Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend AVV) ergänzt den Hauptvertrag zwischen der immorivo GmbH i. G. (nachfolgend Auftragsverarbeiter) und dem Nutzer der Plattform (nachfolgend Verantwortlicher) und regelt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen gemäß Art. 28 Abs. 3 DSGVO.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform immorivo.
(2) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags.
§ 2 Art, Zweck und Gegenstand der Verarbeitung
Art der Verarbeitung
- Erhebung, Speicherung, Strukturierung, Analyse, Übermittlung und Löschung
- Automatisierte KI-Verarbeitung (Informationsextraktion, OCR, Klassifikation)
- Zugriffsverwaltung (Datenraumfreigabe)
Zweck der Verarbeitung
- Betrieb der Plattform und Erbringung der vertraglich vereinbarten Leistungen
- Dokumentenanalyse und -management für die Immobilienvermarktung
- Datenraumfunktionalität
Kategorien betroffener Personen
- Immobilieneigentümer (Verkäufer)
- Kaufinteressenten (Käufer)
- Dritte, die in Dokumenten genannt werden (z. B. Bevollmächtigte, Erben, Dienstleister)
- Mitarbeiter des Verantwortlichen (Makler, Nutzer des Workspace)
Kategorien personenbezogener Daten
- Stammdaten: Name, Anschrift, Kontaktdaten
- Identifikationsdaten: Ausweisdaten (in hochgeladenen Dokumenten)
- Grundbuch- und eigentumsrechtliche Daten
- Finanzierungsdaten (in Finanzierungsdokumenten)
- Sonstige in Immobiliendokumenten enthaltene personenbezogene Informationen
§ 3 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, eine Verarbeitung ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, erforderlich.
(2) Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.
(3) Der Auftragsverarbeiter ergreift die in Art. 32 DSGVO genannten Maßnahmen (TOMs). Die technischen und organisatorischen Maßnahmen sind in Anlage 2 beschrieben.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen auf Ausübung der Betroffenenrechte (Art. 15–22 DSGVO).
(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der in Art. 32–36 DSGVO genannten Pflichten (Datensicherheit, Meldung von Datenpannen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(6) Der Auftragsverarbeiter meldet dem Verantwortlichen Datenschutzverletzungen nach Art. 33 DSGVO unverzüglich nach Bekanntwerden, in der Regel innerhalb von 48 Stunden, per E-Mail an die vom Verantwortlichen benannte Kontaktadresse.
(7) Nach Wahl des Verantwortlichen löscht oder gibt der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern nicht nach Unionsrecht oder nationalem Recht eine Verpflichtung zur Speicherung der Daten besteht. Die im Auftrag verarbeiteten Inhalte (von Nutzern hochgeladene Dokumente und die daraus erzeugten Daten) werden nach Beendigung des Hauptvertrags zuzüglich einer Übergangsfrist von 30 Tagen gelöscht; der Auftragsverarbeiter bewahrt diese Inhalte nicht aus eigenem Recht auf. Für die Einhaltung der ihn treffenden gesetzlichen Aufbewahrungspflichten ist der Verantwortliche selbst verantwortlich. Eigene Geschäftsunterlagen des Auftragsverarbeiters (insbesondere Rechnungen und Vertragsdaten) unterliegen den für den Auftragsverarbeiter geltenden gesetzlichen Aufbewahrungsfristen (§ 257 HGB, § 147 AO).
(8) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen (Audits), die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei.
§ 4 Pflichten des Verantwortlichen
(1) Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Verarbeitung der hochgeladenen personenbezogenen Daten, insbesondere für das Vorliegen einer geeigneten Rechtsgrundlage nach Art. 6 DSGVO.
(2) Der Verantwortliche hat sicherzustellen, dass die betroffenen Personen über die Verarbeitung ihrer Daten durch immorivo informiert wurden (Art. 13/14 DSGVO).
(3) Weisungen erteilt der Verantwortliche schriftlich oder per E-Mail.
§ 5 Einsatz von Unter-Auftragsverarbeitern (Sub-Processor)
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, die in Anlage 1 aufgeführten Unter-Auftragsverarbeiter einzusetzen.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unter-Auftragsverarbeitern mit einer Vorankündigungsfrist von mindestens 14 Tagen. Der Verantwortliche kann Änderungen schriftlich widersprechen. Bei begründetem Widerspruch sind die Parteien zur einvernehmlichen Lösung verpflichtet; gelingt diese nicht, ist der Verantwortliche zur außerordentlichen Kündigung des Hauptvertrags berechtigt.
(3) Der Auftragsverarbeiter verpflichtet Unter-Auftragsverarbeiter vertraglich zu denselben Datenschutzverpflichtungen wie in diesem AVV festgelegt.
§ 6 Datenübermittlung in Drittländer
(1) Soweit Sub-Processor mit Sitz außerhalb des EWR eingesetzt werden (insbesondere US-Konzernmütter von EU-gehosteten Diensten), erfolgt die Übermittlung auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit dem EU-US-Data-Privacy-Framework (DPF) oder entsprechenden Zusatzgarantien. Details sind Anlage 1 zu entnehmen.
(2) Die Verarbeitungsvorgänge finden grundsätzlich in EU/EWR-Rechenzentren statt. Soweit einzelne Sub-Processor ausnahmsweise außerhalb des EWR verarbeiten (in Anlage 1 entsprechend gekennzeichnet, insbesondere beim Versand transaktionaler E-Mails), erfolgt dies auf Grundlage der in Absatz 1 genannten Garantien.
§ 7 Schlussbestimmungen
(1) Es gilt deutsches Recht. Gerichtsstand ist Köln.
(2) Änderungen dieses AVV bedürfen der Schriftform.
(3) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV Vorrang.
Anlage 1 Verzeichnis der Unter-Auftragsverarbeiter (Sub-Processor)
Stand: Juni 2026. Diese Liste wird bei Änderungen aktualisiert.
| Anbieter | Funktion | Standort / Region | Schutzmaßnahme |
|---|---|---|---|
| Vercel Inc. (US) | Web-Hosting, Server-Functions | Frankfurt fra1 (erzwungen) | DPA + SCCs |
| Supabase Inc. (US) | PostgreSQL DB, Auth, Object-Storage | EU-West-1 Frankfurt (AWS) | DPA + SCCs |
| Fly.io Inc. (US) | ClamAV Virus-Scan Container | Frankfurt fra | DPA + SCCs |
| Upstash Inc. (US) | Redis Cache, Rate-Limiting | Frankfurt eu-central-1 | DPA + SCCs |
| Inngest Inc. (US) | Workflow-Orchestrierung | EU-Region | DPA + SCCs + E2E-Verschl. |
| Postmark / ActiveCampaign LLC (US) | Transaktions-E-Mail | US-Datacenter (kein EU) | DPA + SCCs + EU-US-DPF |
| Amazon Web Services (AWS Bedrock) | KI-Inferenz (Claude) | eu-central-1 Frankfurt | AWS-DPA + SCCs |
| Google Cloud (Vertex AI) | KI-Inferenz (Gemini) | europe-west3/4 Frankfurt/NL | GCP-DPA + SCCs |
| Google Cloud (Document AI) | OCR, Layout-Analyse | europe-west3 Frankfurt | GCP-DPA + SCCs |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | EU Irland | EU-Controller |
| Sentry GmbH | Error-Tracking | EU-Region | DPA |
| PostHog Inc. (US) | Product Analytics | EU-Cloud Frankfurt | DPA + SCCs |
| Better Stack (EU) | Log-Aggregation, Monitoring | EU-Region | DPA |
| Langfuse GmbH (DE) | LLM-Observability | EU-Cloud | DPA |
| Aikido Security BV (BE) | Code/Cloud-Security-Scanning | Gent, Belgien | DPA (EU-Anbieter) |
| DocuSign Germany GmbH | Elektronische Signaturen | Frankfurt | DPA (EU-Anbieter) |
Anlage 2 Technische und Organisatorische Maßnahmen (TOMs) – Art. 32 DSGVO
- Pseudonymisierung und Verschlüsselung
- Verschlüsselung aller Daten at-rest (AES-256, Supabase-managed) und in-transit (TLS 1.3). Datenbankzugriff ausschließlich über ORM (Drizzle), kein direkter DB-Zugriff von Clients. Signierte URLs mit 1h TTL für Dokumentenzugriff.
- Vertraulichkeit
- Row-Level-Security (RLS) auf allen mandantenbezogenen Tabellen (~30 Tabellen). Mandanten-Kontext per runWithWorkspace()-Transaction-Wrapper. Mitarbeiterzugang auf das Minimum beschränkt (Least Privilege).
- Integrität
- Audit-Logging aller Datenzugriffe (activity_log, data_room_access_log). Soft-Delete-Mechanismus für reversible Löschvorgänge. Append-only Schema-Migrations in Git (Drizzle).
- Verfügbarkeit
- Supabase Pro Plan: Daily Backups, 7-Tage-Retention, PITR. Backups in EU-West-1 Frankfurt. Uptime-Monitoring via Better Stack.
- Belastbarkeit
- Skalierbare Infrastruktur (Vercel, Supabase, Upstash). Workflow-Retries via Inngest. ClamAV Virus-Scan vor Dokumentenspeicherung.
- Zugangskontrolle
- Authentifizierung über Supabase Auth. Kein direkter Datenbankzugang für Endnutzer. Rollensystem im Workspace (Admin, Member).
- Sicherheitsscanning
- Aikido Security: kontinuierliches Code- und Cloud-Security-Scanning. Source-Code wird nur in ephemeren Containern gescannt, nicht dauerhaft gespeichert.
- Datenlöschung
- Automatisierter Hard-Delete nach Ablauf der Aufbewahrungsfristen (Inngest-Cron-Jobs). Manueller Hard-Delete über WorkspaceService.purge() für DSGVO-Art.-17-Anfragen.
Dieser Auftragsverarbeitungsvertrag gilt im Zusammenhang mit der Nutzung der immorivo-Plattform. Für die Verarbeitung von Daten innerhalb der eingeloggten Plattform gilt zusätzlich unsere Datenschutzerklärung Plattform.