Auftragsverarbeitungsvertrag (AVV)
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen dem Nutzer („Verantwortlicher") und Omer Alic, Schützenstr. 131, 45476 Mülheim an der Ruhr („Auftragsverarbeiter"). Dieser Vertrag wird mit der Zustimmung des Nutzers bei der Registrierung wirksam.
1. Gegenstand, Dauer, Art und Zweck der Verarbeitung
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Immobilienverwaltungs-Software tefter. Art und Zweck der Verarbeitung umfassen das Speichern, Ordnen, Auslesen, Verändern und Löschen der vom Verantwortlichen eingegebenen Daten sowie das Erzeugen von Dokumenten und Auswertungen. Die Verarbeitung erfolgt ausschließlich zur Erfüllung des Nutzungsvertrags. Die Dauer entspricht der Laufzeit des Nutzungsverhältnisses.
2. Kategorien betroffener Personen und Datenarten
Betroffene Personen sind insbesondere Mieter, Eigentümer sowie Dienstleister des Verantwortlichen. Verarbeitet werden u. a. Stammdaten (Name, Anschrift, Kontaktdaten), Vertrags- und Objektdaten (Einheiten, Mietverhältnisse, Flächen), Zahlungs- und Forderungsdaten (Mieten, Vorauszahlungen, offene Posten) sowie zugehörige Dokumente.
3. Weisungsrecht des Verantwortlichen
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen des Vertrags und nach den dokumentierten Weisungen des Verantwortlichen. Die Nutzung der Anwendung durch den Verantwortlichen gilt als solche Weisung. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, informiert er den Verantwortlichen.
4. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:
- Transportverschlüsselung sämtlicher Verbindungen (TLS/HTTPS);
- Zugriffskontrolle über eine Authentifizierung sowie zeilenbasierte Zugriffsbeschränkung (Row Level Security), sodass jeder Nutzer ausschließlich auf seine eigenen Daten zugreifen kann;
- verschlüsselte Sicherungskopien (Backups);
- Serverstandort und Datenverarbeitung in Deutschland.
5. Unterauftragsverarbeiter
Der Verantwortliche stimmt dem Einsatz der folgenden Unterauftragsverarbeiter zu:
- Netcup GmbH (Deutschland) – Hosting/Serverbetrieb;
- Hetzner Online GmbH (Deutschland) – verschlüsselte Backups;
- Brevo (EU) – Versand transaktionaler E-Mails;
- Stripe Payments Europe Ltd. (Irland) – Zahlungsabwicklung.
Der Auftragsverarbeiter kann weitere Unterauftragsverarbeiter hinzuziehen oder bestehende ersetzen. Solche Änderungen werden dem Verantwortlichen rechtzeitig vorab angekündigt. Der Verantwortliche kann einer Änderung aus wichtigem, datenschutzbezogenem Grund innerhalb der angekündigten Frist widersprechen; im Fall eines berechtigten Widerspruchs steht beiden Parteien ein Kündigungsrecht zu.
6. Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO) sowie bei den Pflichten nach Art. 32 bis 36 DSGVO (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung). Er meldet ihm bekannt gewordene Verletzungen des Schutzes personenbezogener Daten unverzüglich.
7. Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Vertrags stehen dem Verantwortlichen die Daten für sechs Monate im Lesemodus zum Export zur Verfügung. Nach Ablauf dieser Frist werden die verarbeiteten Daten gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht. Backups werden im Rahmen der regulären Backup-Zyklen überschrieben.
Stand: Juli 2026