Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Stand: Juli 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird Bestandteil des Nutzungsvertrags zwischen Ihnen als Kunden (Vermieter/Verwalter, nachfolgend „Verantwortlicher") und der Tuari AI UG (haftungsbeschränkt) als Betreiberin von estateco.ai (nachfolgend „Auftragsverarbeiter"). Sie akzeptieren diesen AVV bei der Registrierung. Auf Wunsch stellen wir Ihnen eine unterzeichnete Fassung bereit (datenschutz@tuariai.com).


Präambel

Der Auftragsverarbeiter stellt dem Verantwortlichen mit „estateco.ai" eine cloudbasierte Software zur Immobilienverwaltung bereit. Im Rahmen der Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Dieser Vertrag konkretisiert die Pflichten nach Art. 28 DSGVO und geht bei Widersprüchen dem Hauptvertrag in Datenschutzfragen vor.

§ 1 Gegenstand, Art und Zweck der Verarbeitung

  • Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zur Erbringung der in Anlage 1 beschriebenen Leistungen.
  • Art und Zweck: Speicherung, Organisation, Auslesen, Verwendung, Übermittlung an Unterauftragsverarbeiter (Anlage 2) sowie Löschung, jeweils zur Bereitstellung der Immobilienverwaltungs-Funktionen (Immobilien-, Mieter-, Vertrags- und Finanzverwaltung, Dokumenten- und KI-Analyse, Nebenkostenabrechnung, Bankanbindung, Kommunikation).
  • Dauer: Der Vertrag gilt für die Laufzeit des Hauptvertrags und endet mit dessen Beendigung, vorbehaltlich fortbestehender Pflichten (§ 10, § 11).

§ 2 Kategorien betroffener Personen und Daten

  • Betroffene Personen: insbesondere Mieter des Verantwortlichen und deren Mitbewohner, Vertrags- und Kontaktpersonen, Dienstleister sowie Mitarbeiter des Verantwortlichen (Team-Nutzung).
  • Datenkategorien: Stammdaten (Name, Adresse, Kontakt), Geburtsdatum, IBAN/BIC und Bankumsätze, Bonitätswerte, Vertrags- und Zahlungsdaten, Dokumente/Belege, Kommunikations- und Nutzungsdaten.
  • Eine Verarbeitung besonderer Kategorien (Art. 9 DSGVO) ist nicht vorgesehen; lädt der Verantwortliche solche Daten dennoch hoch, trägt er dafür die Verantwortung.

§ 3 Weisungsrecht des Verantwortlichen

  • Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich hinsichtlich Drittlandübermittlungen, sofern nicht eine Rechtsvorschrift der EU/eines Mitgliedstaats ihn dazu verpflichtet.
  • Weisungen erfolgen grundsätzlich in Textform. Die Konfiguration der Plattform durch den Verantwortlichen gilt als Weisung.
  • Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich (Art. 28 Abs. 3 S. 3 DSGVO).

§ 4 Vertraulichkeit

Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet oder einer gesetzlichen Verschwiegenheit unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO). Die Verpflichtung besteht auch nach Beendigung der Tätigkeit fort.

§ 5 Technische und organisatorische Maßnahmen (Art. 32)

Der Auftragsverarbeiter trifft die in Anlage 3 beschriebenen technischen und organisatorischen Maßnahmen und hält sie auf dem Stand der Technik. Maßnahmen können weiterentwickelt werden, solange das Schutzniveau nicht unterschritten wird.

§ 6 Unterauftragsverhältnisse (Art. 28 Abs. 2, 4)

  • Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter.
  • Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung/Ersetzung) vorab. Der Verantwortliche kann aus wichtigem, datenschutzbezogenem Grund innerhalb von 14 Tagen widersprechen; bei Widerspruch können die betroffenen Leistungen ausgesetzt oder der Vertrag gekündigt werden.
  • Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter auf ein gleichwertiges Datenschutzniveau (Art. 28 Abs. 4 DSGVO).

§ 7 Unterstützung des Verantwortlichen

  • Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 12–23). Hierzu stellt die Plattform einen Daten-Export (JSON, Art. 15/20) sowie Lösch- und Berichtigungsfunktionen bereit.
  • Er unterstützt den Verantwortlichen bei Datenschutz-Folgenabschätzungen (Art. 35) und der Sicherheit der Verarbeitung (Art. 32).
  • Anfragen betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, werden an den Verantwortlichen weitergeleitet und nicht eigenständig beantwortet.

§ 8 Meldung von Verletzungen (Art. 33, 34)

Der Auftragsverarbeiter meldet dem Verantwortlichen ohne unangemessene Verzögerung (Ziel: innerhalb von 48 Stunden nach Kenntnis) Verletzungen des Schutzes personenbezogener Daten und stellt die zur Meldung nach Art. 33/34 DSGVO erforderlichen Informationen bereit. Kontakt: security@tuariai.com.

§ 9 Nachweise und Kontrollen

Der Auftragsverarbeiter weist die Einhaltung seiner Pflichten geeignet nach (Beschreibung der TOM, ggf. Zertifikate/Berichte der Unterauftragsverarbeiter). Der Verantwortliche ist zu Kontrollen berechtigt (in der Regel per Auskunft/ Dokumentation; Vor-Ort-Prüfungen nach angemessener Ankündigung, soweit erforderlich und den Betrieb nicht unverhältnismäßig störend).

§ 10 Löschung und Rückgabe

  • Nach Beendigung erbringt der Auftragsverarbeiter nach Wahl des Verantwortlichen Rückgabe oder Löschung der personenbezogenen Daten, einschließlich der im Objektspeicher abgelegten Dokumente, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Rechnungs- und Buchungsdaten werden aufgrund gesetzlicher Pflichten (§ 147 AO, § 257 HGB) bis zu 10 Jahre aufbewahrt. Änderungsprotokolle werden nach 90 Tagen automatisch gelöscht.
  • Backups werden turnusgemäß überschrieben; eine endgültige Löschung kann sich insoweit technisch verzögern (betrifft nur Sicherungskopien).

§ 11 Schlussbestimmungen

Die Haftung richtet sich nach Art. 82 DSGVO und dem Hauptvertrag. Es gilt deutsches Recht. Änderungen bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.


Anlage 1 — Beschreibung der Verarbeitung

Leistung: Bereitstellung der SaaS-Plattform estateco.ai zur Immobilienverwaltung (Immobilien/Einheiten, Mieter/Verträge, Zahlungen/Bank-Sync, Dokumente/KI-Analyse, Nebenkostenabrechnung/Mahnwesen, Reporting, KI-Assistent).

Betroffene Personen: Mieter und Mitbewohner, Vertrags-/Kontaktpersonen, Dienstleister, Mitarbeiter des Verantwortlichen.

Datenkategorien: Stammdaten; Vertragsdaten; Finanzdaten (IBAN/BIC, Bankumsätze, Mietzahlungen, Belege); Bonitäts-/Score-Daten (soweit erfasst); Dokumente; Kommunikations- und Nutzungsdaten.

Anlage 2 — Genehmigte Unterauftragsverarbeiter

Die stets aktuelle Liste ist unter estateco.ai/subprocessors abrufbar. Zusammengefasst:

UnterauftragsverarbeiterLeistungStandort / Transfer
Supabase Inc.Datenbank, Auth, StorageFrankfurt (eu-central-1); Sitz USA (DPF/SCCs)
OpenAI, L.L.C.KI-Assistent, DokumentenanalyseUSA (DPF/SCCs); kein Modelltraining
Vercel Inc.Frontend-/WebhostingUSA (DPF/SCCs)
BanksAPI GmbHPSD2-KontoinformationsdienstMünchen, DE (EU/EWR)
Stripe Payments Europe, Ltd.ZahlungsabwicklungEU (IE) + USA (DPF/SCCs)
Resend (Plus Five Five, Inc.)Transaktions-E-MailUSA (DPF/SCCs)
Replicate, Inc. (+ Google als Modellanbieter)KI-Bildgenerierung (optional)USA (SCCs/DPF)

Anlage 3 — Technische und organisatorische Maßnahmen (Art. 32)

Vertraulichkeit: Authentifizierung über Supabase Auth (Passwörter gehasht); Row-Level-Security auf allen Datenbanktabellen; strikte Mandantentrennung je Organisation; privater Storage-Bucket mit organisationsgebundenen Zugriffsregeln; Rollen- und Rechtekonzept (admin/manager); Service-Schlüssel ausschließlich serverseitig.

Integrität: TLS-Verschlüsselung im Transport; Änderungsprotokoll (Audit-Log) mit Akteur- und Wertehistorie.

Verfügbarkeit und Belastbarkeit: verwaltete Backups; redundante Cloud-Infrastruktur; abgesicherte Hintergrund-Jobs.

Verfahren zur regelmäßigen Überprüfung: Datenschutz- und Sicherheitsreviews; Sicherheitskontakt security@tuariai.com; Incident-Prozess (§ 8).

Betroffenenrechte-Unterstützung: Daten-Export (JSON, Art. 15/20); vollständige Löschung inkl. Dateispeicher.


Fragen zum AVV: datenschutz@tuariai.com.