REESTATE · RechtlichesZur Anmeldung →

Vertrag zur Auftragsverarbeitung (AVV)

nach Art. 28 DSGVO · Stand: 24. Juni 2026

Dieser AVV gilt zwischen dem Kunden (Makler/Unternehmen) als Verantwortlichem und der Rezi24 GmbH als Auftragsverarbeiter und ist Bestandteil des Hauptvertrags über die Nutzung von „ReziEstate". Er wird mit Annahme der AGB wirksam.

§ 1 Gegenstand, Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der CRM-Software und ihrer Module (u. a. Kontakt-/Objektverwaltung, Anfragenmanager, E-Mail, Kalender, Exposés, Reporting, KI-Funktionen, GwG). Die Verarbeitung umfasst Erheben, Speichern, Organisieren, Auslesen, Verwenden und Löschen im Rahmen der Funktionen.

§ 2 Dauer

Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags.

§ 3 Kategorien betroffener Personen und Daten

Betroffene: Kontakte, Interessenten, Käufer, Verkäufer, Eigentümer, Mieter sowie Mitarbeiter des Verantwortlichen. Datenarten: Stammdaten (Name, Anschrift, Kontaktdaten), Kommunikations- und Vorgangsdaten, Objekt-/Vertragsdaten, im GwG-Modul Identifizierungsdaten. Besondere Kategorien werden nicht zweckgerichtet verarbeitet; GwG-Identifizierungsdaten werden besonders gesichert (Verschlüsselung).

§ 4 Weisungsbindung

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der Software-Funktionen durch den Verantwortlichen gilt als Weisung. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.

§ 5 Vertraulichkeit

Der Auftragsverarbeiter setzt nur Personen ein, die zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).

§ 6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen.
  • Verschlüsselte Speicherung besonders schützenswerter Felder (z. B. GwG-Ausweisnummern).
  • Zugriffskontrolle über Authentifizierung, Rollen- und Berechtigungssystem; Mandantentrennung je Organisation.
  • Betrieb in einem Rechenzentrum in Deutschland (Frankfurt a. M.); regelmäßige Sicherungen.
  • Protokollierung sicherheitsrelevanter Ereignisse.

§ 7 Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz der nachfolgenden Unterauftragsverarbeiter. Über beabsichtigte Änderungen informiert der Auftragsverarbeiter vorab; der Verantwortliche kann aus wichtigem datenschutzrechtlichen Grund widersprechen (Art. 28 Abs. 2 und 4 DSGVO).

UnterauftragsverarbeiterLeistungOrt
Hostinger International Ltd.Hosting / Server (Rechenzentrum Frankfurt am Main, Deutschland)Deutschland (EU)
Mollie B.V.Zahlungsabwicklung (Abo, Karte/SEPA)Niederlande (EU)
Google Ireland Ltd. / Google LLCKI-Funktionen (Gemini) — Text-, Bild- und SprachverarbeitungEU / USA (EU-US Data Privacy Framework)
Cloudflare, Inc.Objektspeicher (R2) für Bilder und DateienUSA (EU-US Data Privacy Framework / Standardvertragsklauseln)
Resend, Inc.Versand transaktionaler E-Mails (z. B. Login-Links, Benachrichtigungen, Berichte)USA (Standardvertragsklauseln)

§ 8 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Beantwortung von Betroffenenanfragen (Art. 15–22 DSGVO) sowie bei Pflichten nach Art. 32–36 DSGVO (Art. 28 Abs. 3 lit. e und f DSGVO).

§ 9 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden (Art. 33 Abs. 2 DSGVO).

§ 10 Löschung und Rückgabe

Nach Beendigung des Hauptvertrags werden die personenbezogenen Daten nach Wahl des Verantwortlichen zurückgegeben oder gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO).

§ 11 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zur Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).

§ 12 Drittlandtransfer

Soweit Unterauftragsverarbeiter Daten in einem Drittland verarbeiten (USA), bestehen geeignete Garantien nach Art. 44 ff. DSGVO (EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln).

§ 13 Anonymisierte Auswertungen

Der Verantwortliche gestattet dem Auftragsverarbeiter, aus den verarbeiteten Daten anonymisierte und aggregierte Auswertungen ohne Personenbezug (Erwägungsgrund 26 DSGVO) zu erstellen und für statistische Zwecke, zur Produktverbesserung sowie für anonyme Markt-/Branchenauswertungen zu nutzen und weiterzugeben. Eine Anonymisierung ist nur zulässig, wenn ein Rückschluss auf einzelne Personen ausgeschlossen ist. Personenbezogene Daten werden nicht zu eigenen Zwecken des Auftragsverarbeiters genutzt oder an Dritte verkauft.

§ 14 Haftung

Für die Haftung im Verhältnis der Parteien gilt Art. 82 DSGVO sowie die Haftungsregelung des Hauptvertrags.