Auftragsverarbeitungsvertrag (AVV)

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.

Version 2025-12-21Gültig ab: 21. Dezember 2025

Dieser Auftragsverarbeitungsvertrag legt die Bedingungen fest, unter denen wir als Auftragsverarbeiter personenbezogene Daten in Ihrem Auftrag verarbeiten.

Vertragsparteien

Verantwortlicher

Ihr Unternehmen (als Verantwortlicher)

Auftragsverarbeiter

David Huh

Lucian-Reich-Str. 16

76473 Iffezheim

Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung

Betrieb der Custodi-Plattform zur Immobilien- und Facility-Management

Dauer der Verarbeitung

Solange die Vertragsbeziehung besteht

Art und Zweck der Verarbeitung

Speicherung, Verarbeitung und Übermittlung von Immobilien-, Zählerstand- und Benutzerdaten

Art der personenbezogenen Daten

Kontaktdaten, Authentifizierungsdaten, Zählerstandsdaten, Objektdaten, Aktivitätsprotokolle

Kategorien betroffener Personen

Mitarbeiter des Verantwortlichen, Kunden, Immobilienbesitzer

Pflichten des Auftragsverarbeiters

Verarbeitung nur nach dokumentierter Weisung
Verpflichtung zur Vertraulichkeit
Technische und organisatorische Maßnahmen (TOMs)
Einsatz von Unterauftragsverarbeitern
Unterstützung bei Betroffenenrechten
Löschung und Rückgabe von Daten
Dokumentation und Kontrolle

Technische und organisatorische Maßnahmen (TOMs)

Technische und Organisatorische Maßnahmen (TOMs)

Datensicherheit:

Es erfolgt eine tägliche automatisierte Sicherung der Datenbanken beim Cloud-Provider (Neon Tech Inc., Deutschland/Frankfurt). Zusätzlich erfolgt eine regelmäßige, geo-redundante Archivierung kritischer Daten auf einem lokalen Speichersystem beim Auftragnehmer (Cold Storage).

Verschlüsselung:

Alle Datenübertragungen erfolgen über HTTPS/TLS 1.3
Passwörter werden mit bcrypt gehasht
Session-Tokens werden verschlüsselt gespeichert

Zugriffskontrolle:

Rollenbasierte Zugriffskontrolle (RBAC) auf Organisationsebene
Zwei-Faktor-Authentifizierung (2FA) verfügbar
Audit-Logs für sicherheitsrelevante Ereignisse

Datentrennung:

Strikte Mandantentrennung auf Datenbankebene
Automatische Filterung nach Organisations-ID
Keine Cross-Organisation-Zugriffe möglich

Backup & Recovery:

Tägliche automatisierte Backups
30 Tage Backup-Aufbewahrung
Geo-redundante Speicherung kritischer Daten

Liste der Unterauftragsverarbeiter

Eine aktuelle Liste aller Unterauftragsverarbeiter finden Sie in unserer Datenschutzrichtlinie im Abschnitt Unterauftragsverarbeiter.

Name	Zweck	Standort	Schutzmaßnahmen
Vercel Inc.	Hosting & CDN	Deutschland (Frankfurt)	Standardvertragsklauseln (SCC)
Neon Tech Inc.	Datenbank-Hosting	Deutschland (Frankfurt)	Standardvertragsklauseln (SCC)
Resend Inc.	E-Mail-Dienst	Irland	Standardvertragsklauseln (SCC)
Perplexity AI Inc.	KI-gestützte Zählerstandsanalyse	USA	Standardvertragsklauseln (SCC)
Redis Labs Ltd.	Echtzeit-Synchronisationsinfrastruktur	Deutschland (Frankfurt)	Standardvertragsklauseln (SCC)
Mapbox Inc.	Adress-Geocoding, Kartenvisualisierung und Standortdienste	Globales CDN (EU-Knoten verfügbar)	Standardvertragsklauseln (SCC)
Bright Sky API / Deutscher Wetterdienst (DWD)	Wetterdaten- und Vorhersagedienste	Deutschland (DWD Offenbach)	Öffentlicher Datenanbieter (DWD ist eine deutsche Bundesbehörde); Nur serverseitige API-Aufrufe (keine Client-IP-Adressen übertragen); Koordinaten auf 2 Dezimalstellen gerundet (~1,1km Genauigkeit) zur Datenminimierung; Daten lizenziert unter CC BY 4.0

Zuletzt aktualisiert: 21. Dezember 2025