Zum Hauptinhalt springen
← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO – Stand: April 2026

1. Parteien und Gegenstand

Auftraggeber (Verantwortlicher): Der hausflow-Kunde, wie in den Konto-Stammdaten hinterlegt.

Auftragnehmer (Auftragsverarbeiter): Hesselmann Beratung UG (haftungsbeschränkt), Hauptstraße 51, 59939 Olsberg.

Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Software hausflow (SaaS-Dienst für Immobilienverwaltung).

2. Art, Zweck und Umfang der Verarbeitung

  • Kategorien betroffener Personen: Mieter, Eigentümer, Handwerker, Kontaktpersonen
  • Kategorien personenbezogener Daten: Name, Anschrift, E-Mail, Telefon, Bankverbindung (IBAN), Vertragsdaten, Korrespondenz
  • Zweck: Immobilienverwaltung auf Weisung des Auftraggebers
  • Dauer: Für die Laufzeit des Hauptvertrags; danach Löschung binnen 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht

3. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich insbesondere:

  • Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten
  • Zur Vertraulichkeit verpflichtete Personen einzusetzen
  • Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen
  • Den Auftraggeber unverzüglich über Datenschutzverletzungen zu informieren
  • Nach Vertragsende alle Daten zu löschen oder zurückzugeben

4. Unterauftragnehmer (Sub-Auftragsverarbeiter)

Der Auftraggeber erteilt hiermit allgemeine Vorabgenehmigung für folgende Unterauftragnehmer:

  • Mittwald CM Service GmbH & Co. KG, Espelkamp – Hosting (Deutschland, ISO 27001)
  • Stripe Inc., San Francisco, USA – Zahlungsabwicklung (SCCs + DPF)

Änderungen an Unterauftragnehmern werden dem Auftraggeber 30 Tage im Voraus per E-Mail mitgeteilt. Der Auftraggeber kann Änderungen bis zum Inkrafttreten widersprechen.

5. Technische und organisatorische Maßnahmen (TOMs)

  • Verschlüsselung aller Daten in Übertragung (TLS 1.3) und im Ruhezustand (AES-256)
  • Zugriffskontrolle: rollenbasiertes Berechtigungskonzept, MFA-Option
  • Tägliche verschlüsselte Backups mit 30-Tage-Aufbewahrung
  • Audit-Logs für alle datenschutzrelevanten Aktionen
  • Regelmäßige Penetrationstests und Sicherheitsupdates
  • Rechenzentrum in Deutschland (ISO 27001, BSI C5)

6. Rechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzvorschriften und dieses AVV durch Anfragen, Dokumenteneinsicht oder Vor-Ort-Prüfungen (mit 14-tägiger Ankündigungsfrist) zu kontrollieren. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten nach Art. 15–22 DSGVO.

7. Schlussbestimmungen

Dieser AVV tritt mit Abschluss des Hauptvertrags (Registrierung bei hausflow) in Kraft und ist dessen Bestandteil. Es gilt deutsches Recht. Widersprüche oder Änderungswünsche richten Sie bitte an hallo@hesselmann-service.de.