Datenschutz · Art. 28 DSGVO

Auftragsverarbeitungsvertrag

Zwischen Formdock als Auftragsverarbeiter und Ihnen als Verantwortlichem

Auftragsverarbeiter
Formdock
Geschäftsführer Joachim Keitsch
Adresse Schiffertorsstr. 39a - 21682 Stade
E-Mail [E-Mail geschützt]
Website formdock.de
Verantwortlicher (Kunde)
Registrierter Nutzer
Name Wie bei Registrierung angegeben
Adresse Wie bei Registrierung angegeben
Zustimmung Bei Kontoerstellung (Checkbox)
Präambel

Vorbemerkung

Diese Vereinbarung regelt die Rechte und Pflichten von Auftraggeber (Verantwortlicher) und Auftragnehmer (Auftragsverarbeiter) im Rahmen der sich aus dem Hauptvertrag ergebenden Verarbeitung von personenbezogenen Daten im Auftrag.

Der Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Formdock oder durch Formdock beauftragte Unterauftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeiten. Ziel ist die Sicherstellung, dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Personen gewährleistet.

§ 1

Parteien und Gegenstand

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen Formdock als Auftragsverarbeiter und dem Kunden (nachfolgend „Verantwortlicher"), der sich auf der Plattform formdock.de registriert hat.

Der Auftragsverarbeiter erbringt SaaS-Dienstleistungen im Bereich der Immobilienverwaltung. Im Rahmen dieser Leistungserbringung verarbeitet er personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.

Die Zustimmung zu diesem AVV erfolgt durch Aktivierung der entsprechenden Checkbox bei der Registrierung auf formdock.de. Diese digitale Zustimmung gilt als rechtsverbindlich gemäß Art. 28 Abs. 9 DSGVO (Textform).
§ 2

Gegenstand, Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zum Zweck der Bereitstellung und des Betriebs der Formdock-Plattform, insbesondere für:

  • Verwaltung von Mietverhältnissen und Mietobjekten
  • Erstellung und Verwaltung von Mietverträgen (Wohnraum, Gewerbe, Stellplatz, Garage)
  • Erstellung von Betriebskostenabrechnungen (BKA) inkl. Heizkostenverteilung
  • Erfassung von Zählerständen und Verbrauchswerten
  • Verwaltung von Kontakten, Interessenten und Mieterkommunikation
  • Erfassung von Ausgaben und Einnahmen am Objekt
  • Verwaltung von Mülltonnen und objektbezogenen Diensten
  • Elektronische Signatur: Durchführung von Signaturprozessen (einfache elektronische Signatur, EES) inkl. Erstellung und Bereitstellung von Audit-Logs (Prüfprotokollen) zu signierten Dokumenten

Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union. Eine Verarbeitung in Drittländern findet nicht statt. Zeitstempel- und Prüfdienste im Rahmen der Signatur (z. B. RFC-3161-Zeitstempel) werden, soweit eingebunden, innerhalb der EU genutzt und sind im jeweiligen Prüfprotokoll erkennbar.

§ 3

Art der Daten und Kategorien betroffener Personen

3.1 Verarbeitete Datenkategorien

  • Stammdaten: Name, Anschrift, Kontaktdaten von Mietern und Interessenten
  • Vertragsdaten: Mietbeginn/-ende, Miethöhe, Kaution, Nebenkostenvorauszahlungen
  • Finanzdaten: Betriebs- und Heizkostenabrechnungen, Zählerstände, Verbrauchswerte
  • Kommunikationsdaten: Nachrichten, Zahlungserinnerungen, Mahnungen
  • Nutzungsdaten: Login-Zeitpunkte, Aktionsprotokolle (Zugriffslogs)
  • Signatur- und Prozessdaten: im Rahmen elektronischer Signaturvorgänge insbesondere IP-Adressen, Zeitstempel, E-Mail-Adressen der Unterzeichner, Geräte- und Browserinformationen (z. B. User-Agent), ggf. Sitzungs- oder Vorgangs-IDs sowie Angaben aus dem Audit-Log (Prüfprotokoll), soweit der eingesetzte Signaturdienst diese technisch erfasst

3.2 Kategorien betroffener Personen

  • Mieter und ehemalige Mieter
  • Mietinteressenten
  • Eigentümer, Vermieter und Hausverwalter (soweit selbst Daten hinterlegt werden)
  • Kontaktpersonen des Verantwortlichen
§ 4

Pflichten des Auftragsverarbeiters

4.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Plattform durch den Verantwortlichen gilt als Weisung. Sollte eine Weisung gegen geltendes Recht verstoßen, wird der Verantwortliche unverzüglich informiert.

4.2 Vertraulichkeit

Alle mit der Verarbeitung beauftragten Personen sind zur Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht – auch nach Beendigung des Vertragsverhältnisses.

4.3 Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselte SpeicherungAES-256 oder gleichwertig für alle personenbezogenen Daten

Sichere ÜbertragungTLS 1.2/1.3 (HTTPS) für alle Datenübertragungen

ZugriffskontrolleRollenbasierte Zugriffssteuerung und Zugriffsprotokolle

DatensicherungRegelmäßige Backups und Notfallwiederherstellungskonzepte

PseudonymisierungWo technisch sinnvoll und möglich

Regelmäßige PrüfungÜberprüfung und Aktualisierung der Schutzmaßnahmen

4.4 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO sowie bei der Beantwortung von Betroffenenanfragen gemäß Art. 15–22 DSGVO, soweit technisch möglich und zumutbar.

4.5 Löschung und Rückgabe

Nach Beendigung des Vertragsverhältnisses werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Anfrage werden die Daten zuvor in einem gängigen Format (CSV, PDF) zum Export bereitgestellt.

Ausnahme — Signatur und Aufbewahrung: Daten, die der Nachweis abgeschlossener elektronischer Signaturvorgänge dienen (insbesondere signierte Dokumente und zugehörige Audit-Logs), können über die 30-Tage-Frist hinaus aufbewahrt werden, soweit gesetzliche Aufbewahrungspflichten dies erfordern — etwa aus dem Handels- oder Steuerrecht (z. B. § 257 HGB mit Fristen von bis zu zehn Jahren für bestimmte Geschäftsunterlagen) oder aus dem Mietrecht im Einzelfall. Die konkrete Dauer richtet sich nach der jeweiligen gesetzlichen Pflicht und der Dokumentenart.

4.6 Meldung von Datenschutzverletzungen

Verletzungen des Schutzes personenbezogener Daten werden dem Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, per E-Mail gemeldet – mit Angabe von Art, Umfang, betroffenen Datenkategorien sowie ergriffenen Maßnahmen.

4.7 Betroffenenrechte und Signatur-/Audit-Logs

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bearbeitung von Betroffenenrechten nach den Art. 15–22 DSGVO, soweit technisch möglich und zumutbar.

Die Löschung oder nachträgliche Anonymisierung einzelner Einträge in Signatur-Audit-Logs oder die Entfernung einzelner Nachweise (z. B. IP-Adresse eines Unterzeichners aus dem Prüfprotokoll) ist in der Regel nicht möglich, wenn dadurch die Integrität und Beweiskraft des Signaturnachweises untergraben würde. Dem Löschrecht kann insoweit das Erfordernis zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen entgegenstehen (Art. 17 Abs. 3 lit. b DSGVO). Die abschließende rechtliche Bewertung im Einzelfall obliegt dem Verantwortlichen.

§ 5

Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung in seinem Bereich zuständig. Er stellt insbesondere sicher, dass:

  • die Erhebung personenbezogener Daten auf einer Rechtsgrundlage nach Art. 6 DSGVO beruht,
  • Betroffene über die Verarbeitung ihrer Daten informiert werden (Datenschutzhinweise),
  • Anfragen betroffener Personen fristgerecht bearbeitet werden,
  • er selbst die datenschutzrechtlichen Pflichten als Verantwortlicher erfüllt.
§ 6

Unterauftragsverarbeiter

Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen. Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für deren Einsatz gemäß der nachstehenden Liste.

Über geplante Änderungen (Hinzufügung oder Wechsel von Unterauftragsverarbeitern) wird der Verantwortliche mit einer Frist von 6 Wochen per E-Mail informiert. Der Verantwortliche kann der Änderung innerhalb von 2 Wochen aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch, gilt die Zustimmung als erteilt. Alle Unterauftragsverarbeiter werden vertraglich zu denselben Datenschutzpflichten verpflichtet wie der Auftragsverarbeiter selbst.

Anlage 2: Liste der Unterauftragsverarbeiter

Nr. Firma Anschrift Land Leistung
1 neue Medien Münnich GmbH
(All-Inkl.com)		 Hauptstraße 68, 02742 Friedersdorf, Deutschland 🇩🇪 Deutschland Hosting / Rechenzentrumsbetrieb (Server in Deutschland)
2 Stripe Payments Europe, Ltd. 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland 🇮🇪 EU (Irland) Zahlungsabwicklung
3 PayPal (Europe) S.à r.l. et Cie, S.C.A. 22-24 Boulevard Royal, L-2449 Luxemburg 🇱🇺 EU (Luxemburg) Zahlungsabwicklung
4 DocuSeal (Open-Source-Software, Self-Hosted / On-Premise) Betrieb als self-hosted Software auf dedizierter Server-/KVM-Infrastruktur bei Hostinger UAB (Unterauftragsverarbeiter gemäß Nr. 5). Keine Übermittlung der Signaturdaten zur Verarbeitung durch DocuSeal Inc. (USA) als Cloud-Dienst. 🇪🇺 EU (Litauen) Software für elektronische Signatur, Signatur-Workflows und Audit-Logs (Prüfprotokolle) im Auftrag des Verantwortlichen
5 Hostinger UAB
(hostinger.com)		 Jonavos g. 60C, 44192 Kaunas, Litauen 🇪🇺 EU (Litauen) Bereitstellung von Rootserver-/KVM-Hosting für die DocuSeal-Umgebung (Docker); Verarbeitung und Speicherung von Signatur- und Audit-Log-bezogenen Daten innerhalb der EU

Alle in dieser Liste genannten Unterauftragsverarbeiter verarbeiten Daten innerhalb der Europäischen Union. Die DocuSeal-Komponente wird eigengehostet auf Infrastruktur von Hostinger UAB (Nr. 5); eine Auftragsverarbeitung durch DocuSeal Inc. in den USA findet nicht statt. Eine Datenverarbeitung in Drittländern findet im Übrigen nicht statt.

§ 7

Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der Datenschutzvorschriften beim Auftragsverarbeiter zu kontrollieren, insbesondere durch:

  • schriftliche Anfragen und Dokumentationsanforderungen,
  • Vorlage aktueller Zertifikate oder Prüfberichte,
  • angekündigte Vor-Ort-Prüfungen nach Terminvereinbarung (max. einmal jährlich, Kosten trägt der Verantwortliche).

Der Auftragsverarbeiter stellt alle erforderlichen Informationen zur Verfügung, die zum Nachweis der Einhaltung seiner Pflichten gemäß Art. 28 DSGVO benötigt werden.

§ 8

Laufzeit und Kündigung

Dieser AVV gilt ab dem Zeitpunkt der Registrierung des Verantwortlichen bei Formdock und läuft parallel zur vertraglichen Hauptbeziehung (Nutzungsbedingungen). Er endet automatisch mit Beendigung des Nutzungsvertrags.

Eine vorzeitige Kündigung dieses AVV ist nicht möglich, solange der Hauptvertrag besteht. Bei schwerwiegenden Datenschutzverstößen kann jede Partei das Vertragsverhältnis aus wichtigem Grund fristlos kündigen.

§ 9

Haftung

Die Haftung der Parteien richtet sich nach den allgemeinen gesetzlichen Vorschriften sowie nach Art. 82 DSGVO. Im Innenverhältnis haften der Verantwortliche und der Auftragsverarbeiter entsprechend ihrem jeweiligen Verschulden an einem Schaden gegenüber betroffenen Personen.

§ 10

Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Auftragsverarbeiters, soweit gesetzlich zulässig.

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.

Änderungen und Ergänzungen bedürfen der Textform (E-Mail genügt). Bei wesentlichen Änderungen informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig.

Der Verantwortliche stimmt diesem AVV durch Aktivierung der entsprechenden Checkbox bei der Registrierung zu. Diese digitale Zustimmung gilt als rechtsverbindlich im Sinne von Art. 28 Abs. 9 DSGVO (Textform).

Unterschriften (optional)

Nur erforderlich, wenn der AVV schriftlich abgeschlossen wird. Bei digitaler Zustimmung über die Registrierungs-Checkbox entfällt dieser Schritt.

Formdock (Auftragsverarbeiter)
Ort, Datum, Unterschrift
Kunde / Verantwortlicher
Ort, Datum, Unterschrift
Anlage 1

Technisch-organisatorische Maßnahmen (TOMs)

Zur Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten gemäß Art. 32 DSGVO setzt Formdock insbesondere folgende Maßnahmen um. Alle eingesetzten Dienstleister wurden hinsichtlich ihrer TOMs geprüft und haben AVV-Vereinbarungen abgeschlossen.

Vertraulichkeit

Zutrittskontrolle (Rechenzentrum All-Inkl.com)

  • Gesicherte Außentüren mit manuellem und technischem Schließsystem
  • Personengebundene Schlüsselregistrierung mit Quittierung der Schlüsselausgabe
  • Besucher nur in Begleitung autorisierter Mitarbeiter
  • Videoüberwachung und Sicherheitsdienst außerhalb der Bürozeiten

Zugangskontrolle

  • Passwortschutz für alle Datenverarbeitungssysteme mit komplexen Passwortregeln
  • Definierter Freigabeprozess für Zugriffsrechte
  • Account-Sperrung nach mehrfachen Fehlversuchen
  • Einsatz von Firewalls, Virenscannern und Intrusion-Detection-Systemen
  • Automatische Bildschirmsperre nach Inaktivität

Zugriffskontrolle

  • Zugriff auf Produktivsysteme auf minimale Anzahl an Administratoren beschränkt
  • Need-to-Know-Prinzip: Berechtigungen nur im notwendigen Umfang
  • Protokollierung aller Zugriffe (Zugriffslogs)
  • Rollenbasierte Zugriffssteuerung innerhalb der Formdock-Plattform

Trennungskontrolle

  • Strikte Trennung von Produktiv- und Testsystemen
  • Definierte Freigabeverfahren für Deployments
  • Mandantentrennung: Kundendaten sind voneinander isoliert

Integrität

Weitergabekontrolle

  • Ausschließlich verschlüsselte Datenübertragung via TLS 1.2/1.3 (HTTPS)
  • Verschlüsselte Verbindungen zwischen Client und Backendsystemen
  • Sicherheitsgateways an Netzübergabepunkten
  • Personal- und Server-Firewalls

Eingabekontrolle

  • Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Nachvollziehbarkeit von Änderungen durch individuelle Benutzernamen

Verschlüsselung

  • Verschlüsselte Speicherung aller personenbezogenen Daten (AES-256 oder gleichwertig)
  • Verschlüsselung nach aktuellem Stand der Technik

Verfügbarkeit

  • Tägliche Backups aller Kundendaten mit mehrfacher Durchführung
  • Dokumentiertes Verfahren zur schnellen Wiederherstellung von Datenbeständen
  • Redundante Auslegung von Serversystemen und Datenbanken (All-Inkl.com)

Auftragskontrolle

  • Vorherige Prüfung der Sicherheitsmaßnahmen aller Unterauftragsverarbeiter
  • Auswahl unter Sorgfaltsgesichtspunkten (Datenschutz und Datensicherheit)
  • Abschluss von AVV-Vereinbarungen mit allen Unterauftragsverarbeitern
Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Formdock ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern das bestehende Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert und dem Verantwortlichen unverzüglich mitgeteilt.
Formdock · Auftragsverarbeitungsvertrag · Version 1.2 · Stand März 2026
Bei Fragen zum Datenschutz: [E-Mail geschützt]