Auftragsverarbeitungsvereinbarung
Präambel
Immobilien Scout GmbH betreibt mit dem Vermietet.de-Portal („Portal“) ein Internet-Portal für die Selbstverwaltung von Immobilienbesitz und Vermietung. Kunden der Immobilien Scout GmbH sind Nutzer, die als Eigentümer, Vermieter, Hausverwalter oder Makler eine Immobilie vermieten wollen oder bereits vermieten oder eine solche selbst zu Wohnzwecken nutzen. Im Rahmen der Nutzung des Portals legt der Kunde insbesondere personenbezogene Daten Dritter (z.B. seiner Mieter) der Immobilien Scout GmbH offen. Diese Daten werden von Immobilien Scout GmbH im Auftrag des Kunden gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) verarbeitet. Zur Wahrung dieser Anforderungen schließen die Parteien die vorliegende Vereinbarung.
Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich durch den Vertragsschluss mit dem Kunden über die Nutzung des Portals auf Basis der AGB der Immobilien Scout GmbH ergeben. Sie sind damit eine Ergänzung zu den Allgemeinen Geschäftsbedingungen der Immobilien Scout GmbH und werden gemeinsam mit den Allgemeinen Geschäftsbedingungen der Immobilien Scout GmbH Vertragsbestandteil.
§ 1 Umfang, Zweck und Durchführung der Datenverarbeitung; Art der Daten und Kreis der Betroffenen; Weisungsgebundenheit
1.1 Immobilien Scout GmbH erbringt ihre Leistungen auf Grundlage des Vertrages mit dem Kunden über die Nutzung des Portals auf Basis der AGB der Immobilien Scout GmbH (https://www.vermietet.de/agb) und – soweit einschlägig – aufgrund von weiteren Zusatzbeauftragungen, Leistungsbestellungen und Leistungsabrufen sowie Verträgen über individuelle Leistungen mit dem Kunden. Diese Verträge werden nachfolgend zusammenfassend „Hauptverträge“ genannt.
1.2 Umfang und Zweck der Datenverarbeitung durch die Immobilien Scout GmbH ergeben sich aus den Hauptverträgen und den dazugehörigen Leistungsbeschreibungen. Gegenstand und Dauer der Leistungserbringung durch die Immobilien Scout GmbH richten sich nach den Hauptverträgen und sind nicht Gegenstand der vorliegenden Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen der Hauptverträge vor.
1.3 Gegenstand der Verarbeitung im Auftrag sind folgende Arten personenbezogener Daten, die vom Kunden im Rahmen der Nutzung des Portals bereitgestellt oder offengelegt werden:
Daten von Mietern des Kunden und ggf. Mietinteressenten, insbesondere Namen und Kontaktdaten, Kommunikation und Schriftverkehr, Mietverträge und Vertragsdaten, Abrechnungen, Zahlungsinformationen, Bonitätsauskünfte. Soweit sich Mieter oder Mietinteressenten selbst bei Immobilien Scout GmbH registrieren, werden diese Daten jedoch nicht im Auftrag des Kunden verarbeitet;
Daten über Zahlungs- und Kontobewegungen des Kunden (bei Nutzung des entsprechenden Services), insbesondere Zahlungsempfänger/-absender, Verwendungszweck, Kontodaten, Beträge;
Daten über Mitarbeiter, Beauftragte und Geschäftspartner des Kunden (z.B. Namen, E-Mail-Adressen, ggf. Benutzernamen bei der Anlage von Mitarbeiter-Accounts). Soweit sich Geschäftspartner des Kunden selbst bei Immobilien Scout GmbH registrieren (z.B. Handwerker) oder deren Daten nicht vom Kunden zur Verfügung gestellt werden, werden diese Daten jedoch nicht im Auftrag des Kunden verarbeitet.
„Personenbezogene Daten“ oder „Daten“ im Sinne dieser Vereinbarung sind nur solche personenbezogenen Daten, die Immobilien Scout GmbH im Auftrag des Kunden verarbeitet.
Kategorien von Betroffenen sind:
Mieter und Mietinteressenten des Kunden;
Mitarbeiter, Beauftragte und Geschäftspartner des Kunden;
Personen, die über Kontobewegungen des Kunden identifizierbar sind.
1.4 Nicht Gegenstand der Auftragsverarbeitung sind personenbezogene Daten des Kunden selbst (z.B. Stammdaten, Zahlungsdaten, Profil-/Accountdaten, Kommunikation des Kunden mit Immobilien Scout GmbH) und Daten, die beim Besuch der Vermietet.de-Website automatisch anfallen (z.B. IP-Adresse des anfragenden Computers, abgerufene URL, Datum und Uhrzeit des Abrufs). Diese Daten verarbeitet Immobilien Scout GmbH gemäß Art. 6 Abs. 1b DSGVO zu Zwecken der Vertragserfüllung und/oder gemäß Art. 6 Abs. 1f DSGVO aufgrund berechtigter Interessen. Nähere Informationen dazu finden sich in der Datenschutzerklärung unter https://www.vermietet.de/datenschutz.
1.5 Immobilien Scout GmbH darf die personenbezogenen Daten des Kunden ausschließlich zu Zwecken der Erfüllung der Hauptverträge oder aufgrund von Einzelfallweisungen des Kunden verarbeiten. Sofern Immobilien Scout GmbH Daten aufgrund einer rechtlichen Verpflichtung im Sinne des Art. 28 Abs. 3 lit. a DSGVO verarbeitet, teilt Immobilien Scout GmbH dies dem Kunden vor der Verarbeitung mit, soweit dies nicht rechtlich ausgeschlossen ist.
1.6 Immobilien Scout GmbH erstellt für den Kunden als Teil ihrer Leistungen anonymisierte, aggregierte statistische Auswertungen (z.B. Statistiken und Vergleichsdaten über Mieten und Quadratmeterpreise, Branchenvergleiche). Immobilien Scout GmbH kann anonyme (nicht personenbezogene) Daten und statistische Auswertungen auch für eigene Zwecke, wie z.B. Branchenvergleiche, Produktverbesserungen, Produktneuentwicklungen und ähnliche Zwecke verwenden und auch anderen Kunden oder Dritten zur Verfügung stellen.
1.7 Immobilien Scout GmbH wird Einzelfallweisungen des Kunden über die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beachten und umsetzen (z.B. in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten). Einzelfallweisungen werden als Antrag auf Leistungsänderung oder Zusatzbeauftragung behandelt, soweit die Durchführung einer Einzelfallweisung nicht vom Leistungsumfang der Hauptverträge abgedeckt ist. Immobilien Scout GmbH kann für die Durchführung von Einzelfallweisungen eine angemessene Vergütung verlangen. Der Kunde ist für etwaige Konsequenzen seiner Weisungen (z.B. Inkonsistenz von Datenbeständen) selbst verantwortlich. Weisungen sind durch den Kunden schriftlich zu erteilen.
§ 2 Unterauftragsverhältnisse
2.1 Der Kunde erteilt hiermit die allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern durch Immobilien Scout GmbH. Eine Liste der jeweils eingesetzten Unterauftragsverarbeiter ist unter dem Abschnitt „Liste der eingesetzten Unterauftragsverarbeiter“ abrufbar. Dies umfasst auch Unterauftragsverarbeiter in Drittländern, unter Berücksichtigung der insoweit zwingenden gesetzlichen Voraussetzungen (insbesondere Art. 44ff. DSGVO). Beabsichtigt Immobilien Scout GmbH, weitere Unterauftragsverarbeiter hinzuzuziehen oder bestehende zu ersetzen, wird dies auf der vorgenannten Seite mit einer Frist von mindestens 6 Wochen angekündigt. Der Kunde wird zudem per E-Mail über die beabsichtigten Änderungen innerhalb der vorgenannten Frist informiert, sofern er die E-Mail-Benachrichtigungen nicht deaktiviert hat. Sollte der Kunde begründete Einwände gegen den Einsatz eines neuen Unterauftragsverarbeiters haben, ist er berechtigt, gegenüber Immobilien Scout GmbH bis spätestens zwei Wochen vor Inkrafttreten der Änderungen Einspruch gegen den Einsatz des Unterauftragsverarbeiters zu erheben. In diesem Fall gilt der Hauptvertrag als gekündigt.
2.2 Vertragliche Vereinbarungen mit Unterauftragsverarbeitern werden durch Immobilien Scout GmbH so gestaltet, dass sie den Anforderungen der DSGVO und dieses Vertrages entsprechen.
2.3 Als Unterauftragsverarbeitung im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören insbesondere Nebenleistungen, die Immobilien Scout GmbH z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern in Anspruch nimmt. Immobilien Scout GmbH ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit auch bei solchen ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
§ 3 Datensicherheit
3.1 Immobilien Scout GmbH stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten eingesetzten Mitarbeiter zur Vertraulichkeit verpflichtet sind.
3.2 Immobilien Scout GmbH trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die jeweils aktuell geltenden Maßnahmen sind unter dem Abschnitt „Datensicherheitsmaßnahmen der Immobilien Scout GmbH GmbH“ abrufbar. Immobilien Scout GmbH kann die dort beschriebenen technisch-organisatorischen Maßnahmen ändern und anpassen, insbesondere an Fortentwicklungen des Standes der Technik, sofern dadurch das nach der DSGVO erforderliche Sicherheitsniveau nicht unterschritten wird.
3.3 Immobilien Scout GmbH stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung, z.B. durch Vorlage geeigneter Dokumentation.
3.4 Immobilien Scout GmbH ermöglicht zudem die Überprüfung durch den Kunden oder einen anderen von diesem beauftragten Prüfer und wirkt daran mit. Vor-Ort-Kontrollen sind mit der Immobilien Scout GmbH rechtzeitig, in der Regel mindestens vier Wochen im Voraus zu vereinbaren (Ausnahme z.B. anlassbezogene Prüfungen bei Datenschutzverletzungen). Immobilien Scout GmbH kann für die Mitwirkung bei einer solchen Prüfung eine angemessene Vergütung verlangen.
3.5 Der Kunde verpflichtet sich, alle im Rahmen der vorgenannten Kontrollen und Auskünfte bekannt gewordenen oder von Immobilien Scout GmbH bekannt gegebenen Informationen, Unterlagen, Daten und Erkenntnisse streng vertraulich zu behandeln, ausschließlich für die datenschutzrechtliche Kontrolle zu verwenden und nicht anderweitig zu nutzen. Vom Kunden eingeschaltete Mitarbeiter oder externe Dritte sind, sofern sie nicht von Berufs wegen zur Verschwiegenheit verpflichtet sind, einer gleichwertigen Verschwiegenheitspflicht wie der hier festgelegten zu unterwerfen.
§ 4 Informations- und Unterstützungspflichten
4.1 Wenn Immobilien Scout GmbH eine Verletzung des Schutzes personenbezogener Daten des Kunden im Sinne von Art. 33 DSGVO bekannt geworden ist, meldet sie diese unverzüglich dem Kunden. Immobilien Scout GmbH wird in diesem Fall unverzüglich angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Immobilien Scout GmbH unterstützt den Kunden bei der Erfüllung der Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.
4.2 Immobilien Scout GmbH unterstützt den Kunden auf Anforderung unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Immobilien Scout GmbH kann für diese Unterstützung eine angemessene Vergütung verlangen.
4.3 Soweit ein Betroffener sich unmittelbar an Immobilien Scout GmbH zwecks Wahrnehmung von Betroffenenrechten wenden sollte, wird Immobilien Scout GmbH dieses Ersuchen unverzüglich an den Kunden weiterleiten. Auf Anforderung unterstützt Immobilien Scout GmbH den Kunden dabei. Immobilien Scout GmbH kann für diese Unterstützung eine angemessene Vergütung verlangen.
§ 5 Löschung und Rückgabe von Daten
Die Löschung der im Auftrag verarbeiteten personenbezogenen Daten des Kunden erfolgt mit Beendigung der Hauptverträge, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
§ 6 Laufzeit und Schlussbestimmungen
6.1 Die vorliegende Vereinbarung endet mit der Beendigung der Hauptverträge. Sie bleibt auch über die Beendigung der Hauptverträge hinaus solange in Kraft, wie die Immobilien Scout GmbH über personenbezogene Daten des Kunden verfügt.
6.2 Auf die Haftung der Parteien untereinander finden die Haftungsregelungen gemäß Ziff. 9 der Immobilien Scout GmbH-AGB (https://www.vermietet.de/agb) Anwendung.
6.3 Auf diese Vereinbarung findet das Recht der Bundesrepublik Deutschland Anwendung. Die gesetzlichen Vorschriften zur Beschränkung der Rechtswahl und zur Anwendbarkeit zwingender Vorschriften insbesondere des Staates, in dem der Kunde als Verbraucher seinen gewöhnlichen Aufenthalt hat, bleiben unberührt.
6.4 Sofern es sich beim Kunden um einen Kaufmann, eine juristische Person des öffentlichen Rechts oder um ein öffentlich-rechtliches Sondervermögen handelt, ist Gerichtsstand für alle Streitigkeiten zwischen dem Kunden und Immobilien Scout GmbH der Sitz des Immobilien Scout GmbH.
Zur Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten gemäß Art. 32 DSGVO setzt Immobilien Scout GmbH insbesondere die folgenden Maßnahmen um:
Rollen für Sicherheit und Datenschutz. Immobilien Scout GmbH hat einen Verantwortlichen für Informationssicherheit und einen Datenschutzbeauftragten bestimmt.
Geheimhaltungsverpflichtung. Mitarbeiter von Immobilien Scout GmbH unterliegen Geheimhaltungsverpflichtungen und sind auf das Datengeheimnis belehrt.
Richtlinien und Arbeitsanweisungen. Immobilien Scout GmbH führt Richtlinien und Sicherheitsdokumentation, in denen die Sicherheitsmaßnahmen und die relevanten Verfahren und Verantwortlichkeiten ihrer Mitarbeiter beschrieben sind.
Vorgehen bei Sicherheitsvorfällen und potentiellen Datenschutzverletzungen. Insbesondere verfügt Immobilien Scout GmbH über interne Richtlinien und Eskalationsprozeduren bei Sicherheits- und Datenschutzvorfällen.
Sicherheits- und Datenschutzschulungen. Immobilien Scout GmbH schult und informiert ihre Mitarbeiter über relevante Datenschutz- und Sicherheitsmaßnahmen und ihre jeweiligen Aufgaben. Außerdem informiert Immobilien Scout GmbH ihre Mitarbeiter über mögliche Konsequenzen beim Verstoß gegen die Sicherheitsvorschriften und -verfahren.
Auftragskontrolle durch Abschluss von Verträgen nach Art. 28 DSGVO mit Auftragnehmern und Subunternehmern, Einräumung von Kontrollrechten und Weisungsbefugnissen.
Zutrittskontrollmaßnahmen für die Immobilien Scout GmbH-Geschäftsräume, insbesondere durch Alarmsicherung sowie Schlüssel und Schlüsselvergabe für die allgemeinen Betriebsräume. Diese sind in internen Richtlinien für die Zutrittskontrolle zu den Betriebsräumen und die Schlüsselvergabe geregelt.
Zugangskontrollmaßnahmen. Für die eingesetzten IT-Systeme, die Zugang zu Kundendaten ermöglichen, existiert ein ergänzendes Betriebs- und Sicherheitskonzept. Benutzerkonten und -kennungen werden für alle Immobilien Scout GmbH-Mitarbeiter namentlich personenbezogen erstellt. Anonymisierte und pauschalisierte Benutzerkonten werden nicht erstellt. Paßwörter müssen einem Mindest-Sicherheitsniveau entsprechen, das bei der Vergabe automatisch überprüft wird.
Zugriffskontrollmaßnahmen. Über die Benutzer-Authentifizierung und ein Berechtigungskonzept (Rollen- und Rechtekonzept) ist sichergestellt, dass nur solche Immobilien Scout GmbH-Mitarbeiter Zugriff auf Kundendaten erhalten, die dies zur Erledigung ihrer Aufgaben zwingend benötigen („need to know“-Prinzip, i.d.R. nur Administratoren, Kundenservice, ggf. Entwickler).
Weitergabekontrolle / Verschüsselung. Alle externen Datenverbindungen – sowohl im Frontend für die Interaktion des Kunden mit der Plattform als auch im Immobilien Scout GmbH-Backend – werden nach dem Stand der Technik verschlüsselt (insbesondere SSL/https).
Pseudonymisierung und verschlüsselte Speicherung. Soweit möglich und sinnvoll, werden in internen Datenbanken keine unmittelbar personenidentifizierenden Daten (z.B. Name, E-Mail-Adresse) gespeichert, sondern nur interne Kennziffern (Identifier). Sensible Daten (z.B. Passwörter, BIC/IBAN) werden in verschlüsselter Form (Hash) gespeichert.
Change- und Patchmanagement, Qualitätsmanagement. Immobilien Scout GmbH hat definierte Prozesse zur Änderung von IT-Systemen (Change-/Patchmanagement) umgesetzt. Alle Änderungen an IT-Systemen durchlaufen vorgegebene Test- und Prüfverfahren. Immobilien Scout GmbH prüft regelmäßig, ob sicherheitsrelevante Updates und Patches vorhanden sind und installiert diese kurzfristig.
Monitoring. Immobilien Scout GmbH setzt automatische Monitoring-Systeme ein, um Ausfälle und Sicherheitsvorfälle sofort zu erkennen, so dass unverzüglich Gegenmaßnahmen eingeleitet werden können.
Datensicherung / Backups. Immobilien Scout GmbH führt regelmäßig Backups der Kundendaten durch, um deren Verfügbarkeit zu gewährleisten.
Virenkontrolle und Firewalls. Die IT-Infrastruktur der Immobilien Scout GmbH ist durch Virenscanner und Firewalls geschützt. Externe Datenträger werden vor der Verwendung im Unternehmen auf Schadsoftware geprüft.
Sicherheit im Rechenzentrum. Immobilien Scout GmbH nutzt derzeit die Google Cloud zur Speicherung von Kundendaten. In diesem Zusammenhang sind insbesondere folgende Maßnahmen zur Datensicherheit umgesetzt:
Datenspeicherung in Europa. Immobilien Scout GmbH hat als Speicherregion mit Google „europe-west1“ ausgewählt. Die Daten werden von Google in einem Rechenzentrum in St. Ghislain, Belgien gespeichert (siehe https://cloud.google.com/compute/docs/regions-zones/).
Vereinbarung zur Auftragsverarbeitung. Immobilien Scout GmbH hat mit Google eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO über die Google Cloud Dienste abgeschlossen.
ISO-Zertifizierung. Die von Immobilien Scout GmbH genutzten Google Cloud Dienste sind nach den Sicherheitsstandards ISO27001 und ISO27017 zertifiziert.
Die folgenden Unterauftragsverarbeiter werden von der Immobilien Scout GmbH GmbH zur Verarbeitung im Auftrag personenbezogener Daten eingesetzt, die vom Kunden im Rahmen der Nutzung des Portals Vermietet.de bereitgestellt oder offengelegt werden:
Firmierung, Rechtsform, Anschrift
Intercom R&D Unlimited Company
2nd Floor, Stephen Court, 18-21 St. Stephen’s Green
Dublin 2, Irland
Kommunikationsdienste
Stack Holdings GmbH
Elisabethstrasse 15/5a1010 Wien, Österreich
Elektronische Unterschriften
Hotjar Limited
Level 2, St Julian’s Business Centre, 3, Elia Zammit StreetSt Julian’s STJ 1000, Malta
Analyse des Nutzerverhaltens
Aiven Ltd
Antinkatu 100100 Helsinki, Finland
Datenübertragung und -verteilung
finAPI GmbH
Adams-Lehmann-Strasse 4480797 München, DeutschlandBankdatenintegration
Google Ireland Limited
Gordon House, Barrow Street, Dublin 4, Irland
Cloud-Speicher, Cloud-Verarbeitung
Mongodb Limited
Third Floor, 3 Shelbourne Buildings, Ballsbridge, Dublin 4, Irland
Cloud-Speicher
Stripe Payments Europe, Ltd.
C/O A&L Goodbody, Ifsc, North Wall Quay, Dublin 1, Irland
Zahlungsabwicklung