Auftragsverarbeitungsvertrag (AVV / DPA)
Anlage zu den AGB von insideCRM
Version 1.3 · Stand 16.07.2026
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch die Leonhard Frühwald GmbH als Auftragsverarbeiter im Auftrag des Kunden als Verantwortlichem. Er ist auf elektronische Weise vereinbarbar und wird Bestandteil des Nutzungsvertrags, sobald der Kunde ihn im Legal-Paket akzeptiert oder die Parteien ihn in Textform bestätigen.
1. Gegenstand, Dauer und Rangfolge
Gegenstand ist die Bereitstellung, Wartung und der Support der insideCRM-Plattform. Die Verarbeitung beginnt mit der Bereitstellung eines Mandanten und endet mit der vollständigen Rückgabe oder Löschung der Daten nach Vertragsende. Bei Widersprüchen gehen zwingende datenschutzrechtliche Regelungen dieser AVV den AGB vor; Leistungsbeschreibung, TOMs, Unterauftragnehmerliste und Löschregelung konkretisieren diese AVV.
2. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt zur Speicherung, Strukturierung, Anzeige, Suche, Kommunikation, Synchronisation, Sicherung, Wiederherstellung und technischen Auswertung der vom Kunden im Mandanten eingegebenen Daten. Je nach Aktivierung umfasst dies CRM-, Objekt-, E-Mail-, Kalender-, Dokument-, Ticket-, Aufgaben-, Kommunikations- und KI-Funktionen.
3. Kategorien personenbezogener Daten
- CRM-Daten: Leads, Kontakte, Kunden, Eigentümer, Käufer und Mieter sowie Kommunikations- und Notizdaten.
- Objektdaten: Immobilienobjekte, Exposés, Dokumente, Bilder und Vorgangsdaten.
- Arbeitsdaten: Aufgaben, Tickets, Kalenderdaten, E-Mails, Chat- und Kommunikationsdaten.
- Technische Daten: Benutzer-, Rollen-, Nutzungs-, Geräte-, Sicherheits- und Audit-Logs.
Vertrags-, Rechnungs- und Zahlungsdaten, die der Anbieter zur Verwaltung seines eigenen Vertragsverhältnisses verarbeitet, sind nicht Gegenstand dieser AVV. Für diese Verarbeitung handelt der Anbieter als eigener Verantwortlicher.
4. Kategorien betroffener Personen
Betroffen sein können Kunden des Maklerbüros, Interessenten, Eigentümer, Käufer, Mieter, Mitarbeiter und Nutzer des Kunden sowie externe Kommunikationspartner und sonstige Personen, deren Daten der Kunde in insideCRM verarbeitet.
5. Weisungen und Verantwortlichkeit des Kunden
Der Anbieter verarbeitet Daten nur auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Verpflichtung entgegensteht. Der Kunde ist für die Rechtmäßigkeit der Erhebung, die Zwecke und Mittel der Verarbeitung, Informationspflichten, Löschfristen und die Berechtigung seiner Weisungen verantwortlich. Weisungen können über die vorgesehenen Funktionen oder in Textform an den Support erteilt werden. Hält der Anbieter eine Weisung für datenschutzrechtswidrig, informiert er den Kunden unverzüglich. Soweit eine gesetzliche Verpflichtung eine Verarbeitung entgegen einer Weisung verlangt, informiert der Anbieter den Kunden vor der Verarbeitung, sofern das Gesetz eine solche Information nicht verbietet.
6. Vertraulichkeit und Zugriff
Der Anbieter verpflichtet die mit der Verarbeitung befassten Personen auf Vertraulichkeit und gewährt Zugriff nur nach dem Need-to-know-Prinzip. Rollen, Berechtigungen und administrative Zugriffe werden nachvollziehbar verwaltet und regelmäßig überprüft.
7. Technische und organisatorische Maßnahmen
Die zum Zeitpunkt des Vertragsschlusses geltenden Maßnahmen sind in den TOMs beschrieben. Der Anbieter darf Maßnahmen weiterentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
8. Unterauftragnehmer
Der Kunde erteilt eine allgemeine Genehmigung für die in der jeweils vereinbarten Unterauftragnehmerliste genannten Unterauftragnehmer.
Der Anbieter informiert den hinterlegten Vertrags- oder Administrationskontakt mindestens 30 Kalendertage vor der beabsichtigten Aufnahme oder Ersetzung eines Unterauftragnehmers in Textform. Eine bloße Änderung der öffentlich verfügbaren Liste ersetzt diese Benachrichtigung nicht.
Der Kunde kann innerhalb dieser Frist aus nachvollziehbaren datenschutzrechtlichen Gründen widersprechen. Die Parteien bemühen sich zunächst um eine zumutbare Alternative. Ist keine Alternative möglich, kann der Kunde die konkret betroffene optionale Funktion deaktivieren oder den davon betroffenen Vertragsteil zum Zeitpunkt des geplanten Einsatzes kündigen.
Der Anbieter verpflichtet Unterauftragnehmer vertraglich zu einem mindestens gleichwertigen Datenschutzniveau und bleibt gegenüber dem Kunden für die Erfüllung der Pflichten des Unterauftragnehmers verantwortlich.
9. Unterstützung bei Betroffenenrechten
Der Anbieter unterstützt den Kunden im angemessenen Umfang bei der Bearbeitung von Anträgen betroffener Personen, insbesondere durch Such-, Export-, Berichtigungs- und Löschfunktionen sowie durch zumutbare Informationen. Der Kunde bleibt für die rechtzeitige und inhaltliche Beantwortung verantwortlich.
10. Unterstützung bei Datenschutzverletzungen und Prüfungen
Der Anbieter informiert den Kunden ohne unangemessene Verzögerung über ihm bekannt gewordene Datenschutzverletzungen im eigenen Verantwortungsbereich und unterstützt bei der Bewertung und Meldung. Er unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen angemessen bei den Pflichten aus Art. 32 bis 36 DSGVO, insbesondere bei Sicherheitsmaßnahmen, Datenschutz-Folgenabschätzungen, einer vorherigen Konsultation sowie der Zusammenarbeit mit Aufsichtsbehörden.
Der Anbieter stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung dieser AVV bereit und ermöglicht Audits einschließlich Inspektionen durch den Kunden oder einen vom Kunden beauftragten Prüfer. Audits sind grundsätzlich mit angemessener Vorankündigung während der üblichen Geschäftszeiten durchzuführen und berücksichtigen Geheimhaltungs-, Sicherheits- und Betriebsinteressen. Der Anbieter kann zunächst geeignete Nachweise, Zertifikate, Prüfberichte oder Fragebögen bereitstellen, wenn diese den Prüfzweck angemessen erfüllen.
11. Drittlandübermittlungen
Drittlandübermittlungen erfolgen nur, soweit sie für eine aktivierte Funktion erforderlich und datenschutzrechtlich zulässig sind. Als Transfermechanismus kommen insbesondere ein Angemessenheitsbeschluss, der EU-US Data Privacy Framework für teilnehmende Organisationen oder Standardvertragsklauseln mit ergänzenden Maßnahmen in Betracht. Die konkrete Zuordnung steht in der Unterauftragnehmerliste.
12. Rückgabe und Löschung
Nach Vertragsende erhält der Kunde Gelegenheit zum Export und wählt zwischen Rückgabe oder Löschung seiner Kundendaten. Anschließend werden Daten nach der Lösch- und Exportregelung gelöscht oder anonymisiert. Der Anbieter löscht auch vorhandene Kopien, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Gesetzlich aufzubewahrende Abrechnungsdaten werden nicht für operative Zwecke weiterverarbeitet.
13. Laufzeit und Haftung
Diese AVV gilt für die Laufzeit des Hauptvertrags und die Zeiträume der Rückgabe, Löschung und Nachweisführung. Haftungsregelungen richten sich nach den AGB, soweit zwingendes Datenschutzrecht keine weitergehenden Vorgaben macht.