Auftragsverarbeitungsvertrag (AVV)
§ 1 Geltungsbereich und Einbeziehung
(1) Diese Vereinbarung zur Auftragsverarbeitung („AVV") ergänzt die Allgemeinen Geschäftsbedingungen der Plattform VermietenHeute.
(2) Sie wird zwischen dem jeweiligen registrierten Vermieter („Auftraggeber") und VermietenHeute, Christian Tönnies, Manhagener Allee 69b, 22926 Ahrensburg („Auftragnehmer") geschlossen.
(3) Der AVV wird durch elektronische Zustimmung im Rahmen des Registrierungsprozesses wirksam und ist dauerhaft elektronisch abrufbar und speicherbar.
§ 2 Gegenstand, Dauer und Art der Verarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers zum Zweck der digitalen Verwaltung von Mietbewerbungen über die Plattform.
(2) Die Verarbeitung umfasst insbesondere:
- Entgegennahme und Speicherung von Bewerbungen
- Bereitstellung eines Bewerberportals
- Verwaltung von Dokumenten
- Terminorganisation
- E-Mail-Kommunikation im Namen des Auftraggebers
- Bereitstellung eines Analyse- bzw. Qualitäts-Scores als Entscheidungshilfe
(3) Die Verarbeitung beginnt mit Registrierung des Auftraggebers und endet mit Löschung des Benutzerkontos.
§ 3 Kategorien personenbezogener Daten und betroffener Personen
(1) Verarbeitet werden insbesondere:
- Stammdaten (Name, Kontaktdaten, Anschrift)
- Bewerbungs- und Einkommensdaten
- Angaben zur beruflichen und finanziellen Situation
- Selbstauskunftsdaten
- Hochgeladene Dokumente
(2) Betroffene Personen sind Mietinteressenten.
(3) Soweit besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO oder Daten im Sinne des Art. 10 DSGVO verarbeitet werden, erfolgt dies ausschließlich auf dokumentierte Weisung des Auftraggebers und unter angemessenen Sicherheitsvorkehrungen.
§ 4 Weisungsrecht
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der vertraglichen Vereinbarungen und auf dokumentierte Weisung des Auftraggebers.
(2) Weisungen sind mindestens in Textform (z.B. E-Mail oder Kundenportal) zu erteilen.
(3) Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.
§ 5 Technische und organisatorische Maßnahmen (TOM)
(1) Der Auftragnehmer gewährleistet ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO.
(2) Zu den Maßnahmen gehören insbesondere:
- SSL/TLS-Verschlüsselung
- Verschlüsselte Datenspeicherung
- Rollenbasierte Zugriffskontrolle
- Multi-Tenant-Datentrennung
- Protokollierung von Zugriffen
- Regelmäßige Sicherheitsupdates
- Geregeltes Lösch- und Backupkonzept
(3) Die Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst.
§ 6 Unterauftragsverarbeiter
(1) Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:
| Dienstleister | Zweck | Region |
|---|---|---|
| Supabase Inc. | Datenbank/Hosting | EU-Region |
| Railway Corporation | Backend-Hosting | EU |
| Vercel Inc. | Frontend-Hosting | EU |
| Resend Inc. | E-Mail-Versand | EU |
(2) Eine Übermittlung in Drittstaaten erfolgt ausschließlich unter Einhaltung der Art. 44 ff. DSGVO, insbesondere auf Grundlage der jeweils gültigen EU-Standardvertragsklauseln.
(3) Der Auftragnehmer führt ergänzende Schutzmaßnahmen durch und dokumentiert eine Transfer Impact Assessment.
(4) Änderungen bei Unterauftragsverarbeitern werden mindestens 14 Tage vorher angekündigt. Der Auftraggeber kann innerhalb einer Frist von 7 Tagen widersprechen.
§ 7 Unterstützungspflichten
Der Auftragnehmer unterstützt den Auftraggeber bei:
- der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO)
- Datenschutz-Folgenabschätzungen
- Meldungen von Datenschutzverletzungen
§ 8 Datenschutzverletzungen
(1) Der Auftragnehmer meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden.
(2) Die Meldung enthält alle erforderlichen Informationen zur Risikobewertung.
§ 9 Automatisierte Entscheidungsfindung
(1) Der bereitgestellte Qualitäts-Score dient ausschließlich als unterstützende Entscheidungsgrundlage.
(2) Eine ausschließlich automatisierte Entscheidung im Sinne des Art. 22 DSGVO erfolgt nicht.
(3) Die Auswahlentscheidung trifft ausschließlich der Auftraggeber.
§ 10 Kontrollrechte
(1) Der Auftraggeber ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen.
(2) Der Nachweis kann erfolgen durch:
- Selbstauskünfte
- Zertifikate
- Auditberichte
- Vor-Ort-Audits nach angemessener Vorankündigung
(3) Audits dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.
§ 11 Vertragsende, Rückgabe und Löschung
(1) Nach Vertragsende hat der Auftraggeber das Wahlrecht zwischen Rückgabe oder Löschung der Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(2) Die Rückgabe erfolgt in einem strukturierten, gängigen, maschinenlesbaren Format.
(3) Backups werden spätestens innerhalb von 90 Tagen überschrieben.
(4) Die Löschung wird auf Anfrage bestätigt.
§ 12 Haftung
Es gelten die gesetzlichen Haftungsregelungen der DSGVO, insbesondere Art. 82 DSGVO.
§ 13 Schlussbestimmungen
(1) Es gilt deutsches Recht.
(2) Änderungen bedürfen der Textform.
(3) Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
Stand: April 2026