← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO  ·  Stand: April 2026

Art. 1 – Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung der Software digiÜbergabe (SaaS-Plattform für Wohnungsübergabeprotokolle). Dieser Vertrag gilt für die Dauer des zugrundeliegenden Nutzungsvertrages und endet automatisch mit dessen Beendigung (z.B. Konto-Löschung).

Art. 2 – Art und Zweck der Verarbeitung sowie Datenkategorien

Verarbeitungszweck: Digitale Erstellung, Speicherung und Versand von Wohnungsübergabeprotokollen.

Art der Verarbeitung: Erhebung, Speicherung, Strukturierung, Übermittlung, Bereitstellung und Löschung.

Kategorien personenbezogener Daten:

• Namen, Anschriften und E-Mail-Adressen von Mietern, Vermietern und Zeugen
• Zählerstände (Strom, Gas, Wasser)
• Zustandsbeschreibungen von Räumen und Objekten
• Fotografien von Räumen und Mängeln
• Digitale Unterschriften der Vertragsparteien

Kreis der Betroffenen: Mieter, Vermieter, Zeugen und sonstige am Übergabeprozess beteiligte Personen.

Art. 3 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der App stellt die Weisung dar.
• Sicherzustellen, dass sich alle autorisierten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO).
• Geeignete technische und organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO umzusetzen (s. Art. 5 dieses Vertrages).
• Den Verantwortlichen unverzüglich (max. 72 Stunden) nach Bekanntwerden einer Datenschutzverletzung zu informieren (Art. 33 DSGVO).
• Weitere Auftragsverarbeiter (Subunternehmer) nur mit vorheriger Einwilligung des Verantwortlichen einzusetzen (Art. 28 Abs. 2 DSGVO, s. Art. 6).
• Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen (Auskunft, Löschung, Portabilität, Einschränkung, Widerspruch gem. Art. 15–21 DSGVO).
• Nach Abschluss der Verarbeitung alle Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben und bestehende Kopien zu vernichten (Art. 28 Abs. 3 lit. g DSGVO).

Art. 4 – Pflichten des Verantwortlichen

Als Verantwortlicher sind Sie allein für die Rechtmäßigkeit der Erhebung personenbezogener Daten Ihrer Mieter verantwortlich. Sie müssen sicherstellen, dass eine geeignete Rechtsgrundlage nach Art. 6 DSGVO vorliegt (typischerweise Art. 6 Abs. 1 lit. b: Erfüllung des Mietvertrages). Sie sind außerdem verpflichtet, Ihren Mietern die Informationen nach Art. 13 DSGVO zum Zeitpunkt der Datenerhebung bereitzustellen.

Art. 5 – Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)

• Datenverschlüsselung: Vollständige TLS/SSL-Verschlüsselung aller Übertragungswege (HTTPS). Ruhende Daten in Firestore sind serverseitig durch AES-256 verschlüsselt.
• Zugriffskontrolle: Rollenbasierte Zugriffsrechte über Google Firebase Authentication. Jeder Datensatz ist durch Firestore Security Rules strikt auf den jeweiligen Nutzer-Account beschränkt.
• Datensparsamkeit: Es werden ausschließlich die für den Protokollzweck notwendigen Daten erhoben.
• Verfügbarkeit: Betrieb auf Google Cloud Infrastructure (Firebase) mit regionaler Redundanz und angestrebter Verfügbarkeit von 99,0 % p.a.
• Wiederherstellbarkeit: Automatische Daten-Backups durch die Google Firebase Plattform.
• Überprüfbarkeit: Protokollierung von Zugriffen und administrativen Aktionen.

Art. 6 – Einsatz von Unterauftragsverarbeitern

Sie erteilen hiermit Ihre allgemeine Einwilligung nach Art. 28 Abs. 2 DSGVO zur Beauftragung folgender Unterauftragsverarbeiter:

• Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland – für Cloud-Datenbank (Firestore), Authentifizierung (Firebase Auth), serverlose Funktionen (Cloud Functions), Datei-Speicher (Storage) und Hosting. Garantierter Serverstandort: Frankfurt am Main, Deutschland (Rechenzentrumsregion europe-west3).

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen oder den Einsatz weiterer Unterauftragsverarbeiter mindestens 30 Tage im Voraus per E-Mail. Der Verantwortliche hat das Recht, innerhalb von 14 Tagen nach Mitteilung Einwände zu erheben.

Art. 7 – Kontrollrechte und Auditrecht (Art. 28 Abs. 3 lit. h DSGVO)

Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Anforderungen beim Auftragsverarbeiter zu überprüfen. Audits sind mit angemessener Voranmeldefrist (mindestens 14 Tage) in Textform anzukündigen. Der Auftragsverarbeiter leistet die erforderliche Mithilfe und stellt relevante Informationen bereit.

Art. 8 – Löschung und Rückgabe

Nach Beendigung des Hauptvertrages (z.B. durch Konto-Löschung über die App-Einstellungen) löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen vollständig und unwiderruflich. Eine Rückgabe der Rohdaten in maschinenlesbarer Form kann auf Anfrage innerhalb dieser Frist angefordert werden.

Art. 9 – Haftung

Die Haftung der Parteien für Datenschutzverstöße richtet sich nach den einschlägigen gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO. Jede Partei haftet gegenüber der jeweils anderen für Schäden, die durch einen Verstoß gegen diesen Vertrag entstehen, in dem Maße, in dem sie für den Schaden verantwortlich ist.

Art. 10 – Schlussbestimmungen

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptnutzungsvertrag haben die Bestimmungen dieses AVV Vorrang. Sollte eine Bestimmung dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.