Auftragsverarbeitungsvertrag (AVV)
Nach Art. 28 DSGVO — zwischen der Hausverwaltung (Verantwortlicher) und Immofix (Auftragsverarbeiter).
Stand: Juli 2026
Parteien
Verantwortlicher (Auftraggeber): die Hausverwaltung / der Eigentümer, die/der Immofix als zahlender Kunde nutzt — nachfolgend „Kunde".
Auftragsverarbeiter (Auftragnehmer):
Enrico De la Cruz González, Einzelunternehmer (Kleinunternehmer gem. § 19 UStG)
Luruper Hauptstraße 114k, 22547 Hamburg, Deutschland
kontakt@getimmofix.com — nachfolgend „Immofix".
§ 1 Gegenstand und Dauer
Immofix verarbeitet personenbezogene Daten im Auftrag des Kunden im Rahmen der Bereitstellung der Software „Immofix". Der AVV gilt für die Dauer des Hauptvertrags (Nutzungsvertrag) und endet automatisch mit dessen Beendigung.
§ 2 Art, Umfang und Zweck der Verarbeitung
Gegenstand der Verarbeitung ist die digitale Erfassung und Bearbeitung von Schadensmeldungen und damit zusammenhängenden Vorgängen. Zweck ist ausschließlich die Erbringung der vertraglich vereinbarten Leistungen.
Art der personenbezogenen Daten:
- Mieter: Name, Telefonnummer, Wohnungs-/Gebäudeangabe
- Schadensbezogene Inhalte: Beschreibungen und Fotos
- Handwerker: Name, Telefon, E-Mail
- Mitarbeiter des Kunden: Name, E-Mail, Login-/Kontaktdaten
Kategorien betroffener Personen: Mieter, beauftragte Handwerker sowie Beschäftigte des Kunden.
§ 3 Weisungsrecht
Immofix verarbeitet die Daten ausschließlich im Rahmen der dokumentierten Weisungen des Kunden. Die Konfiguration und Nutzung der Software gilt als Weisung. Ist Immofix der Auffassung, dass eine Weisung gegen geltendes Recht verstößt, wird der Kunde unverzüglich informiert.
§ 4 Pflichten von Immofix
- Verarbeitung nur gemäß Weisung; Datenübermittlung in Drittländer nur unter den Voraussetzungen der Art. 44 ff. DSGVO.
- Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.
- Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (siehe Anlage 1).
- Unterstützung des Kunden bei der Beantwortung von Betroffenenanfragen sowie bei Datenschutz-Folgenabschätzungen.
- Unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten.
§ 5 Technische und organisatorische Maßnahmen (TOM)
Immofix unterhält angemessene TOM gemäß Art. 32 DSGVO. Diese sind in Anlage 1 beschrieben und werden bei Bedarf an den Stand der Technik angepasst.
§ 6 Unterauftragsverarbeiter
Der Kunde stimmt dem Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter zu. Immofix informiert den Kunden über beabsichtigte Änderungen rechtzeitig; der Kunde kann aus wichtigem Grund widersprechen. Mit allen Unterauftragsverarbeitern bestehen vertragliche Datenschutzvereinbarungen.
§ 7 Betroffenenrechte
Immofix unterstützt den Kunden mit geeigneten Maßnahmen dabei, Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu beantworten. Wendet sich eine betroffene Person direkt an Immofix, leitet Immofix die Anfrage an den Kunden weiter.
§ 8 Meldung von Datenschutzverletzungen
Immofix meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei seinen Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO.
§ 9 Kontrollrechte
Der Kunde ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen. Immofix stellt die hierfür erforderlichen Informationen bereit. Kontrollen erfolgen mit angemessener Vorankündigung und ohne Beeinträchtigung des Betriebsablaufs.
§ 10 Löschung nach Vertragsende
Nach Beendigung des Vertrags löscht Immofix die im Auftrag verarbeiteten Daten nach Wahl des Kunden oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
§ 11 Haftung
Für die Haftung gelten die Regelungen des Art. 82 DSGVO sowie die Haftungsbestimmungen des Hauptvertrags.
§ 12 Schlussbestimmungen
Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor. Es gilt deutsches Recht.
Unterschriften
Ort, Datum
Verantwortlicher (Kunde) — Name, Unterschrift
Ort, Datum
Auftragsverarbeiter (Immofix) — Name, Unterschrift
Anlage 1 — Technische und organisatorische Maßnahmen
- Verschlüsselung: Transportverschlüsselung (TLS/HTTPS) für die gesamte Kommunikation; verschlüsselte Datenspeicherung beim Hosting-Dienstleister.
- Zugangskontrolle: Passwörter werden ausschließlich als salted Hash (PBKDF2-SHA512) gespeichert; Sitzungen über signierte, ablaufende Tokens.
- Zugriffskontrolle / Mandantentrennung: Logische Trennung der Kundendaten; Zugriff nur für den jeweils berechtigten Account (Row-Level-Security, rollenbasierte Berechtigungen).
- Datei-/Fotospeicher: Privater Speicher, Zugriff nur über zeitlich begrenzte, signierte URLs.
- Verfügbarkeit: Betrieb auf etablierter Cloud-Infrastruktur mit automatischen Backups durch den Datenbank-Dienstleister.
- Datenminimierung: Es werden nur die zur Schadensbearbeitung erforderlichen Daten erhoben.
Anlage 2 — Genehmigte Unterauftragsverarbeiter
| Dienst | Zweck | Sitz / Transfer |
|---|---|---|
| Vercel Inc. | Hosting & Auslieferung der Web-App | USA · EU-Standardvertragsklauseln (SCC) |
| Supabase Inc. | Datenbank & verschlüsselter Datei-/Fotospeicher | USA (Hosting-Region EU wählbar) · EU-Standardvertragsklauseln (SCC) |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung der Abonnements | Irland / USA · EU-Standardvertragsklauseln (SCC) |
| Resend (Plus Five Five, Inc.) | Versand transaktionaler E-Mails (z. B. Benachrichtigungen, Reports) | USA · EU-Standardvertragsklauseln (SCC) |
| Twilio Inc. | SMS-Statusbenachrichtigungen an Mieter (optional) | USA · EU-Standardvertragsklauseln (SCC) |
| Anthropic PBC | KI-gestützte Auslesung von Rechnungen & Priorisierung von Tickets | USA · EU-Standardvertragsklauseln (SCC) |