Anlage – Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO („AVV“)
Stand: Juli 2026
Präambel
Diese Vereinbarung legt die Rechte und Pflichten des Anbieters (nachfolgend „Auftragnehmer“) und des Kunden (nachfolgend „Auftraggeber“) im Rahmen der Verarbeitung von personenbezogenen Daten im Auftrag gemäß Art. 28 der EU-Datenschutzgrundverordnung (nachfolgend „DSGVO“) fest. Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer, seine Mitarbeiter oder durch ihn beauftragte Unterauftragnehmer personenbezogene Daten des Auftraggebers in dessen Auftrag verarbeiten.
§ 1 Gegenstand und Dauer der Verarbeitung
- Der Gegenstand der Verarbeitung ergibt sich aus den Allgemeinen Geschäftsbedingungen des Auftragnehmers (Stand: Juli 2026), welche wesentlicher Vertragsbestandteil des Vertragsverhältnisses der Parteien sind. Auf dieses Vertragsverhältnis wird im Folgenden Bezug genommen (nachfolgend „Hauptvertrag“ genannt).
- Die Dauer dieser Vereinbarung (nachfolgend „Laufzeit“) entspricht der Laufzeit des Hauptvertrags.
- Soweit die Laufzeit des Hauptvertrags beendet sein sollte, gilt diese Vereinbarung unbeschadet des vorstehenden Absatzes so lange, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet (einschließlich Backups).
§ 2 Art der Daten und Zweck der Verarbeitung
- Der Auftragnehmer erbringt für den Auftraggeber die Leistungen gemäß des Hauptvertrags, insbesondere die Zurverfügungstellung einer Software-Lösung als Software-as-a-Service und damit in Zusammenhang stehende Leistungen. Darüber hinaus erbringt der Auftragnehmer Wartungs- und Supportleistungen für den Auftraggeber, wodurch die Möglichkeit des Zugriffs auf die nachstehend genannten Arten personenbezogener Daten besteht.
- Gegenstand der Verarbeitung personenbezogener Daten können dabei die folgenden Datenarten/-kategorien sein:
- allgemeine Personendaten (v.a. Name, Vorname)
- Kommunikationsdaten (v.a. E-Mail-Adresse, Anschrift, Telefonnummer)
- Zahlungs- und Abrechnungsdaten (v.a. Rechnungsadresse, Zahlungsstatus, Transaktionsdaten)
- Vertrags- und Buchungsdaten (v.a. gebuchter Service-Vertrag, Laufzeiten, Kündigungsstatus)
- Standortdaten (v.a. zu inserierten Immobilien)
- Immobilien- und Objektdaten (v.a. Objektadresse, Objektart, Ausstattungsmerkmale, Verkaufs- und Vermietungsinformationen)
- Dokumenten- und Dateidaten (v.a. hochgeladene Unterlagen und Anhänge zu Immobilien wie Grundrisse, Energieausweise, Exposés, Grundbuchauszüge, Bilder, Verträge und sonstige objektspezifische Dokumente)
- Nutzungs- und Protokolldaten (v.a. IP-Adressen, Zeitstempel)
- Technische Gerätedaten (v.a. Endgerätekennung, Browsertyp, Betriebssystem)
- Kommunikations- und Supportdaten (v.a. Supportanfragen und Nachrichtenverläufe)
- Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen die folgenden:
- Auftraggeber / Plattformnutzer
- Mitarbeitende bzw. Bevollmächtigte des Auftraggebers
- Interessenten des Auftraggebers
- Eigentümer, Mieter oder sonstige Beteiligte der inserierten Immobilien
- Kommunikations- und Ansprechpartner
- Supportanfragende Personen
§ 3 Pflichten des Auftragnehmers
- Der Auftragnehmer versichert, dass ihm die einschlägigen, geltenden Datenschutzvorschriften bekannt sind und er jederzeit die Grundsätze zur ordnungsgemäßen Verarbeitung personenbezogener Daten beachtet. Diese Vereinbarung entbindet den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DSGVO.
- Der Auftragnehmer verarbeitet personenbezogene Daten grundsätzlich nur auf Basis dokumentierter Weisungen des Auftraggebers, es sei denn, er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Die anfänglichen Weisungen des Auftraggebers werden durch diese Vereinbarung und den Hauptvertrag festgelegt. Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn er der Meinung ist, eine Weisung verstoße gegen geltende Datenschutzvorschriften.
- Der Auftragnehmer wird die Daten für keine anderen als die festgelegten Zwecke verwenden.
- Der Auftragnehmer verpflichtet sich, bei der Verarbeitung der Daten die Vertraulichkeit zu wahren und setzt bei der Erbringung seiner Leistungen nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
- Die Parteien arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde informieren, soweit sie sich auf diese Vereinbarung und die Verarbeitung der Daten des Auftraggebers beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten nach dieser Vereinbarung beim Auftragnehmer ermittelt.
- Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technisch-organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen sichergestellt ist.
- Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Kenntnisnahme an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere gem. Art. 33, 34 DSGVO nachkommen kann. Er wird über den gesamten Vorgang eine Dokumentation erstellen, die er dem Auftraggeber auf Nachfrage zur Kenntnisnahme und für weitere Maßnahmen übermittelt.
- Der Auftragnehmer verpflichtet sich, den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen zur Verfügung zu stellen.
- Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, wird der Auftragnehmer den Auftraggeber auf dessen Kosten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützen. Dies gilt gleichermaßen für eine ggf. bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde. Die Parteien werden sich über die Modalitäten und Konditionen im Einzelfall schriftlich oder in Textform verständigen.
§ 4 Technisch-organisatorische Maßnahmen („TOMs“)
- Der Auftragnehmer verpflichtet sich, in seinem Verantwortungsbereich alle erforderlichen technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO zum Schutze der personenbezogenen Daten zu ergreifen, die im Auftrag des Auftraggebers verarbeitet werden. Die Dokumentation der technisch-organisatorischen Maßnahmen wird zum Zeitpunkt des Vertragsschlusses in Anhang 1 verbindlich zwischen den Parteien festgelegt.
- Die in Anhang 1 dargestellten technisch-organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, entsprechend angepasste Maßnahmen in Zukunft umzusetzen, wobei das Sicherheitsniveau der vorliegend festgelegten Maßnahmen nicht unterschritten werden darf. Der Auftragnehmer wird sämtliche Änderungen dokumentieren und den Auftraggeber über wesentliche Änderungen unverzüglich in Kenntnis setzen.
§ 5 Umgang mit Rechten der betroffenen Personen
- Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technisch-organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anfragen seitens betroffener Personen in Bezug auf deren Datenschutzrechte.
- Der Auftragnehmer wird Daten, die im Auftrag verarbeitet werden, nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers beauskunften, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich in Ausübung ihrer Datenschutzrechte unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
§ 6 Einsatz von Unterauftragnehmern
- Der Auftragnehmer ist berechtigt, Unterauftragnehmer als weitere Auftragsverarbeiter im Rahmen der Verarbeitung personenbezogener Daten einzusetzen. Der Auftraggeber wird den Einsatz der ggf. in Anhang 2 aufgeführten Unterauftragnehmer gestatten.
- Die Auslagerung auf weitere Unterauftragnehmer sowie jeder Wechsel der ggf. gemäß Anhang 2 bestehenden Unterauftragnehmer sind zulässig, soweit:
- der Auftragnehmer eine solche Auslagerung bzw. den Wechsel dem Auftraggeber mit einer Frist von vier (4) Wochen vorab schriftlich oder in Textform anzeigt und
- der Auftraggeber nicht innerhalb von zwei (2) Wochen nach Erhalt der Anzeige gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
- eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2 - 4 DSGVO mit dem Unterauftragnehmer besteht.
- Im Falle eines Einspruchs des Auftraggebers gegen eine solche Auslagerung bzw. gegen den Wechsel eines Unterauftragnehmers hat der Auftragnehmer das Recht zur außerordentlichen Kündigung dieser Vereinbarung und des Hauptvertrags aus wichtigem Grund.
- Der Auftragnehmer wird die Einhaltung und Umsetzung der technisch-organisatorischen Maßnahmen beim Unterauftragnehmer unter Berücksichtigung des jeweiligen Risikos vor Beginn der Verarbeitung personenbezogener Daten und sodann regelmäßig kontrollieren. Der Auftragnehmer stellt dem Auftraggeber die Kontrollergebnisse auf Anfrage zur Verfügung.
- Sofern der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR erbringt, wird der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch geeignete Maßnahmen, insbesondere durch angemessene Datenschutzgarantien, sicherstellen.
- Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers schriftlich oder in Textform.
- Im Sinne der vorstehenden Regelungen handelt es sich bei Unterauftragsverhältnissen um solche Leistungen, die sich unmittelbar auf die hauptvertragliche Leistungserbringung beziehen. Hierunter fallen grundsätzlich nicht Nebenleistungen wie z.B. Telekommunikationsdienstleistungen, Post-/Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Der Auftragnehmer ist verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach dieser Vereinbarung stehen.
§ 7 Rechte und Pflichten des Auftraggebers
- Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Auftragsverarbeitung sowie hinsichtlich der Wahrung der Betroffenenrechte allein verantwortlich.
- Der Auftraggeber hat ein umfassendes Weisungsrecht hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag. Hierzu benennen die Parteien jeweils Ansprechpartner, die ausschließlich zur Erteilung und zur Annahme von Weisungen befugt sind.
- Eine Änderung von befugten Personen und/oder deren Kontaktdaten ist der jeweils anderen Partei unverzüglich schriftlich oder in Textform mitzuteilen.
- Der Auftraggeber ist verpflichtet, alle Aufträge, Teilaufträge oder Weisungen in dokumentierter Form, d.h. mindestens in Textform, zu erteilen. Nur in dringenden Ausnahmen dürfen Weisungen mündlich erteilt werden; solche Weisungen hat der Auftraggeber unverzüglich und in entsprechender Weise dokumentiert zu bestätigen.
- Der Auftraggeber verpflichtet sich, den Auftragnehmer unverzüglich zu informieren, sofern und soweit er Fehler oder Unregelmäßigkeiten im Rahmen der Auftragsverarbeitung feststellt.
- Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften zum Datenschutz sowie die vertraglichen Vereinbarungen, insbesondere die vollständige Umsetzung der festgelegten technisch-organisatorischen Maßnahmen und deren Wirksamkeit, beim Auftragnehmer in angemessenem Umfang selbst oder durch einen im Einzelfall zu benennenden Prüfer zu kontrollieren. Kontrollen sind insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und Datenverarbeitungsprogramme sowie durch Kontrollen vor Ort möglich. Der Auftragnehmer ist verpflichtet, notwendige Auskünfte zu erteilen und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
- Sofern Kontrollen beim Auftragnehmer vor Ort erforderlich sein sollten, werden diese ohne Störung des Geschäftsbetriebs erfolgen. Solche Kontrollen finden maximal ein (1) Mal jährlich und ausschließlich nach angemessener Vorankündigung während der üblichen Geschäftszeiten des Auftragnehmers statt.
§ 8 Datenverarbeitung außerhalb EU/EWR
- Sofern eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation erforderlich sein sollte, wird der Auftragnehmer die Einhaltung der Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DSGVO sicherstellen.
- Der Auftraggeber gestattet die Datenübermittlung in ein Drittland an die ggf. in Anhang 2 genannten Empfänger. Aus dem Anhang haben sich die vom Auftraggeber genehmigten Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus aus Art. 44 ff. DSGVO im Rahmen der Unterbeauftragung zu ergeben.
- Soweit der Auftraggeber eine Datenübermittlung an Dritte in ein Drittland anweist, ist er für die Einhaltung der Regelungen nach Kapitel V der DSGVO allein verantwortlich.
§ 9 Beendigung der Verarbeitung im Auftrag
- Nach Beendigung der Zusammenarbeit wird der Auftragnehmer auf Verlangen des Auftraggebers die personenbezogenen Daten gemäß der vereinbarten Aufbewahrungsfrist an den Auftraggeber übergeben und anschließend von den Servern löschen. Dieses Verlangen hat der Auftraggeber binnen vier (4) Wochen nach Beendigung der Zusammenarbeit auszuüben. Die Löschung erfolgt dergestalt, dass eine Wiederherstellung mit vertretbarem Aufwand unmöglich ist.
- Der Auftragnehmer wird die Löschung auch gegenüber seinen Unterauftragnehmern sicherstellen, soweit dies vertraglich möglich und rechtlich zulässig ist.
- Der Auftragnehmer ist zum Nachweis der ordnungsgemäßen Löschung verpflichtet und wird diesen dem Auftraggeber entsprechend vorlegen. Der Auftragnehmer ist berechtigt, Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, entsprechend den jeweiligen Aufbewahrungsfristen auch über die Laufzeit dieser Vereinbarung hinaus aufzubewahren.
§ 10 Schlussbestimmungen
- Diese Vereinbarung gilt vorrangig, auch soweit sich aus anderen Vereinbarungen zwischen Auftraggeber und Auftragnehmer anderweitige Abreden zum Schutz personenbezogener Daten ergeben, es sei denn, die Parteien haben ausdrücklich etwas anderes vereinbart.
- Diese Vereinbarung ersetzt alle mündlichen oder schriftlich getroffenen Abreden, die zuvor zwischen den Parteien hinsichtlich des Gegenstands der Verarbeitung getroffen wurden.
- Darüber hinaus gehende mündliche oder schriftliche Nebenabreden zu dieser Vereinbarung wurden nicht getroffen.
- Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform, soweit nicht eine Individualvereinbarung getroffen wurde. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.
- Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der Vereinbarung sowie der verbleibenden Bestimmungen im Übrigen nicht berührt. Die Parteien werden sich bemühen, eine wirksame und durchführbare Bestimmung zu vereinbaren, die dem verfolgten wirtschaftlichen Zweck der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt. Dies gilt gleichermaßen im Falle einer Regelungslücke.
- Die nachstehend aufgeführten Anhänge zu dieser Vereinbarung sind integraler und wesentlicher Vertragsbestandteil:
Anhang 1: Technisch-organisatorische Maßnahmen („TOMs“) beim Auftragnehmer
Anhang 2: Genehmigte Unterauftragnehmer
Anhang 1 – Technisch-organisatorische Maßnahmen („TOMs“) beim Auftragnehmer
Nachfolgend aufgeführte technisch-organisatorische Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit sind derzeit beim Auftragnehmer und/oder seinen Unterauftragnehmern vorhanden:
1. Zutrittskontrolle
Der Auftragnehmer betreibt keine eigenen Rechenzentren. Die Verarbeitung personenbezogener Daten erfolgt über professionelle Cloud- und Hostinganbieter. Diese setzen angemessene physische Sicherheitsmaßnahmen ein, um Rechenzentren und Infrastruktur gegen unbefugten Zutritt zu schützen.
2. Zugangskontrolle
Der Zugriff auf Systeme und Anwendungen erfolgt ausschließlich über personalisierte Nutzerkonten. Zugänge sind durch Passwörter sowie – soweit verfügbar – zusätzliche Authentifizierungsmaßnahmen (z. B. Zwei-Faktor-Authentifizierung) geschützt. Zugriffsrechte werden nur an hierzu berechtigte Personen vergeben.
3. Zugriffskontrolle
Der Zugriff auf personenbezogene Daten erfolgt nach dem Need-to-know-Prinzip. Rollen- und Berechtigungskonzepte beschränken den Zugriff auf diejenigen Daten, die jeweils zur Aufgabenerfüllung erforderlich sind. Administrative Zugriffe werden auf einen eingeschränkten Personenkreis begrenzt.
4. Weitergabe- und Transportkontrolle
Die Übertragung personenbezogener Daten erfolgt verschlüsselt, insbesondere mittels HTTPS/TLS. Soweit durch eingesetzte Dienstleister bereitgestellt, werden Daten auch verschlüsselt gespeichert oder übertragen.
5. Eingabekontrolle und Nachvollziehbarkeit
Zugriffe auf Systeme sowie sicherheitsrelevante Ereignisse werden, soweit technisch möglich und erforderlich, protokolliert, um eine Nachvollziehbarkeit von Zugriffen und Verarbeitungsvorgängen zu gewährleisten.
6. Verfügbarkeitskontrolle und Belastbarkeit
Die Plattform wird unter Nutzung professioneller Cloud- und Infrastrukturdienstleister betrieben. Maßnahmen zur Sicherstellung von Verfügbarkeit, Belastbarkeit sowie Datensicherung und Wiederherstellbarkeit werden durch die eingesetzten Dienstleister unterstützt.
7. Datensicherung und Wiederherstellung
Es bestehen angemessene Mechanismen zur Datensicherung und Wiederherstellung durch die eingesetzten Hosting- und Infrastrukturdienstleister.
8. Trennungskontrolle
Daten unterschiedlicher Kunden bzw. Nutzer werden logisch voneinander getrennt verarbeitet. Zugriffe und Datenverarbeitungen erfolgen nutzer- bzw. kundenbezogen.
9. Auftragskontrolle
Soweit externe Dienstleister personenbezogene Daten im Auftrag verarbeiten, werden mit diesen – soweit gesetzlich erforderlich – Vereinbarungen zur Auftragsverarbeitung geschlossen. Dienstleister werden sorgfältig ausgewählt.
10. Vertraulichkeit
Personen mit Zugriff auf personenbezogene Daten werden auf Vertraulichkeit verpflichtet bzw. sind vertraglich entsprechend gebunden.
11. Löschung und Speicherbegrenzung
Personenbezogene Daten werden nur so lange verarbeitet und gespeichert, wie dies zur Leistungserbringung sowie zur Erfüllung gesetzlicher oder vertraglicher Pflichten erforderlich ist. Löschungen erfolgen nach Maßgabe gesetzlicher und vertraglicher Vorgaben.
12. Verfahren zur regelmäßigen Überprüfung
Die technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst.
13. Unterauftragnehmer / eingesetzte Dienstleister
Zur Erbringung der Leistungen können insbesondere Hosting-, Infrastruktur-, Zahlungs-, Kommunikations-, Analyse-, Support- und Softwaredienstleister eingesetzt werden. Hierzu können insbesondere Anbieter wie WeWeb, Supabase, Netlify, Stripe, Intercom, Resend, Make, Sentry, Cloudflare sowie weitere technische Dienstleister gehören (siehe Anhang 2).
14. Drittlandübermittlungen
Soweit personenbezogene Daten außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeitet werden, erfolgt dies nur unter Beachtung der gesetzlichen Voraussetzungen der DSGVO, insbesondere auf Grundlage von Angemessenheitsbeschlüssen, Standardvertragsklauseln oder sonstigen geeigneten Garantien.
Anhang 2 – Genehmigte Unterauftragnehmer
Der Auftraggeber genehmigt den Einsatz der nachfolgend aufgeführten Unterauftragnehmer des Auftragnehmers:
| Name des Unterauftragnehmers | Anschrift/Land | Leistungsinhalt | Angaben zu geeigneten Garantien für Datenübermittlung ins Drittland |
|---|---|---|---|
| WeWeb | 128 Rue La Boétie, 75008 Paris, Frankreich | Frontend | EWR; soweit Drittlandtransfer: DPA inkl. EU-Standardvertragsklauseln |
| Supabase | Supabase, Inc., 3500 S Dupont Hwy, Dover, DE 19901, USA | Backend / Datenbank | DPA; Speicherung in EU-Region (Frankfurt) möglich; soweit Drittlandtransfer: EU-Standardvertragsklauseln |
| Netlify | Netlify, Inc., 101 2nd Street, San Francisco, CA 94105, USA | Hosting statischer Seiten | DPA; EU-US Data Privacy Framework (DPF) zertifiziert; soweit Drittlandtransfer: EU-Standardvertragsklauseln |
| OpenAI | 3180 18th St, San Francisco, CA 94110, USA | Automatisierte Erstellung von Texten für die Beschreibung der Immobilie | DPA; soweit Drittlandtransfer: EU-Standardvertragsklauseln |
| Anthropic | Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA | KI-gestützte Funktionen / Prozess- und Marketingunterstützung | DPA; kein Training auf übermittelten Daten; soweit Drittlandtransfer: EU-Standardvertragsklauseln |
| Cloudflare | 101 Townsend St, San Francisco, CA 94107, USA | CDN, DNS, Sicherheit, Performance | DPA; EU-US Data Privacy Framework (DPF) zertifiziert; soweit Drittlandtransfer: EU-Standardvertragsklauseln |
| Stripe | One Wilton Park, Wilton Place, Dublin 2, D02 FX04, Irland | Bezahldienstleister | EWR; DPA; soweit Drittlandtransfer: DPF/SCC laut Stripe-DPA |
| Intercom | 124 St Stephen’s Green, Dublin 2, D02 C628, Irland | Messenger, ChatBot | EWR; DPA; soweit Drittlandtransfer: DPF/SCC |
| Google Workspace | Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland | Google Workspace, E-Mail, Dokumente, Kollaboration | EWR; Google Data Processing Addendum; soweit Drittlandtransfer: SCC/geeignete Garantien |
| Google Ireland (Analytics, Ads, Tag Manager) | Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland | Webanalyse, Conversion-Tracking und Werbung (Google Analytics 4, Google Ads, Google Tag Manager) | EWR-Vertragspartner; EU-US Data Privacy Framework (DPF) zertifiziert; soweit Drittlandtransfer: EU-Standardvertragsklauseln |
| Make | Menclova 2538/2, Libeň, 180 00 Praha, Tschechische Republik | Verarbeitung von Workflow-/Automatisierungsanfragen | EWR; DPA; soweit Drittlandtransfer: SCC/geeignete Garantien |
| Sentry | 45 Fremont St, 8th Floor, San Francisco, CA 94105, USA | Prozess- und Fehlerüberwachung | DPA; EU-Region möglich; soweit Drittlandtransfer: EU-Standardvertragsklauseln |
| Cookiebot (Usercentrics A/S) | Havnegade 39, 1058 Kopenhagen, Dänemark | Einwilligungsverwaltung (Cookie-Consent) | EWR (Dänemark); Verarbeitung innerhalb der EU |
| United Domains | Gautinger Straße 10, 82319 Starnberg, Deutschland | Domainverwaltung, DNS-/Domainleistungen | Deutschland/EWR |
| Resend | Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA | E-Mail-Versanddienst | DPA; EU-US Data Privacy Framework (DPF) zertifiziert; soweit Drittlandtransfer: EU-Standardvertragsklauseln |