Logo

Unsere Vorteile:

Kein Kostenrisiko: Miete hoch oder kostenlos

Provision: nur drei Mal den Erhöhungsbetrag

Im vierten Monat bereits bezahlt gemacht

Nur noch ausdrucken, unterschreiben und versenden

In Partnerschaft mit:

Haus & Grund Dahme-Spree

Zusatzvereinbarung zur Auftragsverarbeitung

Präambel

Dieser Auftragsverarbeitungsvertrag (AV-Vertrag) regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO. Er konkretisiert die datenschutzrechtlichen Verpflichtungen, die sich aus dem Hauptvertrag (AGB, Nutzungsbedingungen, einzusehen unter https://app.rentupp.de/agb) ergeben und ergänzen diesen. Damit wird er Vertragsbestandteil des Hauptvertrages. Die Bestimmungen dieses AV-Vertrags haben Vorrang vor anderslautenden Regelungen des Hauptvertrags.

Im Rahmen der Nutzung der angebotenen Dienste (z.B. Erstellung von Mieterhöhungsschreiben mit RentUpp) können personenbezogene Daten Dritter (z.B. Mieter) an den Auftragsverarbeiter übermittelt werden. Diese Daten werden ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Eine Weisung im Sinne dieses Vertrags gilt insbesondere dann als erteilt, wenn der Verantwortliche aktiv die erforderlichen Daten zur Erstellung des jeweiligen Schreibens eingibt (z.B. für das Mieterhöhungsschreiben).

§ 1 Gegenstand und Dauer

1. Gegenstand Der Auftragsverarbeiter verarbeitet personenbezogene Daten, die der Verantwortliche im Rahmen der Nutzung der Dienste zur Verfügung stellt, z.B. zur Erstellung und Verwaltung von Mieterhöhungsschreiben, Dokumentenmanagement, Zahlungsabwicklung, Erinnerungs- und Fristenmanagement, Support und ähnlichen Services. Die Daten sind in Anlage 1 konkretisiert.

2. Dauer Dieser AV-Vertrag gilt für die Dauer des zwischen den Parteien geschlossenen Hauptvertrags und endet automatisch mit dessen Beendigung, sofern keine abweichende Vereinbarung getroffen wird. Er bleibt darüber hinaus so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen vorhält (z.B. im Rahmen gesetzlicher Aufbewahrungsfristen).

§ 2 Rollen der Parteien

1. Verantwortlicher Der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO bestimmt die Zwecke und Mittel der Datenverarbeitung und ist für die Einhaltung der einschlägigen Datenschutzvorschriften verantwortlich.

2. Auftragsverarbeiter Der Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO verarbeitet personenbezogene Daten ausschließlich zur Erfüllung des Hauptvertrags oder nach Weisung des Verantwortlichen und im Rahmen dieses AV-Vertrags.

3. Nicht erfasste Daten Daten, die der Verantwortliche selbst (z.B. Stammdaten, Zahlungsdaten, Korrespondenz mit dem Dienste-Anbieter) oder andere Personen eigenständig übermitteln, sind nicht Gegenstand dieser Auftragsverarbeitung, soweit diese Daten nicht vom Verantwortlichen im Sinne des Auftrags bereitgestellt wurden.

§ 3 Weisungsrecht und Pflichten des Auftragsverarbeiters

1. Weisungsgebundenheit Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erfüllung des Hauptvertrags oder nach dokumentierten Weisungen des Verantwortlichen, sofern er nicht rechtlich verpflichtet ist (Art. 28 Abs. 3 lit. a DSGVO). Werden solche rechtlichen Verpflichtungen wirksam, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, soweit dies rechtlich zulässig ist.

2. Vergütung bei erweiterten Weisungen Sofern einzelne Weisungen über den vertraglich vereinbarten Leistungsumfang hinausgehen, kann der Auftragsverarbeiter hierfür eine angemessene Vergütung verlangen.

3. Vertraulichkeit Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4. Datensicherheit (Art. 32 DSGVO) Der Auftragsverarbeiter implementiert technische und organisatorische Maßnahmen (TOM), die ein dem Risiko angemessenes Schutzniveau gewährleisten (z.B. Zugriffskontrollen, Verschlüsselung, Datensicherung). Er dokumentiert und überprüft diese regelmäßig.

5. Information bei Verstößen Verstößt der Auftragsverarbeiter gegen diesen AV-Vertrag oder datenschutzrechtliche Vorschriften, informiert er den Verantwortlichen unverzüglich. Gleiches gilt, wenn ihm eine unzulässige Verarbeitung bekannt wird.

6. Unterstützungspflichten Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (z.B. Auskunft, Löschung) sowie bei Pflichten nach Art. 32-36 DSGVO (z.B. Meldungen an die Aufsichtsbehörde, Datenschutz-Folgenabschätzung). Sofern die dabei anfallenden Tätigkeiten über den vertraglich vereinbarten Leistungsumfang hinausgehen, kann der Auftragsverarbeiter für diese Zusatzleistungen eine angemessene Vergütung verlangen.

7. Anonymisierte / aggregierte Daten Weiterführende Informationen hierzu, insbesondere zur Verwendung für eigene Zwecke, enthält § 10 dieses AV-Vertrags.

§ 4 Verantwortlichkeiten des Verantwortlichen

1. Rechtsmäßigkeit Der Verantwortliche trägt dafür Sorge, dass die personenbezogenen Daten rechtmäßig erhoben werden (z.B. Rechtsgrundlage nach Art. 6 DSGVO) und er zur Weitergabe und Verarbeitung durch den Auftragsverarbeiter befugt ist.

2. Wahrung der Betroffenenrechte Der Verantwortliche bleibt allein dafür verantwortlich, Betroffene über die Datenverarbeitung zu informieren und ihnen entsprechende Rechte (z.B. Auskunft, Löschung) zu gewähren.

3. Weisungen Der Verantwortliche erteilt Weisungen schriftlich oder elektronisch. Er trägt die Verantwortung dafür, dass Weisungen nicht zu Rechtsverstößen führen.

4. Mitteilungspflicht Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.

§ 5 Unterauftragsverhältnisse (Subunternehmer)

1. Allgemeine Genehmigung Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung zum Einsatz von Subunternehmern (Art. 28 Abs. 2 DSGVO). Eine aktuelle Liste dieser Subunternehmer steht dem Verantwortlichen über https://app.rentupp.de/datenschutzerklaerung zur Verfügung.

2. Information bei Änderung Der Auftragsverarbeiter ist berechtigt, jederzeit weitere Subunternehmer einzusetzen oder bestehende Subunternehmer zu ersetzen. Er informiert den Verantwortlichen mindestens 4-6 Wochen vor dem geplanten Einsatz bzw. Austausch, indem die entsprechende Subunternehmer-Liste über https://app.rentupp.de/datenschutzerklaerung aktualisiert wird. Der Verantwortliche kann innerhalb von zwei Wochen nach Bekanntgabe schriftlich Einspruch erheben, sofern er berechtigte Gründe (z.B. schwerwiegende Datenschutzmängel des Subunternehmers) darlegt. Kommt innerhalb weiterer zwei Wochen keine Einigung zustande, ist der Verantwortliche berechtigt, den Hauptvertrag aus wichtigem Grund zu kündigen.

3. Vertragliche Absicherung Der Auftragsverarbeiter sorgt dafür, dass Subunternehmer dieselben datenschutzrechtlichen Verpflichtungen eingegangen sind, wie sie in diesem AV-Vertrag festgelegt sind. Nebenleistungen, die für den Geschäftsbetrieb in Anspruch genommen werden (z.B. Telekommunikation, Post, Wartung) gelten nicht als "Unterauftragsverhältnisse" im datenschutzrechtlichen Sinne, bedingen aber ebenfalls ein angemessenes Datenschutzniveau.

§ 6 Technische und organisatorische Maßnahmen

1. Art. 32 DSGVO Der Auftragsverarbeiter legt alle erforderlichen technischen und organisatorischen Maßnahmen fest, um ein angemessenes Schutzniveau zu gewährleisten (z.B. Zutritts-/Zugangskontrollen, Verschlüsselung, Backup, Firewalls, etc.). Die TOM sind in Anlage 2 dokumentiert.

2. Änderungen Der Auftragsverarbeiter darf die TOM anpassen, sofern das erforderliche Schutzniveau nicht unterschritten wird.

3. Nachweispflichten Der Auftragsverarbeiter stellt dem Verantwortlichen auf Verlangen Informationen und Nachweise zur Verfügung, die erforderlich sind, um die Einhaltung der gesetzlichen Vorgaben (Art. 28 DSGVO) prüfen zu können.

§ 7 Mitteilungen bei Datenschutzverletzungen

1. Meldefälle Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, sobald ihm Verstöße gegen den Schutz personenbezogener Daten bekannt werden, die im Rahmen der Auftragsverarbeitung verarbeitet werden (Art. 33 DSGVO).

2. Unterstützung Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörden und Betroffenen (Art. 33, 34 DSGVO). Soweit dies über den vertraglich vereinbarten Leistungsumfang hinausgeht, kann der Auftragsverarbeiter hierfür eine angemessene Vergütung verlangen.

§ 8 Löschung und Rückgabe von Daten

1. Ende des Hauptvertrags Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück, sofern keine gesetzlichen Aufbewahrungsfristen bestehen (Art. 28 Abs. 3 lit. g DSGVO).

2. Abschließende Weisung Der Auftragsverarbeiter kann den Verantwortlichen um eine abschließende Weisung bitten. Erfolgt diese nicht innerhalb einer angemessenen Frist (z.B. 14 Tage), ist der Auftragsverarbeiter berechtigt, die Daten eigenständig DSGVO-konform zu löschen.

§ 9 Kontrollrechte

1. Kontrollpflichten Der Verantwortliche oder ein beauftragter Dritter kann die Einhaltung der in diesem AV-Vertrag getroffenen Vereinbarungen und der TOM überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragsverarbeiter gewährt Zugriff auf relevante Informationen und Dokumentationen.

2. Vor-Ort-Audits Vor-Ort-Kontrollen oder, falls sachgerecht, Remote-Audits per Video-/Screensharing etc., sind nach angemessener Vorankündigung durchzuführen und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig stören. Soweit mit der Durchführung solcher Kontrollen ein erheblicher Mehraufwand für den Auftragsverarbeiter verbunden ist, kann er hierfür eine angemessene Vergütung verlangen, sofern keine gesetzlichen Pflichten zur kostenfreien Mitwirkung bestehen.

3. Vertraulichkeit Der Verantwortliche verpflichtet sich, alle im Rahmen solcher Kontrollen und Audits erlangten Informationen streng vertraulich zu behandeln und nur für den Zweck der datenschutzrechtlichen Prüfung zu verwenden.

§ 10 Nutzung anonymisierter / aggregierter Daten

1. Datennutzung Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter berechtigt ist, anonymisierte oder aggregierte Daten für Datenauswertungen sowie zur Verbesserung aktueller und zukünftiger Produkte und Dienste zu nutzen. Diese anonymen (und damit nicht mehr personenbezogene Daten) dürfen sowohl für interne Zwecke verwendet, wie auch an Kunden oder sonstige Dritte herausgegeben werden. Die berechtigte Verwendung anonymisierter Daten im Sinne dieses Absatzes bleibt auch nach Beendigung des Hauptvertrages unberührt, da es sich nicht mehr um personenbezogene Daten handelt. Dabei entstehen keinerlei zusätzlichen Pflichten für den Verantwortlichen, es bleiben sämtliche Datenschutzanforderungen (insbesondere der Ausschluss von Personenbeziehbarkeit) gewahrt und der Auftragsverarbeiter erhält lediglich das Recht, die Daten in anonymisierter Form zu nutzen, ohne dass Rückschlüsse auf individuelle Betroffene möglich sind.

§ 11 Haftung und Schlussbestimmungen

1. Haftung Die Haftung zwischen den Parteien richtet sich nach den Regelungen des Hauptvertrags. Soweit in diesem AV-Vertrag keine spezielle Regelung getroffen wird, gelten die vereinbarten Haftungsbestimmungen aus dem Hauptvertrag.

2. Form und Änderungen Änderungen oder Ergänzungen dieses AV-Vertrags bedürfen der Schriftform (elektronische Form genügt), wobei deutlich zu erkennen sein muss, dass und welche Änderung beabsichtigt ist.

3. Salvatorische Klausel Sollten einzelne Bestimmungen dieses AV-Vertrags unwirksam sein oder werden, bleibt die Gültigkeit der übrigen Regelungen unberührt.

4. Anlagen Sämtliche Anlagen sind Bestandteil dieses AV-Vertrags.

5. Rechtswahl Es gilt das Recht der Bundesrepublik Deutschland, sofern keine vorrangigen Rechtsvorschriften entgegenstehen.

6. Gerichtsstand Gerichtsstand ist Stuttgart, soweit gesetzlich zulässig.

Anlage 1: Beschreibung der Datenverarbeitung

Kategorien betroffener Personen:

  • Mieter:innen der Kund:innen
  • Potenzielle Mietinteressent:innen der Kund:innen
  • Mitarbeiter:innen der Kund:innen (falls zutreffend)
  • Kund:innen

Datenarten:

  • Daten von Mieter:innen der Kund:innen, insbesondere Name, Anschrift, Kontaktdaten, Mietvertragsdaten, Zahlungsinformationen, Kommunikation
  • Daten von Mitarbeiter:innen der Kund:innen, sowie deren Beauftragte und Geschäftspartner:innen

Zweck der Verarbeitung:

  • Erstellung von Mieterhöhungsschreiben
  • Verwaltung von Mietverträgen
  • Erstellung von Nebenkostenabrechnungen
  • Kommunikation

Nicht erfasste Daten:

  • Personenbezogene Daten, die nicht vom Verantwortlichen bereitgestellt werden (z.B. IP-Adressen beim Besuch der Webseite, wenn nicht im Auftrag)

Anlage 2: Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt.

Zweckbindung und Trennbarkeit

  • Berechtigungskonzept
  • Trennung von Produktiv- und Testsystemen

Vertraulichkeit und Integrität

  • Mitarbeiter:innen sind zur Einhaltung der datenschutzrechtlichen Anforderungen nach DSGVO geschult und verpflichtet
  • Mitarbeiter:innen sind zur Vertraulichkeit verpflichtet
  • Passwortgeschützter Zugang, Passwort-Richtlinien
  • Verschlüsselte Datenübertragung
  • Verschlusselung der Datensicherung
  • Auswahl von Subunternehmern unter Sorgfaltsgesichtspunkten

Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme

  • Regelmäßige Backups (verschlüsselt)
  • Monitoring der Systeme

Besondere Datenschutzmaßnahmen

  • Interne Verhaltensregeln
  • Risikoanalyse
  • Datenschutz-Folgenabschätzung
  • Datensicherungskonzept

Anlage 3: Liste der eingesetzten Unterauftragsverarbeiter

Die eingesetzten Unterauftragsverarbeiter sind in der Datenschutzerklärung aufgelistet und können dort eingesehen werden: https://app.rentupp.de/datenschutzerklaerung