Auftragsverarbeitungsvertrag (AVV)

zwischen

dem Kunden (Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO; Identifikation durch die im HOMES-Account hinterlegte Organisations- und Kontaktinformation)

(nachfolgend „Verantwortlicher")

und

(nachfolgend „Auftragsverarbeiter")

— gemeinsam: „die Parteien" —

Präambel

Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen gemäß den Allgemeinen Geschäftsbedingungen (AGB) der HOMES-Plattform (Version 1.0.0, Stand 13.04.2026). Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen sowie der durch den Verantwortlichen verwalteten betroffenen Personen.

Da diese Daten besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO umfassen können (insbesondere Gesundheitsdaten, Daten zur sexuellen Orientierung, Behinderung), schließen die Parteien diesen Auftragsverarbeitungsvertrag zur Konkretisierung ihrer Pflichten gemäß Art. 28 DSGVO ab.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist die Bereitstellung der HOMES-Software-as-a-Service-Plattform für die Verwaltung von Wohnheimen, Geflüchtetenunterkünften, Pensionen und vergleichbaren Beherbergungsbetrieben des Verantwortlichen.

(2) Zweck der Verarbeitung ist die Unterstützung des Verantwortlichen bei

• Aufnahme, Belegung und Abmeldung von Bewohnern/Gästen,
• Verwaltung der Stammdaten und Aufenthaltsdokumentation,
• Qualitätssicherung gemäß GStU-Standards und Trägerverpflichtungen,
• Erstellung und Versand von Rechnungen, Abrechnungen, Reports,
• Archivierung der gesetzlich aufzubewahrenden Daten.

(3) Art der Verarbeitung umfasst Erheben, Erfassen, Organisation, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegung durch Übermittlung an autorisierte Nutzer, Verbreitung oder andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichten (Art. 4 Nr. 2 DSGVO).

(4) Dauer der Verarbeitung entspricht der Dauer des zugrundeliegenden Hauptvertrags zuzüglich der in § 8 dieses AVV vereinbarten Übergangs- und Löschphasen.

§ 2 Kategorien betroffener Personen

Im Rahmen der Verarbeitung können folgende Kategorien betroffener Personen erfasst sein:

1. Bewohner / Gäste der durch den Verantwortlichen betriebenen Einrichtungen
2. Familienangehörige dieser Bewohner, soweit für die Belegungs-/Familienzuordnung erforderlich
3. Kontaktpersonen der Bewohner (Vormünder, gesetzliche Betreuer, Sozialarbeiter externer Träger)
4. Mitarbeiter und User des Verantwortlichen mit Zugang zur Plattform
5. Externe Beauftragte des Verantwortlichen (Behörden-Sachbearbeiter im Bezirk/LFU, soweit Schreibrechte gewährt werden)
6. Lieferanten/Dienstleister des Verantwortlichen, soweit deren Stammdaten zur Rechnungsabwicklung erfasst werden

§ 3 Datenkategorien

3.1 Kategorien personenbezogener Daten i.S.v. Art. 4 Nr. 1 DSGVO

• Stammdaten: Vor- und Nachname, Geschlecht, Geburtsdatum, Geburtsort, Staatsangehörigkeit
• Kontaktdaten: Adresse, Telefon, E-Mail
• Identifikationsdokumente: Pass-, Personalausweis-, Aufenthaltsdokument-Nummern, Gültigkeitsdaten, ausstellende Behörde, Dokumenten-Bilder/-Scans
• Aufenthaltsstatus: Asyl-, Aufenthalts- und Duldungsstatus, AKN/AZR-IDs (soweit vom Verantwortlichen erfasst)
• Belegungsdaten: Zimmerzuweisung, Ein-/Auszugsdatum, Bewegungshistorie, Familienverknüpfungen
• Zahlungs- und Abrechnungsdaten: Tagessatz, Rechnungen, Selbstbeteiligung, Kostenträger
• Korrespondenz und Vermerke: Sozialarbeiter-Notizen, Begehungsprotokolle, Beratungs-Doku, Clearing-Vorgänge
• Benutzerstamm- und Zugriffsdaten: Login, Rollen, Berechtigungen, IP-Adresse, Login-Zeitstempel
• Geräte- und Logdaten: technische Zugriffsdaten zur Sicherheits- und Audit-Trail-Führung

3.2 Besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO

Folgende besondere Kategorien werden — soweit der Verantwortliche entsprechende Felder nutzt — erfasst und verarbeitet:

• Gesundheitsdaten: Krankenversicherungs-Nummer, Chip-Karten-Status, Schwangerschaft, Masern-Impfstatus, TBC-Untersuchung, chronische Erkrankungen mit Detailangaben, psychische Erkrankungen, Sucht-Erkrankungen, Abstinenz-Status, Pflegebedarf, Pflegegrad
• Daten zu Behinderung: Grad der Behinderung, körperliche Beeinträchtigungen
• Daten zur sexuellen Orientierung / Geschlechtsidentität: LSBTIQ+-Markierung (falls vom Verantwortlichen erhoben)
• Religionszugehörigkeit: soweit für Belegungs-Sensibilität erforderlich (z.B. Halal-Verpflegung, Gebetszeiten — wird nur verarbeitet, wenn vom Verantwortlichen aktiv erfasst)

3.3 Rechtsgrundlagen für besondere Kategorien

Die Verarbeitung der besonderen Kategorien erfolgt im Auftrag und unter Verantwortung des Verantwortlichen, gestützt insbesondere auf:

• Art. 9 Abs. 2 lit. b DSGVO (Sozialschutz, Sozial-, Arbeits- und Fürsorgerecht), z.B. § 22 BDSG, SGB XII
• Art. 9 Abs. 2 lit. c DSGVO (Schutz lebenswichtiger Interessen)
• Art. 9 Abs. 2 lit. g DSGVO (erhebliches öffentliches Interesse, gesetzliche Grundlage GStU Berlin)
• Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung, Sozialdiensten)
• Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung der betroffenen Person), soweit erforderlich

Die Prüfung und Dokumentation der einschlägigen Rechtsgrundlage obliegt dem Verantwortlichen.

§ 4 Pflichten des Auftragsverarbeiters

(1) Weisungsbindung: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich Übermittlungen in Drittländer (Art. 28 Abs. 3 lit. a DSGVO). Weisungen werden im Regelfall durch die Konfiguration im Kundendashboard erteilt; abweichende Einzelweisungen sind in Textform an den Datenschutz-Kontakt zu richten.

(2) Mitarbeiterverpflichtung: Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO i.V.m. § 5 BDSG). Mitarbeiter werden regelmäßig zu Datenschutz und Informationssicherheit geschult (mindestens jährlich).

(3) Sicherheit der Verarbeitung: Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese sind in Anlage 1 (TOMs) zu diesem AVV detailliert dargestellt und werden mindestens jährlich überprüft und an den Stand der Technik angepasst.

(4) Sub-Auftragsverarbeiter: Der Auftragsverarbeiter hält eine aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter in Anlage 2 vor. Hinzufügung oder Wechsel erfolgen nach den Modalitäten des § 6 dieses AVV.

(5) Unterstützung des Verantwortlichen: Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit dies möglich und erforderlich ist (Art. 28 Abs. 3 lit. e–f DSGVO):

• bei der Beantwortung von Anträgen betroffener Personen (Art. 15–22 DSGVO) durch Bereitstellung von Export-Funktionen, Lösch-Funktionen und Korrektur-Workflows im Kundendashboard,
• bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, DSFA, vorherige Konsultation),
• durch Bereitstellung der erforderlichen Informationen für Audits und Aufsichtsbehörden-Auskünfte.

(6) Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens binnen 72 Stunden nach Kenntnisnahme. Die Meldung enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit verfügbar. Meldekanal: [email protected] sowie automatisierte Status-Page.

(7) Daten-Schutz-Folgenabschätzung (DSFA): Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer DSFA gemäß Art. 35 DSGVO durch Bereitstellung von Informationen über die TOMs und die Struktur der Plattform.

(8) Mitteilungen an Aufsichtsbehörden: Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über behördliche Auskunftsersuchen, die personenbezogene Daten des Verantwortlichen betreffen, soweit gesetzlich zulässig.

(9) Datenschutzbeauftragter: Der Auftragsverarbeiter unterliegt zum Stand dieses Vertrags nicht der Pflicht zur Bestellung eines Datenschutzbeauftragten im Sinne von § 38 BDSG bzw. Art. 37 DSGVO (Solo-Einzelunternehmen, keine Mitarbeiter, keine Kerntätigkeit umfangreicher Art.-9-Verarbeitung im Eigenbestand). Sobald die gesetzlichen Voraussetzungen für eine Pflicht-Bestellung eintreten oder eine freiwillige Bestellung erfolgt, wird der Verantwortliche unverzüglich informiert; die Kontaktdaten des Datenschutzbeauftragten werden über [email protected] und im aktualisierten AVV bekanntgegeben. Datenschutzanfragen bis dahin: [email protected].

§ 5 Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen (Art. 4 Nr. 7 i.V.m. Art. 24 DSGVO). Er trägt insbesondere die Verantwortung für:

• die Auswahl der zu verarbeitenden Datenkategorien (insb. ob besondere Kategorien nach Art. 9 erhoben werden),
• die Rechtsgrundlage der Verarbeitung,
• die Erfüllung der Informationspflichten gegenüber betroffenen Personen (Art. 13/14 DSGVO),
• die Durchführung einer DSFA, soweit erforderlich.

(2) Der Verantwortliche erteilt Weisungen grundsätzlich durch die Konfiguration im Kundendashboard. Abweichende Einzelweisungen erfolgen in Textform an [email protected].

(3) Der Verantwortliche ist berechtigt, Audits beim Auftragsverarbeiter durchzuführen oder durchführen zu lassen (Art. 28 Abs. 3 lit. h DSGVO). Audits sind mit angemessener Vorlauffrist (mindestens 30 Tage), nicht häufiger als einmal pro Vertragsjahr (außer bei begründetem Anlass) und unter Wahrung der Betriebs-/Geschäftsgeheimnisse anderer Kunden des Auftragsverarbeiters durchzuführen. Der Auftragsverarbeiter kann zur Erfüllung des Audit-Anspruchs auf aktuelle Zertifikate und Prüfberichte unabhängiger Dritter verweisen, soweit diese den Audit-Anspruch sachlich abdecken (z.B. ISO 27001, BSI C5, SOC 2).

§ 6 Sub-Auftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung der in Anlage 2 zum Zeitpunkt des Vertragsabschlusses gelisteten Sub-Auftragsverarbeiter (Art. 28 Abs. 2 Satz 2 DSGVO).

(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Wirksamwerden über jede Hinzuziehung neuer Sub-Auftragsverarbeiter oder den Wechsel bestehender. Die Information erfolgt im Regelfall per E-Mail an die im Kundendashboard hinterlegte Datenschutz-Kontaktadresse sowie durch Aktualisierung der online verfügbaren Sub-Auftragsverarbeiter-Liste.

(3) Der Verantwortliche kann der Hinzuziehung binnen 14 Tagen ab Zugang der Information aus berechtigten datenschutzrechtlichen Gründen in Textform widersprechen. Im Widerspruchsfall haben die Parteien zunächst eine einvernehmliche Lösung zu suchen. Lässt sich keine Einigung erzielen, steht beiden Parteien ein außerordentliches Kündigungsrecht zum Wirksamwerden der Sub-Auftragsverarbeiter-Hinzuziehung zu.

(4) Der Auftragsverarbeiter schließt mit allen Sub-Auftragsverarbeitern Verträge ab, die ein gleichwertiges Datenschutzniveau gewährleisten (Art. 28 Abs. 4 DSGVO), insbesondere in Bezug auf TOMs, Vertraulichkeit, Audit-Rechte und Drittlandsregelungen.

(5) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Pflichten durch Sub-Auftragsverarbeiter wie für eigene Pflichtverletzungen, soweit Art. 28 Abs. 4 DSGVO nichts anderes bestimmt.

§ 7 Drittlandsübermittlung

(1) Eine Übermittlung personenbezogener Daten in Länder außerhalb des EWR (Drittländer) erfolgt nur, soweit ein angemessenes Datenschutzniveau im Sinne der Art. 44 ff. DSGVO sichergestellt ist.

(2) Aktuell findet eine Datenübermittlung in die USA statt zu folgenden Sub-Auftragsverarbeitern: Stripe Inc., Cloudflare Inc., Sentry Inc. (Liste nicht abschließend; aktuelle Liste in Anlage 2). Diese Empfänger sind unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses (EU) 2023/1795. Die OCR-Verarbeitung von Identifikationsdokumenten erfolgt über Google Cloud EMEA Limited (Vertex AI) in der Region Frankfurt (europe-west3) — die Verarbeitung der Dokumentinhalte selbst verlässt die EU nicht; ein US-Drittlandstransfer findet im Regelbetrieb nicht statt.

(3) Hilfsweise — insbesondere bei Wegfall des Angemessenheitsbeschlusses oder Nichtzertifizierung eines Empfängers — schließt der Auftragsverarbeiter mit den betreffenden Empfängern die Standard­vertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 (Modul 2 oder 3) ab. Eine Transfer Impact Assessment (TIA) liegt dokumentiert vor und wird dem Verantwortlichen auf Anforderung zur Verfügung gestellt.

(4) Der Auftragsverarbeiter überwacht die Stabilität der eingesetzten Transfermechanismen und informiert den Verantwortlichen unverzüglich, wenn sich an deren Grundlage etwas Wesentliches ändert (z.B. Aufhebung des DPF-Angemessenheitsbeschlusses durch den EuGH).

§ 8 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Hauptvertrags hält der Auftragsverarbeiter die personenbezogenen Daten gemäß § 10 AGB im Read-Only-Modus für 30 Tage zum Export bereit.

(2) Nach Ablauf dieser Frist werden alle personenbezogenen Daten — vorbehaltlich gesetzlicher Aufbewahrungspflichten gemäß Absatz 4 — aus den Produktivsystemen gelöscht oder zurückgegeben, je nach Wahl des Verantwortlichen.

(3) Die Löschung erfolgt unverzüglich, spätestens innerhalb von 30 Tagen nach Ablauf der Export-Frist. Backups werden gemäß Backup-Rotation (max. 90 Tage) automatisch überschrieben.

(4) Verbleibende-Daten-Klausel: Hiervon ausgenommen sind Daten, deren Aufbewahrung der Auftragsverarbeiter aus eigener Pflicht schuldet (insb. Rechnungs- und Buchhaltungsdaten gemäß § 257 HGB, § 147 AO, § 14b UStG für 8 bzw. 10 Jahre, Daten zur Erfüllung der GoBD über die jeweilige gesetzliche Frist). Diese werden in einem Archivsystem revisionssicher und zugriffsbeschränkt vorgehalten und nach Ablauf der gesetzlichen Frist gelöscht.

(5) Auf Anforderung erhält der Verantwortliche innerhalb von 30 Tagen nach abgeschlossener Löschung eine schriftliche Löschbestätigung.

§ 9 Haftung und Sanktionen

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den Bestimmungen des Hauptvertrags (§ 12 AGB).

(2) Die Parteien stellen sich wechselseitig von Ansprüchen Dritter im Innenverhältnis frei, soweit die jeweilige Pflichtverletzung nachweislich der anderen Partei zuzurechnen ist.

(3) Bußgelder, die einer Partei aufgrund einer Pflichtverletzung der anderen Partei auferlegt werden, sind im Innenverhältnis von der pflichtverletzenden Partei zu tragen, soweit nicht zwingende Vorschriften eine andere Verteilung erfordern.

§ 10 Schlussbestimmungen

(1) Dieser AVV ist Bestandteil des Hauptvertrags (AGB der HOMES-Plattform). Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag in Datenschutzfragen geht dieser AVV vor.

(2) Anlagen sind in der jeweils aktuellen Fassung Bestandteil dieses AVV:

• Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
• Anlage 2: Liste der Sub-Auftragsverarbeiter

(3) Änderungen und Ergänzungen bedürfen der Textform. Dies gilt auch für die Aufhebung dieser Textform-Klausel.

(4) Es gilt deutsches Recht. Gerichtsstand ist Berlin (entsprechend § 18 AGB).

(5) Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; an die Stelle der unwirksamen Bestimmung tritt diejenige wirksame Regelung, die dem wirtschaftlich Gewollten am nächsten kommt.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Stand: 13.04.2026 · Wird mindestens jährlich überprüft und aktualisiert.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

• Hosting in Rechenzentren in Deutschland (Hostinger DE, ISO 27001 / SOC 2 zertifiziert)
• Physischer Zutritt nur für autorisiertes Personal des Hosting-Providers; Mehrfaktor-Zutrittssicherung
• Keine Server-Hardware in Geschäftsräumen des Auftragsverarbeiters

1.2 Zugangskontrolle

• Authentifizierung mit Benutzername + sicheres Passwort
• Passwort-Hashing mit bcrypt (Cost-Faktor ≥ 12)
• 2-Faktor-Authentifizierung (TOTP) für Plattform-Administratoren des Auftragsverarbeiters verpflichtend
• Empfehlung und technische Verfügbarkeit von 2FA für alle User des Verantwortlichen; Aktivierung erfolgt durch den Verantwortlichen
• Brute-Force-Schutz mit Rate-Limiting auf Login-Endpunkten
• Automatische Session-Timeout-Mechanismen
• Sichere Speicherung der Sessions in Server-seitiger Session-Datenbank (connect-pg-simple)

1.3 Zugriffskontrolle

• Rollen- und Rechtekonzept (RBAC) mit über 30 granularen Permissions auf Mandanten-Ebene
• Mandantentrennung durch organizationId-basierte Datenisolation auf Datenbank-Ebene; jede Lese-/Schreib-Operation prüft Mandanten-Kontext über Middleware (tenantContext.ts, tenantSecurity.ts)
• Permission-Prüfungen serverseitig erzwungen (Server-Side Enforcement); Frontend-Sichtbarkeit ist additional, nicht primär
• Platform-Admin-Zugriffe auf Kunden-Daten ausschließlich für Support/Wartung mit lückenlosem Audit-Trail
• Prinzip der minimalen Berechtigungen (Least Privilege)

1.4 Trennungskontrolle

• Logische Trennung der Mandanten-Daten in einer Multi-Tenant-Architektur via organizationId
• Trennung von Produktiv-, Staging- und Entwicklungsumgebungen
• Test-Daten enthalten keine produktiven personenbezogenen Daten

1.5 Pseudonymisierung / Verschlüsselung

• Verschlüsselung at-rest: Datenbank-Verschlüsselung auf Speicher-Ebene (Hosting-Provider-seitig); sensible ENV-Variablen (z.B. SMTP-Passwörter, API-Keys) werden in produktiver Umgebung verschlüsselt gespeichert
• Verschlüsselung in-transit: ausschließlich TLS 1.2/1.3 mit aktuellen Cipher-Suiten; HTTP Strict Transport Security (HSTS); CSP-Header
• Pseudonymisierung in Reports und Analyse-Funktionen, soweit funktional vereinbar

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Eingabekontrolle

• Audit-Trail: unveränderlicher Zugriffs- und Änderungs-Log auf Mandanten-Ebene (audit_log-Tabelle); Platform-Admin-Aktionen separat in platform_audit_log
• Audit-Einträge enthalten: Zeitpunkt, User-ID, Aktion, betroffener Datensatz, IP-Adresse, User-Agent
• Aufbewahrung der Audit-Logs entsprechend gesetzlicher Anforderungen, mindestens während der Vertragslaufzeit + 1 Jahr
• Vier-Augen-Prinzip für sensible Aktionen (Compliance-Lock-Modus, ab Tarif Business)

2.2 Weitergabekontrolle

• Datenübertragung ausschließlich verschlüsselt (TLS)
• Keine ungesicherten Schnittstellen
• API-Zugriff über authentifizierte Endpunkte mit Rate-Limiting

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b/c DSGVO)

• Backup-Strategie: automatisierte tägliche Backups; Aufbewahrung min. 30 Tage; geographisch redundant; regelmäßige Restore-Tests (mindestens quartalsweise)
• Disaster-Recovery-Plan dokumentiert; RTO/RPO definiert (RTO ≤ 24h, RPO ≤ 24h für reguläre Tarife)
• Monitoring kontinuierlich (Uptime, Error-Rate via Sentry optional)
• Patch-Management mit definierten SLAs (kritische Sicherheitsupdates < 72h, hoch < 7 Tage)
• DDoS-Schutz auf CDN-Ebene (Cloudflare)

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Datenschutz-Management-System dokumentiert; orientiert an ISO/IEC 27001-Strukturen (Roadmap zur Zertifizierung in Vorbereitung)
• Mitarbeiter-Schulungen mindestens jährlich, dokumentiert
• Verpflichtung der Mitarbeiter nach § 5 BDSG; Vertraulichkeitsvereinbarungen mit allen Mitarbeitern
• Externe Code-Reviews und/oder Penetrationstests mindestens einmal jährlich, Findings dokumentiert und priorisiert behoben
• Incident-Response-Prozess dokumentiert; Datenschutzvorfall-Meldekanal: [email protected]
• Reaktionszeit auf gemeldete Vorfälle: ≤ 24 Stunden für Triage, ≤ 72 Stunden für Erst-Meldung an Verantwortlichen

5. Spezielle Maßnahmen für Art. 9 DSGVO Daten

Aufgrund der Verarbeitung besonderer Kategorien personenbezogener Daten (insb. Gesundheitsdaten, Behinderung, sexuelle Orientierung) gelten erhöhte Schutzmaßnahmen:

• Verschlüsselung at-rest verpflichtend auf allen Speicherebenen
• Zugriffsbeschränkung auf Art. 9-Datenfelder über separate Permissions (z.B. viewHealthData, editPflegegrad)
• Sensitivere Audit-Log-Retention: alle Lesezugriffe auf Art. 9-Datenfelder werden geloggt (nicht nur Schreibzugriffe)
• Empfehlung 2FA-Pflicht für alle User des Verantwortlichen, die auf Art. 9-Daten zugreifen
• Rollentrennung im Anbieter-Team: Support-Mitarbeiter ohne fachliche Notwendigkeit haben keinen Standard-Zugriff auf Art. 9-Datenfelder von Kunden

Anlage 2: Liste der Sub-Auftragsverarbeiter

Stand: 13.04.2026 · Aktuelle Fassung jederzeit abrufbar unter https://gethomes.io/avv

Hinweis zu Drittlandstransfers:

• Für alle US-Empfänger ist eine Transfer Impact Assessment (TIA) durch den Auftragsverarbeiter dokumentiert.
• Die TIA wird auf Anforderung dem Verantwortlichen zur Verfügung gestellt.
• Bei einer wesentlichen Änderung des DPF-Status (insbesondere Aufhebung durch EuGH-Entscheidung) wird der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren und die rechtliche Grundlage auf SCC 2021/914 umstellen.

Selbst betriebene Komponenten (kein Sub-Auftragsverarbeiter):

• Postal (Open-Source-Mailserver, vom Auftragsverarbeiter auf eigenem VPS in Deutschland betrieben)
• Umami Analytics (Open-Source-Analytics, selbstgehostet auf VPS Deutschland; ohne Cookies, ohne IP-Speicherung)

Versionshistorie

Hash-Anker für Audit: avv-v1.0.0-2026-04-13 Datei-Hash (SHA-256): wird beim Deploy generiert und in terms_acceptances.version_hash gespeichert.

Ende des Auftragsverarbeitungsvertrags