Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO – Stand: April 2026 – Version 1.0

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen dem Kunden (nachfolgend „Verantwortlicher") und der

Valtio UG (haftungsbeschränkt)
Musterstraße 1
10115 Berlin
E-Mail: datenschutz@valtio.de

(nachfolgend „Auftragsverarbeiter") geschlossen.

Der AVV wird durch Akzeptanz beim Onboarding (digitale Annahme mit Zeitstempel) abgeschlossen und ist Bestandteil des Hauptvertrags über die Nutzung der Software Valtio.

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Bereitstellung der cloudbasierten Hausverwaltungssoftware „Valtio". Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Vertragsende werden die Daten gemäß § 9 dieses AVV gelöscht oder zurückgegeben.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung dient der Erbringung der vertraglich vereinbarten SaaS-Leistungen, insbesondere:

• Speicherung, Verwaltung und Darstellung von Stammdaten zu Mietern, Eigentümern und Objekten
• Verarbeitung von Finanzdaten (Mietzahlungen, Nebenkostenabrechnung, Rechnungsstellung)
• Kommunikation und Dokumentenverwaltung
• Bereitstellung des Mieter-Portals (sofern gebucht)
• Technischer Betrieb, Datensicherung und Support

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind folgende Kategorien personenbezogener Daten:

• Stammdaten: Name, Vorname, Anschrift, Geburtsdatum, Kontaktdaten (E-Mail, Telefon)
• Vertragsdaten: Mietvertragsdaten, Einzugsdatum, Miethöhe, Kündigungsdaten
• Finanzdaten: Bankverbindung (IBAN), Zahlungshistorie, Salden, Nebenkostenabrechnungen
• Kommunikationsdaten: Nachrichten im Mieter-Portal, Schadensmeldungen
• Nutzungsdaten: Login-Zeitstempel, Aktivitätsprotokolle (Audit-Log)

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden grundsätzlich nicht verarbeitet, es sei denn, der Verantwortliche gibt solche Daten in Freitextfeldern ein.

§ 4 Kategorien betroffener Personen

• Mieter und Mieterinnen
• Eigentümer und Eigentümerinnen
• WEG-Mitglieder
• Handwerker und Dienstleister
• Mitarbeitende des Verantwortlichen (Nutzer der Software)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
• Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO umzusetzen (siehe Anlage 1)
• Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) zu unterstützen
• Den Verantwortlichen bei der Meldung von Datenschutzverletzungen gemäß Art. 33, 34 DSGVO zu unterstützen
• Alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung dieses AVV nachweisen zu können
• Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, an den Verantwortlichen zu melden

§ 6 Weisungsrecht des Verantwortlichen

Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter jederzeit Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen erfolgen in der Regel durch Nutzung der Funktionen innerhalb der Software oder schriftlich per E-Mail an datenschutz@valtio.de.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Ansicht gegen datenschutzrechtliche Vorschriften verstößt.

§ 7 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen – Hosting/Rechenzentrum (Deutschland)
• Resend Inc., 2261 Market Street #5009, San Francisco, CA 94114, USA – E-Mail-Versand (Standardvertragsklauseln)
• Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA – Zahlungsabwicklung (Standardvertragsklauseln)

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern. Der Verantwortliche kann Änderungen innerhalb von 14 Tagen nach Bekanntgabe schriftlich widersprechen.

§ 8 Rechte betroffener Personen

Soweit betroffene Personen ihre Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) gegenüber dem Auftragsverarbeiter geltend machen, leitet dieser die Anfragen unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter unterstützt den Verantwortlichen mit technischen Mitteln bei der Erfüllung dieser Anfragen.

§ 9 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage alle verarbeiteten Daten in einem gängigen, maschinenlesbaren Format (JSON/CSV) zum Export zur Verfügung.

Nach Ablauf einer Übergangsfrist von 30 Tagen nach Vertragsende werden sämtliche personenbezogenen Daten des Verantwortlichen unwiderruflich und datenschutzkonform gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.

§ 10 Kontrolle und Audit

Der Verantwortliche ist berechtigt, die Einhaltung der Datenschutzvorschriften und die Umsetzung der technischen und organisatorischen Maßnahmen beim Auftragsverarbeiter zu überprüfen. Dies kann durch Einsicht in Dokumentationen, Fragebögen oder – nach vorheriger Ankündigung mit einer Frist von mindestens 14 Tagen – durch Audits vor Ort erfolgen.

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen und Nachweise zur Verfügung.

§ 11 Haftung

Die Haftung der Parteien bestimmt sich nach den Regelungen der DSGVO sowie den Bestimmungen des Hauptvertrags. Jede Partei haftet gegenüber betroffenen Personen für Schäden, die durch eine nicht dieser Vereinbarung entsprechende Verarbeitung verursacht wurden.

§ 12 Schlussbestimmungen

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin. Sollten einzelne Bestimmungen unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht dieser AVV vor, soweit datenschutzrechtliche Pflichten betroffen sind.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

Zutrittskontrolle

• Serverhosting in einem zertifizierten Rechenzentrum in Deutschland (Hetzner, ISO 27001)
• Physischer Zugang nur für autorisiertes Personal des Rechenzentrumsbetreibers

Zugangskontrolle

• Verschlüsselte Übertragung aller Daten via TLS 1.2+ (HTTPS)
• Passwort-Hashing mit bcrypt (Kostenfaktor ≥ 12)
• 2-Faktor-Authentifizierung für Administratoren (TOTP)
• Automatische Session-Abmeldung nach Inaktivität

Zugriffskontrolle

• Rollenbasiertes Berechtigungssystem (Verwalter, Mitarbeiter, Handwerker, Mieter)
• Mandantentrennung: jeder Kunde erhält eine eigene Datenbankinstanz
• Lückenloser Audit-Log aller datenschutzrelevanten Aktionen

Weitergabekontrolle

• Keine Weitergabe von Daten an Dritte außer den genannten Unterauftragsverarbeitern
• E-Mail-Versand ausschließlich über Resend (verschlüsselt via TLS)
• Keine Nutzung von Daten zu eigenen Zwecken

Verfügbarkeitskontrolle

• Tägliche Datenbank-Backups, 7-tägige Aufbewahrung
• Uptime-Monitoring via Uptime Kuma (öffentlich einsehbar unter status.valtio.de)
• Angestrebte Verfügbarkeit: 99,5 % im Jahresmittel

Trennungskontrolle

• Strikte Datentrennung zwischen Mandanten auf Datenbankebene
• Keine Mischverarbeitung von Daten verschiedener Verantwortlicher