Auftragsverarbeitungsvertrag

Stand: April 2026 · Version 1.0

Vertragsparteien

zwischen dem Auftraggeber (Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO):

Firma / Name: _______________________________________

Anschrift: _______________________________________

Vertreten durch: _______________________________________

E-Mail: _______________________________________

– nachfolgend „Auftraggeber" –

und dem Auftragsverarbeiter (im Sinne von Art. 4 Nr. 8 DSGVO):

Strudel Immobilien GmbH
Hasenbergstraße 15, 70178 Stuttgart
Deutschland
Vertreten durch: Tobias Troendle (Geschäftsführer)
E-Mail: privacy@onportalist.de

– nachfolgend „Auftragnehmer" –

– einzeln „Partei", gemeinsam „Parteien" –

§ 1 Gegenstand und Dauer

(1) Gegenstand dieses Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber im Rahmen der Bereitstellung der SaaS-Plattform Portalist auf Grundlage des zwischen den Parteien geschlossenen Hauptvertrags („Hauptvertrag").

(2) Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der vertragsgemäßen Bereitstellung der Portalist-Dienstleistungen (Hosting, Speicherung, Bereitstellung, Übermittlung, Nutzung, Strukturierung, Auslesen, Löschung der Daten im Rahmen der Software-Funktionen).

(2) Der Auftragnehmer verarbeitet die Daten nicht zu eigenen Zwecken, insbesondere nicht für Werbe-, Analyse- oder Profiling-Zwecke außerhalb der für den Auftraggeber erbrachten Leistungen.

§ 3 Art der personenbezogenen Daten

Verarbeitet werden insbesondere folgende Datenkategorien:

Stammdaten (Name, Anschrift, E-Mail, Telefon) der Nutzer und ihrer Endkunden
Kommunikations- und Kontaktdaten (E-Mail-Verläufe, Nachrichten, Formulareingaben)
Vertrags- und Transaktionsdaten (Portal-Inhalte, Objektdaten, Dokumente)
Nutzungs- und Metadaten (Zugriffszeiten, Gerät, IP, Interaktionen mit Portalen)
Ggf. Bild- und Dokumentdaten, die der Auftraggeber hochlädt

§ 4 Kategorien betroffener Personen

Mitarbeiter und Nutzer des Auftraggebers
Interessenten, Kunden und Geschäftspartner des Auftraggebers (Endnutzer der Portale)
Sonstige Kontakte, die der Auftraggeber im Dienst verarbeitet

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern keine gesetzliche Verpflichtung zur abweichenden Verarbeitung besteht. Als Weisung gelten auch die Nutzungs- und Konfigurationseinstellungen des Auftraggebers im Dienst.

(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt.

(3) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).

(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.

(5) Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten („Data Breaches") dem Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnisnahme, mit allen nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen.

(6) Nach Beendigung des Auftrags löscht der Auftragnehmer alle personenbezogenen Daten oder gibt sie zurück, soweit nicht eine Speicherpflicht nach Unionsrecht oder nationalem Recht besteht. Der Auftraggeber kann bis zur Beendigung der Verarbeitung den Export seiner Daten über die im Dienst vorgesehene Export-Funktion veranlassen.

(7) Der Auftragnehmer hat einen Datenschutzbeauftragten benannt bzw. erklärt, dass eine Pflicht zur Benennung nicht besteht (§ 38 BDSG). Als Kontaktstelle dient privacy@onportalist.de.

§ 6 Pflichten des Auftraggebers

(1) Der Auftraggeber ist alleiniger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Rechtmäßigkeit der von ihm im Dienst verarbeiteten Daten sowie für die Wahrung der Rechte der betroffenen Personen.

(2) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Auftragsverarbeitung feststellt.

(3) Weisungen sind grundsätzlich in Textform zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

§ 7 Technische und organisatorische Maßnahmen (TOM)

(1) Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die TOMs werden laufend dem Stand der Technik angepasst.

(2) Der Auftragnehmer überprüft regelmäßig die Wirksamkeit der Maßnahmen.

§ 8 Unterauftragsverhältnisse

(1) Der Auftraggeber genehmigt den Einsatz der in Anlage 2 aufgeführten Unterauftragnehmer allgemein. Der Auftragnehmer darf weitere Unterauftragnehmer hinzuziehen oder bestehende austauschen; er informiert den Auftraggeber hierüber mindestens 14 Tage vor der Änderung in Textform.

(2) Der Auftraggeber kann der Änderung binnen 14 Tagen aus wichtigem datenschutzrechtlichem Grund in Textform widersprechen. Im Falle eines berechtigten Widerspruchs sind die Parteien verpflichtet, eine einvernehmliche Lösung zu finden; gelingt dies nicht, steht dem Auftraggeber ein Sonderkündigungsrecht hinsichtlich des Hauptvertrags zu.

(3) Der Auftragnehmer verpflichtet Unterauftragnehmer vertraglich auf ein gleichwertiges Schutzniveau gemäß Art. 28 Abs. 4 DSGVO.

§ 9 Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber, soweit möglich, bei der Erfüllung von Anfragen betroffener Personen nach Art. 15 bis 22 DSGVO mit geeigneten technischen und organisatorischen Maßnahmen.

§ 10 Kontroll- und Auditrechte

(1) Der Auftraggeber hat das Recht, sich von der Einhaltung der Pflichten des Auftragnehmers zu überzeugen. Der Auftragnehmer stellt hierzu in der Regel aktuelle Testate, Zertifikate (z. B. ISO 27001 der Subprozessoren) sowie Auditberichte zur Verfügung.

(2) Weitergehende Vor-Ort-Kontrollen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und auf das erforderliche Maß zu beschränken. Der Auftragnehmer kann die Kontrolle vor Ort aus berechtigten Sicherheits- oder Vertraulichkeitsgründen an einen unabhängigen Dritten delegieren.

§ 11 Drittlandtransfers

Soweit eine Verarbeitung außerhalb des EWR stattfindet, stellt der Auftragnehmer sicher, dass ein angemessenes Datenschutzniveau nach Art. 44 ff. DSGVO besteht. Dies geschieht insbesondere durch Abschluss der Standardvertragsklauseln der EU-Kommission in ihrer jeweils gültigen Fassung oder durch Rückgriff auf Angemessenheitsbeschlüsse (z. B. EU-US Data Privacy Framework).

§ 12 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags.

§ 13 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für den Verzicht auf das Textformerfordernis.

(2) Bei Widersprüchen zwischen diesem AVV und Regelungen des Hauptvertrags gehen die Regelungen dieses AVV vor.

(3) Es gilt deutsches Recht. Gerichtsstand ist, soweit zulässig, Stuttgart.

(4) Sollten einzelne Teile dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Unterschriften

Für den Auftraggeber

Ort, Datum

Name, Funktion, Unterschrift

Für den Auftragnehmer

Stuttgart, _______________

Tobias Troendle, Geschäftsführer

Anlage 1 – Technische und organisatorische Maßnahmen (TOM)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Rechenzentren der Subprozessoren (Supabase Frankfurt, Vercel EU-Edge) mit Zutrittskontrollen gemäß ISO 27001.
Zugangskontrolle: Authentifizierung über individuelle Accounts, verpflichtende starke Passwörter, optionale Multi-Faktor-Authentifizierung, Session-Management mit Ablaufzeiten.
Zugriffskontrolle: Rollen- und Rechtekonzept („Organizations"), Row-Level-Security (RLS) in der Datenbank, Mandantentrennung per organization_id.
Trennungskontrolle: Logische Trennung aller Mandantendaten durch Supabase RLS; produktive, Staging- und Entwicklungsumgebungen sind getrennt.
Pseudonymisierung und Verschlüsselung: API-Keys (z. B. CRM-Zugänge) werden mit AES-256-GCM verschlüsselt gespeichert; Passwörter ausschließlich als gesalzene Hashes.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: Transportverschlüsselung per TLS 1.2+ für sämtliche Datenübertragungen.
Eingabekontrolle: Protokollierung sicherheitsrelevanter Ereignisse (Anmeldungen, Rechteänderungen, Exporte).

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle: Redundante Infrastruktur auf verteilten Vercel-Edges, tägliche automatisierte Backups der Supabase-Datenbank.
Belastbarkeit: Monitoring der System-Verfügbarkeit, Skalierung der Rechen- und Speicherressourcen durch die Cloud-Anbieter.
Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO): Point-in-Time-Recovery der Datenbank; regelmäßige Überprüfung der Wiederherstellungsverfahren.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management: Dokumentation der Verarbeitungstätigkeiten, Aktualisierung bei Änderungen.
Incident-Response: Definierte Prozesse zur Erkennung, Bewertung und Meldung von Datenschutzvorfällen.
Auftragskontrolle: Schriftliche Auftragsverarbeitungsverträge mit allen Subprozessoren gemäß Art. 28 DSGVO.

Anlage 2 – Unterauftragnehmer (Subprozessoren)

Zum Stand dieses AVV sind folgende Unterauftragnehmer genehmigt:

Unterauftragnehmer	Zweck	Sitz	Datenstandort
Vercel Inc.	Anwendungs-Hosting, CDN	USA	EU-Edge, USA
Supabase, Inc.	Datenbank, Auth, Storage	USA	Frankfurt (EU)
Stripe Payments Europe Ltd. / Stripe, Inc.	Zahlungsabwicklung	Irland / USA	EU, USA
Resend, Inc.	Transaktionale E-Mails	USA	USA, EU-Edge
Anthropic, PBC	KI-Sprachmodelle	USA	USA
Cloudflare, Inc.	DNS, DDoS-Schutz	USA	EU-Edge, USA

Drittlandtransfers erfolgen auf Basis von Standardvertragsklauseln der EU-Kommission oder dem EU-US Data Privacy Framework. Die aktuelle Liste der Subprozessoren ist unter onportalist.de/datenschutz jederzeit einsehbar.