Auftragsverarbeitungs-Vertrag (DPA) nach Art. 28 DSGVO

Version 1.0 — Stand: Juni 2026.

Zwischen dem Kunden („Verantwortlicher" im Sinne der DSGVO) und Mietspace („Auftragsverarbeiter") wird durch die Registrierung bei Mietspace und die Nutzung der Plattform ergänzend zu den SaaS-AGB der folgende Auftragsverarbeitungs-Vertrag geschlossen.

§ 1 Gegenstand und Dauer

1. Gegenstand des Auftrags ist die Bereitstellung der Mietspace-Plattform zur Abwicklung von Geräte- bzw. Objekt-Vermietungen, im Rahmen derer der Auftragsverarbeiter personenbezogene Daten der durch den Verantwortlichen verwalteten Endkunden (Mieter) verarbeitet.
2. Die Vertragsdauer entspricht der Laufzeit des SaaS-Hauptvertrags. Nach Vertragsende gelten die Regelungen aus § 11.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der vertraglich vereinbarten Leistungs­erbringung — insbesondere Buchungs- und Vertrags-Workflow, Mail-Versand an Endkunden über das Mailcow-System des Anbieters, Aufbewahrung digitaler Übergabe-Protokolle sowie die DSGVO-konforme Erfassung von Ausweis-Daten bei Vertragsabschluss. Eine Abwicklung der Mietentgelte zwischen dem Verantwortlichen und dessen Endkunden über die Plattform findet nicht statt; die Zahlungsabwicklung über Stripe betrifft ausschließlich das SaaS-Abonnement des Verantwortlichen gegenüber dem Auftragsverarbeiter.

§ 3 Art der personenbezogenen Daten

• Stammdaten (Name, Anschrift, E-Mail, Telefon, Geburtsdatum) der Endkunden des Verantwortlichen
• Kommunikations-Inhalte (Mail-Texte, Kleinanzeigen-Mails)
• Vertrags- und Buchungsdaten (Geräte, Zeiträume, Preise, Zahlungsstatus)
• Ausweis-Daten bei Vertragsabschluss (verschlüsselt gespeichert; MRZ-Daten + Bild-Daten, Roh-MRZ wird nicht persistiert)
• IP-Adressen, User-Agents und Zeitstempel der Vertrags-Unterzeichnung (zu Nachweiszwecken)
• Audit-Log-Einträge zu administrativen Aktionen

§ 4 Kategorien betroffener Personen

• Endkunden (Mieter) des Verantwortlichen
• Mitarbeiter des Verantwortlichen mit Plattform-Zugang
• Geschäftspartner aus eingehender Mail-Kommunikation (Kleinanzeigen-Bridge)

§ 5 Pflichten des Verantwortlichen

1. Rechtmäßige Erhebung und Übermittlung der Daten an den Auftragsverarbeiter.
2. Bereitstellung der nach Art. 13 / 14 DSGVO erforderlichen Information an die Betroffenen.
3. Erteilung schriftlicher Weisungen, falls Änderungen gegenüber dem ursprünglichen Auftrag erforderlich sind.
4. Information des Auftragsverarbeiters über Datenpannen, die im Verantwortungsbereich des Kunden auftreten.

§ 6 Pflichten des Auftragsverarbeiters

1. Verarbeitung ausschließlich auf dokumentierter Weisung des Verantwortlichen.
2. Verpflichtung der eingesetzten Mitarbeiter auf Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
3. Umsetzung der unter Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen.
4. Unterstützung des Verantwortlichen bei der Wahrnehmung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit). Die Plattform stellt unter /einstellungen/account einen JSON-Export aller Tenant-Daten zur Verfügung (Art. 20 DSGVO).
5. Meldung von Datenpannen innerhalb von 72 Stunden an den Verantwortlichen über die im Konto hinterlegte E-Mail-Adresse.
6. Löschung oder Rückgabe der personenbezogenen Daten nach Beendigung des Auftrags (siehe § 11).

§ 7 Sub-Auftragsverarbeiter

Der Auftragsverarbeiter setzt die in der aktuellen Sub-Auftragsverarbeiter-Liste aufgeführten Dienstleister ein. Der Verantwortliche stimmt dem Einsatz dieser Sub-Auftragsverarbeiter mit Vertragsabschluss zu. Bei Aufnahme oder Wechsel eines Sub-Auftragsverarbeiters wird der Verantwortliche mindestens 14 Tage vorher informiert und hat das Recht, dem Wechsel aus wichtigem Grund zu widersprechen.

§ 8 Rechte der Betroffenen

Wendet sich eine betroffene Person an den Auftragsverarbeiter mit einem Auskunfts-, Berichtigungs- oder Löschungs-Verlangen, leitet dieser die Anfrage unverzüglich an den zuständigen Verantwortlichen weiter.

§ 9 Datenpannen-Meldung

1. Erkennt der Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten, informiert er den Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden.
2. Die Meldung enthält Art der Verletzung, betroffene Datenkategorien, Anzahl der Betroffenen, mögliche Folgen und ergriffene Gegenmaßnahmen.

§ 10 Kontroll- und Auskunftsrechte

Der Verantwortliche kann sich auf eigene Kosten von der Einhaltung dieses Vertrags überzeugen (Audit). Vor einer Vor-Ort-Prüfung ist eine Frist von 30 Tagen einzuhalten. Stattdessen können aktuelle Zertifizierungen oder Audit-Berichte des Auftragsverarbeiters oder seiner Sub-Auftragsverarbeiter (z. B. Hetzner ISO 27001) anerkannt werden.

§ 11 Beendigung

1. Bei Beendigung des Hauptvertrags werden alle Daten des Verantwortlichen innerhalb von 30 Kalendertagen entweder unwiderruflich gelöscht oder auf Wunsch übergeben (per JSON-Datenexport via Konto-Seite).
2. Audit-Logs werden für die gesetzlich erforderliche Aufbewahrungsfrist (regelmäßig 3 Jahre gem. § 195 BGB) anonymisiert weitergeführt.
3. Backups löschen sich automatisch nach der Backup-Retention von max. 30 Tagen.

§ 12 Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters. Sollten einzelne Klauseln unwirksam sein, bleibt die Wirksamkeit der übrigen Klauseln unberührt.

Anlage 1 — Technische und organisatorische Maßnahmen (TOM)

Vertraulichkeit

• Zugangskontrolle: Better-Auth mit E-Mail-Verifizierung erzwungen, Brute-Force-Schutz im Rate-Limiter
• Zugriffskontrolle: Multi-Tenant-Isolation auf Datenbank-Ebene; jede Query mit tenantId-Filter
• Verschlüsselung: Transport (TLS 1.2+), Ruhe (AES-256-GCM für Ausweis-Bilder und Vertrags-PDFs)
• Pseudonymisierung: keine Klartext-MRZ-Speicherung; Audit-Log mit Redaktion sensitiver Felder

Integrität

• Eingabekontrolle: Audit-Log für alle administrativen Aktionen mit Actor, Zeitstempel, IP, User-Agent
• Datenträgerkontrolle: Object-Storage mit Versionierung und Lifecycle-Policies
• HTML-Escape und Header-Injection-Schutz auf alle Mail-Versendungen

Verfügbarkeit

• Daily Postgres-Backup mit 30 Tage Retention
• Object-Storage-Versioning, Wiederherstellung gelöschter Dateien innerhalb von 90 Tagen
• Container-Health-Check mit Auto-Rollback bei fehlerhaftem Deploy
• Vierteljährlicher Restore-Drill mit dokumentiertem Drill-Log

Auftragskontrolle

• Schriftliche Weisungen über das Support-Postfach des Anbieters
• Sub-Auftragsverarbeiter-Liste versioniert öffentlich zugänglich
• Mitarbeiter auf Vertraulichkeit verpflichtet

Hinweis: Dieses DPA-Muster ist eine erste Vorlage für die Closed-Beta-Phase. Vor produktivem Einsatz wird die Endprüfung durch eine Datenschutz-Fachkanzlei dringend empfohlen.