Zum Hauptinhalt springen

Zuletzt geändert: 18. November 2025
Gültig ab: 3. Dezember 2025

Auftrags­verarbeitungs­vertrag

i.S.d. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO).

Einleitung

Dieser Auftragsverarbeitungsvertrag wird zum Zeitpunkt der Annahme der Nutzungsbedingungen durch den jeweiligen Kunden zwischen der EstateSync GmbH („Auftragnehmer“) und dem Kunden („Auftraggeber“) geschlossen. Er ist Bestandteil des zwischen den Parteien bestehenden Vertragsverhältnisses und ergänzt dieses hinsichtlich der Verarbeitung personenbezogener Daten.

Rollen und Begriffsbestimmungen

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Zusammenhang mit der Nutzung der vom Auftragnehmer bereitgestellten Leistungen. Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).

Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird damit allgemein die Verwendung von personenbezogenen Daten verstanden. Die Verwendung personenbezogener Daten umfasst insbesondere die Erhebung, Speicherung, Übermittlung, Sperrung, Löschung sowie das Anonymisieren, Pseudonymisieren, Verschlüsseln oder die sonstige Nutzung von Daten.

Gegenstand, Zweck und Dauer der Verarbeitung

Gegenstand des Auftrags ist die Bereitstellung und der Betrieb einer Software-Schnittstelle (EstateSync API) für das Übertragen von Immobilieninseraten auf diverse Immobilienportale im Rahmen des vom Anbieter bereitgestellten Produktpakets sowie die damit zusammenhängenden Verarbeitungstätigkeiten. Hierzu gehören insbesondere die Erhebung, Speicherung, Übermittlung und Aufbereitung der Daten, das Führen von Protokollen (Logging), Fehlermanagement, Sicherstellung der Verfügbarkeit und Sicherheit der Systeme (Monitoring), die Erbringung von Support- und Serviceleistungen, Abrechnung und Nachweisführung sowie die Erfüllung gesetzlicher Aufbewahrungs- und Dokumentationspflichten.

Im Einzelnen sind die folgenden Daten Bestandteil der Datenverarbeitung:

  • Vertrags- und Kommunikationsdaten des Auftraggebers
    Informationen zur Vertragsbeziehung, Kundenhistorie, Abrechnungs- und Zahlungsdaten. Zur Kommunikation sind regelmäßig folgende Daten Gegenstand der Verarbeitung: Firma, Anrede, Name, Vorname, E-Mail-Adresse, Telefonnummer, Handynummer. Ferner können auch Adressdaten Gegenstand der Verarbeitung sein: Straße, Ort, Postleitzahl, Land.
  • Produktspezifische personenbezogene Daten
    Diese beinhalten vom Auftraggeber an den Auftragnehmer weitergeleitete Adress- und Anfragedaten von Kunden und Interessenten, welche vom Auftragnehmer zur Erfüllung des Auftrags verarbeitet und gespeichert werden.
  • Kategorien betroffener Personen
    Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: Mitarbeiter des Auftraggebers, Geschäftspartner, Kunden, Interessenten.

Die Verarbeitung der personenbezogenen Daten erfolgt überwiegend in Rechenzentren innerhalb der EU. Soweit im Rahmen einzelner Dienste eine Verarbeitung in Drittländern (insbesondere den USA) erfolgt oder nicht ausgeschlossen werden kann, erfolgt dies ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO. Die jeweils eingesetzten Unterauftragsverarbeiter und deren Verarbeitungsstandorte ergeben sich aus der aktuellen Liste der Unterverarbeiter.

Eine Verarbeitung in Drittländern findet nur im Rahmen der in der Unterverarbeiterliste benannten Dienstleister und unter Beachtung der jeweils geltenden datenschutzrechtlichen Vorgaben (insbesondere geeigneter Garantien nach Art. 46 DSGVO) statt.

Die Dauer dieses Auftrags richtet sich nach der Laufzeitvereinbarung der Hauptleistung. Der Auftrag endet, wenn der Auftraggeber keine Software-Leistungen des Anbieters entsprechend den Leistungsvereinbarungen mehr in Anspruch nimmt.

Pflichten des Auftragnehmers

  1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung so lange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

  2. Der Auftragnehmer setzt in seinem Verantwortungsbereich angemessene technische und organisatorische Maßnahmen zum Schutz der Daten des Auftraggebers gemäß Art. 32 DSGVO um. Diese Maßnahmen sollen insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten und Systeme gewährleisten.
    Der Auftragnehmer dokumentiert die wesentlichen Maßnahmen und stellt dem Auftraggeber auf Anfrage eine nicht öffentliche Beschreibung in Textform zur Verfügung, soweit dies für dessen Nachweispflichten nach der DSGVO erforderlich ist. Der Auftragnehmer darf die Maßnahmen anpassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

  3. Der Auftragnehmer unterstützt, soweit vereinbart, den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung von Anfragen und Ansprüchen betroffener Personen gemäß Kapitel 3 der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.
    Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitenden und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

  4. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.

  5. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.

  6. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für die im Rahmen des Vertrages anfallende Datenschutzfragen.

  7. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

  8. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.

  9. Daten, Datenträger sowie sämtliche sonstigen Materialien sind nach Auftragsende auf Verlangen des Auftraggebers zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt der Auftraggeber diese.

  10. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer, den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

  11. Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfrage alle erforderlichen Informationen zum Nachweis der in diesem Vertrag und Art. 28 DSGVO geregelten Pflichten zur Verfügung. Insbesondere erteilt der Auftragnehmer dem Auftraggeber Auskünfte über die gespeicherten Daten und die Datenverarbeitungsprogramme.
    Der Auftragnehmer ermöglicht dem Auftraggeber im zumutbaren Rahmen Überprüfungen der Verarbeitung, insbesondere durch die Bereitstellung von Dokumentationen. Vor-Ort-Prüfungen finden nur aus zwingenden rechtlichen Gründen und nach vorheriger Abstimmung statt.

  12. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, verweist der Auftragnehmer sie, sofern möglich, an den Auftraggeber und leitet das Ersuchen unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber nach Weisung im Rahmen seiner Möglichkeiten, soweit dies vereinbart ist. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

Pflichten des Auftraggebers

  1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

  2. Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich der Auftraggeber, den Auftragnehmer im Rahmen seiner Möglichkeiten bei der Abwehr des Anspruchs zu unterstützen und ihm insbesondere die hierfür erforderlichen Informationen zur Verfügung zu stellen.

  3. Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

Einsatz von Unterverarbeitern

Die vom Auftragnehmer beauftragten Unterverarbeiter werden auf folgender Seite vorgestellt: estatesync.com/legal/subprocessors

Der Auftragnehmer unterrichtet den Auftraggeber mindestens 14 Tage im Voraus in Textform (z. B. per E-Mail) über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterverarbeitern, wobei der Auftraggeber seine Zustimmung nur aus wichtigem datenschutzrechtlichen Grund verweigern darf.

Setzt der Auftragnehmer Unterverarbeiter ein, verpflichtet er diese vertraglich zur Einhaltung der in diesem Vertrag geregelten Datenschutzpflichten.

Informationspflichten, Änderungen, Rechtswahl

Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DSGVO liegen.

Der Auftragnehmer ist berechtigt, diesen Vertrag zur Auftragsverarbeitung anzupassen, soweit dies zur Aktualisierung rechtlicher, technischer oder organisatorischer Rahmenbedingungen oder zur Abbildung geänderter Leistungen erforderlich ist, ohne das vereinbarte Schutzniveau zu reduzieren. Über entsprechende Änderungen informiert der Auftragnehmer den Auftraggeber in Textform und weist auf das Recht hin, den Änderungen zu widersprechen.

Widerspricht der Auftraggeber den Änderungen nicht innerhalb von 30 Tagen nach Zugang der Mitteilung in Textform, gelten die Änderungen als angenommen. In der Änderungsmitteilung weist der Auftragnehmer den Auftraggeber gesondert auf diese Frist und die Rechtsfolge des ausbleibenden Widerspruchs hin. Im Falle eines fristgerechten Widerspruchs bleiben die bisherigen Regelungen dieses Vertrags in Kraft. Beide Parteien sind berechtigt, den Hauptvertrag mit einer angemessenen Frist zu kündigen, sofern der Vertrag ohne die vorgesehenen Änderungen nicht sinnvoll oder rechtssicher fortgeführt werden kann.

Bei etwaigen Widersprüchen zwischen diesem Vertrag zur Auftragsverarbeitung und dem Hauptvertrag gehen die Regelungen dieses Vertrages vor. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht.

Es gilt deutsches Recht.

Haftung und Schadensersatz

Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

Im Innenverhältnis zwischen Auftraggeber und Auftragnehmer gilt: Jede Partei trägt den Schaden, soweit sie ihn zu vertreten hat. Hat eine Partei den Schaden überwiegend verursacht oder ist sie hierfür überwiegend verantwortlich, stellt sie die andere Partei im entsprechenden Umfang von Ansprüchen frei.

Macht eine betroffene Person oder eine Aufsichtsbehörde einen Anspruch gegenüber nur einer Partei geltend, so bleibt diese Partei berechtigt, im Innenverhältnis von der anderen Partei Ausgleich nach Maßgabe der vorstehenden Regelungen zu verlangen.

Die sonstigen vertraglichen Haftungsregelungen zwischen den Parteien, insbesondere etwaige Haftungsbegrenzungen in den allgemeinen Geschäftsbedingungen des Auftragnehmers, gelten im Innenverhältnis ergänzend, soweit sie mit Art. 82 DSGVO vereinbar sind.