Auftragsverarbeitungsvereinbarung

Zuletzt aktualisiert: 30. Juni 2026

Diese Vereinbarung (AVV) gilt für Vereine, Mieterbünde und Anbieter, die Hoood geschäftlich nutzen und dabei personenbezogene Daten Dritter über die Plattform verarbeiten lassen (Art. 28 DSGVO). Sie wird mit Annahme bei Kontoerstellung wirksam und kann jederzeit als PDF unter Mein Konto heruntergeladen werden.

1. Parteien

Verantwortlicher: der Kunde (Verein/Anbieter). Auftragsverarbeiter: Dominik Penner, Rahdener Str. 78, 32339 Espelkamp (nachfolgend „Hoood").

2. Gegenstand und Dauer

Gegenstand sind die in den AGB beschriebenen Leistungen. Dauer entspricht dem Hauptvertrag; die AVV endet automatisch mit dessen Beendigung.

3. Art und Zweck der Verarbeitung

Speicherung, Strukturierung, Auswertung und Bereitstellung von Daten zu Nebenkostenabrechnungen, Mietverhältnissen, Vergleichswerten und Nutzer-Konten zur Bereitstellung der vereinbarten Leistungen.

4. Kategorien betroffener Personen und Datenarten

  • Endnutzer (Mieter): E-Mail, Adressdaten, Mietverhältnis, Nebenkostenposten.
  • Mitarbeitende des Kunden: E-Mail, Name, Rolle.

5. Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich auf dokumentierte Weisung.
  • Vertraulichkeit aller eingesetzten Personen (Art. 28 Abs. 3 lit. b DSGVO).
  • Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (siehe Anlage TOM).
  • Unterstützung bei Betroffenenrechten, DSFA und Meldungen an Aufsichtsbehörden.
  • Unverzügliche Meldung von Datenschutzverletzungen.

6. Unterauftragsverarbeiter

Der Kunde stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

  • Supabase Inc. (Hosting EU/Frankfurt) — Datenbank, Auth, Storage.
  • Cloudflare Inc. — CDN, DDoS-Schutz.
  • Stripe Payments Europe Ltd. (Irland) — Zahlungsabwicklung.
  • Resend, Inc. — transaktionaler E-Mail-Versand.
  • Google Ireland Ltd. (Gemini API über Lovable-AI-Gateway) — KI-Analyse, ohne Trainingsfreigabe.

Neue Unterauftragsverarbeiter werden mindestens 30 Tage vor Einsatz angekündigt; ein Widerspruchsrecht besteht.

7. Technische und organisatorische Maßnahmen (TOM)

  • Transportverschlüsselung (TLS 1.2+), Speicherung verschlüsselt (AES-256 at rest).
  • Rollenbasierte Zugriffskontrolle, Row-Level-Security, MFA für Admin-Konten.
  • EU-Hosting (Frankfurt am Main), Backups mit verschlüsselter Speicherung.
  • Logging sicherheitsrelevanter Ereignisse, regelmäßige Sicherheitsupdates.
  • Pseudonymisierung von Nachbarschafts-Vergleichswerten.

8. Drittlandtransfers

Soweit Daten in Drittländer übermittelt werden, erfolgt dies auf Basis EU-Standard­vertrags­klauseln und/oder Angemessenheits­beschlüssen.

9. Löschung und Rückgabe

Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

10. Haftung und Kontrolle

Es gelten die Haftungsregelungen der AGB. Der Verantwortliche kann nach vorheriger Ankündigung in angemessenem Umfang Kontrollen vornehmen oder durchführen lassen.