Anlageraum

Auftragsverarbeitungsvertrag (AVV)

Stand: 26. Mai 2026

Diese Seite enthält die Mustervereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO. Wenn Sie als Kund:in personenbezogene Daten Dritter (z. B. Mieter:innen, Ansprechpartner) in die Plattform einstellen, schließen wir diese Vereinbarung mit Ihnen ab. Wenden Sie sich an datenschutz@anlageraum.de, um eine unterschriftsreife Fassung zu erhalten.

§ 1 Gegenstand und Dauer

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer ([Firmenname], nachfolgend „Anlageraum") für die Auftraggeberin (Kund:in der Plattform) im Rahmen des Hauptvertrages über die Nutzung der SaaS-Plattform „Anlageraum". Die Vereinbarung läuft solange wie der Hauptvertrag.

§ 2 Art und Zweck der Verarbeitung

  • Speicherung, Strukturierung, Bereitstellung und Übermittlung von Objektdaten, Mietspiegel, Finanzangaben, Energieausweis-Daten, Lage- und Ausstattungs­informationen, Fotos und PDF-Dokumenten
  • Bereitstellung öffentlicher Investoren-Dashboards (Slug-basierte Freigabe, optional passwortgeschützt) für von der Auftraggeberin benannte Empfänger:innen
  • Authentifizierung berechtigter Nutzer:innen

§ 3 Art der Daten + Kreis der Betroffenen

Verarbeitet werden insbesondere folgende Datenarten:

  • Kontaktdaten (Name, E-Mail, Telefon) von Ansprechpartnern
  • Objekt- und Mietverhältnisdaten (Mietspiegel, Sanierungshistorie, Mieten in Cent)
  • Energieausweis-Daten
  • Bild- und Dokumentmaterial

Betroffene sind: Mieter:innen, Ansprechpartner:innen, Eigentümer:innen, weitere von der Auftraggeberin selbst in die Plattform eingestellte Personen.

§ 4 Weisungsrecht der Auftraggeberin

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung der Auftraggeberin. Diese Weisungen ergeben sich aus dem Haupt­vertrag und dem konkreten Funktionsumfang der Plattform. Mündliche Weisungen werden unverzüglich schriftlich oder per E-Mail bestätigt.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Anlageraum trifft die im Sinne von Art. 32 DSGVO erforderlichen Maßnahmen zum Schutz personenbezogener Daten. Insbesondere:

  • Vertraulichkeit: Mandantentrennung über Tenant-Scoping in der Datenbank; Authentifizierung via Bearer-Tokens (Laravel Sanctum); Passwörter ausschließlich als bcrypt-Hash gespeichert
  • Integrität: TLS-Verschlüsselung (HTTPS) für sämtliche Zugriffe; verschlüsselte Speicherung auf S3 (Server-Side Encryption)
  • Verfügbarkeit + Belastbarkeit: Tägliche Datenbank-Backups; redundante Speicherung in S3 eu-central-1
  • Zugriffskontrolle: Logischer Zugriff auf Produktivsysteme nur über SSH mit Public-Key-Authentifizierung; Vier-Augen-Prinzip bei produktiven Konfigurationsänderungen
  • Wiederherstellbarkeit: Restore-Tests der Datenbank-Backups [mindestens quartalsweise]

Die ausführliche TOM-Beschreibung ist als Anlage 1 Bestandteil dieser Vereinbarung.

§ 6 Unterauftragsverarbeiter

Anlageraum darf folgende Subprozessoren einsetzen:

  • Hetzner Online GmbH, Gunzenhausen — Hosting / Rechenzentrum Deutschland
  • Amazon Web Services EMEA SARL — Objektspeicher S3 in Frankfurt (eu-central-1)
  • [Mail-Provider] — Versand transaktionaler E-Mails
  • [Zahlungsanbieter] — Abrechnung

Der Wechsel oder die Hinzunahme weiterer Subprozessoren wird der Auftraggeberin mit einer Vorlaufzeit von [30 Tagen] in Textform mitgeteilt. Die Auftraggeberin kann der Beauftragung innerhalb dieser Frist aus wichtigem Grund widersprechen.

§ 7 Pflichten von Anlageraum

  • Unterstützung der Auftraggeberin bei der Wahrnehmung von Betroffenenrechten (Art. 12 – 22 DSGVO)
  • Unterstützung bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und vorherigen Konsultationen mit Aufsichtsbehörden (Art. 36 DSGVO)
  • Unverzügliche Meldung von Datenschutzverletzungen (Art. 33 DSGVO) spätestens innerhalb von 24 Stunden nach Bekanntwerden
  • Mitteilung von Anfragen Betroffener an die Auftraggeberin; eigene Auskünfte erteilt Anlageraum nur nach Weisung

§ 8 Kontroll- und Prüfungsrechte

Die Auftraggeberin hat das Recht, sich von der Einhaltung der Pflichten durch Anlageraum zu überzeugen. Nach Voranmeldung kann eine Vor-Ort-Kontrolle zu üblichen Geschäftszeiten durchgeführt oder ein aktuelles Audit-/Zertifizierungs­dokument angefordert werden.

§ 9 Beendigung + Datenrückgabe

Bei Beendigung des Hauptvertrages werden die verarbeiteten Daten nach Wahl der Auftraggeberin innerhalb von 30 Tagen zurückgegeben (Export) oder gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine Löschbestätigung wird auf Anfrage in Textform erteilt.

§ 10 Schlussbestimmungen

Im Konflikt zwischen dem Hauptvertrag und dieser Vereinbarung geht diese Vereinbarung vor. Änderungen bedürfen der Textform. Es gilt deutsches Recht.

Hinweis: Diese Vorlage ist nicht abschließend und ersetzt keine anwaltliche Prüfung. Für eine rechtsgültige Unterzeichnung bitte [Firmenname], TOM-Anlage und individuelle Subprozessor-Liste durch eine spezialisierte Kanzlei prüfen lassen.