• Wie es funktioniert
  • Warum Locari
  • Anti-Profiling
  • Preise
  • FAQ
AnmeldenInserat anlegen
  • Wie es funktioniert
  • Warum Locari
  • Anti-Profiling
  • Preise
  • FAQ
Inserat anlegenAnmelden

Rechtliche Information

Auftragsverarbeitungsvertrag (AVV)

Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO regelt, wie wir personenbezogene Daten in deinem Auftrag verarbeiten. Er ist Bestandteil unserer AGB und gilt automatisch mit der Erstellung deines Accounts.

Auf dieser Seite

  1. Einleitung
  2. Abschnitt I
  3. Abschnitt II — Pflichten der Parteien
  4. Abschnitt III — Schlussbestimmungen
  5. Anhang I — Liste der Parteien
  6. Anhang II — Beschreibung der Verarbeitung
  7. Anhang III — Technische und organisatorische Maßnahmen
  8. Anhang IV — Liste der Unterauftragsverarbeiter
  9. Fragen zum AVV

Stand: März 2026

Wenn du Locari nutzt, verarbeiten wir in deinem Auftrag personenbezogene Daten — etwa die Daten der Mietinteressenten, die sich auf deine Inserate bewerben. Für diese Auftragsverarbeitung schreibt Art. 28 DSGVO einen Vertrag zwischen dir (als Verantwortlichem) und uns (als Auftragsverarbeiter) vor.

Diesen Auftragsverarbeitungsvertrag (AVV, englisch: Data Processing Agreement / DPA) musst du nicht gesondert unterzeichnen: Er ist fester Bestandteil unserer Allgemeinen Geschäftsbedingungen und gilt gemäß den AGB automatisch mit der Erstellung deines Accounts. Der AVV orientiert sich am EU-Standardvertrags-Muster und stützt Drittland-Übermittlungen, soweit sie stattfinden, auf die Standardvertragsklauseln (SCC) der EU-Kommission gemäß Art. 46 DSGVO.

Den vollständigen, rechtsverbindlichen Wortlaut des Auftragsverarbeitungsvertrags findest du nachfolgend im Volltext. Er ist zugleich Anhang unserer AGB.

Abschnitt I

Klausel 1 — Zweck und Anwendungsbereich

  1. Mit diesem Auftragsverarbeitungsvertrag (im Folgenden „AVV") soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr sichergestellt werden.
  2. Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben dem AVV zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 zu gewährleisten.
  3. Der AVV gilt für die Verarbeitung personenbezogener Daten gemäß Anhang II.
  4. Die Anhänge I bis IV sind Bestandteil des AVV.
  5. Der AVV gilt unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 unterliegt.
  6. Der AVV stellt für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 erfüllt werden.

Klausel 2 — Auslegung

  1. Werden in dem AVV die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
  2. Der AVV ist im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
  3. Der AVV darf nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 3 — Vorrang

Im Falle eines Widerspruchs zwischen dem AVV und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, hat der AVV Vorrang.

Klausel 4 — Kopplungsklausel

  1. Eine Einrichtung, die nicht Partei des AVV ist, kann dem AVV mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.
  2. Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei des AVV behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.
  3. Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus dem AVV resultierenden Rechte oder Pflichten.

Abschnitt II — Pflichten der Parteien

Klausel 5 — Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 6 — Pflichten der Parteien

6.1 Weisungen

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
  2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

6.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

6.3 Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

6.4 Sicherheit der Verarbeitung

  1. Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten"). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
  2. Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6.5 Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten"), wendet der Auftragsverarbeiter die in Anhang III unter „Schutz besonderer Datenkategorien und Diskriminierungsverbot" festgelegten zusätzlichen Maßnahmen an.

6.6 Dokumentation und Einhaltung des AVV

  1. Die Parteien müssen die Einhaltung des AVV nachweisen können.
  2. Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß des AVV umgehend und in angemessener Weise.
  3. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in dem AVV festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diesen AVV fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
  4. Der Verantwortliche kann Überprüfungen der unter diesen AVV fallenden Verarbeitungstätigkeiten durchführen lassen. Für die Durchführung dieser Überprüfung gelten folgende Modalitäten:
    1. Überprüfungen finden höchstens einmal pro Kalenderjahr statt, es sei denn, es besteht ein begründeter Verdacht auf einen Verstoß gegen diesen AVV oder eine Verletzung des Schutzes personenbezogener Daten.
    2. Der Verantwortliche kündigt die Überprüfung mindestens dreißig (30) Tage im Voraus in Textform an und stimmt Umfang, Zeitpunkt und Dauer vorab mit dem Auftragsverarbeiter ab. Der Auftragsverarbeiter kann einen Aufschub verlangen, wenn die Überprüfung den laufenden Geschäftsbetrieb unverhältnismäßig beeinträchtigen würde; in diesem Fall findet die Überprüfung zum nächstmöglichen Zeitpunkt statt.
    3. Der Auftragsverarbeiter ist berechtigt, anstelle einer Vor-Ort-Inspektion aktuelle Zertifizierungen (z. B. ISO 27001, SOC 2 Typ II), Prüfberichte unabhängiger Dritter oder sonstige gleichwertige Nachweise über die Einhaltung der technischen und organisatorischen Maßnahmen vorzulegen. Der Verantwortliche akzeptiert solche Nachweise als gleichwertige Überprüfung, sofern kein begründeter Verdacht auf einen Verstoß besteht, der durch die vorgelegten Nachweise nicht ausgeräumt wird.
    4. Beauftragt der Verantwortliche einen Dritten mit der Überprüfung, darf dieser kein Wettbewerber des Auftragsverarbeiters sein und muss einer angemessenen Vertraulichkeitsverpflichtung unterliegen. Der Auftragsverarbeiter kann einen vorgeschlagenen Prüfer aus berechtigtem Grund ablehnen.
    5. Die Kosten der Überprüfung trägt der Verantwortliche, einschließlich der dem Auftragsverarbeiter durch Mitwirkung entstehenden angemessenen Aufwände.
    6. Soweit der Auftragsverarbeiter für mehrere Verantwortliche tätig ist und Überprüfungen sich inhaltlich überschneiden, ist der Auftragsverarbeiter berechtigt, die Ergebnisse einer Überprüfung — unter Wahrung der Vertraulichkeit — gegenüber weiteren Verantwortlichen als Nachweis zu verwenden.
  5. Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

6.7 Einsatz von Unterauftragsverarbeitern

  1. Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in der in Anhang IV vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 14 Tage im Voraus ausdrücklich in Textform über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
  2. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß des AVV gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend des AVV und gemäß der Verordnung (EU) 2016/679 unterliegt.
  3. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
  4. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
  5. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche — im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

6.8 Internationale Datenübermittlungen

  1. Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 im Einklang stehen.
  2. Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 6.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 7 — Unterstützung des Verantwortlichen

  1. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
  2. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
  3. Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 7 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
    1. Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung"), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
    2. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
    3. Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
    4. Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.
  4. Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel 7 sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 8 — Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

8.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

  1. bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
  2. bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
    1. die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
    Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
  3. bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

8.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

  1. eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
  2. Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
  3. die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.

Abschnitt III — Schlussbestimmungen

Klausel 9 — Verstöße gegen den AVV und Beendigung des Vertrags

  1. Falls der Auftragsverarbeiter seinen Pflichten gemäß des AVV nicht nachkommt, kann der Verantwortliche — unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 — den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er den AVV einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, den AVV einzuhalten.
  2. Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß des AVV betrifft, wenn
    1. der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
    2. der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen den AVV verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 nicht erfüllt;
    3. der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß des AVV, der Verordnung (EU) 2016/679 zum Gegenstand hat, nicht nachkommt.
  3. Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß des AVV betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 6.1 Buchstabe b verstoßen.
  4. Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung des AVV.

Anhang I — Liste der Parteien

Verantwortliche(r)

Kunde des Auftragsverarbeiters, wie im entsprechenden Vertrag zwischen Verantwortlichem und Auftragsverarbeiter bezeichnet.

Auftragsverarbeiter

Name: Ametis Digital GmbH
Anschrift: Rathausgasse 17, 12529 Schönefeld

Name, Funktion und Kontaktdaten der Kontaktperson: Datenschutzverantwortlicher, datenschutz@locari.ai

Der AVV wird durch Akzeptanz der AGB im Rahmen der Kontoerstellung wirksam. Der Zeitpunkt der Akzeptanz wird elektronisch protokolliert.

Anhang II — Beschreibung der Verarbeitung

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden

Personen, deren personenbezogene Daten dem Auftragsverarbeiter durch den Verantwortlichen im Rahmen der Nutzung der Software zur Verfügung gestellt werden. Diese können z. B. umfassen: Kunden des Verantwortlichen (Mietinteressenten), deren Haushaltsmitglieder sowie Mitarbeiter und Beauftragte des Verantwortlichen.

Kategorien personenbezogener Daten, die verarbeitet werden

Daten, die der Verantwortliche oder von ihm autorisierte Personen dem Auftragsverarbeiter durch Nutzung der Software zur Verfügung stellen. Diese können z. B. umfassen: Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Anschrift), Bewerbungsangaben (Berufsstatus, Haushaltsgröße), Dokumente, Kommunikationsdaten (E-Mail-Inhalte, Chat-Nachrichten) sowie Zugangsdaten zum Kundenkonto.

Art der Verarbeitung

Verarbeitung personenbezogener Daten zur Erbringung der Software gemäß den Bestimmungen des Nutzungsvertrags, einschließlich der in Art. 4 Nr. 2 DSGVO beschriebenen Vorgänge. Diese können z. B. umfassen: Erhebung, Speicherung, Strukturierung, Übermittlung an Immobilienportale, automatisierte Kommunikation im Auftrag des Verantwortlichen sowie Löschung und Anonymisierung. Soweit bei der Verarbeitung KI-gestützte Verfahren zum Einsatz kommen, dienen diese ausschließlich der Unterstützung des Verantwortlichen; eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. Die eingesetzten KI-Modelle verwenden personenbezogene Daten des Verantwortlichen nicht zum Training oder zur Weiterentwicklung der Modelle. Der Auftragsverarbeiter stellt sicher, dass die Software keine diskriminierenden Verarbeitungen auf Basis von Merkmalen wie Herkunft, Geschlecht, Religion oder Nationalität vornimmt.

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden

Bereitstellung und Betrieb der Software zur Unterstützung des Verantwortlichen bei der Vermietung von Immobilien gemäß den Bestimmungen des Nutzungsvertrags.

Dauer der Verarbeitung

Die Dauer der Verarbeitung entspricht der Dauer des entsprechenden Vertrags zwischen den Parteien.

Anhang III — Technische und organisatorische Maßnahmen einschließlich zur Gewährleistung der Sicherheit der Daten

Beschreibung der von dem/den Auftragsverarbeiters ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen. Beispiele für mögliche Maßnahmen:

Pseudonymisierung und Verschlüsselung personenbezogener Daten

Der Auftragsverarbeiter schützt personenbezogene Daten durch den Einsatz anerkannter Verschlüsselungstechniken. Daten werden sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt. Bei der Übertragung personenbezogener Daten innerhalb eines Netzwerks werden ausschließlich verschlüsselte Verbindungen (TLS 1.2 oder höher) verwendet. Gespeicherte personenbezogene Daten werden durch die Verschlüsselungsmechanismen der eingesetzten Infrastrukturanbieter geschützt. Authentifizierungsdaten wie Passwörter werden ausschließlich in gehashter Form gespeichert und sind nicht im Klartext einsehbar. Zugangsdaten zu Drittsystemen werden zusätzlich symmetrisch verschlüsselt, wobei die Schlüssel getrennt von den verschlüsselten Daten verwaltet werden.

Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit

Vertraulichkeit: Der Zugriff auf personenbezogene Daten ist durch ein mehrstufiges Berechtigungskonzept geregelt. Jeder Nutzer kann ausschließlich auf Daten zugreifen, die seinem eigenen Mandantenbereich zugeordnet sind. Die Mandantentrennung wird auf Datenbankebene technisch erzwungen. Entwicklungs- und Produktivumgebungen sind vollständig voneinander getrennt. Integrität: Sämtliche Nutzereingaben werden serverseitig validiert. Der Auftragsverarbeiter setzt Maßnahmen zum Schutz vor gängigen Angriffsmustern ein, insbesondere gegen SQL-Injection, Cross-Site-Scripting und Prompt-Injection. Eingehende Daten von Drittanbietern werden durch kryptografische Signaturprüfung verifiziert. Verfügbarkeit: Der Auftragsverarbeiter erstellt täglich automatisierte Sicherungskopien der Datenbank und ermöglicht die Wiederherstellung auf einen beliebigen Zeitpunkt. Die eingesetzten Dienste werden kontinuierlich auf Verfügbarkeit überwacht. Belastbarkeit: Die Infrastruktur skaliert automatisch bei erhöhter Last. Zugriffsbeschränkungen auf sicherheitsrelevante Endpunkte verhindern eine Überlastung durch missbräuchliche Nutzung.

Wiederherstellung der Verfügbarkeit bei physischen oder technischen Zwischenfällen

Der Auftragsverarbeiter gewährleistet die rasche Wiederherstellbarkeit der personenbezogenen Daten durch zeitpunktgenaue Sicherungskopien (Point-in-Time Recovery). Anwendungsbereitstellungen können jederzeit auf einen vorherigen Stand zurückgesetzt werden. Containerdienste werden bei Ausfall automatisch neu gestartet. Entwicklungs- und Produktivumgebungen laufen auf getrennten Datenbankinstanzen, sodass ein Ausfall einer Umgebung die andere nicht beeinträchtigt.

Regelmäßige Überprüfung, Bewertung und Evaluierung

Zur regelmäßigen Überprüfung der getroffenen technischen und organisatorischen Maßnahmen hat der Auftragsverarbeiter ein internes Kontrollverfahren eingerichtet. Jede Codeänderung durchläuft einen verpflichtenden Prüfprozess. Automatisierte Prüfwerkzeuge kontrollieren bei jeder Änderung die Typsicherheit, Codequalität und Abhängigkeiten auf bekannte Sicherheitslücken. Änderungen werden zunächst in einer Testumgebung erprobt, bevor sie in die Produktivumgebung übernommen werden. Das Verzeichnis der Unterauftragsverarbeiter und der zugehörigen Datenschutzvereinbarungen wird laufend aktualisiert.

Identifizierung und Autorisierung der Nutzer

Der Zugang zum System erfordert eine persönliche Authentifizierung mittels E-Mail-Adresse und Passwort. Für den Zugriff auf sensible Daten ist eine Zwei-Faktor-Authentifizierung zwingend erforderlich. Sitzungen sind zeitlich begrenzt und werden nach Ablauf automatisch beendet. Administrativer Zugang ist auf eine minimale Anzahl berechtigter Personen beschränkt und erfordert eine gesonderte Authentifizierung. Die Berechtigungsvergabe innerhalb eines Mandantenbereichs erfolgt rollenbasiert und kann vom Verantwortlichen eigenständig verwaltet werden.

Schutz der Daten während der Übermittlung

Sämtliche Datenübertragungen erfolgen ausschließlich über verschlüsselte Verbindungen (TLS). Dies gilt sowohl für die Kommunikation zwischen Nutzergeräten und der Software als auch für die Kommunikation mit E-Mail-Servern und Drittanbietern. Eingehende Webhook-Nachrichten werden durch kryptografische Signaturprüfung auf Authentizität verifiziert. Zugangsdaten für Drittsysteme werden verschlüsselt in der Datenbank gespeichert.

Schutz der Daten während der Speicherung

Personenbezogene Daten werden ausschließlich in verschlüsselter Form gespeichert (Encryption at Rest). Der Zugriff auf gespeicherte Dateien und Dokumente ist durch mandantenspezifische Zugriffsregeln beschränkt. Dateipfade sind durch nicht erratbare Identifikatoren geschützt. Zugriffs-URLs für Dokumente sind zeitlich befristet. Zugangsdaten und Schlüssel werden in einem gesonderten, zugriffsbeschränkten Verwaltungssystem aufbewahrt und sind strikt von der Anwendungsumgebung getrennt.

Physische Sicherheit der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich in Rechenzentren zertifizierter Infrastrukturanbieter innerhalb der Europäischen Union, vorwiegend in Deutschland. Die physische Sicherheit der Rechenzentren wird durch die Sicherheitsmaßnahmen der eingesetzten Infrastrukturanbieter gewährleistet (ISO 27001, SOC 2 Type II). Der Auftragsverarbeiter betreibt keine eigenen Rechenzentren oder Serverräume. Der Zugriff auf personenbezogene Daten durch Mitarbeiter erfolgt ausschließlich über verschlüsselte Fernzugriffe mit Zwei-Faktor-Authentifizierung.

Protokollierung von Ereignissen

Der Auftragsverarbeiter protokolliert sicherheitsrelevante Ereignisse in strukturierter Form. Jeder Vorgang wird mit einer eindeutigen Kennung versehen, die eine lückenlose Nachvollziehbarkeit ermöglicht. Verdächtige Zugriffsversuche und Manipulationsversuche werden automatisch erkannt und dokumentiert. Änderungen an Einwilligungen betroffener Personen werden mit Zeitstempel protokolliert.

Systemkonfiguration, einschließlich der Standardkonfiguration

Entwicklungs-, Test- und Produktivumgebungen sind vollständig voneinander getrennt und nutzen jeweils eigene Datenbanken und Konfigurationen. Die Infrastrukturkonfiguration ist kodifiziert und versioniert, sodass Änderungen nachvollziehbar und reproduzierbar sind. Alle Verbindungen werden automatisch mit gültigen Sicherheitszertifikaten verschlüsselt.

Interne Governance und IT-Sicherheit

Der Auftragsverarbeiter hat interne Richtlinien und Verfahren zur Gewährleistung der IT-Sicherheit eingerichtet. Jede Änderung am System unterliegt einem verpflichtenden Prüfverfahren. Zugriffsberechtigungen werden regelmäßig überprüft. Abhängigkeiten von Drittbibliotheken werden systematisch auf bekannte Schwachstellen geprüft. Das Verzeichnis der Unterauftragsverarbeiter und deren Datenschutzvereinbarungen wird laufend gepflegt.

Zertifizierung/Qualitätssicherung von Prozessen und Produkten

Die vom Auftragsverarbeiter eingesetzten Infrastrukturanbieter verfügen über anerkannte Zertifizierungen (insbesondere ISO 27001 und SOC 2 Type II). Der Auftragsverarbeiter unterhält eine automatisierte Qualitätssicherungspipeline, die bei jeder Änderung Typsicherheit, Codequalität und Sicherheitsaspekte prüft.

Datenminimierung

Der Auftragsverarbeiter übermittelt an externe Dienste ausschließlich die für den jeweiligen Verarbeitungszweck erforderlichen Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erfolgt nur auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Person. Daten werden bei Drittanbietern nur temporär verarbeitet und nach Abschluss der Verarbeitung unverzüglich gelöscht.

Schutz besonderer Datenkategorien und Diskriminierungsverbot

Personenbezogene Daten besonderer Kategorien im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten, Daten zur rassischen oder ethnischen Herkunft) werden ausschließlich erhoben und verarbeitet, wenn der Betroffene hierzu eine ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO erteilt hat. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einholung und Dokumentation dieser Einwilligung und stellt hierzu geeignete technische Mechanismen bereit. Soweit bei der Verarbeitung automatisierte Verfahren zum Einsatz kommen, stellt der Auftragsverarbeiter sicher, dass diese keine diskriminierenden Verarbeitungen auf Basis von Merkmalen wie Herkunft, Geschlecht, Religion, Nationalität oder Gesundheitszustand vornimmt. Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Erfüllung seiner datenschutzrechtlichen Pflichten gegenüber betroffenen Personen, insbesondere durch die Bereitstellung einer anpassbaren Muster-Datenschutzerklärung.

Datenqualität

Der Auftragsverarbeiter gewährleistet die Datenqualität durch serverseitige Validierung sämtlicher Eingaben anhand definierter Schemata. E-Mail-Adressen werden auf syntaktische Korrektheit und Gültigkeit der Domain geprüft. Automatisierte Verarbeitungsschritte überführen unstrukturierte Daten in ein einheitliches, strukturiertes Format.

Begrenzte Vorratsdatenspeicherung

Der Auftragsverarbeiter speichert personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Bei Widerruf oder Ablauf einer Einwilligung werden die betroffenen Daten automatisch gelöscht. Bei Drittanbietern verarbeitete Daten werden nach Abschluss der Verarbeitung gelöscht, spätestens jedoch innerhalb der vertraglich vereinbarten Aufbewahrungsfristen des jeweiligen Anbieters.

Rechenschaftspflicht

Der Auftragsverarbeiter dokumentiert jede Einwilligungserteilung mit Zeitstempel, Version und Erhebungskanal. Bei Löschung personenbezogener Daten werden die zugehörigen Einwilligungsdatensätze anonymisiert aufbewahrt, um der Nachweispflicht zu genügen. Das Verzeichnis der Unterauftragsverarbeiter wird versioniert geführt und ist jederzeit abrufbar.

Datenübertragbarkeit und Löschung

Der Auftragsverarbeiter ermöglicht die Löschung personenbezogener Daten durch einen mehrstufigen, automatisierten Löschprozess, der sämtliche relevanten Datenbestände erfasst (Profile, Dokumente, Kommunikationsverläufe, Bewertungen). Betroffene Personen werden nach Abschluss der Löschung per E-Mail benachrichtigt. Vor der Löschung eines Kontos wird dem Verantwortlichen die Möglichkeit zum Datenexport eingeräumt.

Anhang IV — Liste der Unterauftragsverarbeiter

Die vom Verantwortlichen genehmigten Unterauftragsverarbeiter — namentlich, mit Sitz, Zweck und etwaigen Drittland-Transfers — sind als eigene, laufend aktualisierte Liste geführt: Sub-Prozessoren. Diese Liste ist Bestandteil dieses AVV.

Fragen zum AVV

Bei Fragen zum Auftragsverarbeitungsvertrag oder zur Datenverarbeitung wende dich an unsere für Datenschutz zuständige Stelle: datenschutz@locari.ai oder über das Kontaktformular. Weitere Informationen findest du in der Datenschutzerklärung.

Stand: März 2026

Persönlicher Vermietungs-Assistent. Locari arbeitet — du entscheidest.

Newsletter folgt in Kürze. Datenschutzerklärung

Produkt

  • Wie es funktioniert
  • Warum Locari
  • Anti-Profiling
  • Preise
  • FAQ

Unternehmen

  • Über uns
  • Blog
  • Changelog
  • Karriere
  • Presse

Rechtliches

  • Trust Center
  • Impressum
  • Datenschutzerklärung
  • Cookie-Richtlinie
  • Widerruf & Kündigung
  • Meldung rechtswidriger Inhalte

Kontakt

  • Kontakt aufnehmen
  • Support & Hilfe
  • Datenschutz
  • LinkedIn (bald)
© 2026 Locari. Ein Service der Ametis Digital GmbH.