iSImmoSuite Pro
Trust-Center / DSGVO

DSGVO ist Grundkonfiguration.

Keine Ausnahmen, keine „Sprechen Sie mit unserem Sales-Team über DSGVO-Anforderungen"-Hürde. Alle Dokumente ohne Login.

Auftragsverarbeitungsvereinbarung (AVV)

Muster-AVV nach Art. 28 DSGVO inkl. Audit-Rights-Klausel. Stand: Q2/2026. Unterzeichnet per DocuSign oder Papier.

AVV-Muster laden (PDF)Joint-Controllership (Art. 26)

Technische und Organisatorische Maßnahmen (TOMs)

Nach Art. 32 DSGVO und IT-Grundschutz. Jährlicher Review und bei jeder wesentlichen Änderung. Im AVV-PDF identisch als Anlage 2.

Vertraulichkeit

  • Zutrittskontrolle: Rechenzentrum Frankfurt, biometrisch, 24/7-Werksschutz
  • Zugangskontrolle: MFA + SSO, automatische Sperre nach 15 Minuten Inaktivität
  • Zugriffskontrolle: Row-Level-Security pro Mandant, Rollen-Matrix auf Feld-Ebene
  • Trennungskontrolle: Logische Mandanten-Trennung + dedizierte Schema-Option (Enterprise)
  • Pseudonymisierung: PII-Felder pseudonymisiert in Analytics-Pipeline

Integrität

  • Eingabekontrolle: Append-only Audit-Log (WORM), unveränderlich
  • Übertragungskontrolle: TLS 1.3 inkl. HSTS, Certificate-Pinning für Mobile-Apps
  • Daily-Integrity-Checks auf Backup-Snapshots

Verfügbarkeit & Belastbarkeit

  • Verfügbarkeitskontrolle: Uptime-Ziel 99,9 %, dokumentierter RTO 4 h / RPO 15 min
  • Georedundantes Backup innerhalb der EU
  • DDoS-Schutz Layer 3/4 + Layer 7
  • Disaster-Recovery-Drill 2× jährlich protokolliert

Verfahren zur Überprüfung

  • Auftragskontrolle: AVV + Weisungsbindung in jedem Sub-Processor-Vertrag
  • Review-Zyklus TOMs jährlich und bei Änderungen
  • Datenschutz-Folgenabschätzung (DSFA) für Atlas-Telefon dokumentiert

Daten-Fluss-Diagramm

Der personenbezogene Datenfluss in ImmoSuite Pro folgt einem strikten „Need-to-know"-Prinzip. Jede Schnittstelle ist dokumentiert, jede Datenkategorie minimiert.

  1. 1. Erfassung: Eingabe durch Verwalter oder Import aus Legacy-System (DOMUS, Wodis, PowerHaus, iX-Haus) per verschlüsselter ETL.
  2. 2. Verarbeitung: Row-Level-Security pro Mandant, dedizierte Datenbanken für Enterprise, Pseudonymisierung in Analytics.
  3. 3. Speicherung: Primär in Frankfurt a.M., Backup georedundant in Berlin.
  4. 4. Übermittlung: Ausschließlich zwischen EU-Sub-Processors und in vom Kunden autorisierten Integrationen (DATEV, Portale, Banking).
  5. 5. Löschung: Automatisierte Löschroutinen nach Ablauf gesetzlicher Aufbewahrungsfristen (HGB 10 Jahre, AO 6 Jahre).

Sub-Auftragsverarbeiter

Vollständige, versionierte Liste aller Sub-Processor inkl. Zweck, Standort und Rechtsgrundlage. Änderungen kündigen wir Kunden 30 Tage vor Wirksamkeit per E-Mail an, mit Widerspruchs- recht nach Art. 28 Abs. 2 DSGVO.

AnbieterZweckStandortRechtsgrundlage
Open Telekom CloudPrimär-Hosting, Compute, Object-StorageFrankfurt a.M., DEAVV Art. 28 DSGVO
IONOS CloudSekundär-Hosting, Datenbank-ReplikaBerlin, DEAVV Art. 28 DSGVO
Hetzner Online GmbHBackup-StorageFalkenstein, DEAVV Art. 28 DSGVO
Cloudflare Germany GmbHWAF, DDoS-Schutz (EU-only Routing)München, DEAVV Art. 28 DSGVO + EU-Data-Localization-Addendum
Plausible Insights OÜCookie-freie Web-AnalyticsTallinn, EEAVV Art. 28 DSGVO
TidyCal EUKalender-Buchung Demo-TermineDublin, IEAVV Art. 28 DSGVO
SIPgate / NFON (Atlas-Telefon)SIP-Trunks für KI-Telefon-AssistentDüsseldorf / München, DEAVV + Joint-Controllership Art. 26 DSGVO

Joint-Controllership für Atlas-Telefon

Der Einsatz des KI-Telefon-Assistenten Atlas Telefon verarbeitet personenbezogene Daten von Dritten (anrufende Eigentümer, Handwerker, Mieter), ohne dass diese vor dem Anruf in ein Vertragsverhältnis mit ImmoSuite Pro getreten sind.

Um Rechtssicherheit zu gewährleisten, schließen Verwalter und ImmoSuite Pro einen Joint-Controllership-Vertrag nach Art. 26 DSGVO. Darin legen wir fest, wer Betroffenenrechte bedient, wie Informationspflichten nach Art. 13/14 erfüllt werden und wer Ansprechpartner im Sinne des Art. 26 Abs. 1 S. 3 DSGVO ist.

Der Mustertext liegt als öffentliches PDF zum Download bereit. Atlas Telefon wird nur mit gezeichnetem Joint-Controllership aktiviert – das ist eine technische Gate-Condition, keine Sales-Option.

Datenschutzbeauftragter

Externer DSB nach Art. 37 DSGVO

RA Dr. Martina Seitz, Kanzlei Seitz & Partner, Köln. Direkt erreichbar – ohne Sales-Zwischenschicht.

E-Mail
datenschutz@immosuite-pro.de
Telefon
+49 221 00 00 000
PGP-Key
Fingerprint 9F1C 4D3A … (Download im Audit-Pack)
DSB kontaktierenDatenschutzerklärung

Fragen für Ihre Compliance-Abteilung?

Wir stellen gern innerhalb 48 Stunden einen vollständigen DSGVO-Fragebogen zur Verfügung – inklusive TOMs, DSFA und Sub-Processor-Liste.

DSGVO-Fragebogen anfordernZum Trust-Center

Hosting Deutschland · DSGVO-konform · BSI C5 Typ 1 Testat