Estavo

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO · Estavo UG (haftungsbeschränkt) · Stand: April 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden durch Estavo im Rahmen der Nutzung der Estavo-Plattform. Er gilt zwischen dem Kunden (nachfolgend „Verantwortlicher") und der Estavo UG (haftungsbeschränkt) (nachfolgend „Auftragsverarbeiter") und ist Bestandteil der Allgemeinen Geschäftsbedingungen von Estavo. Mit Abschluss des Nutzungsvertrags gilt dieser AVV als vereinbart.

Art. 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (Estavo) im Auftrag und nach Weisung des Verantwortlichen (Kunden) im Rahmen der Bereitstellung und des Betriebs der Estavo-Plattform.

(2) Die Verarbeitung erfolgt für die Dauer des zwischen den Parteien geschlossenen Nutzungsvertrags. Nach dessen Beendigung gilt Art. 11 dieses AVV.

Art. 2 Art und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten für folgende Zwecke:

  • Speicherung und Verwaltung von Objektdaten und damit verbundenen Kontaktpersonen
  • Verwaltung von Leads, Interessenten und Eigentümern (CRM-Funktionen)
  • KI-gestützte Erstellung von Exposé-Texten auf Basis eingegebener Daten
  • E-Mail-Kommunikation über die IMAP-Integration der Plattform
  • Team-Management und Nutzerverwaltung innerhalb des Kundenkontos
  • Bereitstellung von Auswertungen, Berichten und Analysen

(2) Eine Verarbeitung für eigene Zwecke des Auftragsverarbeiters findet nicht statt. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen.

Art. 3 Kategorien personenbezogener Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

  • Kontaktdaten: Name, Vorname, E-Mail-Adresse, Telefonnummer, Anschrift
  • Kommunikationsdaten: E-Mail-Inhalte und -Metadaten aus der IMAP-Integration
  • Vertragsdaten: Informationen zu Immobilientransaktionen, Kaufpreisen, Mietkonditionen
  • Interessentenprofile: Suchprofile, Budgets, Präferenzen von Kaufinteressenten und Mietinteressenten
  • Mitarbeiterdaten: Name, E-Mail-Adresse, Rolle und Berechtigungen der Nutzer des Kunden
  • Hochgeladene Medien: Bilder und Dokumente im Zusammenhang mit Objekten

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden im Rahmen der regulären Nutzung der Plattform nicht verarbeitet. Sollte der Verantwortliche solche Daten dennoch einstellen, liegt die datenschutzrechtliche Verantwortung hierfür beim Verantwortlichen.

Art. 4 Kategorien betroffener Personen

Von der Verarbeitung sind folgende Kategorien betroffener Personen umfasst:

  • Kaufinteressenten und Mietinteressenten (Leads)
  • Eigentümer von Immobilienobjekten
  • Mitarbeiter und Nutzer des Kunden
  • Sonstige Kontaktpersonen, die vom Kunden in der Plattform erfasst werden

Art. 5 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung verpflichtet; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.

(2) Die Nutzung der Plattform durch den Kunden (Eingabe, Speicherung, Abruf und Löschung von Daten) gilt als dokumentierte Weisung im Sinne des Art. 28 Abs. 3 lit. a DSGVO.

(3) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung bis zur Klärung der Rechtslage auszusetzen.

Art. 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • die personenbezogenen Daten ausschließlich im Rahmen dieses AVV und auf Weisung des Verantwortlichen zu verarbeiten;
  • sicherzustellen, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (vgl. Art. 8 dieses AVV);
  • die Bedingungen dieses AVV bei der Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (vgl. Art. 9 dieses AVV);
  • den Verantwortlichen unverzüglich zu informieren, wenn er der Ansicht ist, dass eine Weisung des Verantwortlichen gegen anwendbares Datenschutzrecht verstößt;
  • den Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen und der Erfüllung seiner datenschutzrechtlichen Pflichten zu unterstützen;
  • Datenschutzverletzungen gemäß Art. 33 DSGVO unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, an den Verantwortlichen zu melden.

Art. 7 Vertraulichkeit

(1) Der Auftragsverarbeiter stellt sicher, dass alle Personen, die personenbezogene Daten des Verantwortlichen verarbeiten, einer Verschwiegenheitspflicht unterliegen und über die datenschutzrechtlichen Anforderungen informiert sind.

(2) Der Zugriff auf die Daten des Verantwortlichen wird strikt auf diejenigen Mitarbeiter des Auftragsverarbeiters beschränkt, die diesen für die Erfüllung der Vertragspflichten benötigen (Need-to-know-Prinzip).

Art. 8 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO implementiert und aufrechthalten:

Pseudonymisierung und Verschlüsselung

  • Alle Datenübertragungen erfolgen ausschließlich über verschlüsselte Verbindungen (TLS 1.2 oder höher / HTTPS).
  • Daten werden bei der Speicherung durch die Infrastruktur des Datenbankanbieters (Supabase/PostgreSQL) verschlüsselt (Encryption at Rest).
  • Nach Kündigung eines Nutzerkontos werden personenbezogene Daten gemäß DSGVO anonymisiert (Pseudonymisierung durch Ersetzen personenbezogener Felder).

Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle (RBAC): Jeder Nutzer erhält nur die Berechtigungen, die für seine Rolle notwendig sind.
  • Row Level Security (RLS) in der Datenbank stellt sicher, dass Kunden ausschließlich auf ihre eigenen Daten zugreifen können.
  • Authentifizierung über Supabase Auth mit sicherem Session-Management.
  • Zugriff auf Produktionsdaten ist auf autorisierte Mitarbeiter des Auftragsverarbeiters beschränkt.

Verfügbarkeit und Belastbarkeit

  • Hosting auf Vercel (Webanwendung) und Supabase (Datenbank) mit hoher Verfügbarkeit und automatischem Failover.
  • Regelmäßige automatische Datenbankbackups durch Supabase.
  • Monitoring und Alerting für kritische Systemkomponenten.

Wiederherstellbarkeit

  • Wiederherstellung von Daten aus Backups im Falle eines Ausfalls möglich.
  • Datenexport-Möglichkeiten für den Verantwortlichen auf Anfrage.

Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen.
  • DSGVO-konforme Verarbeitung wird bei jeder Änderung der Plattform aktiv geprüft.
  • Meldung von Datenschutzverletzungen an den Verantwortlichen innerhalb von 72 Stunden nach Bekanntwerden.

Art. 9 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Inanspruchnahme der nachfolgend aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern) mit einer Ankündigungsfrist von mindestens vier (4) Wochen. Der Verantwortliche kann berechtigte Einwände gegen neue Unterauftragsverarbeiter innerhalb dieser Frist schriftlich erheben.

(2) Der Auftragsverarbeiter schließt mit allen Unterauftragsverarbeitern Verträge ab, die dem Schutzstandard dieses AVV entsprechen. Bei Unterauftragsverarbeitern mit Sitz außerhalb der EU/des EWR werden geeignete Garantien gemäß Art. 46 DSGVO (z. B. EU-Standardvertragsklauseln) vereinbart.

(3) Aktuell beauftragte Unterauftragsverarbeiter:

Supabase Inc.

970 Toa Payoh North, Singapur (Datenhaltung in der EU, Region Frankfurt)

Zweck: Datenbankhosting (PostgreSQL), Authentifizierung, Dateispeicherung (Storage)

Drittlandtransfer: Daten werden auf EU-Servern (Frankfurt, Deutschland) gespeichert. Kein Transfer in Drittstaaten für gespeicherte Kundendaten.

Datenschutzrichtlinie: supabase.com/privacy

Vercel Inc.

340 S Lemon Ave #4133, Walnut, CA 91789, USA

Zweck: Hosting und Auslieferung der Webanwendung (CDN)

Drittlandtransfer: USA. Vercel verarbeitet keine Kundendaten inhaltlich; Metadaten (IP-Adressen, Anfragen) können in den USA verarbeitet werden. Geeignete Garantien gemäß Art. 46 DSGVO liegen vor (EU-Standardvertragsklauseln).

Datenschutzrichtlinie: vercel.com/legal/privacy-policy

Anthropic PBC

548 Market St PMB 90375, San Francisco, CA 94104, USA

Zweck: KI-gestützte Textgenerierung für Exposé-Inhalte. Objektdaten werden zur Texterstellung an die API übermittelt.

Drittlandtransfer: USA. Geeignete Garantien gemäß Art. 46 DSGVO liegen vor (EU-Standardvertragsklauseln). Anthropic trainiert Modelle nicht mit API-Daten (laut Datenschutzrichtlinie für API-Kunden).

Datenschutzrichtlinie: anthropic.com/privacy

Stripe Payments Europe Ltd.

1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Zweck: Zahlungsabwicklung (Kreditkarte, SEPA-Lastschrift)

Drittlandtransfer: EU (Irland). Stripe verarbeitet nur Zahlungsdaten des Kunden (Inhaber), keine Daten der Endkunden des Verantwortlichen.

Datenschutzrichtlinie: stripe.com/de/privacy

Resend Inc.

2261 Market Street #5739, San Francisco, CA 94114, USA

Zweck: Transaktionaler E-Mail-Versand (Einladungen, Benachrichtigungen, Systembenachrichtigungen)

Drittlandtransfer: USA. Geeignete Garantien gemäß Art. 46 DSGVO liegen vor (EU-Standardvertragsklauseln).

Datenschutzrichtlinie: resend.com/legal/privacy-policy

Art. 10 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung folgender Pflichten:

  • Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch)
  • Meldung von Datenschutzverletzungen an die Aufsichtsbehörde gemäß Art. 33 DSGVO
  • Benachrichtigung betroffener Personen bei Datenpannen gemäß Art. 34 DSGVO
  • Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO

(2) Anfragen betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, leitet dieser unverzüglich an den Verantwortlichen weiter.

(3) Die Unterstützungsleistungen nach Abs. 1 werden, soweit sie über den regulären Betrieb der Plattform hinausgehen, nach Aufwand in Rechnung gestellt. Für die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden wird kein gesondertes Entgelt verlangt.

Art. 11 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen oder gibt sie an den Verantwortlichen zurück, sofern dieser nicht eine anderweitige Weisung erteilt hat.

(2) Die Löschung erfolgt durch Anonymisierung der Profildaten aller Nutzerkonten des Kunden (Ersetzen personenbezogener Felder durch neutrale Platzhalter). Inhalte wie Objektdaten und CRM-Einträge werden vollständig gelöscht.

(3) Dem Verantwortlichen wird auf Anfrage eine Frist von mindestens 14 Tagen nach Vertragsende eingeräumt, um seine Daten aus der Plattform zu exportieren. Nach Ablauf dieser Frist werden die Daten unwiderruflich gelöscht.

(4) Soweit eine Aufbewahrung der Daten durch das Recht der Europäischen Union oder der Mitgliedstaaten vorgeschrieben ist, verbleiben die Daten beim Auftragsverarbeiter. Der Auftragsverarbeiter teilt dem Verantwortlichen die betreffenden Pflichten vor der Löschung mit.

Art. 12 Nachweispflichten und Kontrolle

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Der Verantwortliche oder ein von ihm beauftragter Prüfer ist berechtigt, Überprüfungen einschließlich Inspektionen durchzuführen. Der Auftragsverarbeiter ist verpflichtet, diese zu ermöglichen und dabei mitzuwirken. Inspektionen sind rechtzeitig (mindestens 14 Tage im Voraus) schriftlich anzukündigen, auf das zur Prüfung erforderliche Maß zu beschränken und während der üblichen Geschäftszeiten durchzuführen.

(3) Als gleichwertige Prüfung anerkannt werden aktuelle Datenschutz-Zertifizierungen, Testate oder Prüfberichte qualifizierter Dritter (z. B. ISO 27001, SOC 2), sofern diese die relevanten Verarbeitungstätigkeiten abdecken.

Art. 13 Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist Köln.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(3) Dieser AVV kann von Estavo mit einer Ankündigungsfrist von vier (4) Wochen geändert werden, sofern die Änderungen erforderlich sind, um neue oder geänderte datenschutzrechtliche Anforderungen zu erfüllen. Der Verantwortliche wird über Änderungen per E-Mail informiert.

(4) Im Falle von Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag bzw. den AGB von Estavo gehen die Regelungen dieses AVV vor, soweit es den Schutz personenbezogener Daten betrifft.

Datenschutzbeauftragter / Datenschutzkontakt

Bei Fragen zu diesem AVV oder zur Datenverarbeitung durch Estavo wenden Sie sich bitte an:

Estavo UG (haftungsbeschränkt)

Samy Zaidan (Geschäftsführer)

Ursulagartenstraße 11–15, 50668 Köln

E-Mail: info@estavo-ai.de

Estavo KI-AssistentBeta

Hallo! Ich bin Ihr Estavo-Assistent. Ich helfe Ihnen bei allen Fragen rund um die Software — von Objekt-Workflows über Leadmanagement bis zur Portal-Veröffentlichung. Was kann ich für Sie tun?

KI-Antworten können Fehler enthalten. Datenschutzerklärung