Zusatzvereinbarung zur Auftragsverarbeitung

Zusatzvereinbarung zur Auftragsverarbeitung

Präambel

Zenhomes betreibt mit dem Vermietet.de-Portal („Portal“) ein Internet-Portal für die Selbstverwaltung von Immobilienbesitz und Vermietung. Kunden der Zenhomes sind Nutzer, die als Eigentümer, Vermieter, Hausverwalter oder Makler eine Immobilie vermieten wollen oder bereits vermieten oder eine solche selbst zu Wohnzwecken nutzen. Im Rahmen der Nutzung des Portals legt der Kunde insbesondere personenbezogene Daten Dritter (z.B. seiner Mieter) der Zenhomes offen. Diese Daten werden von Zenhomes im Auftrag des Kunden gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) verarbeitet. Zur Wahrung dieser Anforderungen schließen die Parteien die vorliegende Vereinbarung.

Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich durch den Vertragsschluss mit dem Kunden über die Nutzung des Portals auf Basis der AGB der Zenhomes ergeben. Sie sind damit eine Ergänzung zu den Allgemeinen Geschäftsbedingungen der Zenhomes und werden gemeinsam mit den Allgemeinen Geschäftsbedingungen der Zenhomes Vertragsbestandteil.

§ 1 Umfang, Zweck und Durchführung der Datenverarbeitung; Art der Daten und Kreis der Betroffenen; Weisungsgebundenheit

1.1 Zenhomes erbringt ihre Leistungen auf Grundlage des Vertrages mit dem Kunden über die Nutzung des Portals auf Basis der AGB der Zenhomes (https://www.vermietet.de/agb) und – soweit einschlägig – aufgrund von weiteren Zusatzbeauftragungen, Leistungsbestellungen und Leistungsabrufen sowie Verträgen über individuelle Leistungen mit dem Kunden. Diese Verträge werden nachfolgend zusammenfassend „Hauptverträge“ genannt.

1.2 Umfang und Zweck der Datenverarbeitung durch die Zenhomes ergeben sich aus den Hauptverträgen und den dazugehörigen Leistungsbeschreibungen. Gegenstand und Dauer der Leistungserbringung durch die Zenhomes richten sich nach den Hauptverträgen und sind nicht Gegenstand der vorliegenden Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen der Hauptverträge vor.

1.3  Gegenstand der Verarbeitung im Auftrag sind folgende Arten personenbezogener Daten, die vom Kunden im Rahmen der Nutzung des Portals bereitgestellt oder offengelegt werden:

  • Daten von Mietern des Kunden und ggf. Mietinteressenten, insbesondere Namen und Kontaktdaten, Kommunikation und Schriftverkehr, Mietverträge und Vertragsdaten, Abrechnungen, Zahlungsinformationen, Bonitätsauskünfte. Soweit sich Mieter oder Mietinteressenten selbst bei Zenhomes registrieren, werden diese Daten jedoch nicht im Auftrag des Kunden verarbeitet;
  • Daten über Zahlungs- und Kontobewegungen des Kunden (bei Nutzung des entsprechenden Services), insbesondere Zahlungsempfänger/-absender, Verwendungszweck, Kontodaten, Beträge;
  • Daten über Mitarbeiter, Beauftragte und Geschäftspartner des Kunden (z.B. Namen, E-Mail-Adressen, ggf. Benutzernamen bei der Anlage von Mitarbeiter-Accounts). Soweit sich Geschäftspartner des Kunden selbst bei Zenhomes registrieren (z.B. Handwerker) oder deren Daten nicht vom Kunden zur Verfügung gestellt werden, werden diese Daten jedoch nicht im Auftrag des Kunden verarbeitet.

„Personenbezogene Daten“ oder „Daten“ im Sinne dieser Vereinbarung sind nur solche personenbezogenen Daten, die Zenhomes im Auftrag des Kunden verarbeitet.

Kategorien von Betroffenen sind:

  • Mieter und Mietinteressenten des Kunden;
  • Mitarbeiter, Beauftragte und Geschäftspartner des Kunden;
  • Personen, die über Kontobewegungen des Kunden identifizierbar sind.

1.4 Nicht Gegenstand der Auftragsverarbeitung sind personenbezogene Daten des Kunden selbst (z.B. Stammdaten, Zahlungsdaten, Profil-/Accountdaten, Kommunikation des Kunden mit Zenhomes) und Daten, die beim Besuch der Vermietet.de-Website automatisch anfallen (z.B. IP-Adresse des anfragenden Computers,  abgerufene URL, Datum und Uhrzeit des Abrufs). Diese Daten verarbeitet Zenhomes gemäß Art. 6 Abs. 1b DSGVO zu Zwecken der Vertragserfüllung und/oder gemäß Art. 6 Abs. 1f DSGVO aufgrund berechtigter Interessen. Nähere Informationen dazu finden sich in der Datenschutzerklärung unter https://www.vermietet.de/datenschutz.

1.5 Zenhomes darf die personenbezogenen Daten des Kunden ausschließlich zu Zwecken der Erfüllung der Hauptverträge oder aufgrund von Einzelfallweisungen des Kunden verarbeiten. Sofern Zenhomes Daten aufgrund einer rechtlichen Verpflichtung im Sinne des Art. 28 Abs. 3 lit. a DSGVO verarbeitet, teilt Zenhomes dies dem Kunden vor der Verarbeitung mit, soweit dies nicht rechtlich ausgeschlossen ist.

1.6 Zenhomes erstellt für den Kunden als Teil ihrer Leistungen anonymisierte, aggregierte statistische Auswertungen (z.B. Statistiken und Vergleichsdaten über Mieten und Quadratmeterpreise, Branchenvergleiche). Zenhomes kann anonyme (nicht personenbezogene) Daten und statistische Auswertungen auch für eigene Zwecke, wie z.B. Branchenvergleiche, Produktverbesserungen, Produktneuentwicklungen und ähnliche Zwecke verwenden und auch anderen Kunden oder Dritten zur Verfügung stellen.

1.7 Zenhomes wird Einzelfallweisungen des Kunden über die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beachten und umsetzen (z.B. in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten). Einzelfallweisungen werden als Antrag auf Leistungsänderung oder Zusatzbeauftragung behandelt, soweit die Durchführung einer Einzelfallweisung nicht vom Leistungsumfang der Hauptverträge abgedeckt ist. Zenhomes kann für die Durchführung von Einzelfallweisungen eine angemessene Vergütung verlangen. Der Kunde ist für etwaige Konsequenzen seiner Weisungen (z.B. Inkonsistenz von Datenbeständen) selbst verantwortlich. Weisungen sind durch den Kunden schriftlich zu erteilen.

§ 2 Unterauftragsverhältnisse

2.1 Der Kunde erteilt hiermit die allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern durch Zenhomes. Eine Liste der jeweils eingesetzten Unterauftragsverarbeiter ist unter dem Abschnitt „Liste der eingesetzten Unterauftragsverarbeiter“ abrufbar. Dies umfasst auch Unterauftragsverarbeiter in Drittländern, unter Berücksichtigung der insoweit zwingenden gesetzlichen Voraussetzungen (insbesondere Art. 44ff. DSGVO). Beabsichtigt Zenhomes, weitere Unterauftragsverarbeiter hinzuzuziehen oder bestehende zu ersetzen, wird dies auf der vorgenannten Seite mit einer Frist von mindestens 6 Wochen angekündigt. Der Kunde wird zudem per E-Mail über die beabsichtigten Änderungen innerhalb der vorgenannten Frist informiert, sofern er die E-Mail-Benachrichtigungen nicht deaktiviert hat. Sollte der Kunde begründete Einwände gegen den Einsatz eines neuen Unterauftragsverarbeiters haben, ist er berechtigt, gegenüber Zenhomes bis spätestens zwei Wochen vor Inkrafttreten der Änderungen Einspruch gegen den Einsatz des Unterauftragsverarbeiters zu erheben. In diesem Fall gilt der Hauptvertrag als gekündigt.

2.2 Vertragliche Vereinbarungen mit Unterauftragsverarbeitern werden durch Zenhomes so gestaltet, dass sie den Anforderungen der DSGVO und dieses Vertrages entsprechen.

2.3 Als Unterauftragsverarbeitung im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören insbesondere Nebenleistungen, die Zenhomes z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern in Anspruch nimmt. Zenhomes ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit auch bei solchen ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

§ 3 Datensicherheit

3.1 Zenhomes stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten eingesetzten Mitarbeiter zur Vertraulichkeit verpflichtet sind.

3.2 Zenhomes trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die jeweils aktuell geltenden Maßnahmen sind unter dem Abschnitt „Datensicherheitsmaßnahmen der Zenhomes GmbH“ abrufbar. Zenhomes kann die dort beschriebenen technisch-organisatorischen Maßnahmen ändern und anpassen, insbesondere an Fortentwicklungen des Standes der Technik, sofern dadurch das nach der DSGVO erforderliche Sicherheitsniveau nicht unterschritten wird.

3.3 Zenhomes stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung, z.B. durch Vorlage geeigneter Dokumentation.

3.4 Zenhomes ermöglicht zudem die Überprüfung durch den Kunden oder einen anderen von diesem beauftragten Prüfer und wirkt daran mit. Vor-Ort-Kontrollen sind mit der Zenhomes rechtzeitig, in der Regel mindestens vier Wochen im Voraus zu vereinbaren (Ausnahme z.B. anlassbezogene Prüfungen bei Datenschutzverletzungen). Zenhomes kann für die Mitwirkung bei einer solchen Prüfung eine angemessene Vergütung verlangen.

3.5 Der Kunde verpflichtet sich, alle im Rahmen der vorgenannten Kontrollen und Auskünfte bekannt gewordenen oder von Zenhomes bekannt gegebenen Informationen, Unterlagen, Daten und Erkenntnisse streng vertraulich zu behandeln, ausschließlich für die datenschutzrechtliche Kontrolle zu verwenden und nicht anderweitig zu nutzen. Vom Kunden eingeschaltete Mitarbeiter oder externe Dritte sind, sofern sie nicht von Berufs wegen zur Verschwiegenheit verpflichtet sind, einer gleichwertigen Verschwiegenheitspflicht wie der hier festgelegten zu unterwerfen.

§ 4 Informations- und Unterstützungspflichten

4.1 Wenn Zenhomes eine Verletzung des Schutzes personenbezogener Daten des Kunden im Sinne von Art. 33 DSGVO bekannt geworden ist, meldet sie diese unverzüglich dem Kunden. Zenhomes wird in diesem Fall unverzüglich angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Zenhomes unterstützt den Kunden bei der Erfüllung der Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.

4.2 Zenhomes unterstützt den Kunden auf Anforderung unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Zenhomes kann für diese Unterstützung eine angemessene Vergütung verlangen.

4.3 Soweit ein Betroffener sich unmittelbar an Zenhomes zwecks Wahrnehmung von Betroffenenrechten wenden sollte, wird Zenhomes dieses Ersuchen unverzüglich an den Kunden weiterleiten. Auf Anforderung unterstützt Zenhomes den Kunden dabei. Zenhomes kann für diese Unterstützung eine angemessene Vergütung verlangen.

§ 5 Löschung und Rückgabe von Daten

Die Löschung der im Auftrag verarbeiteten personenbezogenen Daten des Kunden erfolgt mit Beendigung der Hauptverträge, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 6 Laufzeit und Schlussbestimmungen

6.1 Die vorliegende Vereinbarung endet mit der Beendigung der Hauptverträge. Sie bleibt auch über die Beendigung der Hauptverträge hinaus solange in Kraft, wie die Zenhomes über personenbezogene Daten des Kunden verfügt.

6.2 Auf die Haftung der Parteien untereinander finden die Haftungsregelungen gemäß Ziff. 9 der Zenhomes-AGB (https://www.vermietet.de/agb) Anwendung.

6.3 Auf diese Vereinbarung findet das Recht der Bundesrepublik Deutschland Anwendung. Die gesetzlichen Vorschriften zur Beschränkung der Rechtswahl und zur Anwendbarkeit zwingender Vorschriften insbesondere des Staates, in dem der Kunde als Verbraucher seinen gewöhnlichen Aufenthalt hat, bleiben unberührt.

6.4 Sofern es sich beim Kunden um einen Kaufmann, eine juristische Person des öffentlichen Rechts oder um ein öffentlich-rechtliches Sondervermögen handelt, ist Gerichtsstand für alle Streitigkeiten zwischen dem Kunden und Zenhomes der Sitz des Zenhomes.

Datensicherheitsmaßnahmen der Zenhomes GmbH

Zur Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten gemäß Art. 32 DSGVO setzt Zenhomes insbesondere die folgenden Maßnahmen um:

  • Rollen für Sicherheit und Datenschutz. Zenhomes hat einen Verantwortlichen für Informationssicherheit und einen Datenschutzbeauftragten bestimmt.
  • Geheimhaltungsverpflichtung. Mitarbeiter von Zenhomes unterliegen Geheimhaltungsverpflichtungen und sind auf das Datengeheimnis belehrt.
  • Richtlinien und Arbeitsanweisungen. Zenhomes führt Richtlinien und Sicherheitsdokumentation, in denen die Sicherheitsmaßnahmen und die relevanten Verfahren und Verantwortlichkeiten ihrer Mitarbeiter beschrieben sind.
  • Vorgehen bei Sicherheitsvorfällen und potentiellen Datenschutzverletzungen. Insbesondere verfügt Zenhomes über interne Richtlinien und Eskalationsprozeduren bei Sicherheits- und Datenschutzvorfällen.
  • Sicherheits- und Datenschutzschulungen. Zenhomes schult und informiert ihre Mitarbeiter über relevante Datenschutz- und Sicherheitsmaßnahmen und ihre jeweiligen Aufgaben. Außerdem informiert Zenhomes ihre Mitarbeiter über mögliche Konsequenzen beim Verstoß gegen die Sicherheitsvorschriften und -verfahren.
  • Auftragskontrolle durch Abschluss von Verträgen nach Art. 28 DSGVO mit Auftragnehmern und Subunternehmern, Einräumung von Kontrollrechten und Weisungsbefugnissen.
  • Zutrittskontrollmaßnahmen für die Zenhomes-Geschäftsräume, insbesondere durch Alarmsicherung sowie Schlüssel und Schlüsselvergabe für die allgemeinen Betriebsräume. Diese sind in internen Richtlinien für die Zutrittskontrolle zu den Betriebsräumen und die Schlüsselvergabe geregelt.
  • Zugangskontrollmaßnahmen. Für die eingesetzten IT-Systeme, die Zugang zu Kundendaten ermöglichen, existiert ein ergänzendes Betriebs- und Sicherheitskonzept. Benutzerkonten und -kennungen werden für alle Zenhomes-Mitarbeiter namentlich personenbezogen erstellt. Anonymisierte und pauschalisierte Benutzerkonten werden nicht erstellt. Paßwörter müssen einem Mindest-Sicherheitsniveau entsprechen, das bei der Vergabe automatisch überprüft wird.
  • Zugriffskontrollmaßnahmen. Über die Benutzer-Authentifizierung und ein Berechtigungskonzept (Rollen- und Rechtekonzept) ist sichergestellt, dass nur solche Zenhomes-Mitarbeiter Zugriff auf Kundendaten erhalten, die dies zur Erledigung ihrer Aufgaben zwingend benötigen („need to know“-Prinzip, i.d.R. nur Administratoren, Kundenservice, ggf. Entwickler).
  • Weitergabekontrolle / Verschüsselung. Alle externen Datenverbindungen – sowohl im Frontend für die Interaktion des Kunden mit der Plattform als auch im Zenhomes-Backend – werden nach dem Stand der Technik verschlüsselt (insbesondere SSL/https).
  • Pseudonymisierung und verschlüsselte Speicherung. Soweit möglich und sinnvoll, werden in internen Datenbanken keine unmittelbar personenidentifizierenden Daten (z.B. Name, E-Mail-Adresse) gespeichert, sondern nur interne Kennziffern (Identifier). Sensible Daten (z.B. Passwörter, BIC/IBAN) werden in verschlüsselter Form (Hash) gespeichert.
  • Change- und Patchmanagement, Qualitätsmanagement. Zenhomes hat definierte Prozesse zur Änderung von IT-Systemen (Change-/Patchmanagement) umgesetzt. Alle Änderungen an IT-Systemen durchlaufen vorgegebene Test- und Prüfverfahren. Zenhomes prüft regelmäßig, ob sicherheitsrelevante Updates und Patches  vorhanden sind und installiert diese kurzfristig.
  • Monitoring. Zenhomes setzt automatische Monitoring-Systeme ein, um Ausfälle und Sicherheitsvorfälle sofort zu erkennen, so dass unverzüglich Gegenmaßnahmen eingeleitet werden können.
  • Datensicherung / Backups. Zenhomes führt regelmäßig Backups der Kundendaten durch, um deren Verfügbarkeit zu gewährleisten.
  • Virenkontrolle und Firewalls. Die IT-Infrastruktur der Zenhomes ist durch Virenscanner und Firewalls geschützt. Externe Datenträger werden vor der Verwendung im Unternehmen auf Schadsoftware geprüft.
  • Sicherheit im Rechenzentrum. Zenhomes nutzt derzeit die Google Cloud zur Speicherung von Kundendaten. In diesem Zusammenhang sind insbesondere folgende Maßnahmen zur Datensicherheit umgesetzt:
    • Datenspeicherung in Europa. Zenhomes hat als Speicherregion mit Google „europe-west1“ ausgewählt. Die Daten werden von Google in einem Rechenzentrum in St. Ghislain, Belgien gespeichert (siehe https://cloud.google.com/compute/docs/regions-zones/).
    • Vereinbarung zur Auftragsverarbeitung. Zenhomes hat mit Google eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO über die Google Cloud Dienste abgeschlossen.
    • ISO-Zertifizierung. Die von Zenhomes genutzten Google Cloud Dienste sind nach den Sicherheitsstandards ISO27001 und ISO27017 zertifiziert.

Liste der eingesetzten Unterauftragsverarbeiter

Die folgenden Unterauftragsverarbeiter werden von der Zenhomes GmbH zur Verarbeitung im Auftrag personenbezogener Daten eingesetzt, die vom Kunden im Rahmen der Nutzung des Portals Vermietet.de bereitgestellt oder offengelegt werden:

Firmierung, Rechtsform, AnschriftLeistungen
Intercom R&D Unlimited Company
2nd Floor, Stephen Court, 18-21 St. Stephen's Green
Dublin 2, Irland
Kommunikationsdienste
Stack Holdings GmbH
Elisabethstrasse 15/5a
1010 Wien, Österreich
Elektronische Unterschriften
Hotjar Limited
Level 2, St Julian’s Business Centre, 3, Elia Zammit Street
St Julian’s STJ 1000, Malta
Analyse des Nutzerverhaltens
Aiven Ltd
Antinkatu 1
00100 Helsinki, Finland
Datenübertragung und -verteilung
finAPI GmbH
Adams-Lehmann-Strasse 44
80797 München, Deutschland
Bankdatenintegration
Google Ireland Limited
Gordon House, Barrow Street
Dublin 4, Irland
Cloud-Speicher, Cloud-Verarbeitung
Mongodb Limited
Third Floor, 3 Shelbourne Buildings, Ballsbridge
Dublin 4, Irland
Cloud-Speicher
Stripe Payments Europe, Ltd.
C/O A&L Goodbody,
Ifsc, North Wall Quay
Dublin 1, Irland
Zahlungsabwicklung