Auftragsverarbeitungs-Vertrag (AVV)

Dies ist die Muster-Fassung unseres Auftragsverarbeitungs-Vertrags gemäß Art. 28 DSGVO — zur Transparenz öffentlich einsehbar. Verbindlich ist die im Onboarding von beiden Seiten unterzeichnete Fassung (Teil B des Vertragsbundles), die jeder Casalead-Kunde – auch im Free-Tarif – erhält.

Verantwortlicher: der Kunde (Makler/Verwaltung), der das Bewertungs-Widget einsetzt. Auftragsverarbeiter: Casalead UG (haftungsbeschränkt), Auchtertstraße 8, 72770 Reutlingen.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Casalead-Plattform (insbesondere des Bewertungs-Widgets). Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrages.

Gegenstand der Verarbeitung ist die Erhebung, Speicherung und Übermittlung der über das Bewertungs-Widget des Verantwortlichen erfassten Daten an dessen System (z. B. onOffice oder Propstack). Zweck ist die Generierung und Übergabe von Eigentümer-Leads.

Verarbeitet werden insbesondere: Stammdaten (Vor- und Nachname), Kontaktdaten (E-Mail, Telefon), Objektdaten (Adresse und Eckdaten der Immobilie), Bewertungsdaten (Größe, Zustand, Region, Verkaufs-Intent) sowie Metadaten (Zeitstempel, Quelle/Tag). Kategorien betroffener Personen: Interessenten und Eigentümer (Leads), die das Bewertungs-Widget auf der Website des Verantwortlichen ausfüllen.

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Er verpflichtet die zur Verarbeitung befugten Personen auf Vertraulichkeit und unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung von dessen Pflichten.

Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO und hält diese während der Vertragslaufzeit aktuell.

Der Verantwortliche stimmt dem Einsatz der in Anlage 2 genannten Unterauftragnehmer zu. Der Auftragsverarbeiter informiert über beabsichtigte Änderungen rechtzeitig in Textform; der Verantwortliche kann binnen 14 Tagen begründet widersprechen. Erhebt er keinen Einspruch, gilt die Änderung als genehmigt.

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Direkt eingehende Anfragen werden unverzüglich an den Verantwortlichen weitergeleitet.

Der Auftragsverarbeiter stellt alle zum Nachweis der Pflichten aus Art. 28 DSGVO erforderlichen Informationen bereit und ermöglicht Prüfungen – auch durch einen beauftragten Prüfer – in angemessenem Umfang. Eine Überprüfung pro Kalenderjahr ist kostenfrei; weitere können mit angemessenem Aufwand in Rechnung gestellt werden. Der Nachweis kann auch durch ein aktuelles Testat oder eine geeignete Zertifizierung erbracht werden.

Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten dem Verantwortlichen unverzüglich nach Bekanntwerden und unterstützt ihn bei den Melde- und Benachrichtigungspflichten gemäß Art. 33, 34 DSGVO.

Nach Beendigung des Hauptvertrages stehen die Daten dem Verantwortlichen für weitere 30 Tage zur Übergabe bereit. Anschließend löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten binnen 90 Tagen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf gesonderte Weisung des Verantwortlichen werden die Daten stattdessen zurückgegeben.

Die Haftung richtet sich nach Art. 82 DSGVO sowie nach den Regelungen des Hauptvertrages. Im Außenverhältnis gilt Art. 82 DSGVO.

Es gilt das Recht der Bundesrepublik Deutschland. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV im datenschutzrechtlichen Kontext vor. Änderungen bedürfen der Textform.

Vertraulichkeit: Server-Standort Deutschland/EU, physische Zutrittskontrolle der Rechenzentren, rollenbasierte Zugriffskontrolle über individuelle Benutzerkonten, verschlüsselte Übertragung via TLS, Zwei-Faktor-Authentifizierung für administrative Zugänge. Integrität & Verfügbarkeit: regelmäßige Backups und Wiederherstellungstests, Trennung von Produktiv- und Testumgebung, Protokollierung sicherheitsrelevanter Zugriffe. Belastbarkeit: redundante Infrastruktur der Hosting-Anbieter, regelmäßige Überprüfung der Wirksamkeit der Maßnahmen.

Hetzner Online GmbH — Server-Hosting / Infrastruktur — Deutschland. Vercel Inc. — Hosting / CDN der Website — EU-Region.

Den vollständigen, unterschriftsreifen AVV erhältst du beim Onboarding als Teil B des Vertragsbundles. Fragen vorab? Schreib uns an info@casalead.de.