Gemäß Art. 28 DSGVO · Stand: 2026-04-01 · Version 2026-04
AUFTRAGSVERARBEITUNGSVERTRAG (AVV)
– gemäß Art. 28 DSGVO – Anlage B zum Verwaltervertrag –
Eigentümer (Auftraggeber)
Wird im konkreten Verwaltervertrag eingesetzt. Auf dieser Public-Seite gibt der vorliegende AVV-Wortlaut die allgemeingültigen Bedingungen wieder.
– nachstehend „Eigentümer" genannt –
Verwalter (Auftragnehmer)
Chili Immo GmbH, Lameystraße 41, 75173 Pforzheim, vertreten durch die Geschäftsführer Dr. Bijan Chokoufe Nejad und Benedikt Köhler.
– nachstehend „Verwalter" genannt –
In den nachfolgenden Klauseln dieses AVV gilt: Auftraggeber = Eigentümer, Auftragnehmer = Verwalter.
§ 1 Gegenstand und Dauer
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Mietverwaltung gemäß dem Verwaltervertrag.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Verwaltervertrages.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung dient der Erfüllung des Verwaltervertrages, insbesondere:
- Führung der Mieterstammdaten sowie Kommunikation mit Mietern und Auftraggeber
- Mietbuchhaltung (Mietzahlungen, Sollstellung, OP-Verwaltung) und Mahnwesen
- Verwaltung von Mietsicherheiten (Kaution) soweit vereinbart
- Betriebskosten-/Nebenkostenabrechnung und unterjährige Verbrauchs-/Kostenkommunikation soweit vereinbart
- Organisation von Mieterwechseln (Übergabe/Rückgabe, Protokolle) soweit beauftragt
- Koordination von Instandhaltungs- und Instandsetzungsmaßnahmen
- Versicherungs- und Schadenmanagement
- Dokumentenmanagement und Archivierung
§ 3 Art der personenbezogenen Daten
Verarbeitet werden:
| Kategorie | Beispiele |
|---|---|
| Stammdaten | Name, Anschrift, E-Mail, Telefon |
| Objektdaten | Objektadresse, Einheits-/Wohnungsbezeichnung, Flächen |
| Finanzdaten | Miete, Nebenkostenvorauszahlungen, Nachzahlungen/Guthaben aus Betriebskostenabrechnung, Kaution, Bankverbindungen |
| Vertragsdaten | Mietverträge, Nachträge, Übergabe-/Rückgabeprotokolle, SEPA-Mandate, Vollmachten, Dienstleisterverträge |
| Kommunikationsdaten | E-Mail-Korrespondenz, Protokolle |
| Technische Daten | Log-Daten bei Portalnutzung |
§ 4 Kategorien betroffener Personen
- Auftraggeber (Eigentümer/Vermieter) und deren Vertreter/Bevollmächtigte
- Mieter (inkl. Mitmieter) und ggf. sonstige nutzungsberechtigte Personen
- Interessenten/Bewerber (nur soweit Vermietungsleistungen beauftragt sind)
- Handwerker und Dienstleister
- Sonstige Dritte (z. B. Behörden, Versicherungen)
§ 5 Pflichten des Auftragnehmers
(1) Weisungsgebundenheit – Der Auftragnehmer verarbeitet Daten nur auf dokumentierte Weisung des Auftraggebers, es sei denn, Unionsrecht oder deutsches Recht schreibt die Verarbeitung vor. Weisungen können in Textform (E-Mail, Portal) erteilt werden.
(2) Vertraulichkeit – Der Auftragnehmer stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
(3) Sicherheit – Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage: TOM).
(4) Unterauftragsverarbeiter – Der Auftragnehmer bedient sich nur der in Anlage: Unterauftragsverarbeiter genannten Unterauftragnehmer. Der Auftraggeber stimmt deren Einsatz mit Unterzeichnung dieses Vertrages zu. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen in Textform; der Auftraggeber kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Falle eines berechtigten Widerspruchs wird der Auftragnehmer den betreffenden Unterauftragsverarbeiter nicht einsetzen. Kann die Leistung ohne diesen Unterauftragsverarbeiter nicht erbracht werden, steht beiden Parteien ein Sonderkündigungsrecht zu.
(5) Unterstützung bei Betroffenenrechten – Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenanfragen (Art. 15–22 DSGVO).
(6) Unterstützung bei Sicherheit und Meldepflichten – Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Art. 32–36 DSGVO. Datenschutzverletzungen meldet der Auftragnehmer dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, um dem Auftraggeber die Einhaltung der 72-Stunden-Frist nach Art. 33 DSGVO zu ermöglichen.
(7) Löschung und Rückgabe – Nach Beendigung des Verwaltervertrages gibt der Auftragnehmer alle Daten heraus. Kopien werden gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht. Der Auftragnehmer bestätigt die vollständige Löschung auf Verlangen in Textform.
(8) Nachweispflicht – Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen.
(9) Drittlandübermittlung – Eine Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Datenschutzniveau erfolgt nicht. Soweit Unterauftragsverarbeiter ihren Sitz in einem Drittland haben, werden Daten ausschließlich auf Servern innerhalb der EU verarbeitet. Die rechtliche Absicherung erfolgt durch Angemessenheitsbeschlüsse der EU-Kommission (Singapur, EU-US Data Privacy Framework).
§ 6 Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
(2) Der Auftraggeber erteilt alle Weisungen in Textform. Mündliche Weisungen sind unverzüglich zu bestätigen.
(3) Der Auftraggeber benennt die weisungsberechtigten Personen (i. d. R. der Auftraggeber selbst sowie ggf. ein benannter Ansprechpartner/Bevollmächtigter).
(4) Der Auftraggeber informiert den Auftragnehmer unverzüglich über Fehler oder Unregelmäßigkeiten.
§ 7 Kontrollrechte
(1) Der Auftraggeber kann die Einhaltung dieses Vertrages und der datenschutzrechtlichen Vorschriften überprüfen.
(2) Kontrollen sind mit angemessener Frist (mindestens 14 Tage) anzukündigen und so durchzuführen, dass der Betriebsablauf nicht unverhältnismäßig gestört wird.
(3) Der Auftragnehmer kann die Kontrolle durch Vorlage geeigneter Nachweise (z. B. Zertifikate, Auditberichte, Dokumentation der TOM) ersetzen.
(4) Jede Partei trägt ihre eigenen Kosten für die Durchführung von Kontrollen.
§ 8 Haftung
Die Haftung richtet sich nach Art. 82 DSGVO und den Regelungen des Verwaltervertrages.
§ 9 Ansprechpartner Datenschutz
Ansprechpartner für Datenschutzangelegenheiten beim Auftragnehmer ist die Geschäftsführung, erreichbar unter gf@chili-immo.de.
§ 10 Schlussbestimmungen
(1) Dieser AVV ist Bestandteil des Verwaltervertrages. Bei Widersprüchen geht der AVV vor.
(2) Änderungen bedürfen der Textform.
(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
Anlage: Technische und organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO
| Maßnahme | Umsetzung |
|---|---|
| 1. Vertraulichkeit | |
| Zutrittskontrolle | Serverinfrastruktur in zertifizierten Rechenzentren (ISO 27001); kein physischer Zugang durch Auftragnehmer |
| Zugangskontrolle | Authentifizierung mit Benutzername/Passwort; JWT-Token-basierte Sessions; automatische Sitzungsbeendigung |
| Zugriffskontrolle | Rollenbasiertes Berechtigungskonzept (Operator, Eigentümer, Mieter); Row Level Security (RLS) auf Datenbankebene; Zugriff nur auf mandantenbezogene Daten |
| Trennungskontrolle | Logische Mandantentrennung durch Vertragszuordnung; getrennte Test- und Produktivumgebungen |
| 2. Integrität | |
| Weitergabekontrolle | Verschlüsselte Datenübertragung (TLS/HTTPS); E-Mail-Versand über TLS-gesicherten SMTP |
| Eingabekontrolle | Protokollierung von Dateneingaben, -änderungen und -löschungen; nachvollziehbare Benutzeraktionen |
| 3. Verfügbarkeit und Belastbarkeit | |
| Verfügbarkeitskontrolle | Automatische Datenbank-Backups; redundante Cloud-Infrastruktur; Notfallwiederherstellung |
| Belastbarkeit | Skalierbare Cloud-Architektur; Fehlerüberwachung und Alerting |
| 4. Verfahren zur regelmäßigen Überprüfung | |
| Datenschutz-Management | Dokumentierte Datenschutzprozesse; Schulung der Mitarbeiter |
| Incident-Response | Dokumentierter Prozess zur Erkennung und Meldung von Datenschutzverletzungen |
| Auftragskontrolle | AVV mit allen Unterauftragsverarbeitern; regelmäßige Überprüfung |
Anlage: Unterauftragsverarbeiter
Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:
| Unterauftragnehmer | Leistung | Datenstandort | Rechtsgrundlage Drittland |
|---|---|---|---|
| Supabase Pte. Ltd. (Singapur) | Datenbank, Authentifizierung | Frankfurt, Deutschland | Angemessenheitsbeschluss Singapur |
| Scalingo SAS (Frankreich) | Anwendungshosting | Frankreich | – (EU-Anbieter) |
| Brevo GmbH (Deutschland) | E-Mail-Versand | Deutschland, Frankreich | – (EU-Anbieter) |
| Google Ireland Ltd. | KI-gestützte Textanalyse | Belgien, Frankfurt (EU) | EU-US Data Privacy Framework, SCCs |
| PostHog Inc. (USA) | Produktanalytik | Frankfurt, Deutschland | EU-US Data Privacy Framework |
Erläuterungen:
- Datenstandort: Alle personenbezogenen Daten werden ausschließlich auf Servern innerhalb der EU verarbeitet und gespeichert.
- Drittländer mit Angemessenheitsbeschluss: Supabase (Singapur): Die EU-Kommission hat für Singapur einen Angemessenheitsbeschluss erlassen (2021). PostHog (USA): PostHog Inc. ist unter dem EU-US Data Privacy Framework zertifiziert.
- Vertragliche Absicherung: Mit allen Unterauftragsverarbeitern bestehen Data Processing Agreements (DPA) gemäß Art. 28 DSGVO.
Ort, Datum · Unterschrift Eigentümer
Ort, Datum · Unterschrift Verwalter