Maklerscreen · Datenschutz

Auftragsverarbeitungsvertrag

Acht Paragraphen plus TOM-Anhang nach Art. 28 Abs. 3 DSGVO. Mit Abschluss des Hauptvertrages automatischer Bestandteil unserer Geschäftsbeziehung.

Stand: 16. Mai 2026 · Verbindlicher Online-Text gemäß § 11 AGB

Präambel

Parteien und Geltungsbereich

Dieser Vertrag über die Auftragsverarbeitung (nachfolgend "AVV") konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Rahmen des zwischen dem Kunden (nachfolgend "Verantwortlicher") und der Langenkamp Media, Inhaberin Heike Langenkamp, Dorfstraße 20D, 47239 Duisburg (nachfolgend "Auftragsverarbeiter") bestehenden Hauptvertrages über das Produkt "Maklerscreen".

Gegenstand

Gegenstand, Zweck und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Rahmen des Hauptvertrages. Dabei erhält der Auftragsverarbeiter Zugriff auf personenbezogene Daten, die vom Verantwortlichen bereitgestellt oder synchronisiert werden. Zweck der Verarbeitung ist die technische Bereitstellung, Steuerung und Auslieferung von Immobilien-Slideshows für Schaufenster-Displays über den Cloud-Service des Auftragsverarbeiters sowie die automatisierte Synchronisation mit dem CRM-System "Propstack" des Verantwortlichen.

(2) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrages.

Datenkategorien

Kategorien von Daten und Kreis der Betroffenen

(1) Im Rahmen des Vertrages werden folgende Datenkategorien verarbeitet:

  • Kunden- und Stammdaten des Verantwortlichen: Name, Firmenname, E-Mail-Adresse, Telefonnummer.
  • Immobilien- und Objektdaten: Objekttitel, Beschreibungen, Kauf- und Mietpreise, Geodaten, interne Notizen, sofern diese automatisiert über die Schnittstellen synchronisiert werden.
  • Bilddaten: Objektfotos, Grundrisse und Grafiken, auf denen gegebenenfalls Personen oder fahrzeugbezogene Kennzeichen erkennbar sein können.
  • Personendaten Dritter: Namen, Kontaktdaten und Rollen von Eigentümern, Interessenten, Mietern oder Ansprechpartnern, soweit diese in den synchronisierten Datenfeldern oder Freitextnotizen aus Propstack enthalten sind.

(2) Der Kreis der betroffenen Personen umfasst: Kunden, Beschäftigte, Interessenten, Mieter, Vermieter, Käufer und Verkäufer des Verantwortlichen.

Pflichten

Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen (Art. 28 Abs. 3 S. 2 lit. a DSGVO).

(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragsverarbeiter setzt die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um, wie sie im Anhang zu diesem Vertrag spezifiziert sind.

Subunternehmer

Unterauftragsverhältnisse

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen.

(2) Aktuell ist der folgende Unterauftragsverarbeiter mit der Verarbeitung von Daten betraut:

Hinweis zur Transparenz: Das Analysetool Matomo wird vom Auftragsverarbeiter im Eigenbetrieb auf der Infrastruktur von Hetzner gehostet. Es findet insoweit keine Weitergabe an Dritte statt.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern per E-Mail. Der Verantwortliche kann binnen vierzehn Tagen nach Zugang der Benachrichtigung Widerspruch aus wichtigem datenschutzrechtlichem Grund erheben.

Betroffenenrechte

Rechte der Betroffenen und Unterstützungspflichten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten (z. B. Auskunft, Löschung) nachzukommen.

(2) Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn sich eine betroffene Person direkt an den Auftragsverarbeiter wendet.

Datenpannen

Mitteilungspflichten bei Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm die Verletzung bekannt wurde. Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO geforderten Angaben.

Vertragsende

Löschung und Rückgabe von Daten nach Vertragsbeendigung

(1) Nach Beendigung des Hauptvertrages stellt der Auftragsverarbeiter dem Verantwortlichen die Daten im Rahmen einer Export-Funktion in der Verwaltungsoberfläche zum Download zur Verfügung.

(2) Der Auftragsverarbeiter wird alle in seinen Systemen verbleibenden Kopien der personenbezogenen Daten nach Ablauf von dreißig Tagen nach Vertragsende unwiderruflich und datenschutzkonform löschen (Hard-Delete), es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.

Kontrolle

Kontrollrechte

Der Verantwortliche hat das Recht, vor Beginn der Datenverarbeitung und danach regelmäßig Kontrollen zur Einhaltung dieses Vertrages durchzuführen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle erforderlichen Auskünfte zu erteilen und Nachweise (z. B. Server-Zertifizierungen des Unterauftragsverarbeiters) zugänglich zu machen.

Anhang

Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter sichert für seine Infrastruktur (gehostet bei der Hetzner Online GmbH) folgende Maßnahmen zu:

  • Vertraulichkeit (Zutritts- und Zugangskontrolle): Absicherung der Rechenzentren durch Hetzner (ISO 27001). Verschlüsselte SSH-Schlüssel-Authentifizierung für administrative Zugriffe, striktes Passwort-Konzept, verschlüsselte HTTPS-Übertragung (TLS 1.3) aller API- und Slideshow-Daten.
  • Integrität (Weitergabekontrolle): Protokollierung von Systemzugriffen, automatisierte Prüfung von Datenintegritäten bei der Propstack-Synchronisation.
  • Verfügbarkeit und Belastbarkeit: Automatisierte tägliche Backups der Backend-Datenbanken mit verschlüsselter Ablagerung; Überwachung der Serverdienste (Downtime-Monitoring). Ausfallsicherer Kiosk-Modus auf der lokalen Hardware (Zwischenspeicherung im Cache).
  • Verfahren zur regelmäßigen Überprüfung: Regelmäßiges Einspielen von Sicherheitsupdates (Patch-Management) auf den Linux-Host- und Box-Systemen.

Die Rechenzentren des Unterauftragsverarbeiters Hetzner Online GmbH sind vom TÜV Rheinland geprüft (ohne Beanstandung), nach ISO/IEC 27001 zertifiziert und mit einem BSI C5 Typ 2 Testat versehen. Die vollständigen technischen und organisatorischen Maßnahmen des Rechenzentrums stehen hier zum Download bereit: Technische und organisatorische Maßnahmen des Rechenzentrums (PDF).