Stand: 17. April 2026 Version 1.0

Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO

Parteien des Vertrages

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“ oder „Vertrag“) wird geschlossen zwischen dem Kunden, der die Software-as-a-Service-Plattform PropGate nutzt (nachfolgend der „Verantwortliche“), und

PropGate
Inhaber: Matthias Deusch
In den Grüben 139
84489 Burghausen
Deutschland
E-Mail: datenschutz@propgate.de

(nachfolgend der „Auftragsverarbeiter“)

– Verantwortlicher und Auftragsverarbeiter nachfolgend auch einzeln „Partei“ und gemeinsam „Parteien“ –

Präambel

Der Verantwortliche nutzt auf Grundlage eines separaten Hauptvertrages (Nutzungsvereinbarung bzw. Abonnementvertrag, nachfolgend „Hauptvertrag“) die Software-as-a-Service-Plattform PropGate des Auftragsverarbeiters zum Zwecke der digitalen Immobilienverwaltung. Im Rahmen dieser Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen. Dieser AVV regelt die Rechte und Pflichten der Parteien in Bezug auf diese Auftragsverarbeitung gemäß Art. 28 DSGVO.

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf die Verarbeitung personenbezogener Daten vor.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der Cloud-basierten Software PropGate zur Verwaltung von Immobilien, Mietverhältnissen, Zahlungen, Mahnwesen, Nebenkostenabrechnungen, Tickets, Dienstleistern, Dokumenten und zugehörigen Geschäftsvorfällen.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages. Der Vertrag endet automatisch mit Beendigung des Hauptvertrages, ohne dass es einer gesonderten Kündigung bedarf. Pflichten, die ihrer Natur nach über die Vertragsdauer hinauswirken (insbesondere Rückgabe- und Löschpflichten sowie Vertraulichkeit), bleiben davon unberührt.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Speicherung, Strukturierung, Auslesen, Abfrage, Veränderung, Berichtigung, Löschung, Vervielfältigung (Backups), Übermittlung sowie Bereitstellung zum Abruf über das Internet.

(2) Zweck der Verarbeitung: Erbringung der vertraglich geschuldeten SaaS-Leistungen gemäß Hauptvertrag, insbesondere:

  • Verwaltung von Objekten, Einheiten, Mietverträgen und Mietern
  • Erstellung und Verwaltung von Sollstellungen, Zahlungen und Mahnungen
  • Bankimport und automatisierter Zahlungsabgleich
  • Nebenkostenabrechnungen, Heizkostenabrechnungen und Warmmieten-Berechnungen
  • Ticket- und Schadensmanagement inkl. Dienstleister-Zuordnung
  • Dokumentenverwaltung und Generierung von PDF-/DOCX-Dokumenten (Mahnungen, Mietverträge u. a.)
  • Kredit- und Tilgungsplanverwaltung
  • Zähler- und Ablesewertverwaltung, Wartungspläne, Zeiterfassung
  • Versand transaktionaler E-Mails an Mieter und sonstige Vertragspartner des Verantwortlichen im Auftrag des Verantwortlichen
  • Benutzer- und Rechteverwaltung innerhalb des Mandanten

(3) Eine Verarbeitung zu anderen als den in diesem Vertrag genannten Zwecken findet nicht statt. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind insbesondere folgende Datenkategorien:

  • Stammdaten: Vor- und Nachname, Anrede, Geburtsdatum, Firma
  • Kontaktdaten: Anschrift, Telefonnummer, E-Mail-Adresse
  • Vertragsdaten: Mietverhältnisse, Laufzeiten, Miethöhe, Kautions- und Bankverbindungsdaten (IBAN, BIC, Kontoinhaber)
  • Zahlungsdaten: Sollstellungen, Eingangszahlungen, Mahn- und Säumniszustände, Bankauszugspositionen
  • Kommunikationsdaten: Schriftverkehr, Mahnschreiben, Ticketinhalte
  • Technische Nutzungsdaten: Login-Zeitstempel, IP-Adressen (gekürzt zum Zweck der Sicherheit/Missbrauchsprävention), Gerätekennungen für Zwei-Faktor-Authentifizierung
  • Dokumenteninhalte: Vom Verantwortlichen hochgeladene Dokumente (z. B. Mietverträge, Rechnungen, Belege)
  • Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Der Auftragsverarbeiter verarbeitet diese nicht gezielt. Sollten solche Daten unbeabsichtigt in Freitextfeldern oder Dokumenten enthalten sein, werden sie mit dem gleichen Schutzniveau wie übrige Daten behandelt. Der Verantwortliche stellt sicher, dass die Verarbeitung solcher Daten nur im Rahmen der gesetzlichen Vorgaben erfolgt.

§ 4 Kategorien betroffener Personen

Von der Verarbeitung sind insbesondere folgende Personengruppen betroffen:

  • Mieter (Wohn- und Gewerbemieter) sowie ehemalige Mieter
  • Eigentümer und Verwalter von Immobilien
  • Mitarbeiter und Sachbearbeiter des Verantwortlichen (Benutzer des Systems)
  • Dienstleister und deren Ansprechpartner (Handwerker, Ablesedienste u. a.)
  • Weitere vom Verantwortlichen eingetragene Geschäftspartner

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich,

  1. personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist aufgrund des Rechts der Europäischen Union oder eines Mitgliedstaats hierzu verpflichtet; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO);
  2. sicherzustellen, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b i. V. m. Art. 29, 32 Abs. 4 DSGVO);
  3. alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (siehe Anlage 1);
  4. den Verantwortlichen unverzüglich zu informieren, falls eine vom Verantwortlichen erteilte Weisung nach Auffassung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt;
  5. den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung seiner gemäß Art. 32 bis 36 DSGVO bestehenden Pflichten angemessen zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO);
  6. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen – berücksichtigt zu ermöglichen.

§ 6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

(1) Der Auftragsverarbeiter trifft die in Anlage 1 dieses AVV beschriebenen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter ist berechtigt, alternative, gleichwertige oder höherwertige Maßnahmen umzusetzen. Das Sicherheitsniveau darf dadurch jedoch nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Verantwortlichen auf Anfrage mitzuteilen.

§ 7 Unterauftragsverarbeiter (Subprozessoren)

(1) Der Verantwortliche erteilt hiermit eine allgemeine schriftliche Genehmigung zum Einsatz der in Anlage 2 aufgeführten Unterauftragsverarbeiter (Art. 28 Abs. 2 Satz 2 DSGVO).

(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche hat das Recht, gegen solche Änderungen unter Nennung sachlicher Gründe Einspruch zu erheben. Kann keine Einigung erzielt werden, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht für den Hauptvertrag in Bezug auf die betroffene Leistung zu.

(3) Der Auftragsverarbeiter verpflichtet den Unterauftragsverarbeiter vertraglich auf die gleichen Datenschutzpflichten, wie sie in diesem AVV festgelegt sind, einschließlich hinreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 28 Abs. 4 DSGVO).

(4) Erfolgt eine Übermittlung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland außerhalb des EWR, stellt der Auftragsverarbeiter sicher, dass die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (insbesondere durch Angemessenheitsbeschluss oder EU-Standardvertragsklauseln zzgl. ergänzender Maßnahmen).

(5) Als Unterauftragsverarbeitung im Sinne dieses Vertrages gelten nicht Nebenleistungen, die der Auftragsverarbeiter bei Dritten in Anspruch nimmt, wie z. B. Telekommunikationsleistungen, Reinigung, Wartung von Endgeräten oder die Entsorgung von Datenträgern. Der Auftragsverarbeiter ist jedoch verpflichtet, auch in solchen Fällen angemessene vertragliche und tatsächliche Vorkehrungen zur Wahrung des Datenschutzes und der Datensicherheit zu treffen.

§ 8 Rechte der Betroffenen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit wie möglich und unter Berücksichtigung der Art der Verarbeitung, mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Art. 12 bis 23 DSGVO (Art. 28 Abs. 3 lit. e DSGVO).

(2) Wendet sich ein Betroffener unmittelbar an den Auftragsverarbeiter zur Geltendmachung seiner Rechte, leitet der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter gibt von sich aus keine Auskunft gegenüber Betroffenen.

(3) Der Verantwortliche verfügt innerhalb der Anwendung über die notwendigen Funktionen, um Auskunfts-, Berichtigungs-, Lösch- und Export-Anforderungen selbständig zu bearbeiten (insbesondere JSON-Export gemäß Art. 20 DSGVO).

§ 9 Mitteilung von Datenschutzverletzungen (Art. 33 DSGVO)

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die durch ihn oder einen von ihm eingesetzten Unterauftragsverarbeiter entstanden ist, unverzüglich, möglichst innerhalb von 48 Stunden nach Kenntniserlangung.

(2) Die Meldung erfolgt in Textform (E-Mail genügt) an die vom Verantwortlichen hinterlegte Datenschutz-Kontaktadresse und enthält mindestens:

  • eine Beschreibung der Art der Verletzung
  • die Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
  • den Namen und die Kontaktdaten einer Anlaufstelle für weitere Informationen
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung
  • eine Beschreibung der ergriffenen oder geplanten Maßnahmen zur Behebung

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.

§ 10 Kontrollrechte des Verantwortlichen (Audit)

(1) Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der vertraglichen Vereinbarungen beim Auftragsverarbeiter nach vorheriger Anmeldung mit angemessener Frist (in der Regel vier Wochen) während der üblichen Geschäftszeiten zu kontrollieren.

(2) Der Auftragsverarbeiter kann seinen Nachweispflichten durch die Vorlage geeigneter Nachweise erbringen, insbesondere durch:

  • eine aktuelle Dokumentation der technischen und organisatorischen Maßnahmen
  • ein aktuelles Testat, einen Bericht oder einen Ausschnitt eines Berichts eines unabhängigen Prüfers (z. B. SOC 2, ISO 27001), soweit verfügbar
  • eine geeignete Zertifizierung nach genehmigtem Zertifizierungsverfahren (Art. 42 DSGVO)

(3) Sofern der Verantwortliche ein physisches Vor-Ort-Audit durchführen möchte, ist der Auftragsverarbeiter berechtigt, einen angemessenen Aufwandsersatz zu verlangen. Das Audit darf den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen. Betriebsgeheimnisse und personenbezogene Daten anderer Kunden sind angemessen zu schützen.

§ 11 Vertraulichkeit

(1) Der Auftragsverarbeiter verpflichtet seine mit der Verarbeitung betrauten Mitarbeiter schriftlich auf die Vertraulichkeit und das Datengeheimnis nach Art. 28 Abs. 3 lit. b, Art. 29 und Art. 32 Abs. 4 DSGVO. Diese Verpflichtung besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

(2) Der Auftragsverarbeiter stellt sicher, dass Mitarbeiter und eingebundene Dritte vor Aufnahme ihrer Tätigkeit über die für sie relevanten Bestimmungen des Datenschutzes informiert und regelmäßig geschult werden.

§ 12 Beendigung – Rückgabe und Löschung der Daten

(1) Nach Beendigung des Hauptvertrages stellt der Auftragsverarbeiter dem Verantwortlichen für die Dauer von 30 Tagen einen Export sämtlicher Mandantendaten im JSON-Format zur Verfügung (Art. 20 DSGVO).

(2) Nach Ablauf dieser Nachfrist werden sämtliche personenbezogenen Daten des Verantwortlichen einschließlich vorhandener Kopien, Protokolle und abgeleiteter Daten unverzüglich und dauerhaft gelöscht, es sei denn, nach Unionsrecht oder nach dem Recht der Mitgliedstaaten besteht eine Verpflichtung zur weiteren Speicherung (z. B. gesetzliche Aufbewahrungspflichten gemäß § 147 AO, § 257 HGB für Rechnungs- und Zahlungsdaten).

(3) In diesem Fall werden die betroffenen Daten bis zum Ablauf der gesetzlichen Aufbewahrungsfrist gesperrt und anschließend gelöscht. Die Löschung wird auf Anforderung des Verantwortlichen schriftlich bestätigt.

(4) Backups werden im Rahmen des bestehenden Rotationsplans spätestens 90 Tage nach Beendigung überschrieben.

§ 13 Haftung

(1) Für die Haftung gelten die Regelungen des Art. 82 DSGVO.

(2) Die Haftung zwischen den Parteien richtet sich im Übrigen nach den Regelungen des Hauptvertrages.

§ 14 Schlussbestimmungen

(1) Sollte eine Bestimmung dieses Vertrages unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Bestimmung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für den Verzicht auf das Textformerfordernis.

(3) Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.

Anlage 1 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

  • Hosting in Rechenzentren von Vercel Inc. und Cloudflare Inc. (EU-Regionen, Frankfurt)
  • Rechenzentren sind nach ISO 27001 und SOC 2 Type II zertifiziert
  • 24/7-bewachter Zugang, biometrische Zugangskontrollen, Videoüberwachung
  • Der Auftragsverarbeiter selbst betreibt keine eigenen Server

Zugangskontrolle:

  • Individuelle Benutzerkonten für jeden Nutzer, keine geteilten Accounts
  • Passwörter werden ausschließlich als bcrypt-Hash gespeichert
  • Mindestpasswortlänge von 8 Zeichen bei der Registrierung
  • Optionale Zwei-Faktor-Authentifizierung (TOTP, RFC 6238)
  • Automatische Account-Sperrung nach mehreren fehlgeschlagenen Anmeldeversuchen
  • Session-Timeouts und verschlüsselte Session-Tokens (NextAuth.js)
  • Administrativer Zugriff auf Produktionsdaten nur mit 2FA und über protokollierte Wege

Zugriffskontrolle:

  • Rollenbasierte Zugriffskontrolle (RBAC): Administrator, Sachbearbeiter, Nur-Lesen
  • Strikte Mandantentrennung (Multi-Tenancy) auf Datenbankebene: jede Datenbankabfrage wird automatisch auf die Tenant-ID gefiltert; ein Cross-Tenant-Zugriff ist technisch ausgeschlossen
  • Berechtigungsvergabe ausschließlich durch den Mandanten-Administrator
  • Vollständige Protokollierung aller datenändernden Aktionen im Audit-Log mit Zeitstempel, Benutzer-ID, Aktion und Daten-Delta

Trennungskontrolle:

  • Logische Trennung der Mandantendaten über die Tenant-ID in jedem Datensatz
  • Trennung von Produktions-, Test- und Entwicklungsumgebungen
  • Produktionsdaten werden nicht für Entwicklungs- oder Testzwecke verwendet

Pseudonymisierung und Verschlüsselung:

  • Transportverschlüsselung aller Datenverbindungen via TLS 1.2+ (HTTPS)
  • HSTS-Header für erzwungene HTTPS-Verbindungen
  • Verschlüsselung ruhender Daten (Encryption at Rest) in der Datenbank (Vercel Postgres) und im Object Storage (Cloudflare R2)
  • Passwörter: bcrypt-Hash mit individuellem Salt
  • Sensible Konfigurationswerte werden als Umgebungsvariablen verwaltet, nie im Code eingecheckt

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

  • TLS-verschlüsselte Übertragung bei allen ein- und ausgehenden Verbindungen
  • Keine unverschlüsselte E-Mail-Übertragung sensibler Daten
  • Dokumenten-Downloads erfolgen über signierte, zeitlich begrenzte URLs

Eingabekontrolle:

  • Revisionssicheres Audit-Log aller Erstell-, Änderungs- und Löschvorgänge (Wer? Wann? Was wurde geändert?)
  • Das Audit-Log ist innerhalb der Anwendung für Administratoren einsehbar und nicht manipulierbar durch normale Benutzer
  • Eingabevalidierung auf Server-Seite (Zod-Schema-Validierung)
  • Schutz vor SQL-Injection durch parametrisierte Queries (Prisma ORM)
  • Schutz vor Cross-Site-Scripting (CSP-Header, React-Auto-Escaping)
  • CSRF-Schutz durch NextAuth.js und SameSite-Cookies

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Automatisierte Datenbank-Backups (mindestens täglich, verschlüsselt)
  • Redundante Speicherung von Dateien in Cloudflare R2
  • DDoS-Schutz und Web Application Firewall auf Netzwerkebene (Vercel/Cloudflare)
  • Rate-Limiting gegen missbräuchliche API-Nutzung
  • Monitoring und Alerting bei Systemausfällen
  • Geplantes Disaster-Recovery-Konzept mit dokumentiertem RPO/RTO

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Prüfung der Wirksamkeit der TOM
  • Aktualisierung von Abhängigkeiten zur Beseitigung bekannter Sicherheitslücken (Dependabot-gestützte Updates)
  • Statische Code-Analyse (TypeScript Typprüfung, ESLint)
  • Security-Header (Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy)
  • Dokumentierte Incident-Response-Prozesse

5. Auftragskontrolle (Art. 28 DSGVO)

  • Sorgfältige Auswahl aller Unterauftragsverarbeiter (siehe Anlage 2)
  • Vertragliche Verpflichtung aller Unterauftragsverarbeiter nach Art. 28 DSGVO
  • Schulung aller Mitarbeiter zu Datenschutz und Datensicherheit
  • Schriftliche Verpflichtung aller Mitarbeiter auf das Datengeheimnis

Anlage 2 – Liste genehmigter Unterauftragsverarbeiter

Stand der Liste: 17. April 2026. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen gemäß § 7 dieses Vertrages.

Anbieter
Sitz
Leistung
Region der Datenverarbeitung
Rechtsgrundlage Drittland
Vercel Inc.
USA
Hosting der Webanwendung, Serverless Functions, verwaltete PostgreSQL-Datenbank
EU (Frankfurt / fra1)
EU-US Data Privacy Framework (DPF), SCCs
Cloudflare, Inc.
USA
Object Storage (R2) für Dokumente und generierte PDFs, CDN, DDoS-Schutz
EU (Bucket-Region EEA)
EU-US Data Privacy Framework (DPF), SCCs
Stripe Payments Europe, Ltd.
Irland (mit Stripe Inc., USA)
Zahlungsabwicklung und Abonnementverwaltung für das PropGate-Abo des Verantwortlichen
EU, mit Übermittlung an Stripe Inc. (USA)
EU-US Data Privacy Framework (DPF), SCCs
Resend, Inc.
USA
Transaktionaler E-Mail-Versand (Mahnungen, Systembenachrichtigungen, Bestätigungs-E-Mails)
EU/US
SCCs (EU-Standardvertragsklauseln)

Der Auftragsverarbeiter nutzt keine weiteren Unterauftragsverarbeiter für die Verarbeitung personenbezogener Kundendaten. Sollte sich dies ändern, wird die Liste nach Maßgabe von § 7 aktualisiert und der Verantwortliche vorab informiert.

Unterzeichnung

Dieser Vertrag gilt mit der Annahme des Hauptvertrages (Registrierung und Abschluss eines kostenpflichtigen Abonnements bzw. Annahme der Nutzungsbedingungen) als geschlossen. Auf schriftliche Anforderung stellt der Auftragsverarbeiter eine unterzeichnete Ausfertigung zur Verfügung.

Ort, Datum
Verantwortlicher (Kunde)
Ort, Datum
Auftragsverarbeiter (PropGate, Matthias Deusch)

Dieser Auftragsverarbeitungsvertrag wurde von PropGate erstellt und geht über die gesetzlichen Mindestanforderungen des Art. 28 DSGVO hinaus. Er ist so ausgestaltet, dass er ohne Änderungen verbindlich zwischen den Parteien gelten kann; individuelle Anpassungen im Einzelfall bleiben vorbehalten. Stand 17. April 2026, Version 1.0.