Verzeichnis von Verarbeitungstätigkeiten
Art. 30 DSGVO — Tätigkeiten als Verantwortlicher und als Auftragsverarbeiter.
Verantwortlicher / Auftragsverarbeiter
Über dieses Verzeichnis
Art. 30 DSGVO — Verzeichnis von Verarbeitungstätigkeiten
Dieses Verzeichnis dokumentiert die Verarbeitungstätigkeiten der Software „Immobilien Butler“ in zwei Teilen:
- Teil A — Art. 30 Abs. 1 DSGVO: Tätigkeiten, in denen der Anbieter als eigenständiger Verantwortlicher auftritt (insbesondere Konto-, Authentisierungs- und Vertragsdaten der Mandanten).
- Teil B — Art. 30 Abs. 2 DSGVO: Tätigkeiten, in denen der Anbieter als Auftragsverarbeiter im Sinne von Art. 28 DSGVO auf Weisung des Mandanten handelt (insbesondere Eigentümer-, Mieter-, Beleg- und Bankdaten).
Die technisch-organisatorischen Maßnahmen, die in den Spalten „Bezug TOM“ referenziert sind, sind im TOM-Dokument (Stand 2026-05-08) detailliert beschrieben. Die eingesetzten Subunternehmer sind in Anlage 2 zur AVV (Stand 2026-05-08) gelistet.
Teil A — Verzeichnis des Verantwortlichen (Art. 30 Abs. 1)
| Tätigkeit · Zweck | Betroffene | Datenkategorien | Empfänger | Aufbewahrung | Bezug TOM |
|---|---|---|---|---|---|
VT-01 — Konto- und Authentisierung Bereitstellung individueller Zugänge, sichere Authentifizierung, Rechnungsstellung an den Mandanten | Mandant-Administratoren, Nutzer mit Konto im Mandant | Name, E-Mail, gehashtes Passwort, AES-256-GCM-verschlüsseltes TOTP-Geheimnis, gehashte Backup-Codes, Login-IP, ISO-2-Land und Stadt des letzten Zugriffs (aus Vercel-Edge-Headern), User-Agent, Session-Metadaten, Audit-Log | Vercel (Hosting), Supabase (DB), Resend (Passwort-Reset/Invite-Mails) — siehe Anlage 2 zur AVV | Dauer der Vertragslaufzeit; Audit-Log-Einträge: mindestens 12 Monate; Backups: 7 Tage Point-in-Time-Recovery | TOM § 2 (Zugangskontrolle), § 5 (Eingabekontrolle), § 6 (Verfügbarkeitskontrolle) |
VT-02 — Vertragsanbahnung & Onboarding Beantwortung von Anfragen zur Software, Vertragsanbahnung, Einrichtung des Mandant-Kontos | Interessenten, neue Mandanten | Name, Firma, E-Mail, frei verfasste Anfragetexte | Vercel (Hosting), Resend (Bestätigungsmails) | Bis zu 6 Monate nach Beantwortung, sofern kein Vertrag zustande kommt; sonst Übergang in VT-01 | TOM § 2 (Zugangskontrolle), § 4 (Weitergabekontrolle) |
VT-03 — Sicherheits-Monitoring Erkennung von Sicherheitsvorfällen, Fehlerursachenanalyse, Wirksamkeitsprüfung der TOMs | Alle Nutzer der Software | User-Agent, IP, Stack-Traces (entgrobt), Sentry-Events ohne PII; Audit-Log-Einträge mit Vorher/Nachher-Werten | Sentry (Error-Tracking), Vercel (Runtime-Logs) | 90 Tage in Sentry; Audit-Log mindestens 12 Monate in Postgres | TOM § 5 (Eingabekontrolle), § 6 (Verfügbarkeitskontrolle) |
Teil B — Verzeichnis des Auftragsverarbeiters (Art. 30 Abs. 2)
| Tätigkeit · Zweck | Betroffene | Datenkategorien | Empfänger | Aufbewahrung | Bezug TOM |
|---|---|---|---|---|---|
AV-01 — Stammdaten Eigentümer / Vermieter Bewirtschaftung der Liegenschaften, Anlage V, DATEV-Export | Eigentümer (natürliche Personen oder gesetzliche Vertreter juristischer Personen) | Name, Anschrift, Steuer-Identifikationsnummer, IBAN, E-Mail, Telefon | Vercel, Supabase, Cloudflare R2 (für Vertrags-PDFs); kein Drittland | Vertragslaufzeit; Buchhaltungsbelege 10 Jahre gem. § 147 AO | TOM § 3 (Zugriffskontrolle), § 7 (Trennungskontrolle) |
AV-02 — Stammdaten Mieter Verwaltung des Mietverhältnisses, Mietzahlungs-Abgleich, Mahnwesen, NK-Abrechnung | Mieter und ihre Vertragspartner (z. B. Bürgen) | Name, Anschrift, Geburtsdatum (optional), Bankverbindung, E-Mail, Telefon, Kautions- und Vertragsdaten | Vercel, Supabase, Cloudflare R2 (Mietverträge); kein Drittland | Vertragslaufzeit + 6 Jahre (§ 257 HGB), maximal 10 Jahre (§ 147 AO) für mietzahlungs-relevante Belege | TOM § 3 (Zugriffskontrolle), § 7 (Trennungskontrolle) |
AV-03 — Belege und Rechnungen Buchhaltung der Liegenschaften (SKR 03 V+V), Anlage V, DATEV-Export | Lieferanten, Dienstleister, Mieter (auf Quittungen und Rechnungen) | PDF/Bilder von Rechnungen und Quittungen sowie daraus extrahierte Felder (Lieferant, Beträge, USt., Rechnungsnummer) | Vercel, Supabase, Cloudflare R2; bei aktivierter KI-Belegerkennung: Anthropic (USA) auf Grundlage SCC 2021/914 | 10 Jahre gem. § 147 AO | TOM § 3, § 4, § 7, § 8 (Auftragskontrolle) |
AV-04 — Bank-Transaktionen Automatischer Abgleich von Mietzahlungen, Beleg-Zahlungen, Kautionsbewegungen | Mieter, Eigentümer, Lieferanten (auf Buchungstexten) | Buchungstext, Betrag, Verwendungszweck, IBAN/BIC der Kontoinhaber und Geschäftspartner | Vercel, Supabase; CSV-Import durch den Mandanten — keine Bank-API-Anbindung in v1 | 10 Jahre gem. § 147 AO | TOM § 3, § 7 |
AV-05 — Dokumente Dokumentenverwaltung mit Volltextsuche, Anhang an Belege/Mietverträge/Liegenschaften | Eigentümer, Mieter, Dritte (je nach Inhalt der Datei) | Beliebige Dateien (PDF, Bilder), die der Mandant der Software übergibt — Verträge, Übergabeprotokolle, Versicherungsscheine, Fotos, Steuerbescheide | Vercel, Cloudflare R2 (EU-Bucket) | Vertragslaufzeit; bei buchhaltungsrelevanten Dokumenten 10 Jahre gem. § 147 AO | TOM § 4 (Weitergabekontrolle), § 6, § 7 |
AV-06 — Mandant-ausgehende E-Mails Kommunikation des Mandanten mit Mietern, Lieferanten, Mit-Nutzern (Mahnwesen, NK-Abrechnung, Einladungen) | Mieter, Lieferanten, Mit-Nutzer | Empfänger-Adresse, Betreff, Inhalt, ggf. PDF-Anlage; Versandprotokoll | Resend (EU-Region eu-west-1) | Versandprotokoll bis zu 30 Tage; Inhalt: Vertragslaufzeit | TOM § 4, § 8 |
AV-07 — KI-Belegerkennung (optional) Automatische Vorbefüllung der Beleg-Felder durch Vision-LLM | Lieferanten, Dienstleister (auf Belegen abgebildet) | Bytes der hochgeladenen Beleg-Datei; strukturierte Felder als Rückgabe | Anthropic, PBC (USA) — SCC 2021/914 + Zero Data Retention + vertraglicher Verzicht auf Modelltraining | Keine dauerhafte Speicherung beim Provider; Mandant kann Funktion deaktivieren | TOM § 4, § 8 |
Drittlandtransfers
Der einzige reguläre Drittlandtransfer findet im Rahmen der KI-Belegerkennung an Anthropic, PBC (USA) statt — und auch dies nur, wenn der Mandant die Funktion aktiv nutzt. Rechtsgrundlage sind die EU-Standardvertragsklauseln (SCC 2021/914), ergänzt durch vertraglich zugesicherte Zero Data Retention beim Provider und den Verzicht auf Modelltraining mit Mandanten-Daten.
Vercel (Hosting) und Cloudflare (R2) haben US-Mutterkonzerne, speichern und verarbeiten personenbezogene Daten jedoch innerhalb der EU; der DPA mit beiden Anbietern verpflichtet zu SCC für etwaige Notfall-Übermittlungen.
Fortschreibung
Dieses Verzeichnis wird bei jeder Änderung am Datenfluss (neue Verarbeitungstätigkeit, neuer Subunternehmer, geänderte Aufbewahrungsfristen) in derselben Pull-Request aktualisiert, in der die Änderung umgesetzt wird. Die jeweils aktuelle Fassung ist unter /vvt jederzeit abrufbar.