Auftragsverarbeitungsvertrag

2. Dauer

Dieser AVV gilt für die Laufzeit der zugrunde liegenden Hauptvereinbarung und endet automatisch mit deren Beendigung.

Pflichten, die ihrer Natur nach über das Vertragsende hinaus fortbestehen — insbesondere zur Löschung bzw. Rückgabe der Daten sowie zur Geheimhaltung — bleiben über die Beendigung hinaus bestehen.

3. Art, Umfang & Zweck der Verarbeitung

Gegenstand der Verarbeitung ist der Betrieb der Website des Kunden und der zugehörigen Datenschnittstelle, insbesondere die Speicherung, Anzeige, Übernahme und Synchronisation von Objekt- und Interessentendaten.

Zweck der Verarbeitung ist ausschließlich die Erbringung der vertraglich vereinbarten Leistung gegenüber dem Kunden. Eine darüber hinausgehende Verarbeitung der Daten zu eigenen Zwecken durch iX immo findet nicht statt.

4. Art der Daten & Kategorien betroffener Personen

Verarbeitet werden insbesondere Stammdaten, Kontaktdaten sowie Anfrage- und Kommunikationsdaten.

Kategorien betroffener Personen sind insbesondere Interessenten, Anfragende, Eigentümer sowie sonstige Geschäftskontakte des Kunden.

5. Weisungsgebundenheit

iX immo verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern nicht eine gesetzliche Verpflichtung eine andere Verarbeitung vorschreibt.

iX immo informiert den Verantwortlichen unverzüglich, wenn iX immo der Auffassung ist, dass eine Weisung gegen die DSGVO oder sonstige Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt.

6. Vertraulichkeit

iX immo stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7. Technische & organisatorische Maßnahmen (Art 32)

iX immo trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die Maßnahmen dienen der Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Eine Übersicht der getroffenen Maßnahmen ergibt sich aus dem Anhang am Ende dieses Vertrages.

8. Sub-Auftragsverarbeiter

Der Verantwortliche erteilt iX immo eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter (Sub-Auftragsverarbeiter), insbesondere von Hosting-Dienstleistern mit Sitz und Verarbeitung innerhalb der EU/des EWR.

iX immo informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern, sodass der Verantwortliche die Möglichkeit hat, gegen derartige Änderungen Einspruch zu erheben.

iX immo erlegt jedem Sub-Auftragsverarbeiter dieselben Datenschutzpflichten auf, wie sie in diesem AVV festgelegt sind, und bleibt gegenüber dem Verantwortlichen für die Einhaltung dieser Pflichten verantwortlich.

9. Unterstützung des Verantwortlichen

iX immo unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen im zumutbaren Umfang bei der Erfüllung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Art 12 bis 23 DSGVO).

iX immo unterstützt den Verantwortlichen ferner bei der Einhaltung seiner Pflichten nach Art 32 bis 36 DSGVO, insbesondere im Hinblick auf die Sicherheit der Verarbeitung, die Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Datenschutz-Folgenabschätzung.

10. Meldung von Datenschutzverletzungen

iX immo meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich nach deren Bekanntwerden und stellt dem Verantwortlichen die zur Erfüllung seiner Melde- und Benachrichtigungspflichten erforderlichen Informationen zur Verfügung.

11. Ort der Verarbeitung

Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR).

Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt nur, sofern geeignete Garantien im Sinne des Kapitels V der DSGVO vorliegen und der Verantwortliche dem zugestimmt hat.

12. Löschung & Rückgabe

Nach Abschluss der Erbringung der Verarbeitungsleistungen werden die personenbezogenen Daten nach Wahl des Verantwortlichen gelöscht oder an diesen zurückgegeben, sofern nicht eine gesetzliche Verpflichtung zur weiteren Speicherung der Daten besteht.

13. Nachweise & Kontrollen

iX immo stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art 28 DSGVO niedergelegten Pflichten zur Verfügung.

iX immo ermöglicht angemessene Überprüfungen — einschließlich Inspektionen bzw. Audits —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei.

14. Anhang — Technische & organisatorische Maßnahmen (TOM)

Zutrittskontrolle: Verarbeitung in einem Rechenzentrum innerhalb der EU mit Schutz vor unbefugtem physischem Zutritt.

Zugangskontrolle: Schutz der Systeme vor unbefugter Nutzung durch Authentifizierung und kontrollierte Rechtevergabe.

Zugriffskontrolle: Berechtigungskonzept und Protokollierung stellen sicher, dass nur befugte Personen auf die ihrer Berechtigung entsprechenden Daten zugreifen.

Weitergabekontrolle: Transportverschlüsselung (TLS) bei der elektronischen Übertragung personenbezogener Daten.

Eingabekontrolle: Protokolle ermöglichen die nachträgliche Überprüfung, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden.

Verfügbarkeitskontrolle: Schutz der Daten gegen zufällige Zerstörung oder Verlust durch regelmäßige Backups und Redundanz.

Trennungskontrolle: mandantengetrennte Datenhaltung, sodass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.