Immobilien Butler
Zurück zur StartseiteAnmelden

Vereinbarung zur Auftragsverarbeitung

Aktuelle Fassung — Version 2026-05-08, gültig ab 2026-05-08.

Vertragsparteien

Auftraggeber und Auftragnehmer

Auftraggeber
Der jeweilige Mandant
(jeder Auftraggeber, der nach Vertragsschluss als Mandant in der Software „Immobilien Butler“ angelegt wird)
Auftragnehmer
IP Strategy UG (haftungsbeschränkt)
Niederrheinstraße 46f, 41472 Neuss
Deutschland

Präambel

Version 2026-05-08 · gültig ab 2026-05-08

Diese Vereinbarung zur Auftragsverarbeitung (im Folgenden „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Zusammenhang mit der Datenverarbeitung durch den Auftragnehmer bei der Durchführung des zwischen den Parteien geschlossenen Vertrags betreffend die von dem Auftragnehmer angebotene Software zur Immobilienverwaltung (im Folgenden „Hauptvertrag“). Die hierin enthaltenen Vereinbarungen finden Anwendung auf alle Tätigkeiten, bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

§ 1 Gegenstand und Dauer des Auftrags, Art und Zweck der Datenverarbeitung

(1)Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die in der Leistungsbeschreibung des Hauptvertrags konkretisiert sind oder zu denen der Auftraggeber dem Auftragnehmer nachträglich eine Weisung erteilt hat.
(2)Die Laufzeit dieser AVV richtet sich nach der Laufzeit des Hauptvertrags, sofern sich aus den nachfolgenden Bestimmungen nicht darüber hinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
(3)Umfang und Art der Datenverarbeitung bestimmt sich nach der Leistungsbeschreibung des Hauptvertrages in Verbindung mit den Weisungen des Auftraggebers.
(4)Zweck der Datenverarbeitung ist die Erfüllung der in der Leistungsbeschreibung des Hauptvertrages konkretisierten Tätigkeiten durch den Auftragnehmer.

§ 2 Art der Daten und Kreis der Betroffenen

(1)Im Rahmen der Durchführung des Hauptvertrags verarbeitet der Auftragnehmer folgende Arten personenbezogener Daten:
  • Mieter- und Eigentümerdaten, Daten der Nutzer, Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail), Abrechnungs- und Zahlungsdaten, Ein- und Auszugsdatum, Wohnungsgeberbescheinigung.
  • Es werden dabei keine besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO verarbeitet.
(2)Im Rahmen der Durchführung des Hauptvertrags verarbeitet der Auftragnehmer personenbezogene Daten der nachstehend genannten Kategorien betroffener Personen:
  • Eigentümer, Mieter, Verwalter, Kunden, Lieferanten, Dienstleister, Beschäftigte, Bewerber.

§ 3 Weisungsrecht des Auftraggebers

(1)Die Verarbeitung personenbezogener Daten hat ausschließlich im Rahmen des Hauptvertrags und nach Weisung des Auftraggebers zu erfolgen. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen, soweit zulässig, vor der Verarbeitung mit.
(2)Die Weisungen werden anfänglich durch den Hauptvertrag und/oder diese AVV festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Dies umfasst einen Einblick auf die Berichtigung, Löschung und Sperrung von Daten.
(3)Weisungen, die über die im Hauptvertrag vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
(4)Alle erteilten Weisungen sind von beiden Parteien zu dokumentieren.
(5)Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen die jeweils geltenden Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

§ 4 Verpflichtungen des Auftragnehmers

(1)Der Auftragnehmer hat sämtliche gemäß Art. 32 DSGVO erforderlichen technisch-organisatorischen Maßnahmen zu treffen, um einen angemessenen Schutz der Daten des Auftraggebers zu gewährleisten. Die gegenwärtig vom Auftragnehmer getroffenen technisch-organisatorischen Maßnahmen sind in Anlage 1 dargestellt. Der Auftragnehmer ist verpflichtet, die bestehenden technisch-organisatorischen Maßnahmen fortlaufend zu überprüfen, zu bewerten und zu evaluieren sowie zu aktualisieren, wobei Änderungen mit dem Auftraggeber schriftlich abzustimmen sind.
(2)Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der personenbezogenen Daten des Auftraggebers befassten Mitarbeiter bei der Aufnahme ihrer Tätigkeit gemäß den jeweils geltenden Datenschutzvorschriften zur Vertraulichkeit im Sinne des Art. 28 Abs. 3 lit. b DSGVO verpflichtet sind. Diese Verpflichtungen müssen so gefasst sein, dass sie auch für die Zeit nach Beendigung dieser Vereinbarung gelten. Der Auftraggeber stellt außerdem sicher, dass seine Mitarbeiter in die Schutzbestimmungen der jeweils geltenden Datenschutzvorschriften eingewiesen werden.
(3)Der Auftragnehmer wird die Einhaltung der datenschutzrechtlichen Bestimmungen in seinem Verantwortungsbereich regelmäßig kontrollieren und gegebenenfalls erforderliche Anpassungen von Regelungen und/oder Maßnahmen zur Durchführung dieses Auftrags vornehmen.
(4)Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 DSGVO. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung von dessen Pflichten nach Art. 32 bis 36 DSGVO.
(5)Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nur auf Weisung des Auftraggebers berichtigen, sperren oder löschen. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Sperrung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
(6)Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen, Ermittlungen und Maßnahmen der datenschutzrechtlichen Aufsichtsbehörden.
(7)Der Auftragnehmer wird ein den datenschutzrechtlichen Vorgaben entsprechendes Verzeichnis von Verarbeitungstätigkeiten führen und dieses auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen. Der Auftragnehmer wird den Auftraggeber über etwaige Anfragen der Aufsichtsbehörden unverzüglich informieren. Auskünfte an sonstige Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
(8)Der Auftragnehmer bestellt — soweit von den jeweils geltenden Datenschutzvorschriften vorgeschrieben — schriftlich einen Datenschutzbeauftragten. Name und Kontaktdaten des Datenschutzbeauftragten werden dem Auftraggeber unverzüglich nach Abschluss des Hauptvertrages schriftlich mitgeteilt. Über Änderungen des Datenschutzbeauftragten und/oder von dessen Kontaktdaten wird der Auftragnehmer den Auftraggeber unverzüglich schriftlich informieren.

§ 5 Subunternehmer (Unterauftragsverhältnisse)

(1)Der Auftragnehmer darf nur nach vorheriger schriftlicher Zustimmung des Auftraggebers Subunternehmer bei der Datenverarbeitung einschalten.
(2)Wenn Subunternehmer durch den Auftragnehmer eingeschaltet werden, müssen die vertraglichen Vereinbarungen mit den Subunternehmern so gestaltet werden, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieser AVV entsprechen. Dem Auftraggeber sind Kontroll- und Überprüfungsrechte entsprechend § 6 dieser AVV in diesen Verträgen mit den Subunternehmern in der Weise einzuräumen, dass sie den Auftraggeber, unbeschadet der Verantwortlichkeit des Auftragnehmers für die Subunternehmer, unmittelbar auch gegenüber den Subunternehmern berechtigen. Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf eine entsprechende Anforderung hin Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen durch die Subunternehmer zu erteilen.
(3)Der Auftragnehmer ist gegenüber dem Auftraggeber für sämtliche Handlungen und Unterlassungen der von ihm eingesetzten Subunternehmer verantwortlich.

§ 6 Kontrollrechte des Auftraggebers

(1)Der Auftraggeber kann sich nach Anmeldung zu Prüfzwecken in den Betriebsstätten des Auftragnehmers, in welchen die Verarbeitung der personenbezogenen Daten des Auftraggebers stattfindet, zu den üblichen Geschäftszeiten des Auftragnehmers von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Datenverarbeitung einschlägigen Datenschutzvorschriften überzeugen.
(2)Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen, die zur Durchführung einer Auftragskontrolle erforderlich sind.

§ 7 Informationspflichten des Auftragnehmers

(1)Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigter Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde.
(2)Der Auftragnehmer hat in Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftragnehmer Melde- bzw. Benachrichtigungspflichten treffen, hat der Auftragnehmer ihn hierbei zu unterstützen und im Falle einer Meldepflicht insbesondere die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben mit der Meldung nach § 7 Absatz 1 dieser AVV zu erteilen.
(3)Der Auftragnehmer hat etwaige Verstöße, einschließlich aller hiermit im Zusammenhang stehenden Fakten, die Auswirkungen und die ergriffenen Abhilfemaßnahmen, entsprechend den jeweils geltenden Datenschutzvorschriften zu dokumentieren. Die Dokumentation ist dem Auftraggeber auf Aufforderung unverzüglich herauszugeben.
(4)Sollten die personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird in diesem Zusammenhang zusichern, dass er alle Möglichkeiten zur Wahrung der Rechte des Auftraggebers an den personenbezogenen Daten ausgeschöpft hat.

§ 8 Löschung von Daten und Rückgabe von Datenträgern

(1)Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber — spätestens mit Beendigung des Hauptvertrags — hat der Auftragnehmer sämtliche in seinem Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
(2)Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 9 Kündigung

(1)Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer wesentliche Pflichten aus dieser AVV nicht nachkommt. Bestimmungen der DSGVO sowie zusätzliche oder speziell hierfür vereinbarte Regeln müssen eingehalten werden, andernfalls ist eine Kündigung möglich. Nähere Details zu den Kündigungsbedingungen sind im Hauptvertrag definiert.

§ 10 Kosten

(1)Der Auftragnehmer trägt alle Kosten, welche ihm durch die Erfüllung der in dieser AVV vorgesehenen Verpflichtungen entstehen.
(2)Die Parteien sind sich einig, dass der Auftragnehmer auch für die Erfüllung der in dieser AVV geregelten Verpflichtungen durch die in dem Hauptvertrag vorgesehene Vergütung entlohnt wird und dass der Auftragnehmer im Hinblick auf diese AVV keine darüber hinausgehende Vergütung erhält.

§ 11 Sonstiges, Allgemeines

(1)Unbeschadet des Weisungsrechts des Auftraggebers gemäß § 4 dieser AVV bedürfen Änderungen und Ergänzungen dieser AVV und aller ihrer Bestandteile einer schriftlichen Vereinbarung. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2)Die Regelungen dieser AVV gelten auch nach einer Beendigung des Hauptvertrages bis zur vollständigen Vernichtung oder Rückgabe aller personenbezogenen Daten des Auftraggebers an den Auftraggeber fort.
(3)Die Regelungen dieser AVV gehen im Zweifel den Regelungen des Hauptvertrags vor. Im Übrigen gelten die Bestimmungen des Hauptvertrages ergänzend.

Anlage 1 — Technisch-organisatorische Maßnahmen

Beschreibung der konkret eingesetzten Maßnahmen

A. Beschreibung der Einzelmaßnahmen — Der Auftragnehmer betreibt keine eigenen Rechenzentren, sondern nutzt für die Bereitstellung der Software ausschließlich zertifizierte Cloud-Subunternehmer (siehe Anlage 2). Die nachfolgenden Maßnahmen beschreiben das Zusammenspiel aus den Maßnahmen dieser Subunternehmer und den vom Auftragnehmer selbst implementierten organisatorischen und applikatorischen Maßnahmen.

1. Zutrittskontrolle (physischer Zugang zu DV-Anlagen)

Kein unbefugter Zutritt zu Servern, auf denen personenbezogene Daten verarbeitet werden.

  • Es werden keine eigenen Server-Räume betrieben. Hosting der Anwendung erfolgt durch Vercel Inc. (EU-Region „fra1“ / Frankfurt).
  • Speicherung der Datenbank erfolgt durch Supabase Inc. auf AWS in Frankfurt (eu-central-1).
  • Speicherung der Dokumente erfolgt durch Cloudflare, Inc. (R2-Speicher, EU-Region).
  • Alle eingesetzten Subunternehmer sind nach ISO 27001 und/oder SOC 2 Type II zertifiziert; physische Zutrittskontrollen werden vertraglich gesichert.

2. Zugangskontrolle (logischer Systemzugang)

Verhinderung der Nutzung der Software durch Unbefugte.

  • Anmeldung ausschließlich mit individueller E-Mail-Adresse und Passwort (keine Shared Accounts).
  • Passwort-Mindestlänge 10 Zeichen, Hashing mit modernem Algorithmus (Argon2id-kompatibel).
  • Pflichtwechsel des Passworts bei initial vom Master-Administrator gesetzten Konten (mustChangePassword).
  • Zwei-Faktor-Authentisierung (TOTP nach RFC 6238) für alle Nutzer aktivierbar; auf Wunsch des Mandant-Administrators verpflichtend für sämtliche Nutzer dieses Mandanten konfigurierbar (Mandant-weite 2FA-Pflicht).
  • TOTP-Geheimnisse werden in der Datenbank ausschließlich AES-256-GCM-verschlüsselt abgelegt; der Verschlüsselungsschlüssel liegt außerhalb der Datenbank in den Vercel-Environment-Variablen.
  • Wiederherstellungs-Codes (10 Stück) werden bei der 2FA-Einrichtung einmalig im Klartext angezeigt, in der Datenbank ausschließlich als sha256-Hashes gespeichert und sind nach einmaliger Verwendung verbraucht.
  • 5-Versuch-Lockout über 15 Minuten für die Zwei-Faktor-Verifikation (BSI-Mindeststandard MFA, Anti-Brute-Force).
  • Schutz gegen Selbstaussperrung: die Deaktivierung des eigenen 2FA ist gesperrt, wenn die Mandant-Pflicht aktiv ist.
  • Brute-Force-Schutz auf der Anmelde-Route.
  • Automatische Abmeldung bei Inaktivität (Standard 10 Minuten, pro Nutzer konfigurierbar).
  • Keine öffentliche Selbstregistrierung — Konten werden ausschließlich per Einladung durch den Master-Administrator angelegt.
  • Automatische Sperrung von Konten ausscheidender Nutzer durch den Mandant-Administrator.

3. Zugriffskontrolle (Berechtigungssteuerung)

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb der Anwendung.

  • Drei-Stufen-Rollenmodell: master_admin, admin, user — mit feingranularen Permissions.
  • Mandantenscharfe Datenisolation: jede Datenbank-Abfrage wird auf den tenant_id des angemeldeten Nutzers eingeschränkt; durchgängige Implementierung wird durch Laufzeit-Warner und schrittweise Postgres-Row-Level-Security abgesichert.
  • Audit-Log aller geld-, daten- und sicherheitsrelevanten Vorgänge mit Vorher/Nachher-Werten, Nutzer-ID, IP-Adresse und Zeitstempel.
  • Speicherung von Geheimnissen (API-Schlüssel, Passwörter) ausschließlich in Vercel-Environment-Variablen — niemals im Quellcode oder Git-Repository.
  • Datenschutzkonforme Vernichtung / Löschung über kaskadierende Foreign-Key-Löschungen und Soft-Delete-Marker, wo Aufbewahrungsfristen entgegenstehen.

4. Weitergabekontrolle (sicherer Transport)

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung.

  • Sämtlicher Datenverkehr zwischen Browser, Anwendung (Vercel), Datenbank (Supabase), Dokumentenspeicher (Cloudflare R2), KI-Provider (Anthropic) und E-Mail-Provider (Resend) erfolgt ausschließlich über TLS 1.2 oder höher.
  • Cloudflare R2 verschlüsselt sämtliche Objekte at-rest mit AES-256.
  • Supabase verschlüsselt die Datenbank at-rest mit AES-256 und stellt automatische SSL-Verbindungen bereit.
  • Dokumenten-Downloads erfolgen über zeitlich befristete, signierte URLs (Presigned URLs, TTL maximal 5 Minuten).
  • E-Mail-Versand über TLS-verschlüsselte SMTP-Verbindungen (Resend).

5. Eingabekontrolle (Nachvollziehbarkeit)

Feststellung, ob und von wem personenbezogene Daten in der Anwendung eingegeben, verändert oder entfernt worden sind.

  • Audit-Log der Anwendung erfasst jede schreibende Aktion (insert / update / delete) mit dem auslösenden Nutzer-Konto und Zeitstempel.
  • Vorher- und Nachher-Werte werden für sicherheitsrelevante Tabellen vollständig protokolliert.
  • Einträge im Audit-Log sind für Mandant-Administratoren in der Anwendung einsehbar (Menüpunkt System → Audit-Log).
  • Aufbewahrungsdauer Audit-Log: mindestens 12 Monate; Backups gemäß Punkt 6 verlängern dies faktisch.

6. Verfügbarkeitskontrolle

Schutz gegen zufälligen oder mutwilligen Verlust personenbezogener Daten.

  • Tägliche automatische Backups der Datenbank durch Supabase, einschließlich Point-in-Time Recovery (Wiederherstellung sekundengenau über die letzten 7 Tage).
  • Cloudflare R2 speichert Dokumente mit eingebauter geo-verteilter Redundanz.
  • Vercel betreibt die Anwendung mit automatischem Multi-Region-Failover.
  • DDoS-Schutz und Bot-Mitigation durch Cloudflare.
  • Regelmäßige Wiederherstellungstests gegen ein Restore-Environment.

7. Trennungskontrolle (Mandantentrennung)

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden.

  • Mandantenfähige Architektur ab Tag 1: jede Tabelle der Datenbank trägt eine tenant_id, jede Abfrage wird auf den tenant_id des Sitzungsbenutzers eingeschränkt.
  • Dokumentenspeicher Cloudflare R2 verwendet pro Mandant einen eigenen Schlüsselpfad-Präfix (<tenant_id>/...).
  • Postgres Row-Level Security wird stufenweise eingeführt, um die Anwendungs-Schicht zusätzlich auf Datenbank-Ebene abzusichern.
  • Strikte logische Trennung von Test-, Staging- und Produktivumgebung — kein Datenabgleich zwischen Umgebungen.

8. Auftragskontrolle

Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers.

  • Mit allen in Anlage 2 genannten Subunternehmern bestehen schriftliche Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
  • Bei Subunternehmern mit Sitz außerhalb der EU (insbesondere Anthropic) erfolgt der Datentransfer auf Grundlage der EU-Standardvertragsklauseln (SCC 2021/914) sowie ergänzender technischer Maßnahmen.
  • Dokumentation aller Subunternehmer-Verträge, jährliche Überprüfung der Sicherheits-Zertifizierungen.

B. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen

Datenschutz-Management mit dokumentierten internen Reviews mindestens einmal jährlich; Anpassung der TOMs bei Änderungen der Subunternehmer-Liste, der Verarbeitungstätigkeiten oder bei sicherheitsrelevanten Vorfällen.

Anlage 2 — Liste der eingesetzten Subunternehmer

Die folgende Liste benennt die im Rahmen der Erbringung der vertraglichen Leistung eingesetzten Subunternehmer (Auftragsverarbeiter im Sinne von Art. 28 Abs. 4 DSGVO). Mit jedem Subunternehmer besteht ein Auftragsverarbeitungsvertrag. Änderungen an dieser Liste werden dem Auftraggeber rechtzeitig vor dem Wirksamwerden mitgeteilt; der Auftraggeber kann der Beauftragung aus berechtigtem Grund widersprechen.

SubunternehmerSitzZweckSpeicherortÜbermittlungs-Grundlage
VercelVercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USAHosting der Web-Applikation, Edge-Funktionen, statische AuslieferungEU (Frankfurt — Region fra1)EU-Region; Mutterkonzern in den USA — SCC 2021/914 + DPA
SupabaseSupabase Inc., 970 Toa Payoh North #07-04, Singapore 318992Verwaltung der PostgreSQL-Datenbank inkl. Backups, Authentication-Backbone, Storage-APIEU (AWS Frankfurt — eu-central-1)EU-Region; Mutterkonzern außerhalb der EU — SCC 2021/914 + DPA
Cloudflare R2Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USASpeicherung der vom Mandanten hochgeladenen Dokumente (Belege, Verträge, Fotos), CDN, DDoS-SchutzEU (R2-Bucket mit EU-Jurisdiktion)EU-Speicherort; Mutterkonzern in den USA — SCC 2021/914 + DPA
Anthropic (Claude API)Anthropic, PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA(1) KI-gestützte Belegerkennung (Vision-LLM): Extraktion strukturierter Felder aus hochgeladenen Rechnungen und Quittungen. (2) In-App-„Butler-Assistent“: Beantwortung von Software-Bedienungsfragen auf Basis der Frage des Nutzers und eines aggregierten Bestandsschnappschusses (Anzahl Liegenschaften, Mieter, offene Mahnungen) — keine Übertragung personenbezogener Daten oder einzelner BuchungssätzeUSA — keine dauerhafte Speicherung der übermittelten Belege (Zero Data Retention gemäß Anthropic-DPA)Drittlandtransfer USA — EU-Standardvertragsklauseln (SCC 2021/914), zusätzliche Maßnahmen: keine Speicherung beim Provider, ausschließlich Inferenz, Verzicht auf Modelltraining mit Mandanten-Daten gemäß Anthropic Commercial Terms
ResendResend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USAVersand transaktionaler E-Mails an Mandant-Nutzer und an Mieter / Lieferanten (Mahnwesen, Nebenkostenabrechnung, Einladungen, Passwort-Reset)EU (Region eu-west-1)EU-Region; Mutterkonzern in den USA — SCC 2021/914 + DPA
Postmark (Inbound)ActiveCampaign, LLC (Wildbit), 225 W Washington St #500, Chicago, IL 60606, USAEmpfang weitergeleiteter Beleg-E-Mails an belege@<tenant>.immobilien-butler.com, Übergabe an die Software via WebhookUSA — automatische Löschung nach erfolgreichem Webhook-EmpfangDrittlandtransfer USA — SCC 2021/914 + DPA

Aktualisierungen der Liste werden auf der Seite System → AVV veröffentlicht. Maßgeblich ist die jeweils zum Zeitpunkt der Verarbeitung in der Software hinterlegte Fassung.