Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO)

Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der Software „Æstimia“. Sie wird geschlossen zwischen

• der Nutzerin / dem Nutzer (Gutachterin/Gutachter bzw. Gutachterbüro) als Verantwortlichem(nachfolgend „Verantwortlicher“) und
• Thomas Alexander, Krim 1, 58540 Meinerzhagen(nachfolgend „Auftragsverarbeiter“).

Der Auftragsverarbeiter verarbeitet im Rahmen des zugrunde liegenden Nutzungsvertrags (AGB) personenbezogene Daten im Auftrag des Verantwortlichen. Gegenstand sind die vom Verantwortlichen in die Anwendung (SaaS-Dienst unter app.aestimia.de) eingegebenen oder hochgeladenen Bewertungsdaten (z. B. Daten von Auftraggebern, Eigentümern, Mietern und sonstigen Beteiligten). Die Auftragsverarbeitung nach dieser AVV bezieht sich ausschließlich auf die Anwendung; die Marketing-Website (www.aestimia.de) verarbeitet keine Bewertungsdaten. Für die eigenen Konto-, Profil- und Abrechnungsdaten des Verantwortlichen ist der Auftragsverarbeiter hingegen selbst Verantwortlicher; insoweit gilt die Datenschutzerklärung, nicht diese AVV.

§ 1 Gegenstand, Art und Zweck, Dauer

(1) Gegenstand der Verarbeitung ist die Bereitstellung der Software zur Erstellung und Verwaltung von Wertermittlungen/Gutachten, einschließlich Speicherung, Strukturierung, Berechnung, KI-gestützter Textentwürfe, Dokument-Extraktion und Transkription.

(2) Art, Umfang, Zweck der Verarbeitung, Art der Daten und Kategorien betroffener Personen ergeben sich aus Anlage 1.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Diese AVV endet automatisch mit dessen Beendigung; die Pflichten nach § 10 (Löschung/Rückgabe) bleiben bestehen.

§ 2 Rechte und Pflichten des Verantwortlichen; Weisungen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und für die Wahrung der Rechte der betroffenen Personen allein verantwortlich. Er stellt insbesondere sicher, dass für die Eingabe und Verarbeitung der Bewertungsdaten eine taugliche Rechtsgrundlage besteht.

(2) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet (in diesem Fall teilt er dies vor der Verarbeitung mit, soweit gesetzlich zulässig).

(3) Die im Nutzungsvertrag und in dieser AVV getroffenen Festlegungen sowie die Bedienung der Software durch den Verantwortlichen gelten als Erst-/Standardweisung. Weitergehende Einzelweisungen sind in Textform an info@aestimia.de zu richten.

(4) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich; er ist berechtigt, die Ausführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung auszusetzen.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter

• a) verarbeitet die Daten nur weisungsgebunden (§ 2);
• b) gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (§ 4);
• c) trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (§ 5, Anlage 2);
• d) hält die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter ein (§ 6, Anlage 3);
• e) unterstützt den Verantwortlichen bei dessen Pflichten (§§ 7, 8);
• f) löscht oder gibt die Daten nach Beendigung zurück (§ 10);
• g) stellt die zum Nachweis erforderlichen Informationen bereit und ermöglicht Überprüfungen (§ 9);
• h) führt ein Verzeichnis aller Kategorien von im Auftrag durchgeführten Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO).

§ 4 Vertraulichkeit und Berufsgeheimnis (§ 203 StGB)

(1) Der Auftragsverarbeiter verpflichtet die mit der Verarbeitung befassten Personen zur Vertraulichkeit, soweit sie nicht bereits gesetzlich einer angemessenen Verschwiegenheitspflicht unterliegen.

(2) Berufsgeheimnis:Soweit der Verantwortliche einer beruflichen Geheimhaltungspflicht unterliegt — insbesondere als öffentlich bestellte(r) und vereidigte(r) Sachverständige(r) im Sinne des § 203 Abs. 2 Satz 1 Nr. 5 StGB —, ist der Auftragsverarbeiter „sonstige mitwirkende Person“ im Sinne des § 203 Abs. 3 StGB. Der Auftragsverarbeiter und die von ihm eingesetzten Personen werden ausdrücklich zur Geheimhaltung der fremden Geheimnisse verpflichtet, die ihnen bei ihrer Tätigkeit bekannt werden; ihnen ist bewusst, dass die unbefugte Offenbarung solcher Geheimnisse nach § 203 Abs. 4 StGB strafbewehrt ist. Der Auftragsverarbeiter stellt durch vertragliche Verpflichtung sicher, dass auch von ihm eingeschaltete weitere mitwirkende Personen (Unterauftragsverarbeiter) entsprechend zur Geheimhaltung verpflichtet werden.

§ 5 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

(1) Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen und hält sie während der Vertragslaufzeit nach dem Stand der Technik aufrecht.

(2) Maßnahmen können fortentwickelt werden; das vereinbarte Schutzniveau darf dabei nicht unterschritten werden.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt die allgemeine schriftliche Genehmigung zur Hinzuziehung der in Anlage 3 aufgeführten Unterauftragsverarbeiter.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Austausch) mit angemessener Frist vorab. Der Verantwortliche kann der Änderung aus wichtigem datenschutzrechtlichem Grund innerhalb von zwei Wochen ab Zugang der Information widersprechen. Im Fall eines berechtigten Widerspruchs bemühen sich die Parteien um eine einvernehmliche Lösung; gelingt diese nicht, steht jeder Partei ein Sonderkündigungsrecht hinsichtlich der betroffenen Leistung zu.

(3) Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, wie sie in dieser AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).

§ 7 Unterstützung bei Betroffenenrechten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen (Art. 15–22 DSGVO), soweit möglich.

(2) Die Software stellt hierfür Funktionen bereit (insbesondere Auskunft/Export und Löschung). Richtet eine betroffene Person ihr Anliegen direkt an den Auftragsverarbeiter, leitet dieser es unverzüglich an den Verantwortlichen weiter und wird ohne dessen Weisung nicht selbst tätig.

§ 8 Unterstützung bei Sicherheit, Meldungen und Folgenabschätzung

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

(2) Verletzung des Schutzes personenbezogener Daten: Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, und stellt die zur Erfüllung der Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO) erforderlichen Informationen bereit.

§ 9 Nachweise und Überprüfungen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).

(2) Der Nachweis kann auch durch geeignete Zertifizierungen, aktuelle Testate oder Berichte (z. B. der eingesetzten Hosting- und Infrastrukturdienstleister) oder genehmigte Verhaltensregeln geführt werden. Vor-Ort-Prüfungen erfolgen mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs.

§ 10 Löschung und Rückgabe nach Beendigung

(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle Daten oder gibt sie zurück, sofern nicht nach Unionsrecht oder mitgliedstaatlichem Recht eine Pflicht zur Speicherung besteht.

(2) Der Verantwortliche kann seine Daten während der Vertragslaufzeit und vor endgültiger Löschung jederzeit selbst exportieren. Nach Kontolöschung erfolgt die Löschung der zugehörigen Daten und Dateien (einschließlich Dokumenten, Fotos und Sprachaufnahmen).

§ 11 Übermittlung in Drittländer

Eine Verarbeitung der Daten findet grundsätzlich in der EU/im EWR statt. Soweit ein Unterauftragsverarbeiter eine Übermittlung in ein Drittland oder einen Zugriff aus einem Drittland bedingt (vgl. Anlage 3), erfolgt diese nur bei Vorliegen geeigneter Garantien nach Kapitel V DSGVO (insbesondere EU-Standardvertragsklauseln) bzw. auf Grundlage eines Angemessenheitsbeschlusses.

§ 12 Haftung

Für die Haftung gelten die Regelungen des Nutzungsvertrags (AGB) sowie Art. 82 DSGVO. Im Innenverhältnis trägt jede Partei die Verantwortung entsprechend ihrem Verursachungs- und Verantwortungsbeitrag.

§ 13 Schlussbestimmungen

(1) Bei Widersprüchen zwischen dieser AVV und dem Nutzungsvertrag gehen hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag die Regelungen dieser AVV vor.

(2) Änderungen bedürfen der Textform. Im Übrigen gelten die Schlussbestimmungen des Nutzungsvertrags entsprechend.

Anlage 1 — Gegenstand der Verarbeitung

Zweck: Erstellung und Verwaltung von Immobilien-Wertermittlungen/Gutachten (ImmoWertV/BelWertV) einschließlich Datenerfassung, Berechnung, Textentwürfen, Dokument-Extraktion, Transkription und Export.

Art der Verarbeitung: Erheben, Erfassen, Speichern, Organisieren, Anpassen, Auslesen, Verwenden, Übermitteln an Unterauftragsverarbeiter (Anlage 3), Löschen.

Art der personenbezogenen Daten:

• Identifikations- und Kontaktdaten von Auftraggebern, Eigentümern, Verwaltern und Ortstermin-Teilnehmern (Namen, Anschriften, Aktenzeichen),
• Angaben zur Miet-/Pachtsituation (ggf. Daten von Mietern),
• objekt- und grundstücksbezogene Daten (Adressen, Flurstücke, Gebäudemerkmale),
• Grundbuchdaten (Eigentümer, Belastungen Abt. II/III),
• Dokumente, Pläne und Fotos (Fotos ggf. mit Standort-/Metadaten oder abgebildeten Personen),
• Sprachaufnahmen und deren Transkripte (Inhalte des Ortstermins).

Der Verantwortliche ist nach dem Nutzungsvertrag (§ 8) gehalten, die Eingabe personenbezogener Daten auf das für die jeweilige Wertermittlung Erforderliche zu beschränken und besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) nur einzugeben, soweit dies zwingend erforderlich ist.

Kategorien betroffener Personen: Auftraggeber, Eigentümer, Mieter/Pächter, Hausverwalter/Verwaltungen, am Ortstermin beteiligte Personen, sonstige im Gutachten benannte Dritte.

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Vertraulichkeit

• Zugangskontrolle: passwortlose Authentifizierung (Magic-Link/Einmalcode), Sitzungs-Token; serverseitige Zugriffskontrolle.
• Zugriffskontrolle / Mandantentrennung: zeilenbasierte Zugriffskontrolle (Row Level Security) in der Datenbank; jeder Nutzer kann ausschließlich auf seine eigenen Daten zugreifen.
• Verschlüsselung: durchgängige Transportverschlüsselung (TLS); Verschlüsselung des optionalen eigenen KI-Schlüssels im ruhenden Zustand (AES-256-GCM).

Integrität

• Eingabe-/Weitergabekontrolle: dokumentierte Schnittstellen; Übermittlung an Unterauftragsverarbeiter nur zweckgebunden und über verschlüsselte Verbindungen.
• Audit-Protokoll sicherheitsrelevanter Aktionen (Export, KI-Aufruf, Datenexport, Löschung) mit Nutzer, Aktion und Zeitpunkt.

Verfügbarkeit und Belastbarkeit

• Hosting in Deutschland (Hetzner) bzw. EU-Region (Supabase, Frankfurt).
• Regelmäßige, mindestens tägliche Sicherungen der Datenbank; Vorhaltung der Sicherungen über einen angemessenen Zeitraum; Wiederherstellbarkeit aus den Sicherungen.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• Trennung von Test- und Produktionsdaten; regelmäßige Aktualisierung von Abhängigkeiten; Überprüfung der Zugriffsrechte.
• Prozess zur Behandlung von Sicherheitsvorfällen einschließlich Meldung an den Verantwortlichen nach § 8 (unverzüglich, spätestens 48 Stunden nach Kenntnis).

Anlage 3 — Genehmigte Unterauftragsverarbeiter

Geo- und Umfelddienste als weitere Empfänger: Zur Erbringung einzelner Funktionen werden Adress- bzw. Koordinatenangaben des Bewertungsobjekts an behördliche Geodatendienste (GeoSN, Geobasis NRW, LUIS) sowie an OpenStreetMap-Dienste (Nominatim/Overpass) übermittelt. Eine dauerhafte Speicherung der Anfragedaten bei diesen Diensten ist nicht beauftragt. An das Statistische Bundesamt (Destatis) werden keine personenbezogenen Daten übermittelt.