Auftragsverarbeitungsvertrag.

Der Verantwortliche nutzt die Halveo-Web-App, um Daten seiner Mieter und Mietverhältnisse zu verwalten. Halveo verarbeitet hierfür im Auftrag des Verantwortlichen personenbezogene Daten Dritter, soweit dies für die im Hauptvertrag vereinbarten Funktionen erforderlich ist.

Die Vereinbarung gilt für die Laufzeit des Halveo-Hauptvertrags und endet automatisch mit dessen Beendigung.

Halveo verarbeitet die Daten ausschließlich zu folgenden Zwecken:

• Bereitstellung der App-Funktionen für den Verantwortlichen und seine Mieter
• Speicherung und Anzeige hochgeladener Dokumente, Fotos und Beleg-Daten
• KI-gestützte Klassifizierung und Datenextraktion aus Dokumenten und E-Mails (siehe Nr. 5 der Datenschutzerklärung des Hauptvertrags)
• Versand technischer und transaktionaler Benachrichtigungen an die betroffenen Personen
• Backup- und Wiederherstellungs-Mechanismen, Logfiles, Sicherheits-Monitoring

Eine Verarbeitung zu eigenen Zwecken oder eine Vermarktung der Daten findet nicht statt.

Datenkategorien: Stammdaten, Kontaktdaten, Mietverhältnis-Daten, Finanz- und Zahlungsangaben, Beleg- und Dokument-Inhalte, Foto- und Bilddateien, Korrespondenzdaten, Kommunikations-Metadaten, Nutzungsverhalten-Logs.

Betroffenen-Gruppen: Mieter und ihre Haushalts-Mitglieder, vom Verantwortlichen beauftragte Hausmeister und Dienstleister, Geschäftspartner des Verantwortlichen (z.B. Versicherer, Handwerker), zur Verwaltung autorisierte Familienmitglieder.

Halveo verpflichtet sich:

• Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Als dokumentierte Weisung gelten auch die im Hauptvertrag und in dieser Vereinbarung beschriebenen Funktionen.
• sicherzustellen, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
• geeignete technische und organisatorische Maßnahmen nach Anhang 1 dieser Vereinbarung zu treffen.
• den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung gegen Datenschutzrecht verstößt.
• den Verantwortlichen bei der Einhaltung seiner Pflichten nach den Artikeln 32 bis 36 DSGVO zu unterstützen, soweit das nach Art und Umfang der Verarbeitung möglich ist.
• Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, an den Verantwortlichen zu melden.
• nach Beendigung der Erbringung der Verarbeitungs-Leistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zurückzugeben oder zu löschen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Halveo darf zur Erfüllung des Hauptvertrags weitere Auftragsverarbeiter einsetzen. Der Verantwortliche stimmt dem Einsatz der nachfolgend aufgeführten Sub-Auftragsverarbeiter ausdrücklich zu:

Halveo informiert den Verantwortlichen mindestens 30 Tage vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Sub-Auftragsverarbeiter, damit der Verantwortliche gegebenenfalls Einspruch erheben oder das Hauptvertrags-Verhältnis außerordentlich kündigen kann. Die Information erfolgt über die im Benutzerprofil hinterlegte E-Mail-Adresse und über die Einstellungsseite der App.

Halveo verpflichtet jeden Sub-Auftragsverarbeiter vertraglich auf ein Datenschutz-Niveau, das den Pflichten dieser Vereinbarung entspricht, insbesondere zur Wahrung der technischen und organisatorischen Maßnahmen aus § 4 dieser Vereinbarung.

Übermittlungen in Drittländer (insbesondere USA) erfolgen ausschließlich auf Grundlage einer der folgenden mehrstufigen Garantien nach Artikel 46 DSGVO:

• EU-US Data Privacy Framework (Adäquanzbeschluss vom 10.07.2023) für DPF-zertifizierte US-Anbieter (Vercel, Google, Stripe, Resend, GitHub).
• EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914, Modul 2 Controller-to-Processor) als subsidiäre Rückfall-Grundlage.
• Ergänzende technische Maßnahmen: TLS 1.2+ in Transit, AES-256 at Rest, Pseudonymisierung interner Verweise via UUID statt Realname.

Halveo hat für jeden US-Sub-Auftragsverarbeiter ein Transfer Impact Assessment (TIA) nach den EDSA-Empfehlungen 01/2020 dokumentiert und stellt dieses dem Verantwortlichen auf schriftliche Anforderung zur Verfügung. Eine Übersicht der Garantien und der TIA-Ergebnisse ergibt sich aus der Datenschutzerklärung unter Ziffer 7.

Halveo unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu beantworten. Hierzu gehört insbesondere die Bereitstellung von Funktionen zum Datenexport, zur Korrektur und zur Löschung im Vermieter-Bereich der App.

Wendet sich eine betroffene Person direkt an Halveo, so leiten wir die Anfrage unverzüglich an den Verantwortlichen weiter, ohne sie inhaltlich zu beantworten, soweit dies möglich und zumutbar ist.

Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu kontrollieren. Halveo erfüllt diese Pflicht primär durch Bereitstellung aktueller Audit- und Konformitäts-Berichte (z.B. SOC 2 oder ISO 27001 relevanter Sub-Auftragsverarbeiter), durch jährliche Selbstauskunft und auf Anfrage durch Beantwortung schriftlicher Fragen.

Eine Vor-Ort-Kontrolle ist nur nach vorheriger Vereinbarung mit mindestens 30 Tagen Vorlauf, höchstens einmal pro Jahr und während üblicher Geschäftszeiten zulässig. Aus berechtigten Gründen (z.B. konkretem Verdacht auf Verstoß) kann die Vor-Ort-Kontrolle auch ohne Frist verlangt werden.

Im Übrigen gelten die Haftungsregelungen des Hauptvertrags und die Haftungsverteilung des Artikels 82 DSGVO. Änderungen dieser Vereinbarung erfolgen in Textform.

Halveo trifft folgende Maßnahmen nach Artikel 32 DSGVO:

Vertraulichkeit

• Zutrittskontrolle der eingesetzten Rechenzentren durch Vercel und Supabase (zertifiziert nach ISO 27001 / SOC 2)
• Zugangskontrolle: Multi-Faktor-Authentifizierung der Halveo-Administrator-Konten, Passwort-Hashing per bcrypt
• Zugriffskontrolle: Row-Level-Security in der Datenbank, jede Anfrage wird auf Berechtigung geprüft
• Trennung: jede Halveo-Organisation hat einen eigenen logischen Datenbereich, Cross-Org-Zugriff ist durch RLS-Policies ausgeschlossen
• Pseudonymisierung in Fehler-Reports (Sentry erhält keine Klartext-Inhalte)

Integrität

• Weitergabekontrolle: TLS 1.2+ für sämtliche Datenübertragungen
• Eingabekontrolle: vollständige Audit-Logs aller datenverändernden Aktionen mit Zeitstempel und Nutzer-Kennung

Verfügbarkeit und Belastbarkeit

• Tagesbasierte automatische Datenbank-Backups, 30 Tage Aufbewahrung (Point-in-Time-Recovery durch Supabase)
• Speicher-Replikation und Notfall-Wiederherstellung über die Cloud-Infrastruktur
• Rate-Limiting auf API-Ebene zum Schutz vor Missbrauch
• Heartbeat-Monitoring der Cron-Jobs mit automatischer Eskalation bei Ausfall

Verfahren zur regelmäßigen Überprüfung

• Datenschutz-Management durch dokumentierte Verarbeitungsverzeichnisse
• Incident-Response-Prozess mit Meldekette innerhalb von 48 Stunden
• Jährliche Überprüfung der eingesetzten Sub-Auftragsverarbeiter
• Automatisierte Sicherheits-Tests im Continuous-Integration-Verfahren