf allen Arbeitsplätzen werden aktueller Antivirus-Schutz eingesetzt und regelmäßige Updates eingespielt.

  • Datenzugriffe durch Administrations- und Systemkonten auf Produktionsumgebungen werden protokolliert.

Verfügbarkeit

  • Tägliche Sicherungen von geschäftskritischen Daten werden durchgeführt.

Auftragskontrolle

  • Dienstleister und Auftragsverarbeiter werden sorgfältig und unter besonderer Berücksichtigung von Datenschutz- und Sicherheitsaspekten ausgewählt.

  • Entsprechende Auftragsverarbeitungsverträge und EU-Standardvertragsklauseln werden abgeschlossen.

Organisatorische Maßnahmen

  • Alle Mitarbeiter erhalten regelmäßige Cyber-Security-Schulungen zu Datenschutz und IT-Sicherheit.

  • Alle Beschäftigten verpflichten sich zur Wahrung der Vertraulichkeit.

  • Ein Datenschutzbeauftragter wird bestellt.

  • Kontinuierliche Awareness-Programme sensibilisieren für Datenschutz- und Sicherheitsthemen.

  • Ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO wird geführt.

  • Die Daten verschiedener Kunden und Nutzergruppen werden strikt getrennt verarbeitet.

  • In Entwicklungs- und Testsystemen werden ausschließlich anonymisierte Testdaten verwendet.

  • Sicherheitsrelevante Ereignisse werden kontinuierlich überwacht.

  • Protokolldateien werden regelmäßig ausgewertet, um Anomalien zu identifizieren.

  • Regelmäßige Überprüfungen der Maßnahmen werden durchgeführt.

Diese technisch-organisatorischen Maßnahmen werden regelmäßig überprüft und an technische Entwicklungen, rechtliche Änderungen und Geschäftsanforderungen angepasst.


Technische und organisatorische Maßnahmen
Art. 32 Datenschutzgrundverordnung (DSGVO)
der Auftragsverarbeiterin
und Sicherheitskonzept


Diese technisch-organisatorischen Maßnahmen dienen der Gewährleistung der Datensicherheit und des Datenschutzes bei der Verarbeitung personenbezogener Daten durch die Immodio-Plattform gemäß Art. 32 DSGVO. Die Maßnahmen betreffen alle Datenverarbeitungen.

Immodio nutzt spezialisierte Dienstleister für verschiedene Funktionalitäten. Mit allen externen Partnern wurden Auftragsverarbeitungsverträge abgeschlossen, die den Anforderungen der DSGVO entsprechen.

Sicherheitskonzept

  • Sämtliche Büroräume sind durch Schließsysteme vor unbefugtem Zutritt geschützt.

  • Bei Immodio hat niemand physischen Zugang zu den Servern, da diese vollständig von externen Dienstleistern betrieben werden.

  • Alle Systemzugänge erfordern eine Multi-Faktor-Authentifizierung mit mindestens zwei verschiedenen Authentifizierungsfaktoren, soweit dies Angeboten wird.

  • Professionelle Passwort-Manager werden eingesetzt und komplexe Passwortrichtlinien werden organisatorisch durchgesetzt.

  • Zugriffsrechte werden ausschließlich im erforderlichen Umfang für die jeweilige Tätigkeit gewährt.

  • Der Zugriff auf das Produktionssystem ist auf eine begrenzte Anzahl autorisierter Administratoren limitiert.

  • Trennung zwischen Systemaccounts und personalisierten Mitarbeiteraccounts

  • Alle Systemzugriffe und -aktionen auf das Produktionssystem werden umfassend dokumentiert.

  • Entwicklungs-, Test- und Produktionsumgebungen sind klar voneinander abgegrenzt.

  • Geregelte Freigabeprozesse werden für Software Deployments in die Produktionsumgebung durchgeführt.

Datenintegrität

  • Aktuelle Verschlüsselungsstandards werden für alle Datenübertragungen verwendet.

  • Ausschließlich verschlüsselte Verbindungen (HTTPS/TLS) werden für die Client-Server-Kommunikation eingesetzt.

  • Geschützte Verbindungen zu allen Backendsystemen und Datenbanken sind vorhanden.

  • Auf allen Arbeitsplätzen werden aktueller Antivirus-Schutz eingesetzt und regelmäßige Updates eingespielt.

  • Datenzugriffe durch Administrations- und Systemkonten auf Produktionsumgebungen werden protokolliert.

Verfügbarkeit

  • Tägliche Sicherungen von geschäftskritischen Daten werden durchgeführt.

Auftragskontrolle

  • Dienstleister und Auftragsverarbeiter werden sorgfältig und unter besonderer Berücksichtigung von Datenschutz- und Sicherheitsaspekten ausgewählt.

  • Entsprechende Auftragsverarbeitungsverträge und EU-Standardvertragsklauseln werden abgeschlossen.

Organisatorische Maßnahmen

  • Alle Mitarbeiter erhalten regelmäßige Cyber-Security-Schulungen zu Datenschutz und IT-Sicherheit.

  • Alle Beschäftigten verpflichten sich zur Wahrung der Vertraulichkeit.

  • Ein Datenschutzbeauftragter wird bestellt.

  • Kontinuierliche Awareness-Programme sensibilisieren für Datenschutz- und Sicherheitsthemen.

  • Ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO wird geführt.

  • Die Daten verschiedener Kunden und Nutzergruppen werden strikt getrennt verarbeitet.

  • In Entwicklungs- und Testsystemen werden ausschließlich anonymisierte Testdaten verwendet.

  • Sicherheitsrelevante Ereignisse werden kontinuierlich überwacht.

  • Protokolldateien werden regelmäßig ausgewertet, um Anomalien zu identifizieren.

  • Regelmäßige Überprüfungen der Maßnahmen werden durchgeführt.

Diese technisch-organisatorischen Maßnahmen werden regelmäßig überprüft und an technische Entwicklungen, rechtliche Änderungen und Geschäftsanforderungen angepasst.


Technische und organisatorische Maßnahmen
Art. 32 Datenschutzgrundverordnung (DSGVO)
der Auftragsverarbeiterin
und Sicherheitskonzept


Diese technisch-organisatorischen Maßnahmen dienen der Gewährleistung der Datensicherheit und des Datenschutzes bei der Verarbeitung personenbezogener Daten durch die Immodio-Plattform gemäß Art. 32 DSGVO. Die Maßnahmen betreffen alle Datenverarbeitungen.

Immodio nutzt spezialisierte Dienstleister für verschiedene Funktionalitäten. Mit allen externen Partnern wurden Auftragsverarbeitungsverträge abgeschlossen, die den Anforderungen der DSGVO entsprechen.

Sicherheitskonzept

  • Sämtliche Büroräume sind durch Schließsysteme vor unbefugtem Zutritt geschützt.

  • Bei Immodio hat niemand physischen Zugang zu den Servern, da diese vollständig von externen Dienstleistern betrieben werden.

  • Alle Systemzugänge erfordern eine Multi-Faktor-Authentifizierung mit mindestens zwei verschiedenen Authentifizierungsfaktoren, soweit dies Angeboten wird.

  • Professionelle Passwort-Manager werden eingesetzt und komplexe Passwortrichtlinien werden organisatorisch durchgesetzt.

  • Zugriffsrechte werden ausschließlich im erforderlichen Umfang für die jeweilige Tätigkeit gewährt.

  • Der Zugriff auf das Produktionssystem ist auf eine begrenzte Anzahl autorisierter Administratoren limitiert.

  • Trennung zwischen Systemaccounts und personalisierten Mitarbeiteraccounts

  • Alle Systemzugriffe und -aktionen auf das Produktionssystem werden umfassend dokumentiert.

  • Entwicklungs-, Test- und Produktionsumgebungen sind klar voneinander abgegrenzt.

  • Geregelte Freigabeprozesse werden für Software Deployments in die Produktionsumgebung durchgeführt.

Datenintegrität

  • Aktuelle Verschlüsselungsstandards werden für alle Datenübertragungen verwendet.

  • Ausschließlich verschlüsselte Verbindungen (HTTPS/TLS) werden für die Client-Server-Kommunikation eingesetzt.

  • Geschützte Verbindungen zu allen Backendsystemen und Datenbanken sind vorhanden.

  • Auf allen Arbeitsplätzen werden aktueller Antivirus-Schutz eingesetzt und regelmäßige Updates eingespielt.

  • Datenzugriffe durch Administrations- und Systemkonten auf Produktionsumgebungen werden protokolliert.

Verfügbarkeit

  • Tägliche Sicherungen von geschäftskritischen Daten werden durchgeführt.

Auftragskontrolle

  • Dienstleister und Auftragsverarbeiter werden sorgfältig und unter besonderer Berücksichtigung von Datenschutz- und Sicherheitsaspekten ausgewählt.

  • Entsprechende Auftragsverarbeitungsverträge und EU-Standardvertragsklauseln werden abgeschlossen.

Organisatorische Maßnahmen

  • Alle Mitarbeiter erhalten regelmäßige Cyber-Security-Schulungen zu Datenschutz und IT-Sicherheit.

  • Alle Beschäftigten verpflichten sich zur Wahrung der Vertraulichkeit.

  • Ein Datenschutzbeauftragter wird bestellt.

  • Kontinuierliche Awareness-Programme sensibilisieren für Datenschutz- und Sicherheitsthemen.

  • Ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO wird geführt.

  • Die Daten verschiedener Kunden und Nutzergruppen werden strikt getrennt verarbeitet.

  • In Entwicklungs- und Testsystemen werden ausschließlich anonymisierte Testdaten verwendet.

  • Sicherheitsrelevante Ereignisse werden kontinuierlich überwacht.

  • Protokolldateien werden regelmäßig ausgewertet, um Anomalien zu identifizieren.

  • Regelmäßige Überprüfungen der Maßnahmen werden durchgeführt.

Diese technisch-organisatorischen Maßnahmen werden regelmäßig überprüft und an technische Entwicklungen, rechtliche Änderungen und Geschäftsanforderungen angepasst.


Anlage 2

Liste der zugelassenen Unterauftragsverarbeiter


  • Brevo (Frankreich) - CRM, Kundensupport (Chat, Mail, Meetings, Telefon), E-Mail-Marketing

  • GitBook (USA) - Hilfe-Seiten

  • GitHub (USA) - Bug-Reports

  • Google Analytics (Irland/USA) - Website-Analyse

  • Google Cloud Platform (Irland/USA) - Cloud-Backend und Autorisierung

  • Grafana (USA) - Performance-Monitoring

  • Hetzner Online GmbH (Deutschland) - DNS Server und Verwaltung, E-Mail Accounts

  • Hotjar Ltd. (Malta) - Nutzerverhalten-Analyse

  • Sentry.io (USA) - Fehlerberichterstattung und User Feedback

  • Strato AG (Deutschland) - App Hosting

  • Stripe Payments Europe (Irland) - Zahlungsabwicklung

  • Supademo (USA) - Hilfevideos

  • Zapier (USA) - Prozessautomatisierung

Liste der zugelassenen Unterauftragsverarbeiter


  • Brevo (Frankreich) - CRM, Kundensupport (Chat, Mail, Meetings, Telefon), E-Mail-Marketing

  • GitBook (USA) - Hilfe-Seiten

  • GitHub (USA) - Bug-Reports

  • Google Analytics (Irland/USA) - Website-Analyse

  • Google Cloud Platform (Irland/USA) - Cloud-Backend und Autorisierung

  • Grafana (USA) - Performance-Monitoring

  • Hetzner Online GmbH (Deutschland) - DNS Server und Verwaltung, E-Mail Accounts

  • Hotjar Ltd. (Malta) - Nutzerverhalten-Analyse

  • Sentry.io (USA) - Fehlerberichterstattung und User Feedback

  • Strato AG (Deutschland) - App Hosting

  • Stripe Payments Europe (Irland) - Zahlungsabwicklung

  • Supademo (USA) - Hilfevideos

  • Zapier (USA) - Prozessautomatisierung

Liste der zugelassenen Unterauftragsverarbeiter


  • Brevo (Frankreich) - CRM, Kundensupport (Chat, Mail, Meetings, Telefon), E-Mail-Marketing

  • GitBook (USA) - Hilfe-Seiten

  • GitHub (USA) - Bug-Reports

  • Google Analytics (Irland/USA) - Website-Analyse

  • Google Cloud Platform (Irland/USA) - Cloud-Backend und Autorisierung

  • Grafana (USA) - Performance-Monitoring

  • Hetzner Online GmbH (Deutschland) - DNS Server und Verwaltung, E-Mail Accounts

  • Hotjar Ltd. (Malta) - Nutzerverhalten-Analyse

  • Sentry.io (USA) - Fehlerberichterstattung und User Feedback

  • Strato AG (Deutschland) - App Hosting

  • Stripe Payments Europe (Irland) - Zahlungsabwicklung

  • Supademo (USA) - Hilfevideos

  • Zapier (USA) - Prozessautomatisierung

Sind Sie bereit Zeit und Kosten zu sparen?

Einfach. Digital. Vermietet.
Mit Immodio.

Starten Sie noch heute und testen Sie den
Digitalen Vermietungsprozess und viele weitere Features kostenlos.

Jetzt Testen

Sind Sie bereit Zeit und Kosten zu sparen?

Einfach. Digital. Vermietet.
Mit Immodio.

Starten Sie noch heute und testen Sie den Digitalen Vermietungsprozess und viele weitere Features kostenlos.

Jetzt Testen

Sind Sie bereit Zeit und Kosten zu sparen?

Einfach. Digital. Vermietet.
Mit Immodio.

Starten Sie noch heute und testen Sie den
Digitalen Vermietungsprozess und viele weitere Features kostenlos.

Jetzt Testen