vemifox
30 Tage kostenlos testen

Auftragsverarbeitungsvereinbarung (AVV)

Stand: 8. Mai 2026

Diese Auftragsverarbeitungsvereinbarung („AVV") ist Bestandteil der Allgemeinen Geschäftsbedingungen und gilt ergänzend zwischen dem Kunden („Verantwortlicher" im Sinne der DSGVO) und dem Anbieter („Auftragsverarbeiter" im Sinne der DSGVO).

§ 1 Gegenstand und Dauer

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten der Mieter und sonstiger Betroffener durch den Anbieter im Auftrag des Kunden im Rahmen der Nutzung der Software „vemifox". Die Vereinbarung läuft für die gesamte Dauer des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung dient der Verwaltung von Immobilien, Mietverhältnissen, Belegen, Nebenkostenabrechnungen, Mietzahlungen und damit zusammenhängenden Vorgängen über die Software vemifox. Die konkreten Verarbeitungsvorgänge umfassen Erheben, Erfassen, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln (Mieter-Portal) und Löschen.

§ 3 Art der Daten

  • Stammdaten (Name, Anschrift, Kontakt, Bankverbindung)
  • Vertragsdaten (Mietvertrag, Wohnung, Mietbeginn/-ende)
  • Zahlungsdaten (Sollmieten, Mietzahlungen, Saldo)
  • Kommunikationsdaten (E-Mail-Korrespondenz, Defektmeldungen)
  • Login-Daten (E-Mail, gehashtes Passwort) — nur bei eingerichtetem Mieter-Login
  • Belege und Bilddateien, die der Kunde hochlädt

§ 4 Kreis der Betroffenen

  • Mieter und ehemalige Mieter des Kunden
  • Mitbewohner / weitere Bewohner, soweit vom Kunden erfasst
  • Interessenten aus öffentlichen Wohnungs-Anzeigen (Anfragen-Inbox)
  • Kontaktpersonen aus dem Adressbuch (Hausmeister, Handwerker etc.)

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Anbieter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden, in der Regel durch dessen Eingaben in der Software.

(2) Der Anbieter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Anbieter trifft alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (siehe § 8).

(4) Der Anbieter unterstützt den Kunden bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) — die Software bietet hierfür Selbstauskunfts-Funktionen für Vermieter und Mieter.

(5) Der Anbieter informiert den Kunden unverzüglich, sobald er von Datenschutzverletzungen Kenntnis erlangt (Art. 33 DSGVO).

§ 6 Pflichten des Verantwortlichen

(1) Der Kunde ist verantwortlich für die Rechtmäßigkeit der Datenverarbeitung gegenüber den Betroffenen, insbesondere für die Information seiner Mieter über die Verarbeitung in der Software.

(2) Der Kunde meldet eigene Datenschutzverletzungen, die bei ihm auftreten, an die zuständige Aufsichtsbehörde — der Anbieter unterstützt im Rahmen seiner Möglichkeiten.

§ 7 Unterauftragsverarbeiter

Der Kunde stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

  • ALL-INKL.COM - Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland — Hosting der Server (Standort: Deutschland).

Der Anbieter informiert den Kunden mindestens 30 Tage vor jeder beabsichtigten Änderung bei den Unterauftragsverarbeitern. Der Kunde kann der Änderung aus wichtigem Grund widersprechen.

§ 8 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Verschlüsselung: Alle Verbindungen zur Software laufen über TLS (HTTPS)
  • Passwort-Sicherheit: Passwörter werden ausschließlich als bcrypt-Hashes gespeichert
  • Mandantentrennung: Datenbank-Trennung der Vermieter über Foreign-Key-Beziehungen (`user_id`-Spalten) — jeder Vermieter sieht ausschließlich seine eigenen Daten
  • Server-Standort: ausschließlich in Deutschland
  • Zugriffsschutz: SSH-Zugriff zum Server nur über Schlüssel-Authentifizierung
  • Backups: tägliche, verschlüsselte Backups der Datenbank
  • Audit-Logs: alle Belegeinsichten durch Mieter werden protokolliert (§ 556 Abs. 4 BGB)
  • Trennbarkeit: Daten können auf Wunsch des Kunden vollständig exportiert (PDF-Auskunft + Datei-Downloads) und gelöscht werden
  • Software-Updates: Sicherheits-Patches werden zeitnah eingespielt

§ 9 Kontrolle und Audit

Der Kunde kann die Einhaltung der vereinbarten Maßnahmen durch Anforderung einer schriftlichen Auskunft prüfen. Vor-Ort-Kontrollen sind nach Vorankündigung und in einem für beide Seiten zumutbaren Rahmen möglich.

§ 10 Beendigung und Datenrückgabe

Nach Beendigung des Hauptvertrages werden alle personenbezogenen Daten des Kunden auf dessen Wahl entweder vollständig zurückgegeben (Export) oder gelöscht. Gesetzliche Aufbewahrungspflichten bleiben unberührt — die hiervon betroffenen Daten werden eingefroren und ausschließlich zu den Zwecken der Aufbewahrungspflicht weiter gespeichert.

§ 11 Schlussbestimmungen

Im Falle eines Widerspruchs zwischen dieser AVV und anderen Vereinbarungen zwischen den Parteien gehen die Regelungen dieser AVV vor, soweit es um die Verarbeitung personenbezogener Daten geht. Es gilt deutsches Recht.

💡 Hinweis: Mit Annahme der AGB bei der Registrierung gilt diese AVV als zwischen den Parteien geschlossen. Sie kann auf Wunsch zusätzlich in einer unterschriebenen Fassung über hallo@vemifox.de angefordert werden.