Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) — Version 1.0, Stand: April 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen dem jeweiligen Nutzer der Immobilienverwaltungssoftware (nachfolgend „Auftraggeber" / „Verantwortlicher") und

Schwanitz Immo
Clara-Zetkin-Str. 73
14612 Falkensee
Deutschland
E-Mail: kontakt@schwanitz-immo.de
(nachfolgend „Auftragnehmer" / „Auftragsverarbeiter")

geschlossen. Der Auftraggeber akzeptiert diesen AVV verbindlich mit Abschluss der Registrierung für die Immobilienverwaltungssoftware.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der webbasierten Immobilienverwaltungssoftware (nachfolgend „Software") über die Plattform schwanitz-immo.de.

(2) Die Verarbeitung beginnt mit der Freischaltung des Zugangs zur Software und endet mit Kündigung des Nutzungsverhältnisses bzw. auf Verlangen des Auftraggebers.

§ 2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der Speicherung, Verwaltung und Bereitstellung der vom Auftraggeber eingegebenen Daten über die Software. Eine darüberhinausgehende Nutzung, insbesondere zu eigenen Zwecken des Auftragnehmers, findet nicht statt.

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

Betroffene Personen: Mieter und sonstige natürliche Personen, deren Daten der Auftraggeber in die Software eingibt (z.B. Eigentümer, Dienstleister, Ansprechpartner).

Kategorien personenbezogener Daten:

• Name, Anschrift, Kontaktdaten (E-Mail, Telefon)
• Bankverbindungsdaten (IBAN, Kontoinhaber, Institut)
• Vertragsdaten (Mietbeginn, Mietende, Miethöhe)
• Zahlungsdaten und Kontoauszugsinformationen
• Sonstige vom Auftraggeber eingegebene Daten

§ 4 Weisungsgebundenheit des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung der Software und die darin enthaltenen Funktionen gelten als dokumentierte Weisung.

(2) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, teilt er dies dem Auftraggeber unverzüglich mit.

§ 5 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass alle Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 6 Sicherheit der Verarbeitung (Technische und organisatorische Maßnahmen)

Der Auftragnehmer trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

• Verschlüsselung: Sensible Datenfelder werden verschlüsselt in der Datenbank gespeichert. Alle Verbindungen erfolgen ausschließlich über HTTPS/TLS.
• Zugriffskontrolle: Zugang nur mit individuellem Benutzerkonto und Passwort; token-basierte Sessions mit automatischem Ablauf.
• Datentrennung: Jeder Kunde erhält eine isolierte Datenbankinstanz; kein Zugriff auf Daten anderer Kunden.
• Hosting: Betrieb auf deutschen Servern (webspace-host.de / Strato AG, Berlin, Deutschland).
• Passwort-Sicherheit: Passwörter werden ausschließlich als bcrypt-Hash gespeichert.
• Rate-Limiting: Schutz vor Brute-Force-Angriffen auf Anmeldefunktionen.

§ 7 Hinzuziehung weiterer Auftragsverarbeiter (Unterauftragnehmer)

(1) Der Auftragnehmer ist berechtigt, folgende Unterauftragnehmer einzusetzen:

• Strato AG, Pascalstraße 10, 10587 Berlin — Hosting und Datenbankbetrieb

(2) Vor dem Einsatz weiterer Unterauftragnehmer oder dem Wechsel bestehender Unterauftragnehmer wird der Auftraggeber informiert und hat das Recht, Widerspruch zu erheben.

§ 8 Unterstützungspflichten des Auftragnehmers

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit dabei, seine Pflichten nach Art. 32–36 DSGVO zu erfüllen (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, Konsultation der Aufsichtsbehörde). Für weitergehende Unterstützungsleistungen kann der Auftragnehmer eine angemessene Vergütung verlangen.

§ 9 Betroffenenrechte

Soweit der Auftraggeber den Auftragnehmer benötigt, um Anfragen betroffener Personen zu beantworten (z.B. Auskunft, Löschung, Berichtigung), unterstützt der Auftragnehmer den Auftraggeber auf Anfrage nach besten Kräften. Der Auftraggeber ist und bleibt Ansprechpartner für Betroffene.

§ 10 Löschung und Rückgabe nach Auftragsende

(1) Nach Beendigung des Nutzungsverhältnisses löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers oder gibt sie zurück, sofern der Auftraggeber dies verlangt — nach Wahl des Auftraggebers.

(2) Die Löschung erfolgt spätestens 30 Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 11 Kontrollrechte des Auftraggebers

Der Auftraggeber ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorschriften und dieses AVV beim Auftragnehmer zu kontrollieren. Der Auftragnehmer gewährt dem Auftraggeber auf Anfrage die erforderlichen Informationen und unterstützt ihn bei Kontrollen.

§ 12 Meldepflicht bei Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden. Die Meldung erfolgt per E-Mail an die beim Auftraggeber hinterlegte Adresse.

§ 13 Haftung

Die Haftung der Parteien richtet sich nach den allgemeinen gesetzlichen Regelungen sowie den Bestimmungen der DSGVO. Jede Partei haftet für Schäden, die durch eine ihr zurechenbare Verletzung der Bestimmungen dieses AVV verursacht werden.

§ 14 Schlussbestimmungen

(1) Dieser AVV unterliegt deutschem Recht. Gerichtsstand ist, soweit gesetzlich zulässig, Falkensee.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(3) Änderungen dieses AVV werden dem Auftraggeber mit angemessener Frist mitgeteilt. Bei wesentlichen Änderungen ist eine erneute Zustimmung erforderlich.

← Zurück zum Kundencenter