Rechtliches

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO · Basierend auf WKO Mustervertrag · Stand: Juni 2024

ℹ️ Dieser AVV wird beim Onboarding individuell mit jedem Kunden unterzeichnet. Die nachfolgende Version dient als Vorlage — Kundendaten werden beim Onboarding eingetragen.
Der Verantwortliche (Auftraggeber)
[ Name des Maklers / Maklerbüros ]
[ Straße, Hausnummer ]
[ PLZ ] [ Ort ], Österreich
[ E-Mail ]
Der Auftragsverarbeiter (Auftragnehmer)
Niklas Weiß (Curevo)
Moosstraße 79A
5020 Salzburg, Österreich
info@curevo.at

1. Gegenstand der Vereinbarung

Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben: Automatisierte Verarbeitung von eingehenden Immobilien-Leads via E-Mail — einschließlich Parsing, KI-gestützter Analyse, automatischer Beantwortung, Qualifizierung und Erfassung im CRM-System des Auftraggebers. Diese Vereinbarung ist als Ergänzung zum individuell vereinbarten Dienstleistungsvertrag zu verstehen.

Verarbeitete Datenkategorien

DatenkategorieBeispiele
KontaktdatenName, E-Mail-Adresse, Telefonnummer von Interessenten
AnfrageinhalteObjektinteresse, Budget, Zeitraum, Nachrichten der Interessenten
KommunikationsverlaufEingehende und ausgehende E-Mails im Rahmen der Lead-Bearbeitung
CRM-DatenLead-Status, Qualifizierungsergebnis, Terminbuchungen

Betroffene Personen

Immobilieninteressenten (potenzielle Käufer, Mieter) die über ImmoScout24, Willhaben, die eigene Website oder andere Kanäle des Auftraggebers Anfragen stellen.

2. Dauer der Vereinbarung

Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von 30 Tagen zum Monatsende gekündigt werden. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Die Vereinbarung endet automatisch mit dem Ende des Hauptvertrages.

3. Pflichten des Auftragnehmers (Curevo)

Der Auftragnehmer verpflichtet sich:

  • Daten ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten.
  • Alle mit der Datenverarbeitung beauftragten Personen zur Vertraulichkeit zu verpflichten — auch nach Beendigung ihrer Tätigkeit.
  • Alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit gemäß Art. 32 DSGVO zu ergreifen (siehe Anlage).
  • Den Auftraggeber bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) zu unterstützen.
  • Den Auftraggeber unverzüglich zu informieren falls eine Weisung gegen Datenschutzbestimmungen verstößt.
  • Nach Beendigung der Vereinbarung alle Daten zu löschen oder dem Auftraggeber als CSV-Export zu übergeben — innerhalb von 30 Tagen.
  • Ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu führen.

4. Ort der Datenverarbeitung

Die primäre Datenverarbeitung erfolgt auf Hetzner-Servern in Deutschland (EU). Für die KI-gestützte Variablen-Extraktion wird OpenAI (USA) eingesetzt — OpenAI ist aktiver Teilnehmer des EU-US Data Privacy Frameworks. Das CRM (Airtable) wird auf US-Servern betrieben — Airtable ist ebenfalls Teilnehmer des EU-US Data Privacy Frameworks.

5. Sub-Auftragsverarbeiter

Der Auftragnehmer ist befugt, folgende Sub-Auftragsverarbeiter heranzuziehen:

AnbieterSitzTätigkeit
Hetzner Online GmbHDeutschland (EU)Server-Hosting, Workflow-Engine
OpenAI, Inc.USA (EU-US DPF)KI-gestützte Variablen-Extraktion
Airtable, Inc.USA (EU-US DPF)CRM / Lead-Management
Formspree, Inc.USAKontaktformular-Verarbeitung (Website)

Beabsichtigte Änderungen der Sub-Auftragsverarbeiter werden dem Auftraggeber rechtzeitig schriftlich bekannt gegeben. Der Auftragnehmer stellt sicher dass Sub-Auftragsverarbeiter dieselben Datenschutzverpflichtungen eingehen.

6. Rechte des Auftraggebers

Dem Auftraggeber wird das Recht jederzeitiger Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer stellt alle notwendigen Informationen zur Verfügung um die Einhaltung dieser Vereinbarung zu kontrollieren.

7. Datenlöschung bei Vertragsende

Nach Beendigung dieser Vereinbarung werden alle Kundendaten und Verarbeitungsergebnisse innerhalb von 30 Tagen unwiderruflich gelöscht. Der Auftraggeber erhält auf Wunsch vorab einen vollständigen CSV-Export aller Lead-Daten aus dem CRM.

8. Anwendbares Recht

Es gilt österreichisches Recht. Gerichtsstand ist Salzburg, Österreich.

Anlage — Technisch-organisatorische Maßnahmen (TOM)

gemäß Art. 32 DSGVO

A. Vertraulichkeit

Zugangskontrolle: Kennwörter und Zwei-Faktor-Authentifizierung für alle Systeme
Zugriffskontrolle: Berechtigungen auf „Need-to-know-Basis" — nur autorisiertes Personal hat Zugang
Verschlüsselung aller Datenübertragungen via TLS/HTTPS
Vertraulichkeitsverpflichtung aller beteiligten Personen

B. Datenintegrität

Weitergabekontrolle: Verschlüsselte Datenübertragung via HTTPS/TLS
Protokollierung aller Verarbeitungsschritte im Workflow

C. Verfügbarkeit und Belastbarkeit

24/7 Monitoring via Uptime Kuma — automatische Alerts bei Systemausfall
Sofortige Benachrichtigung des Auftraggebers bei Datenpannen via Telegram
Automatische Datenlöschung nach 90 Tagen im CRM
Hetzner EU-Server mit professionellem Rechenzentrum-Betrieb

D. Regelmäßige Überprüfung

Monatlicher Check-in mit dem Auftraggeber über Systemstatus
Täglicher Heartbeat-Report über verarbeitete Leads und Fehler

Unterzeichnung

Diese Vereinbarung wird beim Onboarding von beiden Parteien unterzeichnet.

Ort, Datum
Für den Auftraggeber
[ Name + Funktion ]
Salzburg, Datum
Für den Auftragnehmer
Niklas Weiß · Curevo

Basierend auf dem WKO Mustervertrag für Auftragsverarbeitung nach Art. 28 DSGVO · Stand Juni 2024 · Curevo, Salzburg