Vertrag zur Auftragsverarbeitung

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Zwischen

immorise GmbH

Kemperplatz 1, 10785 Berlin

E-Mail: info@immorise.com

Vertreten durch die Geschäftsführer: Lukasz Niedzwiecki, Alexander Zgoll, Jan Dirk Poppinga (im Folgenden „Auftragsverarbeiter")

und dem jeweiligen Kunden der Cloud-Plattform immorise (im Folgenden „Verantwortlicher"), gemeinsam auch „Parteien" genannt.

§ 1 Gegenstand und Dauer

1. Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen im Zusammenhang mit der Nutzung der Cloud-Plattform immorise, über die digitale Gebäudedaten (z. B. 3D-Modelle, Scan-Daten, Pläne, Metadaten) verarbeitet, gespeichert und verwaltet werden.

2. Diese Vereinbarung konkretisiert die Verpflichtungen der Parteien gemäß Art. 28 DSGVO.

3. Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages (Nutzungsvertrag bzw. AGB). Sie endet automatisch mit dessen Beendigung.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich

  • zur Bereitstellung und Verwaltung von Nutzerkonten und Projekten,
  • zur Speicherung, Analyse und Darstellung von Gebäudedaten,
  • zur KI-gestützten Verarbeitung und automatischen Unkenntlichmachung personenbezogener Merkmale (z. B. Gesichter, Kennzeichen),
  • zur Kommunikation und Zusammenarbeit zwischen Projektbeteiligten,
  • sowie zur Systemwartung, Fehlerbehebung, Abrechnung und Qualitätssicherung.

Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

§ 3 Art der Daten und Kategorien betroffener Personen

1. Art der Daten:

  • Nutzerstammdaten (Name, E-Mail, Kontaktdaten, Firmenzugehörigkeit)
  • Projektdaten (3D-Modelle, Pläne, Bilder, Kommentare, Tickets, Protokolle)
  • Zugriffsdaten (Rollen, Berechtigungen, Log-Daten)
  • Zahlungsdaten (verarbeitet durch Stripe Payments Europe Ltd.)

2. Kategorien betroffener Personen:

  • Kunden, Nutzer und Administratoren der Plattform
  • Beschäftigte oder Partnerunternehmen der Kunden
  • Personen, die auf hochgeladenen Dateien abgebildet sind (z. B. auf 3D-Scans mit Panoramaaufnahmen)

§ 4 Rechte und Pflichten des Verantwortlichen

1. Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt sicher, dass personenbezogene Daten nur auf rechtmäßiger Grundlage verarbeitet werden.

2. Er bleibt Herr der Daten und kann Weisungen zur Verarbeitung jederzeit in Textform erteilen.

3. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn Unregelmäßigkeiten, Verstöße oder Fehler festgestellt werden.

§ 5 Pflichten des Auftragsverarbeiters

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisungen des Verantwortlichen, einschließlich solcher, die im Rahmen der Nutzung der Plattform immorise durch vom Verantwortlichen autorisierte Nutzer oder automatisierte Systemfunktionen erfolgen.

2. Der Auftragsverarbeiter stellt sicher, dass ausschließlich die zur Vertragserfüllung befugten und auf Vertraulichkeit verpflichteten Personen Zugang zu personenbezogenen Daten erhalten.

3. Er implementiert technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um ein angemessenes Schutzniveau zu gewährleisten (siehe § 6).

4. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrung der Betroffenenrechte sowie ggf. bei Datenschutz-Folgenabschätzungen im Rahmen der ihm zur Verfügung stehenden technischen und organisatorischen Möglichkeiten.

5. Nach Beendigung des Hauptvertrages werden personenbezogene Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

1. Der Auftragsverarbeiter hat umfassende technische und organisatorische Maßnahmen (TOMs) umgesetzt, die den Anforderungen des Art. 32 DSGVO entsprechen. Dazu gehören insbesondere Maßnahmen zur Zutritts-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle sowie zur Trennung von Daten.

2. Die TOMs werden regelmäßig überprüft, aktualisiert und auf Anfrage des Verantwortlichen in der jeweils aktuellen Fassung bereitgestellt.

3. Eine detaillierte Beschreibung der TOMs ist aus Sicherheitsgründen nicht öffentlich einsehbar, liegt jedoch als Anlage zur internen AVV-Version vor.

§ 7 Unterauftragsverhältnisse

1. Der Auftragsverarbeiter darf zur Erfüllung seiner Leistungen Unterauftragnehmer einsetzen. Diese werden sorgfältig ausgewählt und vertraglich nach Art. 28 Abs. 4 DSGVO verpflichtet.

2. Die Datenverarbeitung erfolgt ausschließlich in Rechenzentren in Deutschland. Es werden keine personenbezogenen Daten außerhalb der Europäischen Union verarbeitet.

3. Eine aktuelle Liste der Unterauftragsverarbeiter kann vom Verantwortlichen auf Anfrage eingesehen werden. Der Auftragsverarbeiter informiert über Änderungen dieser Liste, soweit gesetzlich erforderlich.

§ 8 Unterstützungspflichten und Meldung von Datenschutzverletzungen

1. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere hinsichtlich Informationspflichten, Auskunftsrechten und Datensicherheit.

2. Datenschutzverletzungen im Sinne des Art. 33 DSGVO werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, gemeldet.

§ 9 Nachweis und Kontrolle

1. Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Anforderungen im Rahmen des gesetzlich Zulässigen und unter Wahrung der Vertraulichkeit anderer Kunden des Auftragsverarbeiters in angemessenem Umfang zu überprüfen.

2. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage angemessene Nachweise über die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen zur Verfügung, z. B. Zusammenfassungen der TOMs, interne Datenschutzrichtlinien oder Auditprotokolle, soweit verfügbar. Eine Verpflichtung zur Vorlage von Zertifizierungen (z. B. ISO 27001) besteht nur, wenn solche Zertifizierungen tatsächlich vorhanden sind.

3. Vor-Ort-Audits sind nur nach vorheriger Abstimmung und innerhalb üblicher Geschäftszeiten zulässig. Sie dürfen den Betriebsablauf nicht unangemessen beeinträchtigen. Der Auftragsverarbeiter kann solche Audits aus berechtigtem Interesse auf Stichproben oder dokumentenbasierte Kontrollen beschränken.

§ 10 Haftung

1. Die Haftung richtet sich nach den Bestimmungen des Hauptvertrages (§ 14 AGB) und Art. 82 DSGVO.

2. Der Auftragsverarbeiter haftet nur für Schäden, die auf eine Verletzung seiner in diesem Vertrag geregelten Pflichten zurückzuführen sind.

§ 11 Schlussbestimmungen

1. Es gilt deutsches Recht.

2. Gerichtsstand ist Berlin.

3. Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.

4. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.