Auftragsverarbeitungsvertrag

gemäß Art. 28 Abs. 3 DS-GVO

§ 1 Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch ETVplus (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher).

Der Vertrag gilt für die gesamte Dauer der Nutzung von ETVplus. Er endet automatisch mit Beendigung des Hauptvertrags (Nutzungsvertrag/AGB).

§ 2 Art und Zweck der Verarbeitung

ETVplus verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen:

  • Verwaltung von Eigentümerdaten (Name, Adresse, Kontaktdaten)
  • Durchführung digitaler Eigentümerversammlungen
  • Durchführung von Video-/Audio-Konferenzen im Rahmen digitaler bzw. hybrider Eigentümerversammlungen (Echtzeit-Bild- und -Tonübertragung zugeschalteter Teilnehmer). Eine Aufzeichnung oder dauerhafte Speicherung der Video- und Audioströme findet nicht statt; gespeichert werden lediglich Verbindungsmetadaten (Zeitpunkt von Beitritt und Verlassen) zur Nutzungsabrechnung.
  • Erstellung und Versand von Einladungen und Protokollen
  • Verwaltung von Vollmachten und Abstimmungen
  • Migration von Bestandsdaten aus Vorsystemen
  • Technische Erfassung des Zustellstatus versendeter E-Mails (Versand-, Zustell- und Unzustellbarkeits-Nachweise) als Beleg der ordnungsgemäßen Ladung bzw. Zustellung
  • Nur bei entsprechender Aktivierung durch den Verantwortlichen und ausschließlich gegenüber betroffenen Personen, deren vorherige Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DS-GVO) der Verantwortliche eingeholt und dokumentiert hat: Messung des Öffnungszeitpunkts versendeter E-Mails mittels Zählpixel. Der Auftragsverarbeiter stellt sicher, dass ohne dokumentierte Einwilligung kein Zählpixel eingebettet wird.

Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt. Nur sofern der Verantwortliche dem Auftragsverarbeiter durch gesondertes, ausdrückliches und dokumentiertes Opt-in zugestimmt hat (Standard: kein Opt-in; die gewählte Option wird im Vertragsdokument sichtbar dokumentiert), darf der Auftragsverarbeiter im Rahmen der Vertragsdurchführung anfallende Daten anonymisieren und die so gewonnenen anonymen, nicht re-identifizierbaren Daten ausschließlich in aggregierter Form zur Verbesserung, Qualitätssicherung und Weiterentwicklung des Dienstes nutzen — einschließlich der Entwicklung und des Trainings eigener, vom Auftragsverarbeiter selbst betriebener KI-Modelle. Diese Nutzung ist auf ein nachvollziehbares, dem Stand der Technik entsprechendes und extern überprüfbares Anonymisierungsverfahren beschränkt; der Auftragsverarbeiter dokumentiert das eingesetzte Verfahren und legt es dem Verantwortlichen auf Verlangen offen. Eine Re-Identifizierung des Verantwortlichen, seiner Objekte oder einzelner betroffener Personen ist ausgeschlossen; anonyme Daten unterliegen nicht der DS-GVO und nicht diesem AVV. Das Opt-in ist jederzeit mit Wirkung für die Zukunft widerruflich (in Textform an [email protected]). Eine Weitergabe von Daten an Dritte zu Trainingszwecken erfolgt nicht.

§ 3 Kategorien betroffener Personen

  • Wohnungseigentümer und deren Vertreter
  • Mitarbeiter der Hausverwaltung
  • Beiratsmitglieder

§ 4 Art der personenbezogenen Daten

  • Stammdaten (Name, Anschrift, Geburtsdatum)
  • Kontaktdaten (E-Mail, Telefon)
  • Eigentumsdaten (Einheit, Miteigentumsanteil)
  • Versammlungsdaten (Anwesenheit, Abstimmungen, Vollmachten)
  • Kommunikationsdaten (Protokollnotizen)
  • Bild- und Tondaten zugeschalteter Teilnehmer bei digitalen bzw. hybriden Versammlungen (Echtzeit-Übertragung, keine Aufzeichnung) sowie Verbindungsmetadaten der Videokonferenz (Zeitpunkt von Beitritt und Verlassen)
  • E-Mail-Zustellmetadaten (Versand-, Zustell- und Fehlzustellungsstatus; bei aktivierter und eingewilligter Öffnungs-Messung zusätzlich der Öffnungszeitpunkt)

§ 5 Pflichten des Auftragsverarbeiters

ETVplus verpflichtet sich:

  1. Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DS-GVO).
  2. Alle Personen, die zur Verarbeitung der Daten befugt sind, zur Vertraulichkeit zu verpflichten.
  3. Geeignete technische und organisatorische Maßnahmen zu ergreifen (siehe § 9).
  4. Unterauftragsverarbeiter nur nach Maßgabe von § 7 einzusetzen.
  5. Den Verantwortlichen bei der Erfüllung der Betroffenenrechte sowie seiner Pflichten nach Art. 32 bis 36 DS-GVO zu unterstützen (siehe § 10).
  6. Nach Beendigung der Leistung alle Daten zu löschen oder zurückzugeben (siehe § 13).
  7. Dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung bereitzustellen und Überprüfungen zu ermöglichen (siehe § 12).

§ 6 Weisungsbefugnis des Verantwortlichen

Die Verarbeitung der Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen. Der Verantwortliche behält sich im Rahmen des Auftrags ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor.

Weisungen erfolgen grundsätzlich in Textform. Mündlich erteilte Weisungen bestätigt der Verantwortliche unverzüglich mindestens in Textform.

Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Er ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

§ 7 Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter zu. ETVplus stellt durch vertragliche Vereinbarungen sicher, dass diese den Anforderungen der Art. 28 ff. DS-GVO unterliegen:

Dienstleister Zweck Standort
Hetzner Online GmbH Server-Hosting, Infrastruktur Deutschland
Supabase Inc. Datenbank, Authentifizierung EU (Frankfurt)
Microsoft Ireland Operations Ltd. (Azure OpenAI Service) KI-gestützte Protokoll-/Beschlussgenerierung und Transkription; Betrieb der OpenAI-Modelle vollständig auf Microsoft-Infrastruktur, keine Übermittlung an OpenAI Inc. EU (Azure „EU Data Zone", u. a. Schweden/Deutschland)
Stripe Inc. Zahlungsabwicklung EU/USA (EU-US Data Privacy Framework, ergänzend EU-SCCs)
LiveKit Inc. Echtzeit-Video-/Audioübertragung bei digitalen Versammlungen; WebRTC-transportverschlüsselt (DTLS/SRTP), keine Aufzeichnung Medieninfrastruktur EU (Frankfurt am Main); ergänzend EU-US Data Privacy Framework bzw. EU-SCCs
Neue Medien Münnich GmbH (ALL-INKL.COM) E-Mail-Versand (Einladungen, Protokolle, Benachrichtigungen) Deutschland
Sentry GmbH Fehlererkennung (keine personenbezogenen Daten) EU

Bei einem Wechsel oder der Hinzunahme weiterer Unterauftragsverarbeiter informiert ETVplus den Verantwortlichen vorab. Der Verantwortliche kann einem Wechsel aus wichtigem datenschutzrechtlichem Grund innerhalb von zwei Wochen widersprechen.

§ 8 Übermittlung in Drittländer

Eine Verarbeitung personenbezogener Daten in einem Drittland außerhalb der EU/des EWR findet nur statt, soweit die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Für Unterauftragsverarbeiter mit Datenverarbeitung in den USA (insbesondere Stripe und gegebenenfalls LiveKit) ist ein angemessenes Datenschutzniveau durch eine Zertifizierung nach dem EU-US Data Privacy Framework (Art. 45 DS-GVO) und/oder die Standardvertragsklauseln der Europäischen Kommission (Art. 46 Abs. 2 lit. c DS-GVO) sowie ergänzende Schutzmaßnahmen sichergestellt. Die Speicherung der Kundendaten selbst erfolgt auf Servern in Deutschland.

Die KI-gestützte Protokoll- und Beschlussgenerierung sowie die Transkription erfolgen über den Microsoft Azure OpenAI Service mit Verarbeitung innerhalb der EU (Azure „EU Data Zone"). Die übermittelten Inhalte werden ausschließlich zur Auftragsdurchführung verarbeitet, nicht zum Training von KI-Modellen genutzt (weder durch Microsoft noch durch OpenAI) und nicht dauerhaft gespeichert; das standardmäßige Missbrauchs-Monitoring ist im Rahmen von „Modified Abuse Monitoring" deaktiviert.

§ 9 Technische und organisatorische Maßnahmen (TOM)

ETVplus ergreift die folgenden technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO. Die Maßnahmen unterliegen dem technischen Fortschritt und dürfen weiterentwickelt werden, sofern das Schutzniveau nicht unterschritten wird.

Vertraulichkeit

  • Verschlüsselte Datenübertragung (TLS 1.3)
  • Verschlüsselte Datenspeicherung (AES-256)
  • Rollenbasierte Zugriffskontrolle (RBAC), Trennung nach Mandanten
  • Zwei-Faktor-Authentifizierung für administrative Zugänge

Integrität

  • Revisionssicherer Audit Trail für alle sicherheitsrelevanten Aktionen
  • Automatische Eingabevalidierung
  • Schutz vor CSRF- und XSS-Angriffen

Verfügbarkeit und Belastbarkeit

  • Tägliche automatische Backups
  • Server-Standort: Hetzner, Deutschland
  • Monitoring mit automatischer Fehlerbenachrichtigung
  • Container-Architektur mit automatischem Neustart, getrennte Staging- und Produktionsumgebungen
  • Regelmäßige Sicherheitsupdates

§ 10 Unterstützung des Verantwortlichen

ETVplus unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen, insbesondere bei:

  • der Erfüllung von Anfragen betroffener Personen zur Wahrnehmung ihrer Rechte nach Kapitel III DS-GVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch);
  • der Einhaltung der Pflichten zur Sicherheit der Verarbeitung (Art. 32 DS-GVO);
  • der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DS-GVO) und etwaiger vorheriger Konsultationen der Aufsichtsbehörde (Art. 36 DS-GVO).

§ 11 Meldung von Datenschutzverletzungen

ETVplus informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:

  • Art der Verletzung
  • Betroffene Datenkategorien und Personenkreise
  • Wahrscheinliche Folgen
  • Ergriffene und vorgeschlagene Abhilfemaßnahmen

§ 12 Kontroll- und Nachweisrechte des Verantwortlichen

ETVplus stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung.

Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorschriften und der Regelungen dieses Vertrages nach rechtzeitiger Vorankündigung (in der Regel mit einer Frist von zwei Wochen) zu den üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs zu überprüfen. Die Kontrolle kann auch durch Vorlage geeigneter Nachweise, Zertifikate oder Testate erfolgen. Audits sind grundsätzlich auf einmal jährlich beschränkt, es sei denn, ein besonderer Anlass (z. B. eine Datenschutzverletzung) erfordert eine zusätzliche Prüfung.

§ 13 Löschung und Rückgabe

Nach Beendigung des Vertragsverhältnisses löscht ETVplus alle personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Auf Wunsch erfolgt vorab eine vollständige Datenrückgabe in einem gängigen, maschinenlesbaren Format. Die Löschung wird dem Verantwortlichen auf Verlangen bestätigt.

Der Verantwortliche kann jederzeit — und insbesondere vor einer etwaigen Vertragsbeendigung und der anschließenden Löschung — ein vollständiges Archiv seiner Daten abziehen; dies umfasst insbesondere die Beschlusssammlung und die Protokolle als Dateien-Export. ETVplus stellt sicher, dass der Verantwortliche seiner dauerhaften Aufbewahrungspflicht hinsichtlich der Beschlusssammlung (§ 24 Abs. 6 WEG) nachkommen kann, und leistet vor einer Löschung die hierfür erforderliche Unterstützung.

§ 14 Datenschutzbeauftragter und Ansprechpartner

Für die Schild GmbH besteht keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten (die Voraussetzungen des Art. 37 DS-GVO bzw. § 38 BDSG liegen nicht vor). Ansprechpartner für alle Fragen des Datenschutzes und der Auftragsverarbeitung ist:

Schild GmbH
Am Falder 4, 40589 Düsseldorf
E-Mail: datenschutz (at) etvplus.de

Auftragsverarbeiter im Sinne dieses Vertrages und Betreiber von ETVplus ist die Schild GmbH, Am Falder 4, 40589 Düsseldorf.

§ 15 Haftung

Für die Haftung gelten die Regelungen des Art. 82 DS-GVO sowie ergänzend die Bestimmungen des Hauptvertrags. Im Verhältnis der Parteien untereinander gilt: Jede Partei haftet für Schäden, die durch eine ihr zuzurechnende Verletzung dieses Vertrages oder der DS-GVO entstehen.

§ 16 Schlussbestimmungen

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Im Falle von Widersprüchen zwischen dem Hauptvertrag und diesem AVV gehen hinsichtlich der Verarbeitung personenbezogener Daten die Regelungen dieses AVV vor. Änderungen und Ergänzungen bedürfen der Textform. Es gilt das Recht der Bundesrepublik Deutschland.


Dieser AVV wird von beiden Parteien unterzeichnet (handschriftlich oder elektronisch über den digitalen Signaturlink von ETVplus).

Stand: 14. Juli 2026 (Version 2026-07-14)