immobooks

Auftragsverarbeitungsvertrag (AV / DPA)

Entwurfs-Text — Rechtsberater-Review ausstehend. Felder mit der Kennzeichnung „TODO" müssen vor Go-Live durch reale Unternehmensdaten ersetzt werden.

Stand: 2026-05-06

1. Worum es geht

Wenn Sie ImmoBooks zur Verarbeitung personenbezogener Daten Ihrer Mieter, Eigentümer oder Geschäftspartner einsetzen, sind Sie nach DSGVO der Verantwortliche und ImmoBooks der Auftragsverarbeiter. Ein Auftragsverarbeitungsvertrag (AV) nach Art. 28 DSGVO regelt die Pflichten beider Seiten.

2. AV abrufen und unterzeichnen

Den AV-Vertrag stellen wir Ihnen in zwei Wegen zur Verfügung:

  • Standard-AV (online): Mit Aktivierung Ihres Plans gilt der Standard-AV automatisch — Sie finden den Wortlaut in Ihren AGB-Unterlagen und können den unterschriebenen Vertrag jederzeit unter datenschutz@immobooks.at anfordern.
  • Individueller AV (für Enterprise / DSB-Pflicht): Wenn Ihre Datenschutz-Beauftragte eine individuelle Vereinbarung benötigt, fordern Sie diese unter datenschutz@immobooks.at an. Wir senden Ihnen das Vertrags-PDF und unterzeichnen elektronisch oder postalisch.

3. Inhalt des AV (Überblick)

3.1 Gegenstand und Dauer

Gegenstand der Verarbeitung ist die Bereitstellung der SaaS-Anwendung ImmoBooks für die laufende Verwaltung und Buchhaltung Ihrer Immobilien. Dauer entspricht der Laufzeit Ihres Vertrags mit RiFa Holding & Advertising GmbH.

3.2 Art und Zweck

Speicherung, Abruf, Auswertung, Auslieferung von Stammdaten, Mietverträgen, Buchungen und Belegen zum Zweck der Hausverwaltung und Buchhaltung in Österreich.

3.3 Datenkategorien und Betroffene

  • Stammdaten Ihrer Mieter, Eigentümer, Lieferanten, Geschäftspartner
  • Vertrags- und Zahlungsdaten
  • Bankauszüge und Buchungsdaten
  • Korrespondenz und Schadensmeldungen

3.4 Technische und organisatorische Maßnahmen (TOM)

  • Hosting bei Hetzner Cloud (Österreich / Deutschland), zertifiziert nach ISO 27001
  • TLS-Verschlüsselung in-transit (TLS 1.3)
  • Verschlüsselung der Datenbank at-rest
  • Argon2-Passwort-Hashing
  • 2-Faktor-Authentifizierung (TOTP) für alle Konten verfügbar
  • Multi-Tenancy mit Schema-Trennung pro Organisation
  • Rollen-basierte Zugriffsrechte (RBAC)
  • Vollständige Security-Audit-Logs
  • Tägliche, verschlüsselte Backups mit 30-Tage-Retention
  • Append-only Buchungsjournal (BAO §131-konform, Event-Sourced)
  • Automatische DSGVO-Retention-Jobs

3.5 Subprozessoren

Die vollständige Liste aller Subprozessoren finden Sie unter /legal/subprocessors. Änderungen werden Ihnen mit 14-tägiger Vorankündigung mitgeteilt.

3.6 Mitteilungspflichten

Wir benachrichtigen Sie unverzüglich (spätestens innerhalb von 72 Stunden) bei einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

3.7 Beendigung

Bei Beendigung des Hauptvertrags erhalten Sie 90 Tage Read-only-Zugriff zum Datenexport. Danach werden die Daten gemäß Ihrer Anweisung gelöscht oder nach BAO §132 (7 Jahre) archiviert, soweit gesetzlich vorgeschrieben.

4. Verantwortlicher (Auftragsverarbeiter)

RiFa Holding & Advertising GmbH
Emil-v.-Behring-Straße 14, 9500 Villach, Österreich
E-Mail: datenschutz@immobooks.at

5. Anfrage

Schreiben Sie uns unter datenschutz@immobooks.at, um den AV-Vertrag als unterzeichnetes PDF zu erhalten. Bitte geben Sie Ihre Organisations-Daten (Firma, Adresse, ggf. UID) im Anschreiben an.