Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Auftragsverarbeiter:
Keyperion Germany GmbH
Große Gallusstraße 14, 60311 Frankfurt am Main
Verantwortlicher:
Der jeweilige MetriOffice-Nutzer
Art. 1 — Gegenstand und Dauer
Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung von MetriOffice. Laufzeit entspricht dem Hauptvertrag.
Art. 2 — Verarbeitete Daten
Datenkategorien:
- Mieterdaten (Name, Kontakt, Bankverbindung, Mietvertrag, Zahlungsverhalten)
- Interessentendaten (Kontaktdaten, Suchprofil)
- Eigentümerdaten (Kontaktdaten)
- Handwerkerdaten
- IS24-Anfragedaten
- Finanzdaten (Mietzahlungen, Abrechnung)
Betroffene Personen: Mieter, Kaufinteressenten, Mietinteressenten, Eigentümer, Handwerker.
Art. 3 — Pflichten des Auftragsverarbeiters
(1) Nur auf Weisung des Kunden verarbeiten
(2) Vertraulichkeit durch alle Mitarbeiter
(3) Technische und organisatorische Maßnahmen:
Verschlüsselung
- TLS 1.3 für alle Übertragungen
- AES-256 für gespeicherte Daten
- Datenbankzugriff nur via Service Role Key
Zugriffskontrolle
- Rollenbasierter Zugriff
- Organisations-Isolation (Mandantentrennung)
- Least-Privilege-Prinzip
Verfügbarkeit
- Tägliche Backups (90 Tage)
- 99 % Verfügbarkeits-SLA
- Auto-Scaling
Wiederherstellbarkeit
- RPO: 24 h
- RTO: 4 h
Überprüfung
- Jährliche Sicherheitsaudits
(4) Unterauftragsverarbeiter (generelle Zustimmung durch Vertragsschluss):
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Storage | EU (Frankfurt) |
| Vercel Inc. | Hosting | EU |
| Resend Inc. | EU | |
| Stripe Inc. | Zahlungen | EU (Dublin) |
| Anthropic PBC | KI | USA (SCCs) |
| FinAPI GmbH | Open Banking | Deutschland |
| GoCardless Ltd. | SEPA | EU |
| Railway App | n8n Workflows | EU |
Änderungen: 4 Wochen Vorankündigung.
(5) Unterstützung bei Betroffenenrechten: Bearbeitung binnen 5 Werktagen.
(6) Datenlöschung nach Vertragsende:
- Produktive Daten: 30 Tage
- Backups: 90 Tage
- Löschbestätigung auf Anfrage
Art. 4 — Pflichten des Kunden
- Rechtsgrundlage für Drittdaten sicherstellen
- Mieter gemäß Art. 13 DSGVO informieren
- Bankdaten sicher aufbewahren
- Datenpannen binnen 24 h melden
Art. 5 — Haftung
Gesamtschuldnerische Haftung gegenüber Betroffenen gemäß Art. 82 DSGVO.
Stand: April 2026