ZurückImmofix

Auftragsverarbeitungsvertrag (AVV)

Nach Art. 28 DSGVO — zwischen der Hausverwaltung (Verantwortlicher) und Immofix (Auftragsverarbeiter).

Stand: Juli 2026

Pflicht-Dokument: Jeder zahlende Kunde, der über Immofix Mieter-/Personendaten verarbeitet, muss diesen AVV mit dir abschließen. Vorlage — bitte einmal rechtlich prüfen lassen. Zum Unterschreiben einfach ausdrucken.

Parteien

Verantwortlicher (Auftraggeber): die Hausverwaltung / der Eigentümer, die/der Immofix als zahlender Kunde nutzt — nachfolgend „Kunde".

Auftragsverarbeiter (Auftragnehmer):
Enrico De la Cruz González, Einzelunternehmer (Kleinunternehmer gem. § 19 UStG)
Luruper Hauptstraße 114k, 22547 Hamburg, Deutschland
kontakt@getimmofix.com — nachfolgend „Immofix".

§ 1 Gegenstand und Dauer

Immofix verarbeitet personenbezogene Daten im Auftrag des Kunden im Rahmen der Bereitstellung der Software „Immofix". Der AVV gilt für die Dauer des Hauptvertrags (Nutzungsvertrag) und endet automatisch mit dessen Beendigung.

§ 2 Art, Umfang und Zweck der Verarbeitung

Gegenstand der Verarbeitung ist die digitale Erfassung und Bearbeitung von Schadensmeldungen und damit zusammenhängenden Vorgängen. Zweck ist ausschließlich die Erbringung der vertraglich vereinbarten Leistungen.

Art der personenbezogenen Daten:

  • Mieter: Name, Telefonnummer, Wohnungs-/Gebäudeangabe
  • Schadensbezogene Inhalte: Beschreibungen und Fotos
  • Handwerker: Name, Telefon, E-Mail
  • Mitarbeiter des Kunden: Name, E-Mail, Login-/Kontaktdaten

Kategorien betroffener Personen: Mieter, beauftragte Handwerker sowie Beschäftigte des Kunden.

§ 3 Weisungsrecht

Immofix verarbeitet die Daten ausschließlich im Rahmen der dokumentierten Weisungen des Kunden. Die Konfiguration und Nutzung der Software gilt als Weisung. Ist Immofix der Auffassung, dass eine Weisung gegen geltendes Recht verstößt, wird der Kunde unverzüglich informiert.

§ 4 Pflichten von Immofix

  • Verarbeitung nur gemäß Weisung; Datenübermittlung in Drittländer nur unter den Voraussetzungen der Art. 44 ff. DSGVO.
  • Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.
  • Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (siehe Anlage 1).
  • Unterstützung des Kunden bei der Beantwortung von Betroffenenanfragen sowie bei Datenschutz-Folgenabschätzungen.
  • Unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten.

§ 5 Technische und organisatorische Maßnahmen (TOM)

Immofix unterhält angemessene TOM gemäß Art. 32 DSGVO. Diese sind in Anlage 1 beschrieben und werden bei Bedarf an den Stand der Technik angepasst.

§ 6 Unterauftragsverarbeiter

Der Kunde stimmt dem Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter zu. Immofix informiert den Kunden über beabsichtigte Änderungen rechtzeitig; der Kunde kann aus wichtigem Grund widersprechen. Mit allen Unterauftragsverarbeitern bestehen vertragliche Datenschutzvereinbarungen.

§ 7 Betroffenenrechte

Immofix unterstützt den Kunden mit geeigneten Maßnahmen dabei, Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu beantworten. Wendet sich eine betroffene Person direkt an Immofix, leitet Immofix die Anfrage an den Kunden weiter.

§ 8 Meldung von Datenschutzverletzungen

Immofix meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei seinen Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO.

§ 9 Kontrollrechte

Der Kunde ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen. Immofix stellt die hierfür erforderlichen Informationen bereit. Kontrollen erfolgen mit angemessener Vorankündigung und ohne Beeinträchtigung des Betriebsablaufs.

§ 10 Löschung nach Vertragsende

Nach Beendigung des Vertrags löscht Immofix die im Auftrag verarbeiteten Daten nach Wahl des Kunden oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 11 Haftung

Für die Haftung gelten die Regelungen des Art. 82 DSGVO sowie die Haftungsbestimmungen des Hauptvertrags.

§ 12 Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor. Es gilt deutsches Recht.

Unterschriften

Ort, Datum

Verantwortlicher (Kunde) — Name, Unterschrift

Ort, Datum

Auftragsverarbeiter (Immofix) — Name, Unterschrift

Anlage 1 — Technische und organisatorische Maßnahmen

  • Verschlüsselung: Transportverschlüsselung (TLS/HTTPS) für die gesamte Kommunikation; verschlüsselte Datenspeicherung beim Hosting-Dienstleister.
  • Zugangskontrolle: Passwörter werden ausschließlich als salted Hash (PBKDF2-SHA512) gespeichert; Sitzungen über signierte, ablaufende Tokens.
  • Zugriffskontrolle / Mandantentrennung: Logische Trennung der Kundendaten; Zugriff nur für den jeweils berechtigten Account (Row-Level-Security, rollenbasierte Berechtigungen).
  • Datei-/Fotospeicher: Privater Speicher, Zugriff nur über zeitlich begrenzte, signierte URLs.
  • Verfügbarkeit: Betrieb auf etablierter Cloud-Infrastruktur mit automatischen Backups durch den Datenbank-Dienstleister.
  • Datenminimierung: Es werden nur die zur Schadensbearbeitung erforderlichen Daten erhoben.

Anlage 2 — Genehmigte Unterauftragsverarbeiter

DienstZweckSitz / Transfer
Vercel Inc.Hosting & Auslieferung der Web-AppUSA · EU-Standardvertragsklauseln (SCC)
Supabase Inc.Datenbank & verschlüsselter Datei-/FotospeicherUSA (Hosting-Region EU wählbar) · EU-Standardvertragsklauseln (SCC)
Stripe Payments Europe, Ltd.Zahlungsabwicklung der AbonnementsIrland / USA · EU-Standardvertragsklauseln (SCC)
Resend (Plus Five Five, Inc.)Versand transaktionaler E-Mails (z. B. Benachrichtigungen, Reports)USA · EU-Standardvertragsklauseln (SCC)
Twilio Inc.SMS-Statusbenachrichtigungen an Mieter (optional)USA · EU-Standardvertragsklauseln (SCC)
Anthropic PBCKI-gestützte Auslesung von Rechnungen & Priorisierung von TicketsUSA · EU-Standardvertragsklauseln (SCC)