Auftragsverarbeitungsvertrag (AVV)

nach Art. 28 DSGVO — Stand: 9. Juni 2026

ENTWURF — anwaltlich prüfen lassen. Dieser Text ist ein unverbindlicher Entwurf und ersetzt keine Rechtsberatung. Die mit [PLATZHALTER: …] markierten Firmen- und Vertragsdaten sind vor Veröffentlichung auszufüllen.

§ 1 Gegenstand und Dauer

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch [PLATZHALTER: vollständige Firmierung, Anschrift] („Auftragsverarbeiter“) im Auftrag des Kunden („Verantwortlicher“) im Rahmen der Nutzung der SaaS-Plattform „Lumika“. Laufzeit und Kündigung folgen dem Hauptvertrag (AGB bzw. gewählter Tarif).

§ 2 Art, Zweck und Umfang der Verarbeitung

Die Verarbeitung umfasst das Erheben, Speichern, Verändern, Übermitteln und Löschen personenbezogener Daten zum Zweck der Immobilienverwaltung: Stammdaten-, Vertrags- und Dokumentenverwaltung, Mietbuchhaltung und Banking-Abgleich, Kommunikation (E-Mail, Portal, Serienbriefe), Nebenkosten- und WEG-Verwaltung sowie KI-gestützte Assistenzfunktionen („Chiara“).

§ 3 Kategorien betroffener Personen und Daten

  • Betroffene: Mieter und Mitmieter, Eigentümer, Dienstleister/Handwerker, Mitarbeitende des Kunden, Interessenten.
  • Datenkategorien: Kontakt- und Identifikationsdaten, Vertrags- und Mietdaten, Zahlungs- und Bankdaten (IBAN, Umsätze aus Banking-Abgleich), Verbrauchs- und Abrechnungsdaten, Kommunikationsinhalte, hochgeladene Dokumente.
  • Besondere Kategorien (Art. 9 DSGVO) sind nicht Vertragsgegenstand; der Verantwortliche stellt sicher, dass solche Daten nicht eingestellt werden.

§ 4 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (Konfiguration und Nutzung der Plattform gelten als Weisung).
  • Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit.
  • Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (§ 6).
  • Unterstützung bei Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) — die Plattform stellt hierfür Export- und Löschfunktionen bereit.
  • Meldung von Verletzungen des Schutzes personenbezogener Daten ohne unangemessene Verzögerung.
  • Nach Vertragsende Löschung oder Rückgabe aller personenbezogenen Daten nach Wahl des Verantwortlichen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Bereitstellung aller für den Nachweis der Pflichten erforderlichen Informationen; Ermöglichung und Duldung von Überprüfungen.

§ 5 Unterauftragsverarbeiter

Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter. Über beabsichtigte Änderungen informiert der Auftragsverarbeiter vorab; der Verantwortliche kann aus wichtigem Grund widersprechen.

DienstleisterZweckOrt der Verarbeitung
Hetzner Online GmbHHosting der Plattform, Datenbank und BackupsDeutschland
Google Cloud EMEA Ltd. (Vertex AI)KI-Funktionen (Chiara: Dokumentanalyse, Assistenz)EU-Region
Google Ireland Ltd. (Workspace)Versand von System-E-Mails (SMTP-Relay)EU
Enable Banking OyBankkonten-Anbindung (Kontoumsatz-Abruf, PSD2)EU
Stripe Payments Europe Ltd. (ab Aktivierung der Online-Zahlung)Zahlungsabwicklung der Tarif-AbonnementsEU

§ 6 Technische und organisatorische Maßnahmen (TOMs)

  • Transportverschlüsselung: TLS für alle Verbindungen (HSTS erzwungen).
  • Zugangskontrolle: Passwort-Hashing (PBKDF2), optionale Zwei-Faktor-Authentifizierung (TOTP, verschlüsselt gespeichert), rollenbasierte Berechtigungen, Mandantentrennung auf Datenebene (scope-basiert).
  • Zugriffskontrolle Infrastruktur: SSH nur mit Schlüsseln, Firewall (ufw), automatische Sperrung von Brute-Force-Angreifern (fail2ban), Dienste laufen unter dediziertem Systemnutzer ohne Root-Rechte.
  • Verfügbarkeit: tägliche automatisierte Datenbank- und Datei-Backups mit 30-Tage-Aufbewahrung, Überwachung von Erreichbarkeit und Backup-Frische mit Alarmierung.
  • Nachvollziehbarkeit: Audit-Log für sicherheits- und abrechnungsrelevante Aktionen.
  • Löschkonzept: automatisierte Aufbewahrungsfristen (DSGVO-Retention-Job) und Löschworkflows nach Art. 17 DSGVO.

§ 7 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Ergänzend gelten die Datenschutzerklärung und die AGB.