Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Dieser AVV gilt zwischen:
Auftragsverarbeiter:
Keyperion Germany GmbH
Große Gallusstraße 14
60311 Frankfurt am Main
(nachfolgend „Anbieter")
Verantwortlicher:
Der jeweilige Kunde von MetriOffice
(nachfolgend „Kunde")
Art. 1 — Gegenstand und Dauer
(1) Der Anbieter verarbeitet im Auftrag des Kunden personenbezogene Daten im Rahmen der Bereitstellung von MetriOffice.
(2) Die Laufzeit entspricht dem Hauptvertrag.
Art. 2 — Art und Zweck der Verarbeitung
Art der Daten:
- Mieterdaten (Name, Kontakt, Bankverbindung)
- Interessentendaten (Kontaktdaten, Suchprofile)
- Eigentümerdaten (Kontaktdaten)
- Handwerkerdaten
- Mietvertragsdaten
- Zahlungsdaten
Kategorien betroffener Personen:
- Mieter
- Kaufinteressenten / Mietinteressenten
- Eigentümer
- Handwerker und Dienstleister
Zweck der Verarbeitung:
- Bereitstellung der MetriOffice Software
- Speicherung und Abruf durch den Kunden
- KI-gestützte Verarbeitung (Matching, Texterstellung, Mieteingangskontrolle)
Art. 3 — Pflichten des Anbieters
Der Anbieter verpflichtet sich:
(1) Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten
(2) Vertraulichkeit durch gebundene Mitarbeiter sicherzustellen
(3) Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen:
- Verschlüsselung (TLS 1.3, AES-256)
- Zugangskontrolle (MFA verfügbar)
- Pseudonymisierung wo möglich
- Regelmäßige Sicherheitsaudits
- Backup-Systeme (täglich, 90 Tage)
(4) Unterauftragsverarbeiter nur mit Zustimmung des Kunden einzusetzen
(5) Den Kunden bei der Erfüllung seiner DSGVO-Pflichten zu unterstützen (Art. 32-36 DSGVO)
(6) Nach Vertragsende alle Daten zu löschen oder zurückzugeben (Wahl des Kunden)
Art. 4 — Unterauftragsverarbeiter
Aktuell eingesetzte Unterauftragsverarbeiter:
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank | EU (Frankfurt) |
| Vercel Inc. | Hosting | EU |
| Resend Inc. | EU | |
| Stripe Inc. | Zahlung | EU |
| Anthropic PBC | KI | USA (SCCs) |
Änderungen werden 4 Wochen vorab angekündigt.
Art. 5 — Betroffenenrechte
Der Anbieter unterstützt den Kunden bei der Erfüllung von Betroffenenanfragen innerhalb von 5 Werktagen.
Art. 6 — Datenlöschung
Nach Vertragsende:
- Produktive Daten: binnen 30 Tagen gelöscht
- Backups: binnen 90 Tagen gelöscht
- Auf Wunsch: schriftliche Löschbestätigung
Art. 7 — Haftung
Die Haftungsregelung aus den AGB gilt entsprechend. Im Verhältnis zu betroffenen Dritten haften Anbieter und Kunde gesamtschuldnerisch gemäß Art. 82 DSGVO.
Stand: April 2026