Auftragsverarbeitungsvertrag (AVV)

Stand: 2. Juli 2026 · Vereinbarung nach Art. 28 Abs. 3 DSGVO zwischen Ihnen als Verantwortlichem und dem Betreiber von MyImmo als Auftragsverarbeiter. Sie wird mit der Registrierung bzw. der weiteren Nutzung der App Vertragsbestandteil.

Hinweis für den Betreiber: [Platzhalter] ausfüllen und anwaltlich prüfen lassen, bevor der Vertrag produktiv akzeptiert wird. Keine Rechtsberatung.

1. Parteien, Gegenstand und Dauer

Verantwortlicher: die Nutzerin / der Nutzer des jeweiligen MyImmo-Kontos (Vermieter).
Auftragsverarbeiter: [Name / Firma], [Anschrift] („Betreiber").

Gegenstand ist die Bereitstellung der Web-Anwendung MyImmo zur Immobilien- und Mietverwaltung, in der der Verantwortliche personenbezogene Daten Dritter (insbesondere seiner Mieter) speichert und verarbeitet. Die Vereinbarung gilt für die Dauer des Nutzungsverhältnisses und endet mit der Löschung des Kontos.

2. Art und Zweck der Verarbeitung

Hosting, Speicherung, Anzeige, Auswertung und Ausgabe (z. B. Abrechnungen, Briefe, Exporte) der vom Verantwortlichen erfassten Daten; auf Anstoß des Verantwortlichen zusätzlich KI-gestützte Dokumentauswertung und zeitlich begrenzte Freigaben an von ihm benannte Empfänger (z. B. Banken). Eine Verarbeitung zu eigenen Zwecken des Betreibers findet nicht statt.

3. Art der Daten und Kategorien betroffener Personen

4. Weisungsbindung (Art. 28 Abs. 3 lit. a)

Der Betreiber verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen; Weisungen werden über die Funktionen der App erteilt (Anlegen, Ändern, Freigeben, Löschen). Hält der Betreiber eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich. Eine Verarbeitung nach dem Recht der Union oder eines Mitgliedstaats bleibt vorbehalten; in diesem Fall wird der Verantwortliche vorab informiert, soweit rechtlich zulässig.

5. Vertraulichkeit (lit. b)

Zum Zugriff befugte Personen sind zur Vertraulichkeit verpflichtet. Der Betreiber greift auf Inhaltsdaten nur zu, soweit dies für Betrieb, Fehlerbehebung oder auf Wunsch des Verantwortlichen erforderlich ist.

6. Sicherheit der Verarbeitung (lit. c, Art. 32)

Der Betreiber trifft die in der Anlage TOM (unten) beschriebenen technischen und organisatorischen Maßnahmen und entwickelt sie entsprechend dem Stand der Technik fort.

7. Subauftragsverarbeiter (lit. d)

Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz folgender Subauftragsverarbeiter:

Über beabsichtigte Änderungen (Hinzufügen/Ersetzen) informiert der Betreiber vorab in der App oder per E-Mail; der Verantwortliche kann innerhalb von 14 Tagen aus wichtigem Grund widersprechen. Bei Widerspruch steht beiden Parteien die Kündigung des Nutzungsverhältnisses offen. Der Betreiber verpflichtet Subauftragsverarbeiter auf mindestens gleichwertige Datenschutzpflichten und haftet für sie wie für eigenes Handeln. Übermittlungen in Drittländer erfolgen nur mit Garantien nach Kap. V DSGVO (Standardvertragsklauseln bzw. Angemessenheitsbeschluss).

8. Unterstützung bei Betroffenenrechten (lit. e)

Der Betreiber unterstützt den Verantwortlichen mit geeigneten Mitteln bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO) — insbesondere durch die Auskunfts-, Export-, Berichtigungs- und Löschfunktionen der App. Anträge, die beim Betreiber eingehen, leitet er unverzüglich an den Verantwortlichen weiter.

9. Meldepflichten und weitere Unterstützung (lit. f)

Der Betreiber meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden mit den Informationen nach Art. 33 Abs. 3 DSGVO und unterstützt ihn bei seinen Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldungen, ggf. Datenschutz-Folgenabschätzung) unter Berücksichtigung der verfügbaren Informationen.

10. Löschung und Rückgabe (lit. g)

Nach Ende des Nutzungsverhältnisses — insbesondere bei Kontolöschung durch den Verantwortlichen — werden sämtliche personenbezogenen Daten einschließlich der Dateien im Datei-Speicher unwiderruflich gelöscht, soweit keine gesetzliche Aufbewahrungspflicht des Betreibers entgegensteht. Der Verantwortliche kann seine Daten zuvor über die Export-Funktionen der App sichern. Restkopien in technischen Backups werden turnusmäßig überschrieben.

11. Nachweise und Kontrollen (lit. h)

Der Betreiber stellt dem Verantwortlichen alle zum Nachweis der Einhaltung dieses Vertrags erforderlichen Informationen zur Verfügung (insbesondere diese Vereinbarung, die Anlage TOM und die Zertifizierungen/DPAs der Subauftragsverarbeiter) und ermöglicht angemessene Überprüfungen. Kontrollen erfolgen in der Regel durch Auskünfte und Vorlage geeigneter Nachweise; Vor-Ort-Kontrollen nur bei konkretem Anlass und nach Ankündigung.

12. Schlussbestimmungen

Es gilt deutsches Recht. Die Haftung richtet sich nach Art. 82 DSGVO und den gesetzlichen Regeln. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam. Bei Widersprüchen zu den allgemeinen Nutzungsbedingungen geht dieser AVV in Datenschutzfragen vor.

Anlage: Technische und organisatorische Maßnahmen (TOM)

Ergänzend gilt die Datenschutzerklärung.