Auftragsverarbeitungsvertrag

nach Art. 28 DSGVO

Stand: Mai 2026 · Version 1.0

Gegenstand und Dauer

1. Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung des SaaS-Dienstes „Immowidget" (Bewertungs-Widget für Immobilien-Endkunden).
2. Die konkrete Art, der Umfang und der Zweck der Verarbeitung sowie die Kategorien betroffener Personen und Daten ergeben sich aus Anlage 1.
3. Die Vertragslaufzeit entspricht der Laufzeit des zugrundeliegenden Hauptvertrags zwischen Auftraggeber und Immowidget. Mit dem Ende des Hauptvertrags endet auch dieser Vertrag.

Weisungsgebundenheit

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, sofern er nicht durch Unionsrecht oder das Recht eines Mitgliedstaats verpflichtet ist.
2. Weisungen können sowohl im Rahmen der Funktionen des Makler-Dashboards (z. B. Lead-Status setzen, Daten löschen) als auch außerhalb in Textform (E-Mail genügt) erteilt werden.
3. Sollte der Auftragnehmer der Auffassung sein, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, hat er dies dem Auftraggeber unverzüglich mitzuteilen. Er ist berechtigt, die Durchführung bis zur Klärung auszusetzen.

Rechte und Pflichten des Auftraggebers

1. Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich.
2. Der Auftraggeber stellt sicher, dass für die Verarbeitung im Rahmen des Widgets eine wirksame Rechtsgrundlage besteht (z. B. Einwilligung des Endkunden mittels Double-Opt-In).
3. Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags durch den Auftragnehmer zu überprüfen — entweder durch Einsicht in vorhandene Zertifikate, Audit-Berichte und Dokumentationen oder, bei begründetem Anlass, durch Vor-Ort-Kontrollen nach vorheriger Ankündigung von mindestens 14 Tagen.

Pflichten des Auftragnehmers

1. Der Auftragnehmer verarbeitet die Daten ausschließlich für den im Hauptvertrag und in Anlage 1 definierten Zweck.
2. Der Auftragnehmer trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der Daten und überprüft sie regelmäßig.
3. Der Auftragnehmer verpflichtet alle Personen, die zur Verarbeitung der Daten befugt sind, schriftlich oder elektronisch zur Vertraulichkeit, sofern sie nicht bereits einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
4. Der Auftragnehmer benennt auf Anfrage einen Ansprechpartner für Datenschutzfragen. Eine Pflicht zur Bestellung eines Datenschutzbeauftragten gem. Art. 37 DSGVO besteht für den Auftragnehmer derzeit nicht; sollte sie eintreten, wird der Auftraggeber unverzüglich informiert.
5. Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO), bei Datenschutz-Folgenabschätzungen (Art. 35) und bei Konsultationen mit der Aufsichtsbehörde (Art. 36) — soweit dies aufgrund der Art der Verarbeitung möglich und erforderlich ist.

Unterauftragsverhältnisse (Sub-Auftragsverarbeiter)

1. Der Auftraggeber willigt in die Beauftragung der in Anlage 3 aufgeführten Unter-Auftragsverarbeiter ein. Diese sind für die Bereitstellung des Dienstes erforderlich.
2. Der Auftragnehmer schließt mit jedem Sub-Auftragsverarbeiter einen Vertrag, der die in diesem Vertrag festgelegten Pflichten an den Sub-Auftragsverarbeiter weitergibt (Art. 28 Abs. 4 DSGVO).
3. Bei der Aufnahme oder dem Wechsel eines Sub-Auftragsverarbeiters informiert der Auftragnehmer den Auftraggeber per E-Mail an die im Account hinterlegte Adresse mit einer Frist von mindestens 30 Tagen vor der Änderung. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen widersprechen. Bei Widerspruch sind beide Parteien zu einer einvernehmlichen Lösung verpflichtet; gelingt diese nicht, kann der Auftraggeber den Hauptvertrag außerordentlich kündigen.

Datenschutzverletzungen

1. Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).
2. Die Meldung enthält mindestens: Art und Umfang der Verletzung, Kategorien und Zahl betroffener Personen, voraussichtliche Folgen, ergriffene oder vorgeschlagene Abhilfemaßnahmen, Kontaktdaten der zuständigen Stelle.
3. Die Meldepflicht des Auftraggebers gegenüber der Aufsichtsbehörde (innerhalb 72 Stunden) bleibt davon unberührt; der Auftragnehmer unterstützt ihn dabei.

Drittlandübermittlung

1. Eine Verarbeitung der Daten außerhalb der EU/EWR findet nur statt, soweit dies zur Erbringung des Dienstes erforderlich ist und durch die in Anlage 3 genannten Sub-Auftragsverarbeiter veranlasst wird.
2. Bei Drittland-Übermittlungen stellt der Auftragnehmer geeignete Garantien gem. Art. 46 DSGVO sicher — insbesondere durch EU-Standardvertragsklauseln (SCC) oder Zertifizierungen unter dem EU-US Data Privacy Framework.

Löschung und Rückgabe

1. Nach Beendigung des Hauptvertrags hat der Auftraggeber 30 Tage Zeit, seine Daten über das Dashboard zu exportieren (CSV-Download für Leads).
2. Nach Ablauf dieser Frist löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von weiteren 30 Tagen — sowohl in produktiven Systemen als auch in Backups (durch Ablauf der Backup-Rotation, max. 30 Tage).
3. Etwaige gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO für Rechnungen) bleiben unberührt; entsprechende Daten werden bis zum Ablauf der Frist eingeschränkt verarbeitet.
4. Auf Wunsch erstellt der Auftragnehmer eine Bestätigung der Löschung in Textform.

Haftung

1. Es gelten die Haftungsregelungen des Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für ihre jeweiligen datenschutzrechtlichen Pflichten.
2. Die Haftung des Auftragnehmers beschränkt sich auf das, was im Hauptvertrag vereinbart ist, soweit dies gesetzlich zulässig ist.

Sonstiges

1. Es gilt das Recht der Bundesrepublik Deutschland.
2. Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt diejenige wirksame Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.
3. Änderungen dieses Vertrags bedürfen der Textform. Das gilt auch für die Änderung dieser Textformklausel.
4. Im Konfliktfall zwischen diesem AVV und dem Hauptvertrag haben die Bestimmungen dieses AVV Vorrang in datenschutzrechtlichen Fragen.

Zweck

Bereitstellung eines White-Label-Bewertungs-Widgets, mit dem Endnutzer auf der Website des Auftraggebers eine kostenlose Immobilienbewertung anfordern können. Übermittlung der dabei erhobenen Lead-Daten an den Auftraggeber per E-Mail und im Dashboard.

Art der Verarbeitung

• Erhebung von Lead-Daten über das eingebettete Widget
• Speicherung in der Datenbank des jeweiligen Mandanten-Accounts
• Versand transaktionaler Benachrichtigungs-E-Mails an den Auftraggeber
• Bereitstellung der Daten im Makler-Dashboard zur Statusverwaltung
• Optionale Weitergabe an vom Auftraggeber explizit konfigurierte Tracking-Tools (z. B. Google Ads Conversion-ID)

Kategorien betroffener Personen

• Webseiten-Besucher des Auftraggebers, die das Bewertungs-Widget aktiv nutzen
• Eigentümer von Immobilien, die einen Verkauf erwägen

Kategorien personenbezogener Daten

Es werden keine besonderen Kategorien personenbezogener Daten gem. Art. 9 DSGVO verarbeitet.

Der Auftragnehmer trifft folgende Maßnahmen nach Art. 32 DSGVO. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf an den Stand der Technik angepasst.

1. Vertraulichkeit

• Zutrittskontrolle: Datenverarbeitung ausschließlich in zertifizierten Rechenzentren (Vercel, Supabase Frankfurt) mit Mehrfaktor-Zutrittssicherung, 24/7-Überwachung und ISO-27001-Zertifizierung.
• Zugangskontrolle: Mehrfaktor-Authentifizierung für alle Admin-Konten, individuelle Benutzerkonten ohne geteilte Passwörter, automatische Sperrung nach Inaktivität.
• Zugriffskontrolle: Row-Level-Security (RLS) in der Datenbank — Makler sehen ausschließlich ihre eigenen Lead-Daten. Service-Role-Schlüssel werden nur serverseitig verwendet und niemals an den Client ausgeliefert.
• Trennungskontrolle: Mandantentrennung über tenant_id; logische Trennung der Daten verschiedener Auftraggeber; getrennte Test- und Produktionsumgebungen.
• Pseudonymisierung: Wo möglich werden Daten in Logs pseudonymisiert (z. B. gekürzte IP-Adressen).

2. Integrität

• Weitergabekontrolle: Verschlüsselte Übertragung sämtlicher Daten via TLS 1.2+ (HTTPS). Keine Speicherung sensibler Daten in URL-Parametern.
• Eingabekontrolle: Alle schreibenden API-Operationen werden geloggt mit Zeitstempel und Auslöser; Audit-Log auf Account-Ebene im Dashboard sichtbar.

3. Verfügbarkeit und Belastbarkeit

• Redundanz: Auto-Scaling-Hosting auf Vercel mit Multi-Region-Edge-Auslieferung. Datenbank-Failover bei Supabase mit Recovery-Time-Objective < 1 h.
• Backups: Tägliche automatisierte Datenbank-Backups mit 30-Tage-Aufbewahrung. Punktgenaue Wiederherstellung (Point-in-Time-Recovery).
• Monitoring: 24/7-Überwachung von Verfügbarkeit, Fehlerraten und Anomalien. Alarmierung bei Ausfällen oder verdächtigen Aktivitäten.

4. Verfahren zur regelmäßigen Überprüfung

• Datenschutz-Management: Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO wird gepflegt.
• Incident-Response-Plan: Festgelegtes Verfahren für die Erkennung, Eindämmung und Meldung von Datenschutzverletzungen mit definierten Eskalationszeiten.
• Auftragskontrolle: Sub-Auftragsverarbeiter werden vor Beauftragung auf ihr Datenschutzniveau geprüft (Zertifizierungen, AVV, Standort der Verarbeitung).

Folgende Sub-Auftragsverarbeiter werden zur Erbringung des Dienstes eingesetzt. Eine aktualisierte Liste ist jederzeit unter /datenschutz abrufbar.

Optional / nur mit Auftraggeber-Konfiguration: Wenn der Auftraggeber im Dashboard eine Google-Ads-Conversion-ID hinterlegt, werden Conversion-Events an Google Ireland Ltd. übermittelt — ausschließlich nach Einwilligung des Endnutzers im Cookie-Banner.