Immovio Logo
AVV

Auftragsverarbeitungsvertrag (AVV)

der immovio FlexCo

Zuletzt aktualisiert: 01.03.2026

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen

dem Kunden (Vermieter) – nachfolgend „Verantwortlicher"

und

immovio FlexCo
Wöhrlehenstraße 9
5324 Faistenau, Österreich
E-Mail: [email protected]

– nachfolgend „Auftragsverarbeiter" –

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch immovio im Auftrag des Verantwortlichen im Rahmen der Nutzung der immovio-Plattform.

immovio stellt eine digitale Verwaltungsplattform für Mietverhältnisse zur Verfügung.

1.2 Dauer

Die Verarbeitung erfolgt:

  • für die Dauer des Nutzungsvertrages
  • sowie bis zu 12 Monate nach Beendigung zur Reaktivierung
  • anschließend Löschung oder Anonymisierung

Gesetzliche Aufbewahrungspflichten bleiben unberührt.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere:

  • Speicherung von Mieter- und Kontaktdaten
  • Verwaltung von Mietverträgen
  • Dokumentenspeicherung
  • Finanz- und Transaktionsübersicht
  • Fristenmanagement
  • KI-gestützte Dokumentenanalyse (optional)
  • Banktransaktionsdarstellung (Lesezugriff via finAPI)

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen.

3. Art der personenbezogenen Daten

Folgende Daten können im Rahmen der Nutzung verarbeitet werden:

  • Stammdaten (Name, Adresse, E-Mail, Telefonnummer)
  • Vertragsdaten
  • Mietvertragsinformationen
  • Zahlungs- und Transaktionsdaten
  • IBAN (nur bei Speicherung durch den Verantwortlichen)
  • Dokumenteninhalte
  • Kommunikationsinhalte
  • ggf. Ausweisdokumente (wenn vom Verantwortlichen gespeichert)

immovio speichert selbst keine Onlinebanking-Zugangsdaten.

4. Kategorien betroffener Personen

  • Mieter
  • ehemalige Mieter
  • Interessenten
  • Lieferanten / Dienstleister
  • sonstige Kontaktpersonen des Verantwortlichen

5. Pflichten des Auftragsverarbeiters

immovio verpflichtet sich:

  • Daten ausschließlich auf dokumentierte Weisung zu verarbeiten
  • Daten nicht für eigene Zwecke zu verwenden
  • Vertraulichkeit zu gewährleisten
  • geeignete technische und organisatorische Maßnahmen (TOMs) umzusetzen
  • bei Datenschutzverletzungen unverzüglich zu informieren
  • Betroffenenrechte zu unterstützen
  • keine unbefugte Weitergabe vorzunehmen

6. Technische und organisatorische Maßnahmen (TOMs)

immovio setzt insbesondere folgende Maßnahmen ein:

  • TLS/SSL-Verschlüsselung
  • Zugriffsbeschränkungen (Role-Based Access Control)
  • Regelmäßige Backups
  • Serverstandort EU
  • Trennung von Kundendaten
  • Monitoring und Angriffserkennung
  • DDoS-Schutz via Cloudflare

Details können gesondert angefordert werden.

7. Sub-Auftragsverarbeiter

immovio setzt folgende Sub-Auftragsverarbeiter ein:

Hosting & Infrastruktur
Hetzner Online GmbH (EU)

Zahlungsabwicklung
Stripe Payments Europe Ltd.

Bankdaten
finAPI GmbH (EU)

KI-Dienste
OpenRouter (API Routing)
Mistral AI (EU-Modell, sofern verfügbar)

Sicherheit & CDN
Cloudflare

Analyse & Marketing (nur für Website, nicht Plattformdaten)
Google Analytics
Meta Pixel

Subunternehmer werden sorgfältig ausgewählt und vertraglich gemäß Art. 28 DSGVO verpflichtet. Der Verantwortliche stimmt dem Einsatz der genannten Sub-Auftragsverarbeiter zu.

8. Drittstaatentransfers

Eine Verarbeitung außerhalb der EU erfolgt nur:

  • wenn technisch erforderlich
  • unter Anwendung geeigneter Garantien
  • insbesondere EU-Standardvertragsklauseln

9. Unterstützungspflichten

immovio unterstützt den Verantwortlichen bei:

  • Auskunftsersuchen
  • Löschersuchen
  • Datenportabilität
  • Datenschutz-Folgenabschätzungen
  • Meldung von Datenschutzverletzungen

10. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen.

Die Kontrolle erfolgt:

  • durch geeignete Nachweise
  • Dokumentationen
  • Zertifikate
  • oder Auditberichte

Vor-Ort-Kontrollen sind nur bei berechtigtem Anlass und mit angemessener Vorankündigung möglich.

11. Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses:

  • kann der Verantwortliche seine Daten exportieren
  • werden Daten nach Ablauf der 12-Monats-Frist gelöscht
  • auf Wunsch erfolgt frühere Löschung

12. Haftung

Es gelten die Haftungsregelungen des Hauptvertrages.

13. Schlussbestimmungen

Es gilt österreichisches Recht. Gerichtsstand: Salzburg.

Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen unberührt.