Auftragsverarbeitungsvertrag (AVV)

Stand: April 2026 | gemäß Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (AVV) gilt zwischen der FloriCore Software UG (haftungsbeschränkt) (nachfolgend „Auftragsverarbeiter" oder „Anbieter") und dem jeweiligen Kunden von dooyah house (nachfolgend „Auftraggeber" oder „Verantwortlicher"). Der AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen und wird mit Vertragsschluss wirksam.

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung von dooyah house (eine Software-as-a-Service-Lösung für Eigentümergemeinschaften in Eigenverwaltung). Die Verarbeitung erfolgt für die Dauer des Hauptvertrages sowie gemäß den in § 9 geregelten Löschfristen nach Vertragsende.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zum Zweck der Bereitstellung, des Betriebs und der Wartung von dooyah house. Die Verarbeitung erfolgt ausschließlich auf Weisung des Auftraggebers und nicht für eigene Zwecke des Auftragsverarbeiters.

Art der Verarbeitung: Speicherung, Übermittlung, Abruf, Verwendung, Abgleich, Verknüpfung, Einschränkung und Löschung personenbezogener Daten.

§ 3 Kategorien betroffener Personen und Datenkategorien

Die verarbeiteten Datenkategorien richten sich nach dem Nutzungsumfang durch den Auftraggeber. Typischerweise verarbeitet werden Daten folgender Kategorien:

  • Stammdaten (Name, Anschrift, Kontaktdaten)
  • Nutzungsdaten (Login-Zeiten, Aktivitätsprotokolle)
  • Vom Auftraggeber eingegebene Inhaltsdaten
  • Finanzbezogene Daten (manuell eingegeben oder per CSV-Import)

Besondere Datenkategorien (Art. 9 DSGVO): Der Auftraggeber bestätigt und versichert, dass für jede Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 Abs. 1 DSGVO eine geeignete Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vorliegt. Sofern der Auftraggeber besondere Datenkategorien in dooyah house verarbeitet, stellt er sicher, dass die betroffenen Personen über die Verarbeitung informiert wurden und eine Rechtsgrundlage nachweisbar ist.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten.
  • Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.
  • Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen.
  • Die Bedingungen dieses AVV bei der Hinzuziehung von Unterauftragsverarbeitern einzuhalten.
  • Den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) zu unterstützen.
  • Den Auftraggeber bei der Erfüllung der Pflichten nach Art. 32–36 DSGVO zu unterstützen.
  • Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen.
  • Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV bereitzustellen.

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese umfassen insbesondere:

  • Vertraulichkeit: Zugriffskontrolle, Passwortschutz, verschlüsselte Übertragung (TLS 1.2+)
  • Integrität: Datenbankintegrität, Eingabevalidierung, CSRF-Schutz
  • Verfügbarkeit: Regelmäßige Backups, Monitoring
  • Belastbarkeit: Cloudflare CDN als Schutz- und Ausfallsicherungsschicht
  • Pseudonymisierung: Log-Dateien enthalten keine direkt personenbezogenen Daten
  • Wiederherstellung: Verfahren zur Wiederherstellung von Daten und Diensten nach Vorfällen

§ 6 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

  • Microsoft Azure (EU-Region): Cloud-Hosting und Datenspeicherung. Sitz: Microsoft Ireland Operations Ltd., One Microsoft Place, Dublin, Irland. Rechtsgrundlage für Drittlandübertragungen (sofern anwendbar): EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
  • Cloudflare, Inc.: CDN und DDoS-Schutz. Sitz: 101 Townsend St, San Francisco, CA 94107, USA. Zertifiziert unter dem EU-U.S. Data Privacy Framework (Art. 45 DSGVO).
  • KI-Dienstleister (EU-basiert): KI-gestützte Verarbeitungsfunktionen (z. B. Datenimport-Assistenz, Chat-Support). Verarbeitung ausschließlich auf EU-Servern.

Eine aktuelle, detaillierte Liste aller Unterauftragsverarbeiter ist unter /subprocessor abrufbar.

Änderungen an der Liste der Unterauftragsverarbeiter werden dem Auftraggeber mit einer Vorankündigungsfrist von 30 Tagen per E-Mail mitgeteilt. Der Auftraggeber hat das Recht, gegen den Einsatz neuer Unterauftragsverarbeiter innerhalb von 14 Tagen nach Bekanntmachung Einspruch zu erheben.

§ 7 Weisungsrecht des Auftraggebers

Der Auftraggeber hat das Recht, dem Auftragsverarbeiter Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen werden schriftlich (per E-Mail) erteilt. Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtswidrig, informiert er den Auftraggeber unverzüglich.

§ 8 Unterstützung des Auftraggebers

Der Auftragsverarbeiter unterstützt den Auftraggeber nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO) sowie bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO. Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO verstößt.

§ 9 Löschung und Rückgabe der Daten

Nach Kündigung des Hauptvertrages werden die Daten des Auftraggebers 90 Tage für eine mögliche Reaktivierung aufbewahrt. Danach werden alle personenbezogenen Daten unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Auf Anfrage stellt der Auftragsverarbeiter dem Auftraggeber vor der Löschung einen vollständigen Datenexport in einem maschinenlesbaren Format bereit (EU Data Act).

§ 10 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugang zu den personenbezogenen Daten des Auftraggebers haben, einer Vertraulichkeitspflicht unterliegen oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 11 Meldepflichten bei Datenpannen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, wenn ihm eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) bekannt wird. Die Information erfolgt per E-Mail und enthält alle nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit diese zu diesem Zeitpunkt verfügbar sind.

§ 12 Haftung und Schadensersatz

Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO (Art. 82) und den Regelungen des Hauptvertrages. Jede Partei haftet für Schäden, die durch eine nicht DSGVO-konforme Verarbeitung verursacht wurden, soweit sie für diese Verarbeitung verantwortlich ist.

§ 13 Kontakt und Anfragen

Anfragen zur Datenverarbeitung, Weisungen sowie Meldungen über Datenpannen sind zu richten an:

Stand: April 2026