Auftragsverarbeitungsvertrag (AVV)

Stand: Mai 2026

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Nutzung der Plattform domulex.ai sowie ihrer Module (insbesondere domFINANZ, domINVESTOR, domCOMPLY, domCRM, Lawyer Pro).

(2) Der Auftragnehmer (domulex software GmbH, nachfolgend "domulex.ai") verarbeitet personenbezogene Daten im Auftrag des Auftraggebers (nachfolgend "Kunde") ausschließlich im Rahmen der vereinbarten Leistungen und nach dessen dokumentierten Weisungen.

(3) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag domulex.ai). Der AVV endet automatisch mit Beendigung des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung — abhängig vom gebuchten Modul / Tarif:

• Bereitstellung der Plattform (Authentifizierung, Speicherung, Anzeige)
• domFINANZ: Buchhaltung, Hausgeld- und Heizkostenabrechnung, Mietkonten, Mahnwesen, Bankabgleich
• domINVESTOR: Investoren-Portal, Berichts- und Auszahlungslogik
• domCOMPLY: Datenschutz- und Compliance-Management (Art. 30 VVT, AVV-Verwaltung, TOM, DSFA, Vorfälle, Schulungen, Audit-Logs)
• domCRM / Lawyer Pro: Mandanten- und Aktenverwaltung, Schriftsatz- und Dokumentengenerierung
• Wartungs-, Schadens- und Dienstleistermanagement (Termine, Belege, Pflichtprüfungen)
• KI-gestützte Analyse hochgeladener Dokumente (Verträge, Belege, Schreiben)
• E-Mail-Versand transaktionaler Benachrichtigungen

(2) Zweck der Verarbeitung:

• Erbringung der vertraglich vereinbarten Software- und KI-Dienstleistungen für die Hausverwaltung, WEG-Verwaltung, Investorenbetreuung, Compliance- und Rechtsabteilungen des Kunden
• Erfüllung gesetzlicher Pflichten des Kunden gegenüber Mietern, Eigentümern, Behörden und Investoren
• Dokumentenmanagement, Audit-Trail, Nachweisführung

(3) Eine Nutzung der Daten zu eigenen Zwecken des Auftragnehmers, insbesondere zum Training von KI-Modellen, findet nicht statt.

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten können — abhängig vom gebuchten Modul — verarbeitet werden:

• Bestandsdaten Kunde: Name, E-Mail, Firmenname, Anschrift, Funktion
• Mieterdaten: Name, Anschrift, Bankverbindung, Mietzahlungen, Forderungen, Schriftverkehr, ggf. Sozialdaten bei Mietminderung
• Eigentümer-/WEG-Daten: Name, Anschrift, Beteiligungsquote, Beschlüsse, Abrechnungen
• Investoren-Daten: Stammdaten, Kapitalanteile, Ausschüttungen, Steuerinformationen
• Mandantendaten (Lawyer Pro / domCRM): Name, Kontakt, Aktenzeichen, Schriftsätze, Mandatsinhalte (§ 203 StGB)
• Mitarbeiter- und Dienstleisterdaten: Kontakt, Vertragsdaten, Vergütung, Pflichtnachweise
• Vertrags- und Belegdaten: Miet-, Kauf-, Wartungs-, Versicherungsverträge, Rechnungen
• Verbrauchs- und Gebäudedaten: Heizkosten, Wasser, Strom, Wartungsintervalle, Schadensfälle
• Compliance-Daten (domCOMPLY): VVT-Einträge, AVV, TOM-Beschreibungen, Datenpannen, Schulungsnachweise
• Nutzungs- und Protokolldaten: Login-Zeiten, Audit-Log, IP-Adressen (gekürzt)
• Zahlungsdaten: Rechnungs- und SEPA-Daten zur Vertragsabwicklung mit dem Kunden
• E-Mail-Konto-Konfiguration (CRM): Soweit der Kunde sein eigenes externes E-Mail-Konto (IMAP/SMTP) im CRM hinterlegt, werden Hostnamen, Ports, Benutzername sowie das SMTP-Passwort in der Plattform gespeichert. Das Passwort wird vor der Ablage symmetrisch verschluesselt (Fernet/AES-128 CBC + HMAC, eigener Schluessel des Auftragnehmers im Cloud Run-Secret-Store). Die Klartext-Anmeldedaten werden ausschliesslich zur Laufzeit zur Verbindung zum E-Mail-Hoster des Kunden entschluesselt; eine Speicherung von Anmeldedaten im Klartext findet nicht statt.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht systematisch verarbeitet; sollten sie ausnahmsweise in hochgeladenen Dokumenten enthalten sein, gelten die Schutzmaßnahmen dieses AVV verschärft.

§ 4 Kategorien betroffener Personen

• Mitarbeiter und Beauftragte des Auftraggebers
• Mieter und Untermieter
• Eigentümer / WEG-Mitglieder
• Investoren und Kapitalgeber
• Mandanten des Auftraggebers (Lawyer Pro)
• Dienstleister, Handwerker, Lieferanten
• Vertragsparteien und sonstige Dritte in hochgeladenen Dokumenten

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verpflichtet sich:

• Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
• Die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO zu gewährleisten
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
• Unterauftragnehmer nur mit vorheriger Zustimmung des Auftraggebers einzusetzen
• Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen
• Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben

(2) Der Auftragnehmer stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert. Die ausführliche TOM-Beschreibung mit aktuellem Stand ist als Anhang 1 unter domulex.ai/toms abrufbar:

Zutrittskontrolle:

• Hosting auf Google Cloud Platform, Hauptregion europe-west3 (Frankfurt am Main)
• Die zugrundeliegenden Rechenzentren sind nach ISO/IEC 27001, ISO/IEC 27017 und ISO/IEC 27018 zertifiziert (Zertifizierung der Google Cloud Platform, nicht des Auftragnehmers selbst)

Zugangskontrolle:

• Authentifizierung über Firebase Authentication mit Passwort-Richtlinien
• Zwei-Faktor-Authentifizierung verfügbar; für Administratoren-Konten verpflichtend
• Sitzungsmanagement mit Token-Ablauf

Zugriffskontrolle:

• Rollenbasiertes Berechtigungskonzept (Eigentümer, Mitarbeiter, externer Datenschutzbeauftragter, Plattform-Admin)
• Strikte Mandantentrennung über Firestore-Sicherheitsregeln und Custom Claims
• Append-only-Audit-Log für Compliance-relevante Aktionen (Write-Once)

Weitergabekontrolle:

• TLS 1.2/1.3-Verschlüsselung aller Datenübertragungen
• Verschlüsselung ruhender Daten in Firestore und Cloud Storage durch GCP (AES-256, Google-managed Keys)
• Zusätzliche anwendungsseitige Verschlüsselung sensibler Felder (z. B. SMTP-Passwörter externer E-Mail-Konten) mittels Fernet/AES-128 CBC + HMAC; der Schlüssel wird ausschliesslich serverseitig im Cloud-Run-Environment vorgehalten und ist im Klartext nicht in Firestore enthalten.
• Protokollierung sicherheitsrelevanter Aktionen mit Zeitstempel und Akteur-ID
• Verarbeitung ausschließlich gemäß Hauptvertrag und Weisung des Kunden
• Vier-Augen-Prinzip für Freigaben in domCOMPLY (Workflow Entwurf → Prüfung → Freigabe; Snapshot-Versionierung freigegebener Stände)

Verfügbarkeitskontrolle:

• Mehrfachredundante Speicherung in Firestore (Multi-Zonen)
• Regelmäßige Datenexporte / Backup-Snapshots
• Wiederherstellungstests werden im Rahmen des Betriebshandbuchs durchgeführt

Trennungsgebot:

• Logische Mandantentrennung pro Tenant (User-UID) — keine Cross-Mandanten-Lesezugriffe
• Trennung von Produktiv- und Entwicklungsumgebungen

Pseudonymisierung & Datensparsamkeit:

• Audit-Log: PII-Maskierung der E-Mail-Adressen (Lokal-Teil ersetzt)
• IP-Adressen werden, soweit gespeichert, gekürzt verarbeitet

§ 7 Unterauftragnehmer

(1) Folgende Unterauftragnehmer sind zum Zeitpunkt des Vertragsschlusses genehmigt:

(2) Klarstellung: Externe Datenschutzbeauftragte des Kunden, die über die Plattform Lesezugriff erhalten, sind keine Unterauftragnehmer des Auftragnehmers. Sie handeln gemäß Art. 38 DSGVO unabhängig und weisungsfrei und werden vom Kunden selbst beauftragt.

(3) Änderungen bei Unterauftragnehmern werden dem Auftraggeber mindestens 14 Tage vor Wirksamwerden mitgeteilt. Der Auftraggeber kann innerhalb von 7 Tagen widersprechen.

§ 8 Rechte der betroffenen Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

(2) Anfragen betroffener Personen leitet der Auftragnehmer unverzüglich an den Auftraggeber weiter.

§ 9 Meldepflichten bei Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über Verletzungen des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

• Art der Verletzung
• Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
• Wahrscheinliche Folgen
• Ergriffene oder vorgeschlagene Maßnahmen

§ 10 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber ist berechtigt, die Einhaltung der Datenschutzvorschriften und der Weisungen zu überprüfen.

(2) Der Auftragnehmer stellt alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.

(3) Vor-Ort-Audits sind nach Abstimmung und unter Wahrung der Vertraulichkeit möglich.

§ 11 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Auf Wunsch des Auftraggebers erfolgt vor Löschung eine Datenrückgabe in einem gängigen Format (JSON, CSV).

(3) Die Löschung wird dem Auftraggeber schriftlich bestätigt.

§ 12 Haftung

Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags (AGB) sowie den gesetzlichen Regelungen der DSGVO, insbesondere Art. 82 DSGVO.

§ 13 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht. Gerichtsstand ist Frankfurt am Main.