Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag ("AVV") wird gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO) zwischen dem Immobilieneigentümer ("Verantwortlicher") und der UrbanGround GmbH, Musterstraße 42, 10115 Berlin ("Auftragsverarbeiter") geschlossen.

1. Gegenstand & Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der UrbanGround KI-Vermietungsassistenten-Plattform.

• Art der Verarbeitung: Automatisiertes Screening von Mietinteressenten durch Telefongespräche, Datenextraktion, Qualifizierung und Besichtigungsplanung
• Zweck: Lead-Qualifizierung und Besichtigungsverwaltung im Auftrag des Immobilieneigentümers
• Dauer: Für die Dauer des Dienstleistungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter

2. Arten personenbezogener Daten

• Namen und Kontaktdaten der Bewerber (Telefonnummer, E-Mail-Adresse)
• Haushaltsinformationen (Anzahl Erwachsener, Kinder, Haustiere)
• Einkommensindikatoren (Einkommensspanne im Verhältnis zur Miete)
• Einzugsdatumspräferenzen
• Screening-Ergebnisse und Qualifikationsstatus
• Sprachaufzeichnungen und strukturierte Zusammenfassungen

3. Kategorien betroffener Personen

• Mietinteressenten, die sich auf die Immobilieninserate des Verantwortlichen bewerben
• Immobilieneigentümer / Plattformnutzer (Konto- und Abrechnungsdaten)

4. Pflichten des Verantwortlichen

Der Verantwortliche ist dafür verantwortlich, eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten sicherzustellen, die betroffenen Personen über die Verarbeitung zu informieren und Anfragen zu Betroffenenrechten zu beantworten (mit Unterstützung des Auftragsverarbeiters gemäß Abschnitt 7).

5. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)

Der Auftragsverarbeiter wird:

• (a) Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, es sei denn, eine Verarbeitung ist nach EU- oder Mitgliedstaatenrecht erforderlich
• (b) Sicherstellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
• (c) Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergreifen (siehe Anlage: Technische und organisatorische Maßnahmen)
• (d) Die Bedingungen für die Beauftragung von Unterauftragsverarbeitern gemäß Abschnitt 6 einhalten
• (e) Den Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Art. 15–22 DSGVO) unterstützen
• (f) Den Verantwortlichen bei der Einhaltung der Art. 32–36 DSGVO unterstützen (Sicherheit, Meldung von Datenschutzverletzungen, DSFA)
• (g) Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Leistungserbringung löschen oder zurückgeben (siehe Abschnitt 8)
• (h) Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung stellen und Überprüfungen ermöglichen und dazu beitragen

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung für die Beauftragung von Unterauftragsverarbeitern. Folgende Unterauftragsverarbeiter sind derzeit beauftragt:

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen an der Liste der Unterauftragsverarbeiter und gibt dem Verantwortlichen die Möglichkeit, innerhalb von 14 Tagen Einspruch gegen solche Änderungen zu erheben. Erhebt der Verantwortliche Einspruch, wird der Auftragsverarbeiter den neuen Unterauftragsverarbeiter für die Daten des Verantwortlichen nicht einsetzen, oder der Verantwortliche kann den Vertrag kündigen.

7. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen nach Art. 15–22 DSGVO. Der Auftragsverarbeiter leitet direkt erhaltene Betroffenenanfragen unverzüglich an den Verantwortlichen weiter und reagiert nicht eigenständig, es sei denn, der Verantwortliche weist ihn dazu an.

8. Löschung & Rückgabe von Daten

Nach Beendigung des Dienstleistungsvertrags löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten innerhalb von 30 Tagen zurück und löscht vorhandene Kopien, es sei denn, EU- oder Mitgliedstaatenrecht erfordert eine Aufbewahrung. Screening-Daten von Bewerbern werden nach der konfigurierten Aufbewahrungsfrist (Standard: 90 Tage) automatisch gelöscht.

9. Prüfungsrechte

Der Verantwortliche hat das Recht, Prüfungen, einschließlich Inspektionen, durchzuführen, um die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen. Prüfungen sind mit angemessener Vorankündigung und während der normalen Geschäftszeiten durchzuführen. Der Auftragsverarbeiter kann einschlägige Prüfzertifikate oder Berichte unabhängiger Prüfer als Alternative zu Vor-Ort-Inspektionen vorlegen.

10. Internationale Datenübermittlungen

Die gesamte primäre Datenverarbeitung erfolgt innerhalb der EU (Google Cloud Frankfurt). Soweit Unterauftragsverarbeiter außerhalb der EU ansässig sind, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien bestehen, einschließlich EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und ergänzender Maßnahmen, soweit erforderlich.

11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung umfasst die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.

Anlage: Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um, um die Sicherheit der Verarbeitung zu gewährleisten:

Zugangskontrolle

• Rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der geringsten Berechtigung — 8 verschiedene Rollen mit granularen Berechtigungen
• JWT-basierte Authentifizierung mit Token-Rotation bei Berechtigungsänderungen
• Multi-Faktor-Authentifizierung (MFA) obligatorisch für administrative Rollen
• Kontosperrung nach 5 fehlgeschlagenen Anmeldeversuchen innerhalb von 15 Minuten

Verschlüsselung

• Daten bei Übertragung: TLS 1.3 für alle Kommunikation, mTLS für Interservice-Kommunikation
• Daten im Ruhezustand: AES-256-Verschlüsselung über von Google Cloud verwaltete Verschlüsselungsschlüssel

Pseudonymisierung

• Alle personenbezogenen Informationen werden vor der KI/LLM-Verarbeitung durch anonymisierte Kennungen ersetzt
• IP-Adressen werden nach 14 Tagen pseudonymisiert (auf /24-Subnetz gekürzt)

Datenminimierung

• Alle Datenbankabfragen verwenden explizite Spaltenauswahl — kein SELECT * auf PII-Tabellen
• Interservice-API-Nutzlasten enthalten nur die vom empfangenden Dienst benötigten Felder, durchgesetzt durch DSGVO-Zweckkennzeichnungen

Verfügbarkeit & Belastbarkeit

• Multi-Zone-Deployment auf Google Kubernetes Engine (GKE) in Frankfurt (europe-west3)
• Automatisierte tägliche Backups mit Punkt-in-Zeit-Wiederherstellung (Cloud SQL)
• Circuit Breaker und Wiederholungsversuche mit exponentiellem Backoff für alle externen Service-Integrationen

Überwachung & Prüfpfad

• Alle statusändernden Operationen werden in einem unveränderlichen Prüfprotokoll mit Akteur, Zeitstempel, Aktion und Ressourcenkennungen protokolliert
• OpenTelemetry Distributed Tracing über alle Dienste zur vollständigen Rekonstruktion von Interaktionsketten

Incident Response

• 72-Stunden-Meldeprozess für Datenschutzverletzungen mit definierten Eskalationspfaden
• Incident-Response-Playbook mit Rollen, Kommunikationsvorlagen und Post-Mortem-Verfahren