Auftragsverarbeitungsvertrag (AVV)
Gem. Art. 28 DSGVO — zwischen der Hausverwaltung (Verantwortlicher) und PropKit (Auftragsverarbeiter)
§ 1 Gegenstand und Dauer
Der Auftragsverarbeiter (PropKit) verarbeitet im Auftrag des Verantwortlichen (Hausverwaltung) personenbezogene Daten im Rahmen der Nutzung der PropKit-Software.
Zweck: Analyse und Verarbeitung von Immobilienverwaltungs-Dokumenten mittels KI-gestützter Textanalyse, Kommunikationsunterstützung und Wissensdatenbank.
Dauer: Diese Vereinbarung gilt für die Laufzeit des Nutzungsvertrags und endet automatisch mit dessen Beendigung.
§ 2 Art der Daten und betroffene Personen
Arten personenbezogener Daten:
- Namen und Kontaktdaten von Wohnungseigentümern und Mietern
- WE-Nummern, Miteigentumsanteile (MEA)
- Korrespondenz (E-Mails, Briefe, Protokolle)
- Finanzdaten (Hausgeld, Rückstände — soweit in Dokumenten enthalten)
- Beschlüsse und Abstimmungsverhalten
Betroffene Personen: Wohnungseigentümer, Mieter (soweit in Dokumenten erwähnt), Dienstleister, Handwerker, Beiratsmitglieder.
§ 3 Pflichten des Auftragsverarbeiters
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
- Gewährleistung der Vertraulichkeit aller mit der Datenverarbeitung betrauten Personen
- Ergreifung aller erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO
- Unterstützung bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung, Datenportabilität)
- Meldung von Datenschutzverletzungen innerhalb von 24 Stunden
- Löschung aller personenbezogenen Daten nach Auftragsende, sofern keine gesetzliche Aufbewahrungspflicht besteht
§ 4 Unterauftragsverarbeiter
Folgende Unterauftragsverarbeiter werden eingesetzt:
| Dienst | Anbieter | Zweck | Standort |
|---|---|---|---|
| Hosting | Hetzner Online GmbH | Server-Infrastruktur, Datenspeicherung | Deutschland |
| KI-Analyse | Anthropic PBC | Textanalyse, Klassifizierung, Generierung | USA (EU-SCCs gem. Art. 46 DSGVO) |
| E-Mail-Versand | Resend Inc. | Transaktions-E-Mails, Fehler-Benachrichtigungen | USA (EU-SCCs) |
Änderungen an Unterauftragsverarbeitern werden dem Verantwortlichen rechtzeitig mitgeteilt. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.
§ 5 Kontrollrechte
Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu überprüfen. Der Auftragsverarbeiter stellt hierfür erforderliche Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.
§ 6 Löschung und Rückgabe
Nach Beendigung des Auftragsverhältnisses werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Auf Wunsch des Verantwortlichen werden die Daten vor der Löschung in einem gängigen Format zurückgegeben.
§ 7 Haftung und KI-Hinweis
Die Haftung richtet sich nach Art. 82 DSGVO.
KI-Hinweis (Art. 50 EU KI-VO): Die von PropKit generierten Analysen und Einschätzungen werden KI-gestützt erstellt. Sie stellen keine Rechtsberatung dar. Der Verantwortliche ist für die Prüfung und Verwendung der Ergebnisse selbst verantwortlich.
Anlage: Technische und organisatorische Maßnahmen (TOM)
- Verschlüsselung: AES-256-GCM für sensible Daten in der Datenbank. TLS 1.3 für alle Verbindungen (HTTPS).
- Pseudonymisierung: Automatische Pseudonymisierung personenbezogener Daten vor jeder KI-Analyse (Namen, Adressen werden durch Platzhalter ersetzt).
- Zugriffskontrolle: Passwortgeschützter Zugang, Session-basierte Authentifizierung, Rate-Limiting.
- Hosting: Hetzner Online GmbH, Rechenzentrum Deutschland (Nürnberg/Falkenstein), ISO 27001 zertifiziert.
- Datensicherung: Tägliche automatische Datensicherung, 30 Tage Aufbewahrung, gzip-komprimiert.
- KI-Verarbeitung: Anthropic API mit EU-Standardvertragsklauseln. Keine Speicherung der Daten durch den KI-Anbieter über 30 Tage. Keine Nutzung zum Training.
- Auto-Löschung: DSGVO-Cleanup-Routine löscht alte Logs, API-Daten und temporäre Dateien automatisch.
- Monitoring: Automatischer Health-Check alle 5 Minuten mit Auto-Restart bei Ausfall.