Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag (AVV) gilt automatisch für alle Nutzer der PropWave-Plattform, die im Rahmen ihrer Nutzung personenbezogene Daten Dritter (z. B. Leads, Interessenten, Eigentümer) verarbeiten. Er wird durch die Registrierung und Zustimmung zu den AGB verbindlich geschlossen.

Inhaltsverzeichnis

Vertragsparteien
Gegenstand und Dauer
Art der Daten und Kategorien betroffener Personen
Pflichten des Auftragsverarbeiters (Textosé UG)
Pflichten des Verantwortlichen (Nutzer)
Unterauftragnehmer
Technische und organisatorische Maßnahmen (TOMs)
Unterstützung bei Betroffenenrechten
Löschung und Rückgabe
Haftung
Schlussbestimmungen

§ 1 Vertragsparteien

Auftragsverarbeiter

Textosé UG (haftungsbeschränkt)
Heinrichstraße 10F
23617 Stockelsdorf
E-Mail: info@textose.de
HRB 21740 HL

Verantwortlicher

Das jeweilige Maklerbüro bzw. Unternehmen, das sich als Nutzer bei PropWave registriert hat (nachfolgend „Verantwortlicher" oder „Nutzer").

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen gemäß Art. 28 DSGVO.

§ 2 Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung der PropWave-Plattform als Software-as-a-Service. Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten, die der Verantwortliche in die Plattform eingibt oder die über die Plattformfunktionen erhoben werden (z. B. über den SMS Lead-Bot oder Bewertungsformulare).

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags (AGB). Nach Beendigung des Vertrags gelten die Regelungen in § 9 dieses AVV.

§ 3 Art der Daten und Kategorien betroffener Personen

3.1 Betroffene Personen

Immobilieninteressenten und potenzielle Käufer oder Mieter (Leads)
Eigentümer von Immobilien
Mitarbeiter des Verantwortlichen
Sonstige Kontaktpersonen, die der Verantwortliche in die Plattform einträgt

3.2 Kategorien personenbezogener Daten

Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse)
Immobilienbezogene Angaben (Objekttyp, Lage, Fläche, Preisvorstellungen)
Kommunikationsinhalte (SMS-Verläufe, Chat-Nachrichten, Notizen)
Bewertungsdaten und Lead-Qualifikationen
Mitarbeiterdaten (Name, E-Mail, Rolle innerhalb des Workspaces)

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden im Rahmen der bestimmungsgemäßen Nutzung von PropWave nicht verarbeitet.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (die Nutzung der Plattform gilt als Weisung)
Sicherzustellen, dass alle zur Verarbeitung befugten Personen der Verschwiegenheit verpflichtet sind
Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen (siehe § 7)
Den Verantwortlichen unverzüglich zu informieren, falls eine erteilte Weisung nach Einschätzung des Auftragsverarbeiters gegen DSGVO oder andere Datenschutzvorschriften verstößt
Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen (siehe § 8)
Den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen
Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen zu löschen oder zurückzugeben (siehe § 9)
Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen

§ 5 Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung verantwortlich. Er verpflichtet sich insbesondere:

Personenbezogene Daten nur dann in die Plattform einzugeben, wenn hierfür eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt
Betroffene Personen über die Verarbeitung ihrer Daten im Rahmen von PropWave zu informieren (eigene Datenschutzhinweise des Verantwortlichen)
Weisungen zur Datenverarbeitung schriftlich (E-Mail genügt) zu erteilen
Den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt
Keine Daten besonderer Kategorien gemäß Art. 9 DSGVO in die Plattform einzugeben

§ 6 Unterauftragnehmer

Der Verantwortliche erteilt hiermit seine allgemeine Genehmigung für den Einsatz der folgenden Unterauftragnehmer. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen (Hinzufügung oder Austausch) mit angemessener Frist, sodass der Verantwortliche Widerspruch erheben kann.

Unterauftragnehmer	Zweck	Sitz / Übermittlungsgrundlage
IONOS SE	Serverbetrieb (VPS, Datenbank) und E-Mail-Versand (SMTP)	Deutschland (EU)
Anthropic, Inc.	KI-Textgenerierung (Claude API) – nur bei aktiver Nutzung von KI-Funktionen	USA – Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO
Twilio Inc.	SMS-Versand (Lead-Bot) – nur wenn vom Verantwortlichen konfiguriert und aktiviert; der Verantwortliche nutzt sein eigenes Twilio-Konto	USA – SCC gem. Art. 46 DSGVO
Mollie B.V.	Zahlungsabwicklung (betrifft ausschließlich Zahlungsdaten des Verantwortlichen, nicht dessen Kunden)	Niederlande (EU)

Mit allen genannten Unterauftragnehmern bestehen Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO oder gleichwertige Garantien.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

Vertraulichkeit

Zugriffskontrolle: Authentifizierung mit JWT-Tokens; rollenbasierter Zugriff (Admin / Member); Passwörter werden ausschließlich als bcrypt-Hash (12 Runden) gespeichert
Übertragungsverschlüsselung: Alle Verbindungen zur Plattform erfolgen über HTTPS / TLS
Datenbankzugriff: Nur der Backend-Prozess hat Zugriff auf die SQLite-Datenbank; kein öffentlicher Datenbankzugang
API-Schlüssel: Alle externen API-Schlüssel (Anthropic, IONOS SMTP) werden ausschließlich serverseitig in der .env-Datei gespeichert und nie an den Browser übermittelt

Integrität

Eingabevalidierung: Serverseitige Validierung aller eingehenden Daten
Rate Limiting: Schutz vor Brute-Force-Angriffen (max. 15 Login-Versuche / 15 Minuten pro IP)
Webhook-Validierung: Twilio-Webhooks werden per HMAC-Signatur validiert

Verfügbarkeit und Belastbarkeit

Automatische Datensicherung: SQLite-Datenbank wird alle 6 Stunden automatisch gesichert; die letzten 7 Versionen werden vorgehalten
Monitoring: Kontinuierliche Verfügbarkeitsüberwachung mit automatischer Alarmierung bei Ausfällen
WAL-Modus: SQLite wird im Write-Ahead-Logging-Modus betrieben für erhöhte Datensicherheit

Verfahren zur regelmäßigen Überprüfung

Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen bei Änderungen der Plattform
Dependency-Updates zur Schließung bekannter Sicherheitslücken

§ 8 Unterstützung bei Betroffenenrechten

Soweit ein Betroffener Rechte gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) gegenüber dem Verantwortlichen geltend macht, unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung dieser Anfragen.

Der Verantwortliche kann Datenlöschungen und -exporte für seinen Workspace jederzeit über die Plattformeinstellungen selbst vornehmen oder per E-Mail an info@textose.de anfordern.

Der Auftragsverarbeiter bearbeitet entsprechende Anfragen innerhalb von 30 Tagen.

§ 9 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Verantwortlichen nach einer Aufbewahrungsfrist von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Der Verantwortliche kann innerhalb dieser 30-tägigen Frist einen Datenexport anfordern. Nach Ablauf der Frist ist eine Wiederherstellung nicht mehr möglich.

Rechnungs- und Zahlungsdaten werden gemäß den gesetzlichen Aufbewahrungsfristen (10 Jahre, § 147 AO / § 257 HGB) aufbewahrt.

§ 10 Haftung

Die Haftungsregelungen dieses AVV richten sich nach den Bestimmungen der AGB (§ 9 Haftungsbeschränkung) sowie den gesetzlichen Regelungen des Art. 82 DSGVO.

Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die durch Verstöße gegen diesen AVV entstehen, nur bei nachgewiesener Verletzung seiner Pflichten als Auftragsverarbeiter und im Rahmen der in den AGB geregelten Haftungsbeschränkung.

§ 11 Schlussbestimmungen

11.1 Geltung

Dieser AVV wird durch Registrierung und Akzeptanz der AGB von PropWave verbindlich geschlossen. Er gilt für die gesamte Dauer des Nutzungsvertrags. Im Widerspruchsfall zwischen AVV und AGB hat dieser AVV im Bereich des Datenschutzes Vorrang.

11.2 Änderungen

Änderungen dieses AVV werden dem Verantwortlichen per E-Mail mit einer Frist von mindestens 14 Tagen vor Inkrafttreten mitgeteilt. Widerspricht der Verantwortliche nicht innerhalb dieser Frist, gilt die Änderung als akzeptiert.

11.3 Anwendbares Recht und Gerichtsstand

Es gilt deutsches Recht. Gerichtsstand ist Lübeck.

11.4 Kontakt

Textosé UG (haftungsbeschränkt)
Heinrichstraße 10F · 23617 Stockelsdorf
E-Mail: info@textose.de
Telefon: 0451 – 149 50 299