gemäß Art. 28 DSGVO — Stand: 14. Juni 2026
(1) Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
(2) Verantwortlicher (Auftraggeber): Die Hausverwaltung oder der Immobilienverwalter, der einen Verwalter-Account bei SchimmelCheck Pro nutzt.
(3) Auftragsverarbeiter (Auftragnehmer): SchimmelCheck Pro UG (haftungsbeschränkt) i. G., Auf dem Damm 32, 21647 Moisburg, E-Mail: kontakt@schimmelcheck.pro. Bis zur Eintragung der UG im Handelsregister wird der Dienst durch die K&S Farbkonzepte GmbH & Co. KG (AG Tostedt HRA 204138, USt-IdNr. DE317174756) getragen.
(4) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Verwalter-Accounts gemäß den AGB.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Durchführung KI-gestützter Schimmelanalysen für Mietwohnungen, die der Verantwortliche über die Plattform SchimmelCheck Pro beauftragt.
(2) Die Verarbeitung umfasst:
(1) Kategorien personenbezogener Daten:
(2) Kategorien betroffener Personen: Mieter der vom Verantwortlichen verwalteten Wohnungen.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Weisungen ergeben sich aus diesem AVV, den AGB und der Nutzung der Plattformfunktionen. Darüber hinausgehende Weisungen bedürfen der Schriftform.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM). Die aktuellen Maßnahmen sind in Anlage 1 dokumentiert.
(4) Der Auftragsverarbeiter verwendet die Daten nicht für Werbung oder Profiling.
(5) Nutzung zur Modellverbesserung: Der Auftragsverarbeiter darf anonymisierte Analysedaten und Fotos zur Verbesserung der eigenen KI-Modelle verwenden. Vor der Verwendung werden alle personenbezogenen Merkmale entfernt (insbesondere Adressen, Namen, Gesichter, lesbare Dokumente). Der Verantwortliche kann dieser Nutzung jederzeit für seine Daten widersprechen (Opt-out per E-Mail an kontakt@schimmelcheck.pro). Die Daten werden in diesem Fall innerhalb von 30 Tagen aus den Trainingsdatensätzen entfernt.
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor dem geplanten Einsatz eines neuen Unterauftragsverarbeiters per E-Mail. Der Verantwortliche kann dem Einsatz innerhalb von 14 Tagen schriftlich widersprechen. Erfolgt kein Widerspruch, gilt die Zustimmung als erteilt.
(3) Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeitern mindestens gleichwertige Datenschutzpflichten auferlegt werden.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.
(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme.
(2) Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und -umfang, wahrscheinliche Folgen sowie ergriffene Gegenmaßnahmen.
(1) Nach Beendigung des Verwalter-Accounts löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
(2) Auf Wunsch des Verantwortlichen stellt der Auftragsverarbeiter vor der Löschung einen Export der Falldaten im maschinenlesbaren Format (JSON oder CSV) bereit.
(3) Fotos werden in zwei Stufen verarbeitet: Nach 6 Monaten erfolgt die Anonymisierung (Entfernung aller personenbezogenen Zuordnungen wie Name, Adresse, Mieterbezug). Die anonymisierten Fotos können zur Verbesserung der Analysealgorithmen verwendet werden. Nach 24 Monaten werden die Fotos endgültig gelöscht.
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(2) Der Verantwortliche oder ein von ihm beauftragter Prüfer hat das Recht, Überprüfungen und Inspektionen durchzuführen. Der Auftragsverarbeiter unterstützt diese. Die Kosten trägt der Verantwortliche, sofern kein Verstoß festgestellt wird.
(1) Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.
(2) Änderungen dieses AVV bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.
(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(4) Es gilt das Recht der Bundesrepublik Deutschland.
Zutrittskontrolle: Serverinfrastruktur bei Scalingo (Paris, EU/Outscale), Google Cloud Firestore (europe-west3, Frankfurt) und AWS Bedrock (eu-central-1, Frankfurt). Kein physischer Zugang durch den Auftragsverarbeiter zu den Rechenzentren. Zugang zu Verwaltungskonsolen ausschließlich über MFA-geschützte Accounts.
Zugangskontrolle: Authentifizierung der Verwalter-Accounts über E-Mail und Passwort (gespeichert als bcrypt-Hash). Sitzungen sind auf 24 Stunden begrenzt und können widerrufen werden; für E-Mail-Links (z. B. Upload-Einladungen an Mieter) werden HMAC-signierte Tokens mit begrenzter Gültigkeit verwendet. Admin-Zugang ist auf namentlich benannte Personen beschränkt.
Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Verwalter, Mieter, Admin). Hausverwaltungen sehen ausschließlich eigene Fälle. Mandantentrennung auf Datenbankebene durch Tenant-ID.
Weitergabekontrolle: Alle Datenübertragungen erfolgen verschlüsselt (TLS 1.2+). Weitergabe an Fachbetriebe nur mit ausdrücklicher Einwilligung. Keine Weitergabe in Drittländer außerhalb der EU/des EWR (Ausnahme: AWS eu-central-1 mit Standardvertragsklauseln).
Eingabekontrolle: Alle Dateneingaben und -änderungen werden mit Zeitstempel und Nutzer-ID protokolliert.
Auftragskontrolle: Verarbeitung erfolgt ausschließlich gemäß diesem AVV und den AGB. Keine eigenmächtige Nutzung der Daten.
Verfügbarkeitskontrolle: Automatische Backups der Datenbank (täglich, Aufbewahrung 30 Tage). Hosting auf redundanter Cloud-Infrastruktur.
Trennungskontrolle: Mandantentrennung durch Tenant-ID auf Datenbankebene. Logische Trennung aller Kundendaten. Test- und Produktivsysteme sind getrennt.
Folgende Unterauftragsverarbeiter werden zum Stand dieses AVV eingesetzt:
1. Scalingo SAS
Zweck: Hosting von Frontend und Backend (Anwendungsserver)
Standort: EU (Paris, Frankreich; Outscale-Infrastruktur)
Garantie: Scalingo Data Processing Agreement
2. Google Ireland Ltd. / Google Cloud (Firebase, Firestore)
Zweck: Authentifizierung und Datenbank (Speicherung der Fall- und Mieterdaten)
Standort: EU (europe-west3, Frankfurt)
Garantie: Google Cloud Data Processing Addendum, Standardvertragsklauseln
3. Amazon Web Services EMEA SARL
Zweck: KI-gestützte Auswertung (AWS Bedrock)
Standort: EU (Frankfurt, eu-central-1)
Garantie: AWS Data Processing Addendum, Standardvertragsklauseln
4. Scaleway SAS
Zweck: Transaktionale E-Mails via Scaleway Transactional Email (TEM) — Einladungen, Datenschutzhinweise, Berichte
Standort: EU (Paris, Frankreich)
Garantie: Scaleway Data Processing Agreement
5. Sentry (Functional Software Inc.), EU-Region
Zweck: Fehler-Monitoring (technische Protokolle)
Standort: EU (Frankfurt)
Garantie: Sentry Data Processing Addendum
6. Stripe Payments Europe Ltd.
Zweck: Zahlungsabwicklung
Standort: EU (Dublin, Irland)
Garantie: Stripe Data Processing Agreement
Stand: 14. Juni 2026