Auftragsverarbeitungsvertrag (AVV)

Stand: Januar 2026

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Nutzung der Plattform domulex.ai.

(2) Der Auftragnehmer (Home Invest & Management GmbH, nachfolgend "domulex.ai") verarbeitet personenbezogene Daten im Auftrag des Auftraggebers (nachfolgend "Kunde") ausschließlich im Rahmen der vereinbarten Leistungen.

(3) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag domulex.ai). Der AVV endet automatisch mit Beendigung des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung:

• Speicherung und Verarbeitung von Nutzerdaten zur Bereitstellung der Plattform
• Analyse von hochgeladenen Dokumenten (Vertragsanalyse)
• Verarbeitung von Anfragen im Rechts-Chat
• Speicherung von Mandantendaten im CRM (Lawyer Pro)
• Generierung von Dokumenten und Schriftsätzen

(2) Zweck der Verarbeitung:

• Erbringung der vertraglich vereinbarten KI-gestützten Rechtsanalyse-Dienstleistungen
• Mandantenverwaltung für Rechtsanwälte (Lawyer Pro Tarif)
• Dokumentenmanagement und -generierung

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Bestandsdaten: Name, E-Mail-Adresse, Firmenname, Anschrift
• Nutzungsdaten: Anfragen, Suchanfragen, Zeitstempel
• Vertragsdaten: Miet-/Kaufverträge, die zur Analyse hochgeladen werden
• Mandantendaten (Lawyer Pro): Namen, Kontaktdaten, Aktenzeichen, Schriftsätze
• Zahlungsdaten: Werden direkt bei Stripe verarbeitet (nicht bei domulex.ai)

§ 4 Kategorien betroffener Personen

• Mitarbeiter des Auftraggebers
• Mandanten des Auftraggebers (bei Lawyer Pro)
• Vertragsparteien in hochgeladenen Dokumenten

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verpflichtet sich:

• Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
• Die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO zu gewährleisten
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
• Unterauftragnehmer nur mit vorheriger Zustimmung des Auftraggebers einzusetzen
• Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen
• Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben

(2) Der Auftragnehmer stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende Maßnahmen implementiert:

Zutrittskontrolle:

• Serverstandort: Google Cloud Platform, Region europe-west3 (Frankfurt)
• ISO 27001 zertifiziertes Rechenzentrum

Zugangskontrolle:

• Authentifizierung über Firebase Authentication
• Passwort-Richtlinien (Mindestlänge, Komplexität)
• Optionale Zwei-Faktor-Authentifizierung

Zugriffskontrolle:

• Rollenbasiertes Berechtigungskonzept
• Strikte Mandantentrennung
• Protokollierung von Zugriffen

Weitergabekontrolle:

• TLS 1.3 Verschlüsselung aller Datenübertragungen
• Verschlüsselung ruhender Daten (AES-256)

Eingabekontrolle:

• Vollständige Protokollierung aller Eingaben
• Audit-Logs mit Zeitstempeln

Auftragskontrolle:

• Verarbeitung nur gemäß Vertrag und Weisung
• Regelmäßige Compliance-Prüfungen

Verfügbarkeitskontrolle:

• Redundante Systemauslegung
• Regelmäßige Backups
• Disaster Recovery Plan

Trennungsgebot:

• Logische Mandantentrennung
• Separate Datenbanken pro Mandant (bei Enterprise)

§ 7 Unterauftragnehmer

(1) Folgende Unterauftragnehmer sind zum Zeitpunkt des Vertragsschlusses genehmigt:

(2) Änderungen bei Unterauftragnehmern werden dem Auftraggeber mindestens 14 Tage vor Wirksamwerden mitgeteilt. Der Auftraggeber kann innerhalb von 7 Tagen widersprechen.

§ 8 Rechte der betroffenen Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

(2) Anfragen betroffener Personen leitet der Auftragnehmer unverzüglich an den Auftraggeber weiter.

§ 9 Meldepflichten bei Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über Verletzungen des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

• Art der Verletzung
• Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
• Wahrscheinliche Folgen
• Ergriffene oder vorgeschlagene Maßnahmen

§ 10 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber ist berechtigt, die Einhaltung der Datenschutzvorschriften und der Weisungen zu überprüfen.

(2) Der Auftragnehmer stellt alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung.

(3) Vor-Ort-Audits sind nach Abstimmung und unter Wahrung der Vertraulichkeit möglich.

§ 11 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Auf Wunsch des Auftraggebers erfolgt vor Löschung eine Datenrückgabe in einem gängigen Format (JSON, CSV).

(3) Die Löschung wird dem Auftraggeber schriftlich bestätigt.

§ 12 Haftung

Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags (AGB) sowie den gesetzlichen Regelungen der DSGVO, insbesondere Art. 82 DSGVO.

§ 13 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht. Gerichtsstand ist Frankfurt am Main.