Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand & Dauer

Auftragsverarbeitung von Messdaten, Stammdaten und Abrechnungsdaten zur Erfüllung der gesetzlichen Pflichten nach § 42b EnWG. Die Verarbeitung erfolgt ausschließlich für die Dauer des Hauptvertrags.

§ 2 Art & Zweck der Verarbeitung

Erfassung, Speicherung, Strukturierung, Verknüpfung und Bereitstellung von 15-Minuten-Messwerten, Berechnung der PV-Anteile, Erstellung und Archivierung prüfungssicherer Rechnungen.

§ 3 Art der personenbezogenen Daten

• Stammdaten der Mieter (Name, Anschrift, E-Mail)
• Vertrags- und Tarifdaten
• Messdaten (Verbrauchsmengen, Zählernummern)
• Abrechnungsdaten

§ 4 Kategorien betroffener Personen

Mieter und Wohnungsnutzer in den vom Auftraggeber verwalteten Liegenschaften.

§ 5 Technisch-organisatorische Maßnahmen (TOMs)

• Hosting in ISO-27001-zertifizierten Rechenzentren in Deutschland
• Verschlüsselung TLS 1.3 in-transit, AES-256 at-rest
• Rollen- und Berechtigungskonzept mit dem Prinzip der minimalen Rechte
• Zwei-Faktor-Authentifizierung für administrative Zugänge
• Unveränderliches Audit-Log über alle Datenzugriffe
• Tägliche verschlüsselte Backups mit 90 Tagen Aufbewahrung
• Penetrationstests jährlich durch unabhängigen Dritten

§ 6 Unterauftragsverarbeiter

Der Auftragnehmer setzt ausschließlich vorab benannte und vom Auftraggeber genehmigte Unterauftragsverarbeiter ein. Eine aktuelle Liste wird auf Anfrage zur Verfügung gestellt.

§ 7 Rechte der Betroffenen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Informations-, Auskunfts-, Berichtigungs-, Lösch- und Übertragungsansprüche der Betroffenen.

§ 8 Löschung & Rückgabe

Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten innerhalb von 30 Tagen vollständig gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 9 Kontrollrechte

Der Auftraggeber kann sich jederzeit von der Einhaltung der TOMs überzeugen, in der Regel durch Vorlage aktueller Zertifikate (ISO 27001) oder Audit-Berichte.