Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Stand: März 2026

§ 1 Vertragsgegenstand und Laufzeit

Dieser Auftragsverarbeitungsvertrag ergänzt die Allgemeinen Geschäftsbedingungen zwischen dem Kunden (Verantwortlicher) und der Viktor Bier, René Weinert GbR (Auftragsverarbeiter) für die Nutzung der SaaS-Plattform „Makler AI".

Der AVV gilt für die gesamte Dauer der Nutzung der Plattform und endet automatisch mit Beendigung des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der:

• Bereitstellung der CRM- und Makler-Plattform
• Speicherung und Verwaltung von Kontakt- und Kundendaten
• E-Mail-Synchronisation und -Versand
• KI-gestützten Textgenerierung (mit Zero Data Retention beim LLM-Anbieter)
• Terminverwaltung und Dokumentenerstellung
• Vorgangsmanagement für Immobilientransaktionen

§ 3 Kategorien betroffener Personen

• Kunden und Interessenten des Verantwortlichen (Käufer, Verkäufer, Mieter, Vermieter)
• Geschäftspartner und Dienstleister des Verantwortlichen
• Mitarbeiter des Verantwortlichen (Benutzer der Plattform)

§ 4 Kategorien personenbezogener Daten

• Stammdaten: Name, Anschrift, Kontaktdaten (Telefon, E-Mail)
• Kommunikationsdaten: E-Mail-Inhalte, Notizen, Gesprächsprotokolle
• Transaktionsdaten: Immobilieninteressen, Kaufpreise, Vertragsdetails
• Termindaten: Besichtigungstermine, Kalendereinträge
• Nutzungsdaten: Login-Zeiten, Aktivitätsprotokolle der Plattform-Benutzer

§ 5 Pflichten des Auftragsverarbeiters

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
2. Alle Personen, die Zugang zu personenbezogenen Daten haben, wurden zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).
3. Der Auftragsverarbeiter trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7).
4. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen und Meldepflichten (Art. 28 Abs. 3 lit. e, f DSGVO).
5. Der Auftragsverarbeiter löscht nach Beendigung des Auftrags alle personenbezogenen Daten oder gibt sie zurück (Art. 28 Abs. 3 lit. g DSGVO). Die Plattform bietet hierfür eine Datenexport-Funktion.

§ 6 Unterauftragnehmer

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragnehmer zu:

Unterauftragnehmer	Leistung	Standort	Garantien
Hetzner Online GmbH	Server-Hosting, Datenspeicherung	Deutschland	ISO 27001, C5
Anthropic (via OpenRouter)	LLM-Inferenz (KI-Textgenerierung)	USA	ZDR, SCCs
WorkOS Inc. (optional)	SSO/MFA-Authentifizierung	USA	SOC 2, SCCs

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragnehmern mindestens 14 Tage im Voraus. Der Verantwortliche kann binnen 14 Tagen Einspruch erheben.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Zutrittskontrolle

• Server gehostet bei Hetzner in ISO 27001-zertifizierten Rechenzentren in Deutschland
• Zugang zu Servern nur über SSH mit Schlüsselauthentifizierung

Zugangskontrolle

• Passwort-Hashing mit bcrypt
• Optionale Multi-Faktor-Authentifizierung (MFA) via WorkOS
• Automatische Sitzungsablaufzeiten
• Rate Limiting auf allen API-Endpunkten

Zugriffskontrolle

• Rollenbasierte Zugriffskontrolle (RBAC: Admin, Agent, Viewer)
• PostgreSQL Row-Level Security (mandantenübergreifender Zugriff technisch ausgeschlossen)
• Datenminimierung bei KI-Anfragen (kontextbeschränkte Eingaben)

Trennungskontrolle

• Strikte Mandantentrennung auf Datenbankebene (RLS-Policies)
• Separate Datenbereiche pro Mandant (Dateispeicher, E-Mails, Kontakte)

Weitergabekontrolle

• TLS/HTTPS für alle Datenübertragungen
• Verschlüsselte Speicherung von IMAP-Zugangsdaten (Fernet/AES)
• Zero Data Retention bei LLM-Anfragen

Eingabekontrolle

• Lückenlose Audit-Protokollierung aller datenverändernden Aktionen
• SecurityGuard-Prüfung vor jeder KI-Verarbeitung
• OutputGuard-Prüfung nach jeder KI-Verarbeitung (PII-Erkennung)

Verfügbarkeitskontrolle

• Automatisierte tägliche Datenbank-Backups
• Redundante Datenspeicherung (MinIO mit Replikation)
• Health-Monitoring mit automatischen Alerts

§ 8 Kontrollrechte des Verantwortlichen

1. Der Verantwortliche hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).
2. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.
3. Inspektionen können nach angemessener Vorankündigung (mindestens 14 Tage) durchgeführt werden. Die Kosten trägt der Verantwortliche.

§ 9 Löschung und Rückgabe

1. Nach Beendigung des Hauptvertrags kann der Verantwortliche seine Daten innerhalb von 30 Tagen über die Exportfunktion der Plattform herunterladen.
2. Nach Ablauf der 30-Tage-Frist werden alle mandantenspezifischen Daten unwiderruflich gelöscht.
3. Von der Löschung ausgenommen sind Daten, die aufgrund gesetzlicher Aufbewahrungspflichten länger gespeichert werden müssen. Diese werden nach Ablauf der Frist gelöscht.