Auftragsverarbeitungs-Vertrag (AVV)

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten zwischen dem Kunden ("Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO) und der RealPilot SL ("Auftragsverarbeiter" im Sinne von Art. 4 Nr. 8 DSGVO) bei der Nutzung der RealPilot-Plattform. Sie ergänzt die AGB und tritt mit der Registrierung des Kunden in Kraft.

1. Gegenstand und Dauer

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen, soweit der Verantwortliche solche Daten über die Plattform RealPilot erfasst, speichert oder verarbeitet. Die Vereinbarung läuft, solange der Hauptvertrag (AGB) zwischen den Parteien besteht.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter stellt eine SaaS-Plattform bereit, die dem Verantwortlichen folgende Funktionen ermöglicht: Verwaltung eigener Immobilien-Exposés, Verwaltung eigener Kundenprofile, Suche nach Kooperations-Partnern (Community Hub), Durchführung von Makler-Kooperationen einschließlich Doppelvertretungs-Schutz (Kundenschutz), Chat mit Kooperations-Partnern, Versand transaktionaler Benachrichtigungen. Der Zweck der Verarbeitung beschränkt sich auf die Erbringung dieser Funktionen.

3. Art der personenbezogenen Daten

Folgende Datenarten werden verarbeitet: • Daten der Mitarbeiter des Verantwortlichen (Name, geschäftliche Kontaktdaten, Login-Daten, Sprache, Rolle) • Daten der Endkunden des Verantwortlichen (Such-/Verkaufs-Profile inkl. interner Anzeigename; optional Kontaktdaten; kryptografische Hashes von Name, E-Mail, Telefon zum Doppelvertretungs-Schutz) • Objekt-Daten (Adresse, Preis, Beschreibung, Bilder) • Kooperations-Daten (Status, Chat-Verlauf, Audit-Log) • Technische Daten (IP-Adresse, User-Agent, Zugriffszeitpunkte)

4. Kategorien betroffener Personen

Mitarbeiter des Verantwortlichen; Endkunden des Verantwortlichen (Käufer, Verkäufer, Mieter, Vermieter); kooperierende Makler und deren Endkunden, soweit Daten im Rahmen einer Kooperation ausgetauscht werden.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich: • Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten • die Vertraulichkeit der Mitarbeiter durch Verpflichtungserklärungen sicherzustellen • die in Art. 32 DSGVO genannten technischen und organisatorischen Maßnahmen (TOMs) einzuhalten • den Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen zu unterstützen (Art. 15–22 DSGVO) • den Verantwortlichen bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und vorheriger Konsultation (Art. 36) zu unterstützen • im Falle einer Datenpanne den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden zu informieren • nach Beendigung des Vertrags alle Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben, vorbehaltlich gesetzlicher Aufbewahrungspflichten • dem Verantwortlichen alle für die Einhaltung von Art. 28 DSGVO notwendigen Informationen zur Verfügung zu stellen und Überprüfungen zu ermöglichen

6. Unterauftragsverarbeiter

Der Verantwortliche stimmt der Beauftragung der in der Sub-Prozessoren-Liste aufgeführten Unterauftragsverarbeiter zu. Bei Hinzunahme neuer Unterauftragsverarbeiter oder Wechsel bestehender informiert der Auftragsverarbeiter mindestens 30 Tage im Voraus per E-Mail. Der Verantwortliche kann der Änderung innerhalb dieser Frist widersprechen. Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter dieselben Datenschutzpflichten einhält wie in dieser Vereinbarung festgelegt.

7. Drittland-Übermittlungen

Eine Übermittlung in Drittländer findet nur statt, wenn die in Art. 44 ff. DSGVO genannten Voraussetzungen erfüllt sind. Für Übermittlungen in die USA stützen wir uns auf die EU-Standardvertragsklauseln (Beschluss 2021/914) sowie auf die Zertifizierung der Anbieter nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023). Plattform-Daten in der Supabase-Datenbank werden physisch in Frankfurt (eu-central-1) gespeichert.

8. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter ergreift die folgenden TOMs nach Art. 32 DSGVO: TLS 1.2+ für alle Verbindungen; Row Level Security (RLS) für mandantengetrennte Datenbankzugriffe; bcrypt-Hashing für Passwörter; kryptografische Hashes für sensible Identifikatoren; tägliche verschlüsselte Backups (7 Tage Retention); Audit-Log für sicherheitskritische Aktionen; 2-Faktor-Authentifizierung für administrative Zugriffe; regelmäßige Sicherheits-Reviews. Die vollständige TOM-Dokumentation wird auf Anfrage zur Verfügung gestellt.

9. Datenpannen-Meldung

Im Falle einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält mindestens: Art der Verletzung, Kategorien und Anzahl betroffener Personen, voraussichtliche Folgen, bereits ergriffene oder geplante Gegenmaßnahmen.

10. Haftung

Es gilt Art. 82 DSGVO. Im Außenverhältnis haften beide Parteien gemeinsam und gesamtschuldnerisch gegenüber der betroffenen Person. Im Innenverhältnis haftet jede Partei für den auf sie entfallenden Verantwortungsanteil. Die im Hauptvertrag (AGB) vereinbarten Haftungsbeschränkungen gelten nicht für Ansprüche aus dieser Vereinbarung.

11. Beendigung und Datenlöschung

Nach Beendigung des Hauptvertrags löscht oder retourniert der Auftragsverarbeiter nach Wahl des Verantwortlichen alle in seinem Auftrag verarbeiteten Daten. Eine Aufbewahrung darüber hinaus erfolgt nur, soweit gesetzliche Aufbewahrungspflichten (z.B. § 257 HGB, § 147 AO bzw. spanische Pendants) dies erfordern. In diesem Fall wird der Zugriff auf die Daten so eingeschränkt, dass nur der Aufbewahrungszweck verfolgt werden kann.