Vertrag zur Auftragsverarbeitung (AVV)
nach Art. 28 DSGVO
Parteien
Verantwortlicher (Auftraggeber): der Kunde, der den Dienst nutzt (Name/Anschrift gemäß Konto).
Auftragsverarbeiter (Auftragnehmer): Barzik Studio, Inhaber Alexander Barzik, Melanchthonstraße 73, 33615 Bielefeld, [email protected].
§ 1 Gegenstand & Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung des SaaS-Dienstes „mietvio". Die Laufzeit entspricht der Laufzeit des Nutzungsvertrags; der AVV endet mit dessen Beendigung.
§ 2 Art, Zweck & Umfang der Verarbeitung
Der Auftragnehmer verarbeitet die Daten ausschließlich zur Erbringung des Dienstes (Speicherung, Strukturierung, Auswertung, Erzeugung von Dokumenten/Abrechnungen, Versand von Mitteilungen) und nur auf dokumentierte Weisung des Verantwortlichen. Die Nutzung des Dienstes durch den Verantwortlichen gilt als dessen Weisung.
§ 3 Art der Daten & Kategorien betroffener Personen
- Datenarten: Stammdaten (Name, Anschrift, Kontakt), Vertrags-/Mietdaten, Zahlungs-/Kontostände, Verbrauchs-/Abrechnungsdaten, Dokumente, ggf. weitere vom Verantwortlichen eingegebene Daten.
- Betroffene Personen: Mieter, Eigentümer, Interessenten, Dienstleister/Handwerker, Ansprechpartner des Verantwortlichen.
§ 4 Pflichten des Auftragnehmers
- Verarbeitung nur auf dokumentierte Weisung; Hinweis, falls eine Weisung gegen Datenschutzrecht verstößt.
- Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO).
- Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Anlage 1).
- Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 12–23) sowie bei Pflichten nach Art. 32–36 DSGVO im Rahmen des Möglichen.
- Unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten an den Verantwortlichen (Unterstützung der Meldepflichten nach Art. 33/34).
- Nachweis der Einhaltung und Ermöglichung von Überprüfungen/Audits (Art. 28 Abs. 3 lit. h), vorrangig durch Bereitstellung geeigneter Nachweise/Zertifikate.
§ 5 Unterauftragsverarbeiter
Der Verantwortliche erteilt seine allgemeine Genehmigung zum Einsatz der nachfolgenden Unterauftragsverarbeiter. Über beabsichtigte Änderungen (Hinzuziehung/Ersetzung) informiert der Auftragnehmer rechtzeitig; der Verantwortliche kann begründet widersprechen.
| Unterauftragsverarbeiter | Leistung | Ort / Garantien |
|---|---|---|
| Hetzner Online GmbH | Hosting / Rechenzentrum | Deutschland |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland (ggf. USA, EU-SCC) |
| Zoho Corp. (ZeptoMail) | Transaktions-E-Mail | EU-Rechenzentrum |
| Google Ireland Ltd. | Login mit Google (optional) | Irland (ggf. USA, SCC/DPF) |
| Anthropic | KI-Chat-Assistent (optional) | USA (EU-SCC) |
Bei Drittlandübermittlungen werden geeignete Garantien nach Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln) sichergestellt.
§ 6 Weisungsrecht
Weisungen erfolgen grundsätzlich in Textform bzw. über die Funktionen des Dienstes. Mündliche Weisungen werden unverzüglich in Textform bestätigt.
§ 7 Löschung & Rückgabe
Nach Beendigung erbringt der Auftragnehmer nach Wahl des Verantwortlichen die Rückgabe oder Löschung der personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Dienst bietet hierfür Selbst-Export und Konto-Löschung.
§ 8 Haftung
Es gelten Art. 82 DSGVO sowie die Haftungsregelungen des zugrunde liegenden Nutzungsvertrags/der AGB.
Anlage 1 — Technische & organisatorische Maßnahmen (Art. 32 DSGVO)
- 1. Vertraulichkeit
- Zutrittskontrolle: Verarbeitung ausschließlich in einem zertifizierten Rechenzentrum der Hetzner Online GmbH in Deutschland (physische Zutrittssicherung durch den Hosting-Dienstleister); vorgelagerte WAF-/DDoS-Abwehr durch Cloudflare.
- Zugangskontrolle (Systemzugang): Passwörter mit scrypt + zeitkonstantem Vergleich gehasht; serverseitige, HttpOnly/Secure/SameSite-Session-Cookies (kein Token im Browser-Speicher); account-bezogene Anmeldesperre nach Fehlversuchen zusätzlich zum IP-Rate-Limit (Auth-Routen streng begrenzt); generische Anmeldefehler (keine Konto-Aufzählung); optionale Zwei-Faktor-Authentifizierung (TOTP, RFC 6238) mit Replay-Schutz.
- Zugriffskontrolle (Datenzugang): jede API-Route serverseitig auth-gegated (401/403); Berechtigung pro Produkt (Entitlement) und rollenbasiert innerhalb des Mandanten (Inhaber/Voll/Nur-Lese); Objektbezug stets aus der authentifizierten Sitzung, nie aus Client-IDs.
- Trennungskontrolle (Mandantentrennung): physische Datenbank-pro-Mandant (eigene Datei je Betrieb) zzgl. datei-getrennter Mandanten-Daten → Mandantenvermischung ist physikalisch ausgeschlossen (kein gemeinsamer Datenbestand, kein vergessbarer Mandantenfilter); durch Penetrationstest bestätigt.
- 2. Integrität
- Weitergabekontrolle: durchgängige Transportverschlüsselung (TLS, HTTPS-Pflicht, HSTS); Sicherheits-Header (CSP, X-Content-Type-Options, X-Frame-Options, Referrer-Policy); keine personenbezogenen Daten oder Geheimnisse in Protokollen.
- Eingabekontrolle: Protokollierung sicherheitsrelevanter Aktionen (Audit-Log: u. a. Löschungen, Team-/Rollen-/Zahlungs-Ereignisse); serverseitige Eingabevalidierung; ausschließlich parametrisierte Datenbankabfragen (keine SQL-Injection); Ausgabe-Encoding (kein XSS).
- 3. Verfügbarkeit & Belastbarkeit
- Verfügbarkeitskontrolle: tägliche, konsistente und integritätsgeprüfte Backups je Mandant (14 Tage Vorhaltung); vorgelagerte DDoS-/WAF-Abwehr; globaler Fehler-Handler + Prozess-Wächter; automatisiertes Monitoring der Dienste/Endpunkte alle 5 Minuten mit Alarmierung.
- Rasche Wiederherstellbarkeit: getesteter Wiederherstellungsprozess (round-trip-bewiesen) mit Vor-Wiederherstellungs-Sicherung.
- 4. Verfahren zur regelmäßigen Überprüfung, Bewertung & Evaluierung
- Auftragskontrolle: Verträge zur Auftragsverarbeitung (Art. 28 DSGVO) mit allen Unterauftragsverarbeitern (Hetzner, Cloudflare, Stripe, Zoho/ZeptoMail, Google, Anthropic); Drittland-Transfers über SCC bzw. EU-US Data Privacy Framework abgesichert.
- Datenschutz durch Technikgestaltung & Voreinstellungen (Art. 25): Mandanten-Isolation auf Architektur-Ebene; serverseitige Sitzungen statt Tokens; keine Geheimnisse im Quellcode (Secret-Scanning).
- Regelmäßige Überprüfung: adversariales Sicherheits-Audit mit Härtung + Regressionstests; automatisierte Tests in der CI bei jedem Push; wöchentliches Dependency-/Schwachstellen-Scanning; Trennung von Test- und Produktivumgebung.
Diese TOM dokumentieren die zum angegebenen Stand umgesetzten Maßnahmen („angemessene Sicherheit nach dem Stand der Technik", Art. 32 DSGVO). Sie werden bei wesentlichen Änderungen fortgeschrieben.
Stand: Juni 2026