Auftragsverarbeitungsvertrag

Version: 1. August 2026

 

Dieser Auftragsverarbeitungsvertrag („Vereinbarung“) ist integraler Bestandteil der vertraglichen Beziehung zwischen:

Chapps AG, mit Gesellschaftssitz in Belgien, 2610 Antwerpen, Kernenergiestraat 19, eingetragen im Register für juristische Personen (RPR) Antwerpen unter der Unternehmensnummer (USt-IdNr.) BE 0599.927.776, DUNS®-Nummer: 370749425 (nachfolgend der „Auftragsverarbeiter“ genannt),

und

dem Kunden, der eine vertragliche Beziehung mit Chapps bezüglich der Nutzung der Chapps-Anwendungen eingeht (nachfolgend der „Verantwortliche“ genannt).

Diese Vereinbarung findet Anwendung, wann immer der Auftragsverarbeiter im Auftrag des Verantwortlichen personenbezogene Daten im Rahmen der Bereitstellung von Software- und Cloud-Diensten durch Chapps verarbeitet.

 

1. Gegenstand und Dauer

 

1.1. Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Artikel 28 der Datenschutz-Grundverordnung („DSGVO“).

1.2. Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags (einschließlich der Software-Lizenz und der Allgemeinen Geschäftsbedingungen). Die Verarbeitungen beginnen mit der Aktivierung der Dienste und enden mit der Löschung oder Rückgabe aller personenbezogenen Daten gemäß Artikel 12.

 

2. Beschreibung der Verarbeitung

 

2.1. Kategorien betroffener Personen

  • Mieter und Mitmieter;
  • Eigentümer und Vermieter;
  • Inspektoren und Mitarbeiter des Verantwortlichen;
  • Lieferanten und externe Ansprechpartner im Rahmen von Inspektionen;
  • Ansprechpartner bei Miteigentümergemeinschaften (VMEs), sozialen Wohnungsbaugesellschaften oder Behörden.

2.2. Kategorien personenbezogener Daten
Die Daten werden vom Verantwortlichen bestimmt und können unter anderem Folgendes umfassen:

  • Identifikationsdaten (Name, Vorname, Adresse, Kontaktdaten);
  • Daten zu den zu inspizierenden Immobilien und Standorten;
  • Fotos, Videos und Inspektionsberichte;
  • digitale Signaturen;
  • interne Anmerkungen und Referenzen;
  • Benutzerkonten und Protokolldaten (Logdaten).

2.3. Arten der Verarbeitung

  • Erheben, Erfassen und Speichern;
  • Abfragen, Verwenden und Verarbeiten zu Inspektionszwecken;
  • Ordnen, Strukturieren und Berichten;
  • Übertragen an den Verantwortlichen oder dessen Systeme;
  • Backup, Archivierung und sichere Löschung.

2.4. Zwecke

  • Durchführung, Dokumentation und Nachverfolgung von digitalen Inspektionen und Inspektionsberichten;
  • Verwaltung und Nachverfolgung von Immobilien;
  • Einhaltung gesetzlicher Verpflichtungen in Bezug auf Inspektionen und Dokumentation;
  • Beweisführung im Rahmen der Vermietung und Verwaltung von Immobilien.

 

3. Pflichten des Auftragsverarbeiters

 

Der Auftragsverarbeiter verpflichtet sich:

3.1. personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, eine gesetzliche Verpflichtung erfordert etwas anderes;

3.2. personenbezogene Daten nicht für eigene Zwecke zu verwenden;

3.3. alle Personen, die unter seiner Autorisierung Zugang zu personenbezogenen Daten haben, vertraglich zur Vertraulichkeit zu verpflichten;

3.4. geeignete technische und organisatorische Sicherheitsmaßnahmen gemäß Artikel 32 DSGVO anzuwenden, darunter unter anderem:

  • Verschlüsselung von Daten während der Übertragung und, wo möglich, im Ruhezustand (at rest);
  • Zugangskontrolle und Protokollierung;
  • Nutzung sicherer Rechenzentren;
  • Schutz vor Malware und unbefugtem Zugriff;
  • Überwachung von Systemen und Sicherheitsvorfällen.

3.5. den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) zu unterstützen;

3.6. falls erforderlich, bei Datenschutz-Folgenabschätzungen (DSFA) und vorherigen Konsultationen mit Aufsichtsbehörden mitzuwirken;

3.7. keine Verarbeitungen außerhalb der EU/des EWR durchzuführen, ohne dass die Bedingungen des Kapitels V der DSGVO erfüllt sind;

3.8. ein aktuelles Verzeichnis von Verarbeitungstätigkeiten für die Verarbeitungen zu führen, die er als Auftragsverarbeiter durchführt.

 

4. Verletzungen des Schutzes personenbezogener Daten (Datenpannen)

 

4.1. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, schriftlich über jede festgestellte oder begründet vermutete Verletzung des Schutzes personenbezogener Daten (Datenpanne), die im Rahmen dieser Vereinbarung verarbeitete Daten betrifft.

4.2. Die Meldung enthält, soweit möglich, mindestens:

  • die Art der Verletzung und, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze;
  • die wahrscheinlichen Folgen der Verletzung;
  • die bereits ergriffenen und/oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Folgen.

4.3. Der Auftragsverarbeiter arbeitet vollumfänglich mit dem Verantwortlichen bei der Bewertung der Verletzung, der Meldung an Aufsichtsbehörden und – falls erforderlich – an die betroffenen Personen sowie bei eventuellen weiteren Untersuchungen und Korrekturmaßnahmen zusammen.

 

5. Unterauftragsverarbeiter (Subunternehmer)

 

5.1. Der Auftragsverarbeiter darf Unterauftragsverarbeiter für die Durchführung dieser Vereinbarung hinzuziehen, unter der Bedingung, dass diese Unterauftragsverarbeiter vertraglich an dieselben Datenschutz- und Sicherheitsverpflichtungen gebunden werden, wie sie in dieser Vereinbarung enthalten sind, gemäß Artikel 28 Absatz 4 DSGVO.

5.2. Der Auftragsverarbeiter führt eine aktuelle Liste der Unterauftragsverarbeiter (siehe Anhang I – Liste der Unterauftragsverarbeiter). Diese Liste enthält mindestens die juristische Person, den Zweck der Verarbeitung, den Hosting- oder Verarbeitungsort und die Adresse des Unterauftragsverarbeiters.

5.3. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor der Hinzuziehung oder dem Austausch eines Unterauftragsverarbeiters. Die Benachrichtigung erfolgt per E-Mail oder über eine Mitteilung innerhalb der Anwendung.

5.4. Der Verantwortliche hat das Recht, innerhalb dieser Frist einen begründeten Einspruch zu erheben, wenn der Unterauftragsverarbeiter unzureichende Garantien im Bereich des Datenschutzes oder der Informationssicherheit bietet, oder wenn der Unterauftragsverarbeiter personenbezogene Daten in einem Land ohne angemessenes Schutzniveau und ohne gültigen Übertragungsmechanismus verarbeitet.

5.5. Ist ein Einspruch zulässig, treten die Parteien in Verhandlungen ein, um eine angemessene Lösung zu finden. Wird innerhalb von 15 Tagen keine Lösung gefunden, kann der Verantwortliche den betroffenen Dienst beenden oder die Verarbeitung so einschränken, dass der betreffende Unterauftragsverarbeiter nicht eingesetzt wird.

5.6. Der Auftragsverarbeiter bleibt vollumfänglich für die Handlungen und Unterlassungen aller Unterauftragsverarbeiter haftbar. Ein Verstoß eines Unterauftragsverarbeiters gilt als ein Verstoß des Auftragsverarbeiters selbst.

5.7. Verarbeitet ein Unterauftragsverarbeiter personenbezogene Daten außerhalb der EU/des EWR, gewährleistet der Auftragsverarbeiter, dass ein gültiger Mechanismus für internationale Datenübermittlungen genutzt wird und dass erforderlichenfalls zusätzliche Maßnahmen getroffen werden.

5.8. Der Verantwortliche kann auf Anfrage eine Kopie der relevanten Datenverarbeitungsverträge zwischen dem Auftragsverarbeiter und seinen Unterauftragsverarbeitern erhalten, wobei geschäftsrelevante vertrauliche Informationen geschwärzt werden dürfen.

5.9. Der Auftragsverarbeiter schaltet keine Unterauftragsverarbeiter für andere Zwecke ein, als sie für die Durchführung der Chapps-Dienste erforderlich sind.

 

6. Internationale Datenübermittlung

 

6.1. Werden personenbezogene Daten im Rahmen dieser Vereinbarung außerhalb der EU/des EWR verarbeitet, stellen die Parteien sicher, dass die Übermittlung den Bestimmungen des Kapitels V der DSGVO entspricht.

6.2. Der Auftragsverarbeiter informiert auf Anfrage transparent über die Länder, in denen personenbezogene Daten gespeichert oder verarbeitet werden.

 

7. Rechte der betroffenen Personen

 

7.1. Der Verantwortliche ist primär für die Bearbeitung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte gemäß der DSGVO verantwortlich.

7.2. Der Auftragsverarbeiter unterstützt den Verantwortlichen kostenfrei und innerhalb einer angemessenen Frist (maximal 5 Werktage) bei Anträgen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch.

 

8. Sicherheit der Verarbeitung

 

8.1. Der Auftragsverarbeiter implementiert Sicherheitsmaßnahmen, die dem Risiko angemessen sind, darunter:

  • Zugangssteuerung basierend auf dem „Need-to-know“- und „Least-Privilege“-Prinzip;
  • starke Passwort- und Authentifizierungsrichtlinien;
  • verschlüsselte Kommunikation (z. B. TLS) und, wo möglich, verschlüsselte Speicherung;
  • Firewalls, Netzwerksegmentierung und Überwachung;
  • regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen.

8.2. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage eine Beschreibung der wichtigsten technischen und organisatorischen Sicherheitsmaßnahmen zur Verfügung.

 

9. Audit und Inspektion

 

9.1. Der Verantwortliche hat das Recht, maximal einmal pro Jahr oder bei begründetem Verdacht auf einen Verstoß, ein Audit oder eine Inspektion bezüglich der Einhaltung dieser Vereinbarung durchführen zu lassen.

9.2. Audits erfolgen mit angemessener Vorankündigung und ohne ungebührliche Störung der Geschäftsaktivitäten des Auftragsverarbeiters.

9.3. Der Auftragsverarbeiter kann alternative Nachweise zur Verfügung stellen, wie beispielsweise aktuelle externe Auditberichte oder Zertifizierungen, sofern diese die relevanten Sicherheitsaspekte ausreichend abdecken.

 

10. Vertraulichkeit

 

10.1. Der Auftragsverarbeiter behandelt alle personenbezogenen Daten, die er im Auftrag des Verantwortlichen verarbeitet, streng vertraulich.

10.2. Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter, Berater oder sonstige Personen, die unter seiner Verantwortung handeln und Zugang zu personenbezogenen Daten haben, einer angemessenen Vertraulichkeitsverpflichtung unterliegen.

 

11. Haftung

 

11.1. Jede Partei haftet für Schäden, die aus ihrem eigenen Verstoß gegen die DSGVO oder diese Vereinbarung resultieren, in dem Maße, in dem dieser Schaden ihr zuzurechnen ist.

11.2. Außer bei Vorsatz oder grober Fahrlässigkeit ist die Gesamthaftung des Auftragsverarbeiters aus oder im Zusammenhang mit dieser Vereinbarung in jedem Fall auf die Beträge beschränkt, die der Verantwortliche für die relevanten Dienste in den letzten zwölf (12) Monaten vor dem schadensverursachenden Ereignis tatsächlich an den Auftragsverarbeiter gezahlt hat.

11.3. Keine der Parteien haftet für indirekte Schäden, Folgeschäden, entgangenen Gewinn oder entgangene Gelegenheiten, es sei denn, zwingendes Recht schreibt etwas anderes vor.

 

12. Beendigung der Verarbeitung

 

12.1. Bei Beendigung des Hauptvertrags wird der Auftragsverarbeiter die personenbezogenen Daten löschen oder an den Verantwortlichen zurückgeben. Für die Rückgabe (Datenexport) gelten die Fristen, Bedingungen und eventuellen Gebühren, wie sie in Artikel 10 des Software-Lizenzvertrags ausdrücklich vereinbart wurden.

12.2. Vorbehaltlich eines rechtzeitigen und gültigen Antrags auf Datenexport löscht der Auftragsverarbeiter alle personenbezogenen Daten unwiderruflich spätestens 30 Tage nach Beendigung des Abonnements oder der Dienste, es sei denn, eine gesetzliche Aufbewahrungspflicht erfordert eine längere Aufbewahrungsfrist.

12.3. Der Auftragsverarbeiter kann auf Anfrage eine schriftliche Bestätigung der Löschung ausstellen.

 

13. Anwendbares Recht und Gerichtsstand

 

13.1. Auf diese Vereinbarung findet ausschließlich belgisches Recht Anwendung.

13.2. Für alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben, sind ausschließlich die Gerichte in Antwerpen zuständig.

 

14. Rangordnung und Verhältnis zu anderen Dokumenten

 

14.1. Im Falle von Widersprüchen oder Unstimmigkeiten zwischen den Dokumenten, die die vertragliche Beziehung bilden, gilt die folgende zwingende Rangordnung (in absteigender Reihenfolge der Priorität):

  1. Das vom Verantwortlichen unterzeichnete Serviceangebot (Angebot);
  2. Dieser Auftragsverarbeitungsvertrag (ausschließlich, soweit er die Verarbeitung personenbezogener Daten betrifft);
  3. Die Allgemeinen Geschäftsbedingungen (AGB);
  4. Die Software-Lizenzvereinbarung;
  5. Die Datenschutzrichtlinie.

14.2. Diese Vereinbarung ersetzt alle früheren Auftragsverarbeitungsverträge zwischen den Parteien in Bezug auf dieselben Dienste.

 

15. Änderungen

 

15.1. Der Auftragsverarbeiter kann diese Vereinbarung ändern, wenn Gesetze und Vorschriften, Sicherheitsanforderungen oder betriebliche Umstände dies erfordern.

15.2. Änderungen werden, soweit vernünftigerweise möglich, mindestens 30 Tage im Voraus über die Website von Chapps oder über andere übliche Kommunikationskanäle mitgeteilt.

15.3. Hat eine Änderung wesentliche Auswirkungen auf die Rechte oder Pflichten des Verantwortlichen, kann der Verantwortliche die Vereinbarung in Bezug auf die betroffenen Dienste vor dem Inkrafttreten der Änderung kündigen.

 

16. Sprache und Auslegung

 

Diese Vereinbarung kann in mehreren Sprachen zur Verfügung gestellt werden. Im Falle von Widersprüchen, Auslegungsunterschieden oder Unstimmigkeiten zwischen einer übersetzten Version und der niederländischsprachigen Version ist ausschließlich die niederländischsprachige Fassung maßgebend.

 

 

Anlage I – Liste der Unterauftragsverarbeiter

Nachfolgend die Liste der von Chapps AG eingesetzten und sorgfältig ausgewählten Unterauftragsverarbeiter, die den
hohen Anforderungen von Chapps in Bezug auf Sicherheit und Datenschutz genügen.

 

Juristische Entität Zweck der Verarbeitung Hosting-Standort Adresse
Combell AG Cloud-Infrastruktur: Hosting und Datenspeicherung Belgien, EU Skaldenstraat 121, 9042 Ghent, Belgien
Teamleader AG Kundenverwaltung, Rechnungen und Zahlungen Irland, EU Dok Noord 3A / 101, 9000 Gent, Belgien
Hubspot Ireland Limited Lead-Verarbeitung, CRM, Marketingaktivitäten, Kommunikation, Online-Termine, Vertrieb, Support Irland, EU One Sir John Rogerson’s Quay, Dublin 2, Ireland
Aareon Deutschland GmbH API-Integration und Datenaustausch zwischen Chapps-Software und Aareon-ERP-Systemen Deutschland, EU Isaac-Fulda-Allee 6, 55124 Mainz, Deutschland
UTS innovative Softwaresysteme GmbH API-Integration und Datenaustausch zwischen Chapps-Software und KARTHAGO-ERP-Software Deutschland, EU Schanzenstraße 6-20, 51063 Köln, Deutschland
Thurnherr SA/AG API-Integration und Datenaustausch zwischen Chapps-Software und immob10-Software Schweiz Morgenstraße 121, Postfach 753, 3018 Bern, Confoederatio Helvetica
Informant Software B.V. API-Integration und Datenaustausch zwischen Chapps-Software und Informant-Software Niederlande, EU Kwaklaan 9, 2291 AT Wateringen, Niederlande
Pararius B.V. API-Integration und Datenaustausch zwischen Chapps-Software und Pararius-Software Niederlande, EU Blaak 555, 3011 GB Rotterdam, Niederlande
Vlaams Energiebedrijf NV Austausch von Energiemesswerten über eine REST-API mit dem Backend des VEB Belgien, EU Havenlaan 88, 1000 Brüssel, Belgien
Enloc AG Austausch von Energiemesswerten über eine REST-API mit dem Backend von Enloc Deutschland, EU Am Schießhaus 1-3, 01067 Dresden, Deutschland

Testkonto erstellen

Erstellen Sie Ihr Testkonto in wenigen Schritten. Den Aktivierungslink erhalten Sie per E-Mail.

Aus rechtlichen Gründen benötigt.
chevron

Was möchten Sie testen?

Wählen Sie die Anwendungen, die Sie testen möchten

Bitte beachten Sie, dass der Rental Inspector in Belgien und Luxemburg nur für soziale Wohnungsbaugesellschaften, öffentliche Behörden und Organisationen, die ihre eigenen Immobilien vermieten, zur Verfügung steht. Der Rental Inspector ist daher nicht für Immobilienmakler, Sachverständige oder andere Immobilienexperten verfügbar.

Sie haben eine Option gewählt, die Sie mit einem Hauptprodukt kombinieren müssen.

Keine Testversionen verfügbar

Für Ihr Land gibt es keine verfügbare Testversionen.

Benutzerdaten

Wird benötigt, um Ihr Testkonto mit Ihnen als Hauptbenutzer zu erstellen

Die E-Mail-Adresse, die Sie als Ihren Benutzernamen verwenden werden.

Unter dieser E-Mail-Adresse ist bereits ein Konto aktiv, melden Sie sich hier an.

Überprüfung der E-Mailadresse…

chevron

Firmadaten

Geben Sie hier die Angaben zu Ihrem Unternehmen oder Ihrer Organisation ein

Dies ist das Land, in dem Ihr Unternehmen seinen eingetragenen Sitz hat und aktiv ist.

Um das Land zu ändern, .

chevron
Die vorherige E-Mail-Adresse war für den Benutzer (z.B. max.mustermann@mustermann-hausverwaltung.de), die hier erforderliche E-Mail-Adresse ist die allgemeine E-Mailadresse des Unternehmens (z.B. info@mustermann-hausverwaltung.de).

Unter dieser E-Mail-Adresse ist bereits ein Konto aktiv, melden Sie sich hier an.

Überprüfung der E-Mailadresse…

Alles klar

Ich danke Ihnen. Sie haben soeben eine E-Mail mit einem Aktivierungslink für Ihr Testkonto erhalten.

Sie können dieses Fenster nun schließen.

Fehler!

Bei der Erstellung Ihres Kontos ist ein Problem aufgetreten. Bitte versuchen Sie es später noch einmal. Wenn das Problem weiterhin besteht, wenden Sie sich bitte an support@chapps.com.

App herunterladen

Die Registrierung für dieser Anwendung geht weiter in der App. Scannen Sie bitte die QR-Kode mit Ihrem mobilen Gerät, um weiter zu gehen.

Land Wählen Sie bitte das Land der Hauptsitz Ihres Unternehmens
  • Land nicht gefunden

Produkt auswählen Wählen Sie bitte das Produkt aus wofür Sie die Preise bekommen möchten
chevron