Auftragsverarbeitungsvertrag (AVV)
Stand: Juni 2026 — Mustertext nach Art. 28 DSGVO. Dieser Auftragsverarbeitungsvertrag (AVV) wird zwischen der Verwaltung als Verantwortlichem („Auftraggeber“) und der BeeBack UG (haftungsbeschränkt), Scheffelstrasse 20A, 60318 Frankfurt am Main („Auftragnehmer“) geschlossen. Er regelt die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der SaaS-Lösung Verwalto.xhub und ist Anlage zum Hauptvertrag (siehe AGB).
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand ist die Verarbeitung personenbezogener Daten von Eigentümern, Mietern, Beiräten und sonstigen Kontakten des Auftraggebers durch den Auftragnehmer im Rahmen der Bereitstellung der SaaS-Lösung Verwalto.xhub. (2) Die Dauer entspricht der Laufzeit des Hauptvertrags. Nach dessen Beendigung gelten die Lösch- und Rückgabeverpflichtungen aus § 11.
§ 2 Art und Zweck der Verarbeitung
(1) Die Verarbeitung umfasst: – Speicherung von Objekt-, Einheiten-, Eigentümer- und Mieterdaten, Buchungen sowie Beschluss-/Protokolldaten – Übermittlung von SEPA-Dateien an die Bank (über den Auftraggeber) – Versand von Abrechnungen, Mitteilungen und Erinnerungen – Auswertung aggregierter, anonymisierter Statistiken – Backups und Wiederherstellung – Support-Bearbeitung nach Weisung (2) Zweck ist ausschließlich die Erfüllung des Hauptvertrags. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers ist ausgeschlossen.
§ 3 Art der personenbezogenen Daten
Die Verarbeitung kann folgende Datenarten betreffen: – Stammdaten (Name, Anschrift) – Kontaktdaten (E-Mail, Telefon) – Bankverbindungsdaten (IBAN, BIC für SEPA-Mandate) – Vertrags-/Einheitendaten (Eigentum, Mietverhältnis, Rolle) – Buchungs- und Abrechnungsdaten – Kommunikationsdaten Besondere Kategorien nach Art. 9 DSGVO werden nur verarbeitet, wenn der Auftraggeber sie ausdrücklich erfasst und eine Rechtsgrundlage dokumentiert hat.
§ 4 Kategorien betroffener Personen
– Eigentümer (WEG) – Mieter – Verwaltungsbeiräte und Funktionsträger – Dienstleister und Kontaktpersonen
§ 5 Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich: 1. die Daten nur im Rahmen der Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO); 2. den Auftraggeber zu informieren, wenn eine Weisung gegen Datenschutzrecht verstößt; 3. alle mit der Verarbeitung beschäftigten Personen auf Vertraulichkeit zu verpflichten; 4. geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO umzusetzen (siehe TOM-Anlage); 5. den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 15–22) zu unterstützen; 6. den Auftraggeber bei Datenpannen unverzüglich (binnen 24 Stunden) zu informieren; 7. den Auftraggeber bei seinen Pflichten nach Art. 32–36 DSGVO zu unterstützen; 8. nach Vertragsende alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben (§ 11).
§ 6 Weisungsrecht des Auftraggebers
(1) Der Auftraggeber bleibt Verantwortlicher und erteilt Weisungen zur Verarbeitung. (2) Weisungen können in Textform (E-Mail, Support-Ticket, Software-Oberfläche) erteilt werden. (3) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
§ 7 Sub-Auftragsverarbeiter
(1) Der Auftraggeber stimmt der Beauftragung folgender Sub-Auftragsverarbeiter zu: – Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen — Hosting der Anwendung und Datenbank in Falkenstein/Nürnberg – Resend, Inc. — transaktionaler E-Mail-Versand – Stripe Payments Europe Limited, Dublin — Zahlungsabwicklung (nur bei kostenpflichtigen Tarifen) (2) Die aktuelle, vollständige Liste ist unter verwalto.xhub.io/datenschutz einsehbar. (3) Der Auftragnehmer informiert mindestens 30 Tage im Voraus über beabsichtigte Änderungen. Der Auftraggeber kann binnen 14 Tagen widersprechen; bei Widerspruch besteht ein Recht zur außerordentlichen Kündigung des Hauptvertrags. (4) Mit jedem Sub-Auftragsverarbeiter wird ein Vertrag mit mindestens gleichwertigen datenschutzrechtlichen Pflichten geschlossen.
§ 8 Technisch-organisatorische Maßnahmen (TOM)
(1) Der Auftragnehmer trifft die nach Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. (2) Die konkreten TOM sind unter verwalto.xhub.io/tom dokumentiert und Bestandteil dieses AVV. (3) Eine Weiterentwicklung der TOM ist zulässig, sofern das Schutzniveau nicht abgesenkt wird.
§ 9 Datenpannen-Meldepflicht
(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens binnen 24 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). (2) Die Meldung enthält die Art der Datenpanne, betroffene Kategorien und Anzahl, wahrscheinliche Folgen, ergriffene Maßnahmen sowie Kontaktdaten. (3) Der Auftragnehmer unterstützt den Auftraggeber bei dessen Meldepflicht gegenüber der Aufsichtsbehörde (72 Stunden, Art. 33) und ggf. der Benachrichtigung der Betroffenen (Art. 34).
§ 10 Unterstützung bei Betroffenenrechten
(1) Der Auftragnehmer stellt Funktionen zur Erfüllung der Rechte bereit: Auskunft (Datenexport pro Person), Berichtigung (Daten direkt editierbar), Löschung (Lösch-Workflow mit Anonymisierung), Einschränkung (Status-Flag), Datenübertragbarkeit (CSV/JSON/XML). (2) Direkte Anfragen Betroffener leitet der Auftragnehmer unverzüglich an den Auftraggeber weiter.
§ 11 Datenrückgabe und Löschung nach Vertragsende
(1) Nach Beendigung des Hauptvertrags hat der Auftraggeber 30 Tage Zeit, alle personenbezogenen Daten zu exportieren. (2) Anschließend werden alle personenbezogenen Daten — vorbehaltlich gesetzlicher Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO) — innerhalb von 30 weiteren Tagen sicher gelöscht. (3) Aufbewahrungspflichtige Daten werden in einem zugriffsgeschützten Archiv aufbewahrt und nach Ablauf der jeweiligen Frist automatisch gelöscht. (4) Auf Anforderung wird die Löschung dokumentiert und schriftlich bestätigt.
§ 12 Nachweispflichten und Prüfrechte
(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung. (2) Der Auftraggeber kann die Einhaltung prüfen — durch Einsicht in aktuelle Audit-Berichte (z. B. C5-Testat, ISO 27001 — sobald vorhanden), Einsicht in AVV und TOM sowie Vor-Ort-Inspektionen mit Vorankündigung (mindestens 14 Tage), maximal einmal jährlich. (3) Die Kosten für Vor-Ort-Inspektionen trägt der Auftraggeber, sofern keine wesentlichen Verstöße festgestellt werden.
§ 13 Vertraulichkeit
Der Auftragnehmer verpflichtet alle mit der Verarbeitung personenbezogener Daten beschäftigten Personen schriftlich zur Vertraulichkeit. Diese Verpflichtung besteht über das Beschäftigungsverhältnis hinaus fort.
§ 14 Haftung
(1) Für die Haftung gelten Art. 82 DSGVO sowie die Haftungsregelungen des Hauptvertrags (AGB § 10). (2) Macht ein Betroffener Schadensersatzansprüche gegenüber einer Partei geltend, unterstützt die andere Partei sie nach Kräften.
§ 15 Schlussbestimmungen
(1) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. (2) Gerichtsstand ist Frankfurt am Main, soweit gesetzlich zulässig. (3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. (4) Im Konflikt zwischen diesem AVV und dem Hauptvertrag gehen die Datenschutz-Regelungen dieses AVV vor.