Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Zuletzt aktualisiert: 2026-04-06

Die deutsche Fassung dieses Dokuments ist rechtsverbindlich. Eine englische Übersetzung steht als Lesehilfe zur Verfügung.

Dieser Auftragsverarbeitungsvertrag ("AVV") wird gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO) zwischen dem Immobilieneigentümer ("Verantwortlicher") und der Urban Ground GmbH, Rheinsberger Str. 76/77, 10115 Berlin, Deutschland ("Auftragsverarbeiter") geschlossen. ApartmentRentals.ai ist ein Produkt der Urban Ground GmbH. Nimmi AI ist eine Marke der Urban Ground GmbH.

1. Gegenstand & Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der ApartmentRentals.ai-Plattform und der KI-Vermietungsassistentin Nimmi AI.

  • Art der Verarbeitung: Automatisiertes Screening von Mietinteressenten durch Telefongespräche, Datenextraktion, Qualifizierung und Besichtigungsplanung
  • Zweck: Lead-Qualifizierung und Besichtigungsverwaltung im Auftrag des Immobilieneigentümers
  • Dauer: Für die Dauer des Dienstleistungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter

2. Arten personenbezogener Daten

  • Namen und Kontaktdaten der Bewerber (Telefonnummer, E-Mail-Adresse)
  • Haushaltsinformationen (Anzahl Erwachsener, Kinder, Haustiere)
  • Einkommensindikatoren (Einkommensspanne im Verhältnis zur Miete)
  • Einzugsdatumspräferenzen
  • Screening-Ergebnisse und Qualifikationsstatus
  • Sprachaufzeichnungen und strukturierte Zusammenfassungen. Aufzeichnungen werden ausschließlich zur Dokumentation des Screening-Gesprächsinhalts verarbeitet (Art. 6 Abs. 1 lit. a DSGVO mit Einwilligung des Bewerbers). Sprachdaten werden nicht zur biometrischen Identifizierung, Sprechererkennung oder Stimmprofilerstellung verarbeitet und stellen daher keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO dar. Aufzeichnungen stehen nicht zum Download zur Verfügung und werden nach Ablauf der konfigurierten Aufbewahrungsfrist (Standard: 90 Tage) automatisch gelöscht. Es findet kein Training auf Basis der Sprachdaten statt.

3. Kategorien betroffener Personen

  • Mietinteressenten, die sich auf die Immobilieninserate des Verantwortlichen bewerben
  • Immobilieneigentümer / Plattformnutzer (Konto- und Abrechnungsdaten)

4. Pflichten des Verantwortlichen

Der Verantwortliche ist dafür verantwortlich, eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten sicherzustellen, die betroffenen Personen über die Verarbeitung zu informieren und Anfragen zu Betroffenenrechten zu beantworten (mit Unterstützung des Auftragsverarbeiters gemäß Abschnitt 7).

5. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)

Der Auftragsverarbeiter wird:

  • (a) Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, es sei denn, eine Verarbeitung ist nach EU- oder Mitgliedstaatenrecht erforderlich
  • (b) Sicherstellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • (c) Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergreifen (siehe Anlage: Technische und organisatorische Maßnahmen)
  • (d) Die Bedingungen für die Beauftragung von Unterauftragsverarbeitern gemäß Abschnitt 6 einhalten
  • (e) Den Verantwortlichen bei der Beantwortung von Betroffenenanfragen (Art. 15–22 DSGVO) unterstützen
  • (f) Den Verantwortlichen bei der Einhaltung der Art. 32–36 DSGVO unterstützen (Sicherheit, Meldung von Datenschutzverletzungen, DSFA)
  • (g) Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Leistungserbringung löschen oder zurückgeben (siehe Abschnitt 8)
  • (h) Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung stellen und Überprüfungen ermöglichen und dazu beitragen

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung für die Beauftragung von Unterauftragsverarbeitern. Folgende Unterauftragsverarbeiter sind derzeit beauftragt:

UnterauftragsverarbeiterZweckStandort
Stripe, Inc.ZahlungsabwicklungIreland, EU
Twilio, Inc.Telefonie, Messaging und E-Mail-VersandEU
GoogleKI-Verarbeitung, Authentifizierung und Cloud-InfrastrukturFrankfurt, EU
Langfuse GmbHKI-MonitoringEU
Usercentrics GmbHCookie-EinwilligungsverwaltungMunich, DE
PostHog, Inc.Produktanalytik (einwilligungsbasiert, EU Cloud, IP deaktiviert, Eingabemaskierung)Frankfurt, DE

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen an der Liste der Unterauftragsverarbeiter und gibt dem Verantwortlichen die Möglichkeit, innerhalb von 14 Tagen Einspruch gegen solche Änderungen zu erheben. Erhebt der Verantwortliche Einspruch, wird der Auftragsverarbeiter den neuen Unterauftragsverarbeiter für die Daten des Verantwortlichen nicht einsetzen, oder der Verantwortliche kann den Vertrag kündigen.

7. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen nach Art. 15–22 DSGVO. Der Auftragsverarbeiter leitet direkt erhaltene Betroffenenanfragen unverzüglich an den Verantwortlichen weiter und reagiert nicht eigenständig, es sei denn, der Verantwortliche weist ihn dazu an.

8. Löschung & Rückgabe von Daten

Nach Beendigung des Dienstleistungsvertrags löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten innerhalb von 30 Tagen zurück und löscht vorhandene Kopien, es sei denn, EU- oder Mitgliedstaatenrecht erfordert eine Aufbewahrung. Screening-Daten von Bewerbern werden nach der konfigurierten Aufbewahrungsfrist (Standard: 90 Tage) automatisch gelöscht.

9. Prüfungsrechte

Der Verantwortliche hat das Recht, Prüfungen, einschließlich Inspektionen, durchzuführen, um die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen. Prüfungen sind mit angemessener Vorankündigung und während der normalen Geschäftszeiten durchzuführen. Sämtliche Kosten, die im Zusammenhang mit vom Verantwortlichen veranlassten Prüfungen entstehen, einschließlich Reise-, Personal- und Prüferkosten, trägt der Verantwortliche. Der Auftragsverarbeiter kann einschlägige Prüfzertifikate oder Berichte unabhängiger Prüfer als Alternative zu Vor-Ort-Inspektionen vorlegen.

10. Internationale Datenübermittlungen

Die gesamte primäre Datenverarbeitung erfolgt innerhalb der EU (Google Cloud Frankfurt). Soweit Unterauftragsverarbeiter außerhalb der EU ansässig sind, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien bestehen, einschließlich EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO und ergänzender Maßnahmen, soweit erforderlich.

11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung umfasst die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung. Sofern nach Art. 33 DSGVO erforderlich, meldet der Auftragsverarbeiter die Verletzung auch der zuständigen Aufsichtsbehörde. Die für Urban Ground GmbH zuständige Behörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin.

Anlage: Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um, um die Sicherheit der Verarbeitung zu gewährleisten:

Zugangskontrolle

  • Rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der geringsten Berechtigung: 8 verschiedene Rollen mit granularen Berechtigungen
  • JWT-basierte Authentifizierung mit Token-Rotation bei Berechtigungsänderungen
  • Multi-Faktor-Authentifizierung (MFA) obligatorisch für administrative Rollen
  • Kontosperrung nach 5 fehlgeschlagenen Anmeldeversuchen innerhalb von 15 Minuten

Verschlüsselung

  • Daten bei Übertragung: TLS 1.3 für alle Kommunikation, mTLS für Interservice-Kommunikation
  • Daten im Ruhezustand: AES-256-Verschlüsselung über von Google Cloud verwaltete Verschlüsselungsschlüssel

Pseudonymisierung

  • Alle personenbezogenen Informationen werden vor der KI/LLM-Verarbeitung durch anonymisierte Kennungen ersetzt
  • IP-Adressen werden nach 14 Tagen pseudonymisiert (auf /24-Subnetz gekürzt)

Datenminimierung

  • Alle Datenbankabfragen verwenden explizite Spaltenauswahl, kein SELECT * auf PII-Tabellen
  • Interservice-API-Nutzlasten enthalten nur die vom empfangenden Dienst benötigten Felder, durchgesetzt durch DSGVO-Zweckkennzeichnungen

Verfügbarkeit & Belastbarkeit

  • Multi-Zone-Deployment auf Google Kubernetes Engine (GKE) in Frankfurt (europe-west3)
  • Automatisierte tägliche Backups mit Punkt-in-Zeit-Wiederherstellung (Cloud SQL)
  • Circuit Breaker und Wiederholungsversuche mit exponentiellem Backoff für alle externen Service-Integrationen

Überwachung & Prüfpfad

  • Alle statusändernden Operationen werden in einem unveränderlichen Prüfprotokoll mit Akteur, Zeitstempel, Aktion und Ressourcenkennungen protokolliert
  • OpenTelemetry Distributed Tracing über alle Dienste zur vollständigen Rekonstruktion von Interaktionsketten

Incident Response

  • 72-Stunden-Meldeprozess für Datenschutzverletzungen mit definierten Eskalationspfaden
  • Incident-Response-Playbook mit Rollen, Kommunikationsvorlagen und Post-Mortem-Verfahren