MieterSuche++

Auftragsverarbeitungsvereinbarung

Präambel

Johannes Gerbershagen (Einzelunternehmer) - nachfolgend Platformbetreiber genannt - stellt mit www.jgsen.de eine digitale Platform zur Verfügung, die Vermieter bei der Mietersuche unterstützt. Die Platform stellt dabei Tools zur Verwaltung von Besichtigungsterminen, zur Verwaltung von freiwilligen Mieterselbstauskunftsformularen und zur Erstellung von Mietverträgen zur Verfügung. Bei der Nutzung der Platform legen die Nutzer unter Umständen personenbezogene Daten Dritter (z.B. von Mieter oder von Mietinteressenten) dem Portalbetreiber offen. Diese Daten verarbeitet der Platformbetreiber im Auftrag der Nutzer gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO). Zur Wahrung dieser Anforderungen schließen die Parteien die vorliegende Vereinbarung.

§ 1 Umfang, Zweck und Durchführung der Datenverarbeitung; Art der Daten; Weisungsgebundenheit

  1. Der Platformbetreiber erbringt die Dienstleistungen auf Grundlage des Vertrages mit dem Nutzer über die Nutzung des Portals auf Basis der AGB und – soweit vorhanden – aufgrund von Verträgen über individuelle Leistungen mit dem Nutzer. Diese Verträge werden im Folgetext Kundenverträge genannt.

  2. Umfang und Zweck der Datenverarbeitung durch den Platformbetreiber ergeben sich aus den Kundenverträgen und den dazugehörigen Leistungsbeschreibungen. Gegenstand und Dauer der Leistungserbringung durch den Platformbetreiber richten sich nach den Kundenverträgen und sind nicht Gegenstand der vorliegenden Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen der Kundenverträge vor.

  3. Personenbezogene Daten im Sinne dieser Vereinbarung sind nur solche personenbezogenen Daten, die der Platformbetreiber im Auftrag des Nutzers verarbeitet.

  4. Der Platformbetreiber verarbeitet Daten von Mietern und Mietinteressenten des Nutzers (Namen, Kontaktdaten, Mietverträge und Vertragsdaten, Mietschuldenfreiheitsbestätigungen, Lohnabrechnungen und Bonitätsauskünfte).

  5. Personenbezogene Daten des Nutzers selbst (z.B. Stammdaten, Zahlungsdaten, Profil-/Accountdaten, Kommunikation des Nutzers mit dem Platformbetreiber) und Daten, die bei Besuch der Platform anfallen (IP-Adresse des anfragenden Computers, abgerufene URL, Datum und Uhrzeit des Abrufs) sind nicht Bestandteil der Auftragsverarbeitung. Diese Daten werden gemäß Art. 6 Abs. 1b DSGVO zu Zwecken der Vertragserfüllung und/oder gemäß Art. 6 Abs. 1f DSGVO aufgrund berechtigter Interessen erhoben und verarbeitet. Nähere Informationen dazu finden sich in der Datenschutzerklärung.

  6. Der Platformbetreiber darf die personenbezogenen Daten des Kunden ausschließlich zu Zwecken der Erfüllung der Kundenverträge oder aufgrund von Einzelfallweisungen des Nutzers verarbeiten. Sofern der Platformbetreiber Daten im Sinne des Art. 28 Abs. 3 lit. a DSGVO verarbeitet, teilt der Platformbetreiber dies dem Kunden vor der Verarbeitung mit, soweit dies nicht rechtlich ausgeschlossen ist.

  7. Der Platformbetreiber verpflichtet sich Nutzeranweisungen über die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zu beachten und umzusetzen (z.B. die Berichtigung, Löschung und Sperrung von Daten). Anweisungen werden als Antrag auf Leistungsänderung oder Zusatzbeauftragung behandelt, sofern die Durchführung einer Anweisung nicht bereits vom Leistungsumfang der Kundenverträge abgedeckt ist, und der Platformbetreiber haftet in diesem Fall nicht für Inkonsistenzen in den Datenbeständen oder ähnliche Konsequenzen. Der Platformbetreiber ist berechtigt, eine angemessene Vergütung zur Durchführung der Nutzeranweisung zu verlangen. Nutzeranweisungen sind dem Platformbetreiber schriftlich mitzuteilen.

§ 2 Unterauftragsverhältnisse

  1. Der Nutzer erklärt sich mit der Beauftragung von Unterauftragsverarbeitern durch den Platformbetreiber einverstanden. Der Anhang 2 - Liste der eingesetzten Unterauftragsverarbeiter enthält eine Liste der jeweils eingesetzten Unterauftragsverarbeiter, die auch in Drittländern ihren Sitz haben können. Bei Sitz der Unterauftragsverarbeiter in Drittländern werden die notwendigen gesetzlichen Regelungen insbesondere Art. 44ff. DSGVO beachtet. Beim Hinzuzug und beim Ersatz von bestehenden Unterauftragsverarbeitern informiert der Platformbetreiber die Nutzer 6 Wochen vor Inkrafttreten über Email und die Änderung wird gleichzeitig im Anhang 2 - Liste der eingesetzten Unterauftragsverarbeiter angekündigt. Der Nutzer ist berechtigt zwei Wochen vor Inkrafttreten der Änderungen dem Einsatz eines neuen Unterauftragsverarbeiter zu widersprechen. Erhebt der Nutzer Einspruch gegen den Einsatz eines neuen Unterauftragsverarbeiter, gilt der Kundenvertrag als gekündigt.

  2. Unterauftragsverarbeiter werden vom Portalbetreiber nur beauftragt, wenn Sie die personenbezogenen Daten im Sinne der DSGVO verarbeiten.

  3. Alle Dienstleistungen, die von Dritten erbracht werden und die direkt zur Erbringung der Hauptleistung notwendig sind, sind als Unterauftragsverarbeitung im Sinne dieser Regelung zu verstehen. Nebenleistungen wie Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern, die der Platformbetreiber beauftragt, sind kein Bestandteil dieser Regelung. Der Platformbetreiber trifft geeignete Maßnahmen, dass die Nebendienstleister keinen Zugriff auf die personenbezogenen Daten bekommen (Verschlüsselung etc.).

§ 3 Datensicherheit

  1. Alle Mitarbeiter des Platformbetreibers sind im Bezug auf die personenbezogenen Daten zur Vertraulichkeit verpflichtet.

  2. Der Platformbetreiber trifft in Überstimmung mit Art. 32 DSGVO die notwendigen technischen und organisatorischen Maßnahmen, die im Anhang 1 - Datensicherheitsmaßnahmen aufgelistet sind, zum Schutz der personenbezogenen Daten und passt diese Maßnahmen dem Stand der Technik an, sofern dadurch das gesetzliche Sicherheitsniveau nach DSGVO nicht unterschritten wird.

  3. Der Platformbetreiber stellt auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO den Nutzern zur Verfügung, z.B. durch Vorlage geeigneter Dokumentation.

  4. Der Platformbetreiber ermöglicht die Kontrolle durch den Nutzer bzw. durch einen von ihm beauftragten Prüfer und wirkt daran mit. Der Platformbetreiber wird für die Mitwirkung bei einer solchen Prüfung eine angemessene Vergütung verlangen. Alle Informationen, Unterlagen und Daten, die der Nutzer oder die von ihm beauftragten Personen während der Prüfung zu sehen bekommen, unterliegen der Schweigepflicht. Eine anderweitige Verwendung dieser Informationen, Unterlagen und Daten ist untersagt.

§ 4 Informations- und Mitwirkungspflichten

  1. Nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten der Nutzer (gemäß Art. 33 DSGVO), meldet der Platformbetreiber dies dem Nutzer, ergreift sofort angemessene Maßnahmen zur Minderung etwaiger nachteiliger Folgen der Betroffenen und unterstützt den Nutzer bei der Meldung an die Aufsichtsbehöhrden und an die betroffenen Personen gemäß Art. 33 und 34 DSGVO.

  2. Soweit ein Betroffener sich unmittelbar an den Platformbetreiber zwecks Wahrnehmung von Betroffenenrechten wenden sollte, leitet der Platformbetreiber dies an den Nutzer weiter und bietet dem Nutzer gegen Entgelt seine Unterstützung an.

§ 5 Löschung von Daten

Die Löschung der im Auftrag verarbeiteten personenbezogenen Daten des Nutzers erfolgt mit Beendigung der Kundenverträge, es sei denn es stehen gesetzliche Aufbewahrungspflichten dem entgegen.

§ 6 Laufzeit

Die vorliegende Vereinbarung ist bis zur Beendigung der Kundenverträge bzw. solange der Platformbetreiber über die personenbezogene Daten des Nutzers verfügt gültig.

§ 7 Schlussbestimmungen

  1. Die Haftungsregelungen gemäß Abschnitt Haftungsbeschränkung und - ausschluss der AGB des Platformbetreibers finden auf die vorliegende Regelung Anwendung.

  2. Auf diese Vereinbarung findet das Recht der Bundesrepublik Deutschland Anwendung. Die gesetzlichen Vorschriften zur Beschränkung der Rechtswahl und zur Anwendbarkeit zwingender Vorschriften insbesondere des Staates, in dem der Nutzer als Verbraucher seinen gewöhnlichen Aufenthalt hat, bleiben unberührt.

  3. Sofern es sich beim Nutzer um einen Kaufmann, eine juristische Person des öffentlichen Rechts oder um ein öffentlich-rechtliches Sondervermögen handelt, ist Gerichtsstand für alle Streitigkeiten zwischen dem Nutzer und dem Platformbetreiber der Sitz des Platformbetreibers.

Anhang 1 - Datensicherheitsmaßnahmen

Zur Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten gemäß Art. 32 DSGVO setzt der Platformbetreiber die folgenden Maßnahmen um:
  1. Der Platformbetreiber hat einen Verantwortlichen für Informationssicherheit und einen Datenschutzbeauftragten bestimmt.
  2. Mitarbeiter des Platformbetreibers unterliegen Geheimhaltungsverpflichtungen und sind bezüglich der Datenschutzmaßnahmen geschult. Die Schulung umfasst auch mögliche Konsequenzen beim Verstoß gegen die Sicherheitsvorschriften und -verfahren.
  3. Der Platformbetreiber verfügt über interne Richtlinien und Eskalationsprozeduren bei Sicherheits- und Datenschutzvorfällen.
  4. Der Platformbetreiber schließt Verträge im Sinne von Art. 28 DSGVO mit Auftragnehmern und Subunternehmern.
  5. Für die eingesetzten IT-Systeme, die Zugang zu Kundendaten ermöglichen, existiert ein ergänzendes Betriebs- und Sicherheitskonzept. Zugriff ist nur über Sicherheitsschlüssel möglich, die nur für die entsprechenden Mitarbeiter vergeben werden, die Zugriff zu Kundendaten benötigen.
  6. Alle externen Datenverbindungen – sowohl im Frontend für die Interaktion der Nutzer mit der Plattform als auch im Backend – werden nach dem Stand der Technik verschlüsselt.
  7. Sensible Daten (z.B. Passwörter) werden in verschlüsselter Form (Hash) gespeichert.
  8. Der Platformbetreiber hat ein Change- und Patchmanagement implementiert. Alle Änderungen an IT-Systemen durchlaufen vorgegebene Testverfahren. Der Platformbetreiber prüft regelmäßig, ob sicherheitsrelevante Updates und Patches vorhanden sind und installiert diese kurzfristig.
  9. Der Platformbetreiber führt regelmäßig Backups der Kundendaten durch, um deren Verfügbarkeit zu gewährleisten.
  10. Virenscanner und Firewalls schützen die IT-Infrastruktur des Platformbetreibers. Externe Datenträger werden vor der Verwendung auf Viren und andere Schadsoftware geprüft.
  11. Der Platformbetreiber nutzt Server bei der Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin zur Speicherung der Kundendaten. Mit der Strato AG wurde eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen.

Anhang 2 - Liste der eingesetzten Unterauftragsverarbeiter

Auftragsdatenverarbeiter Leistungsbeschreibung
Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin Hosting der Server
Adobe Systems Software Ireland Companies Registration Number 344992, 4-6 Riverwalk Citywest Business Campus, Dublin 24, Republic of Ireland Elektronische Vertragsunterzeichnung
PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg Zahlungsabwicklung