Vereinbarung zur Auftragsverarbeitung

Stand: 12. Juli 2026

1. Parteien und Geltung

Diese Vereinbarung zur Auftragsverarbeitung (AVV) wird zwischen DI Manuel Stadler, Stadtplatz 56, 5280 Braunau am Inn, Österreich, nachfolgend Betreiber, und dem Kunden von ImmoHub, nachfolgend Kunde, geschlossen.

Sie gilt, soweit der Betreiber im Rahmen des Nutzungsvertrags personenbezogene Daten im Auftrag des Kunden verarbeitet, und ergänzt die AGB. Der Kunde ist Verantwortlicher im Sinne der DSGVO, der Betreiber Auftragsverarbeiter. Bei Widersprüchen zu sonstigen Vertragsbestimmungen geht diese AVV hinsichtlich der Auftragsverarbeitung vor.

Die AVV wird mit Annahme im Rahmen der Beta-Einladung bzw. Freischaltung Bestandteil des Nutzungsvertrags. Handelt der Kunde selbst als Auftragsverarbeiter, gelten seine Weisungen nur, soweit sie mit den Weisungen und Vereinbarungen des jeweiligen Verantwortlichen vereinbar sind.

2. Gegenstand, Dauer, Art und Zweck

Gegenstand ist die technische Bereitstellung von ImmoHub zur Verwaltung von Immobilien und Mietobjekten einschließlich Speicherung, Organisation, Anzeige, Änderung, Übertragung, Sicherung, Fehlerbehebung, Export und Löschung der vom Kunden eingestellten Daten.

Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags und anschließend bis zur Rückgabe bzw. Löschung nach Abschnitt 11. Der Betreiber verarbeitet Daten ausschließlich zur Vertragserfüllung, nach dokumentierter Weisung des Kunden oder aufgrund einer gesetzlichen Verpflichtung. Im letzten Fall informiert er den Kunden vorab, sofern dies gesetzlich zulässig ist.

3. Datenarten und betroffene Personen

Je nach Nutzung können insbesondere folgende Daten verarbeitet werden:

  • Stamm-, Kontakt-, Adress- und Kommunikationsdaten;
  • Immobilien-, Einheiten-, Miet-, Vertrags- und Abrechnungsdaten;
  • Zählerstände, Verbrauchs-, Kosten-, Zahlungs- und Belegdaten;
  • Aufgaben, Termine, Ereignisse, Notizen und Korrespondenz;
  • Dokumente, Fotos und sonstige hochgeladene Dateien;
  • Benutzer-, Rollen-, Zugriffs- und technische Protokolldaten.

Betroffene Personen können insbesondere Kunden, Nutzer und Mitarbeiter des Kunden, Eigentümer, Vermieter, Mieter, Interessenten, Vertragspartner, Dienstleister und deren Kontaktpersonen sein. Besondere Kategorien nach Art. 9 DSGVO sind nicht Gegenstand der regulären Leistung und dürfen nur nach vorheriger ausdrücklicher Vereinbarung verarbeitet werden.

4. Weisungen und Pflichten des Kunden

Die Nutzung der Anwendung gemäß Nutzungsvertrag, AGB und Produktfunktionen stellt die dokumentierte Weisung des Kunden dar. Weitere Weisungen sind in Textform an office@immohub.app zu richten. Ist eine Weisung nach Auffassung des Betreibers rechtswidrig, weist er den Kunden unverzüglich darauf hin und darf ihre Ausführung bis zur Klärung aussetzen.

Der Kunde ist insbesondere verantwortlich für Zulässigkeit, Richtigkeit und Datenminimierung der Verarbeitung, die Erfüllung der Informationspflichten, die Bearbeitung von Betroffenenrechten und die Verwaltung seiner Nutzer und Berechtigungen. Er darf dem Betreiber nur Daten überlassen, für deren Verarbeitung eine ausreichende Rechtsgrundlage besteht.

5. Pflichten des Betreibers

Der Betreiber verpflichtet sich insbesondere,

  • Daten nur auf dokumentierte Weisung und nur für die vereinbarten Zwecke zu verarbeiten;
  • zur Verarbeitung befugte Personen auf Vertraulichkeit zu verpflichten;
  • angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO einzusetzen;
  • den Kunden bei Betroffenenanfragen, Datenschutz-Folgenabschätzungen und Konsultationen angemessen zu unterstützen;
  • Anfragen betroffener Personen zu Kundendaten unverzüglich an den Kunden weiterzuleiten und nicht ohne dessen Weisung zu beantworten, soweit keine gesetzliche Pflicht besteht;
  • erforderliche Informationen zum Nachweis der Einhaltung dieser AVV bereitzustellen.

6. Technische und organisatorische Maßnahmen

Die Schutzmaßnahmen werden risikoorientiert umgesetzt und umfassen insbesondere:

  • verschlüsselte Übertragung über aktuelle TLS-Verbindungen und Verschlüsselung der eingesetzten Speicherdienste nach deren technischem Standard;
  • individuelle Benutzerkonten, sichere Authentifizierung und rollenbasierte Berechtigungen;
  • Beschränkung administrativer Zugriffe auf erforderliche Personen und Zwecke;
  • Protokollierung und Überwachung sicherheitsrelevanter Vorgänge;
  • regelmäßige Sicherung produktiver Daten und Verfahren zur Wiederherstellung;
  • regelmäßige Aktualisierung und Schwachstellenbehandlung der eingesetzten Software;
  • Trennung von Kundenbereichen auf Anwendungsebene;
  • Verfahren für Sicherheitsvorfälle, Löschung, Export und Wiederherstellung.

Der Betreiber darf Maßnahmen entsprechend der technischen Entwicklung ändern, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

7. Meldung von Datenschutzverletzungen

Der Betreiber informiert den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes von im Auftrag verarbeiteten personenbezogenen Daten bekannt wurde. Die Mitteilung enthält die verfügbaren Informationen, die der Kunde für seine Pflichten nach Art. 33 und 34 DSGVO benötigt. Noch nicht verfügbare Angaben werden ohne unangemessene Verzögerung nachgereicht. Der Betreiber trifft angemessene Maßnahmen zur Eindämmung und Aufklärung.

8. Unterauftragsverarbeiter

Der Kunde erteilt die allgemeine Genehmigung zum Einsatz der folgenden Unterauftragsverarbeiter:

DienstleisterLeistungvorgesehener Verarbeitungsort
RailwayHosting der ImmoHub-AnwendungEU West, Amsterdam, Niederlande
PlanetScaleDatenbankAWS EU Central, Frankfurt, Deutschland
bunny.netDatei- und BackupspeicherFrankfurt, Deutschland; Backup Stockholm, Schweden

Netlify, Formspark und Plausible werden für die öffentliche Website eingesetzt und erhalten im regulären Betrieb keine vom Kunden in ImmoHub gespeicherten Immobilien-, Mieter- oder Dokumentendaten. Soweit einer dieser Dienste im Einzelfall dennoch Daten im Auftrag des Kunden verarbeiten sollte, gelten die Anforderungen dieses Abschnitts ebenfalls und die Liste wird vorab ergänzt.

Der Betreiber schließt mit Unterauftragsverarbeitern Vereinbarungen, die ein im Wesentlichen gleichwertiges Datenschutzniveau sicherstellen. Beabsichtigte neue oder ersetzte Unterauftragsverarbeiter werden vor ihrem Einsatz in geeigneter Weise angekündigt. Der Kunde kann aus sachlich begründeten Datenschutzgründen widersprechen. Können die Parteien keine zumutbare Lösung finden, kann jede Partei die betroffene Leistung beenden.

9. Internationale Übermittlungen

Eine Verarbeitung außerhalb des Europäischen Wirtschaftsraums erfolgt nur auf dokumentierte Weisung oder wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Der Betreiber stellt in diesem Fall insbesondere einen Angemessenheitsbeschluss oder geeignete Garantien wie EU-Standardvertragsklauseln sicher und stellt dem Kunden auf Anfrage Informationen hierzu bereit.

10. Nachweise und Kontrollen

Der Betreiber stellt auf Anfrage die zur Prüfung erforderlichen Informationen, vorhandene Zertifizierungen oder geeignete Prüfberichte bereit. Reichen diese aus nachvollziehbaren Gründen nicht aus, kann der Kunde nach angemessener Vorankündigung und während üblicher Geschäftszeiten eine verhältnismäßige Prüfung durchführen oder durch einen zur Vertraulichkeit verpflichteten Prüfer durchführen lassen.

Prüfungen dürfen den Betrieb, die Sicherheit und Rechte anderer Kunden nicht beeinträchtigen. Sie sind grundsätzlich auf einmal jährlich begrenzt, außer ein Sicherheitsvorfall oder eine Behörde erfordert eine zusätzliche Prüfung. Vom Kunden veranlasster unangemessener Zusatzaufwand kann nach vorheriger Abstimmung verrechnet werden.

11. Rückgabe und Löschung

Nach Ende des Nutzungsvertrags ermöglicht der Betreiber dem Kunden für eine mitgeteilte angemessene Frist den Export der Kundendaten. Anschließend löscht oder anonymisiert er personenbezogene Kundendaten und vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

In Sicherungskopien verbleibende Daten werden gesperrt, nicht mehr produktiv verarbeitet und mit Ablauf der regulären Backup-Zyklen überschrieben oder gelöscht. Bei einer Wiederherstellung werden bereits fällige Löschungen erneut umgesetzt. Auf Anfrage bestätigt der Betreiber die erfolgte Löschung.

12. Haftung, Laufzeit und Schlussbestimmungen

Die Haftung richtet sich nach Art. 82 DSGVO und den Regelungen des Nutzungsvertrags. Diese AVV endet, wenn der Betreiber keine personenbezogenen Daten des Kunden mehr verarbeitet. Vertraulichkeits- und Löschpflichten wirken fort.

Änderungen dieser AmuVV bedürfen der Textform. Es gilt österreichisches Recht, soweit die DSGVO oder sonstiges zwingendes Recht nicht vorgeht.

Kontakt für Datenschutzfragen und Weisungen: office@immohub.app