Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Stand: März 2026
§1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter (nachfolgend „Auftragnehmer"):
verarbeitet personenbezogene Daten im Auftrag des Kunden (nachfolgend „Auftraggeber") im Rahmen der Bereitstellung der Software-as-a-Service-Plattform „OpenMakler".
(2) Die Verarbeitung beginnt mit der Registrierung des Auftraggebers und endet mit der vollständigen Löschung aller Daten nach Vertragsbeendigung (spätestens 30 Tage nach Kündigung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen).
§2 Art und Zweck der Verarbeitung
(1) Die Verarbeitung umfasst folgende Tätigkeiten:
- Speicherung und Verwaltung von Immobiliendaten des Auftraggebers
- Speicherung und Verwaltung von Kontaktdaten der Interessenten (Leads) des Auftraggebers
- Übermittlung von Immobiliendaten an Drittportale (ImmoScout24, Immowelt etc.) im Auftrag des Auftraggebers
- Erstellung und Versand von Exposés und Rechtsdokumenten an Interessenten im Auftrag des Auftraggebers
- Speicherung hochgeladener Medien (Fotos, Dokumente, PDFs)
- KI-gestützte Textgenerierung auf Basis von Immobilien-Sachdaten (keine personenbezogenen Daten)
- Zahlungsabwicklung über den Drittanbieter Stripe (keine Speicherung von Zahlungsdaten durch den Auftragnehmer)
(2) Der Zweck der Verarbeitung ist die Bereitstellung einer Immobilienverwaltungs- und Maklersoftware gemäß dem Nutzungsvertrag zwischen den Parteien.
§3 Art der personenbezogenen Daten
Folgende Arten personenbezogener Daten werden verarbeitet:
3.1 Daten der Mitarbeiter des Auftraggebers
- Name, E-Mail-Adresse, Passwort (verschlüsselt), Rolle
3.2 Daten der Interessenten/Kunden des Auftraggebers (Leads)
- Vor- und Nachname
- E-Mail-Adresse
- Telefonnummer
- Anfragenachrichten und Korrespondenz
- Zuordnung zu Immobilien
- Status der Geschäftsbeziehung (Lead-Status)
- IP-Adresse und Zeitstempel bei Zustimmung zu Rechtsdokumenten
§4 Kategorien betroffener Personen
- Mitarbeiter und Beauftragte des Auftraggebers (Makler, Angestellte)
- Kunden und Interessenten des Auftraggebers (Kauf-/Mietinteressenten, Eigentümer)
§5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
(2) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
(3) Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage: TOM).
(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Meldepflichten).
(5) Nach Beendigung der Verarbeitung werden alle personenbezogenen Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(6) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung und ermöglicht Überprüfungen/Audits.
§6 Unterauftragsverarbeiter
(1) Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Linevast GmbH | Hosting (Server, Datenbank, Dateispeicher) | Deutschland |
| Stripe, Inc. | Zahlungsabwicklung | USA (EU-US DPF zertifiziert) |
| Anthropic, PBC | KI-Textgenerierung (nur Immobilien-Sachdaten, keine personenbezogenen Daten) | USA |
| Google LLC (Gemini API) | KI-Textgenerierung (alternativ zu Anthropic, nur Immobilien-Sachdaten) | USA (EU-US DPF zertifiziert) |
| Stability AI Ltd. | KI-Bildbearbeitung (nur Immobilienfotos, keine personenbezogenen Daten) | UK |
(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.
§7 Rechte der betroffenen Personen
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) gemäß Art. 15–22 DSGVO.
(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, wird diese an den Auftraggeber verwiesen, sofern eine Zuordnung möglich ist.
§8 Meldepflichten bei Datenschutzverletzungen
(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird.
(2) Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und Anzahl der Betroffenen, wahrscheinliche Folgen, ergriffene Abhilfemaßnahmen.
§9 Datenübermittlung in Drittländer
(1) Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, wenn die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind.
(2) Stripe, Inc. ist nach dem EU-US Data Privacy Framework zertifiziert. Bei der KI-Textgenerierung über Anthropic werden ausschließlich Immobilien-Sachdaten (Flächen, Zimmeranzahl, Ausstattung) übermittelt — keine personenbezogenen Daten von Interessenten oder Kunden des Auftraggebers.
§10 Laufzeit und Beendigung
(1) Dieser Vertrag gilt für die Dauer des Nutzungsvertrags zwischen den Parteien.
(2) Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer sämtliche personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Auftraggeber kann vor der Löschung einen Export seiner Daten anfordern.
Anlage: Technisch-organisatorische Maßnahmen (TOM)
Die aktuellen technisch-organisatorischen Maßnahmen sind auf Anfrage erhältlich. Bitte wenden Sie sich an: datenschutz@openmakler.com