Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Stand: April 2026
Dieser Auftragsverarbeitungsvertrag wird zwischen dem jeweiligen Nutzer der Plattform Miet-Flow (nachfolgend „Verantwortlicher") und dem Anbieter von Miet-Flow, Tim Beckmann, Rosenweg 4 in 29378 Wittingen (nachfolgend „Auftragsverarbeiter") geschlossen.
Der Vertrag gilt als geschlossen, sobald der Verantwortliche bei der Registrierung auf miet-flow.de die Zustimmung zu AGB und AVV per Checkbox bestätigt hat.
Art. 1 – Gegenstand und Dauer
Gegenstand der Auftragsverarbeitung ist die Bereitstellung der Software-as-a-Service-Plattform Miet-Flow zur Verwaltung von Artikelvermietungen, Kundendaten, Rechnungen und Buchungen.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen für die Dauer des Nutzungsvertrages. Mit Beendigung des Vertrages endet auch dieser AVV.
Art. 2 – Art, Zweck und Umfang der Verarbeitung
Der Auftragsverarbeiter verarbeitet folgende Kategorien personenbezogener Daten im Auftrag des Verantwortlichen:
- Namen und Kontaktdaten der Mieter (Endkunden des Verantwortlichen)
- Adressen, Telefonnummern, E-Mail-Adressen
- Ausweisnummern (sofern vom Verantwortlichen eingetragen)
- Buchungs- und Vertragsdaten
- Zahlungsinformationen (nur im Kontext der Mietverhältnisse)
Zweck der Verarbeitung ist ausschließlich die technische Bereitstellung der vereinbarten Softwarefunktionalität. Eine Nutzung der Daten für eigene Zwecke des Auftragsverarbeiters findet nicht statt.
Art. 3 – Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
- Zur Verschwiegenheit und Vertraulichkeit gegenüber Dritten — alle Mitarbeiter mit Zugang zu den Daten sind auf die Vertraulichkeit verpflichtet
- Alle erforderlichen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO umzusetzen (siehe Anlage 1)
- Keine Unterauftragsverarbeiter ohne vorherige Information des Verantwortlichen einzusetzen — außer den in Art. 5 genannten
- Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach Einschätzung des Auftragsverarbeiters gegen geltendes Recht verstößt
- Den Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen zu unterstützen
- Alle Daten nach Beendigung des Vertrages innerhalb von 30 Tagen zu löschen
Art. 4 – Pflichten des Verantwortlichen
Der Verantwortliche ist verpflichtet:
- Nur rechtmäßig erhobene personenbezogene Daten in die Plattform einzutragen
- Seinen eigenen Endkunden gegenüber die erforderlichen Datenschutzhinweise zu erteilen
- Den Auftragsverarbeiter unverzüglich zu informieren, wenn Fehler in der Verarbeitung festgestellt werden
- Regelmäßige Datenexporte (z. B. als PDF) als eigene Sicherung vorzunehmen
Art. 5 – Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein, denen der Verantwortliche durch Zustimmung zu diesem AVV vorab zustimmt:
| Unternehmen | Zweck | Sitz |
|---|---|---|
| ionos.de | Server-Hosting, Datenbankbetrieb | Deutschland / EU |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung (nur Abogebühren) | Irland (EU) |
| Resend Inc. | Transaktionale E-Mails | USA (SCCs) |
SCCs = EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO
Art. 6 – Datenpannen und Meldepflichten
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich — spätestens innerhalb von 24 Stunden nach Bekanntwerden — über Verletzungen des Schutzes personenbezogener Daten. Die Benachrichtigung erfolgt per E-Mail an die im Account hinterlegte Adresse des Verantwortlichen.
Art. 7 – Betroffenenrechte
Wenden sich betroffene Personen (Endkunden des Verantwortlichen) direkt an den Auftragsverarbeiter mit Anfragen nach Art. 15–22 DSGVO (Auskunft, Löschung, etc.), leitet der Auftragsverarbeiter diese Anfragen unverzüglich an den Verantwortlichen weiter. Der Verantwortliche ist für die Beantwortung selbst zuständig.
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
gemäß Art. 32 DSGVO
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zugriffskontrolle: Datenbankzugriff nur über authentifizierte API-Routen; direkter DB-Zugriff nur für den Betreiber mit starkem Passwort und 2FA
- Benutzerkontrolle: Jeder Nutzer sieht ausschließlich Daten seines eigenen Tenants (mandantenfähige Datentrennung auf Datenbankebene)
- Passwörter werden mit bcrypt (Cost Factor 12) gehasht gespeichert — Klartextpasswörter werden nie gespeichert
- Transportverschlüsselung: Alle Verbindungen ausschließlich über HTTPS/TLS 1.2+
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Alle Datenbankoperationen erfolgen über typsicheres ORM (Prisma) — kein direktes SQL durch Nutzer möglich
- Eingaben werden serverseitig validiert und bereinigt
- Protokollierung von Fehlerzugriffen in Server-Logs
3. Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Hosting auf Servern innerhalb der EU mit angestrebter Verfügbarkeit von 99 % im Jahresmittel
- Regelmäßige Datenbank-Backups (mindestens täglich) mit Aufbewahrung von mindestens 7 Tagen
- Monitoring der Serverinfrastruktur
4. Belastbarkeit und Wiederherstellung
- Backups ermöglichen Wiederherstellung des letzten bekannten guten Zustands
- Regelmäßige Updates von Abhängigkeiten zur Schließung von Sicherheitslücken
5. Datentrennung
- Strikte Mandantentrennung: Jeder Nutzer (Tenant) hat eine eigene `tenantId` — alle Datenbankabfragen filtern zwingend nach dieser ID
- Kein Nutzer kann auf Daten eines anderen Tenants zugreifen