Stand: April 2025
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt die Allgemeinen Geschäftsbedingungen (nachfolgend „Hauptvertrag"), die zwischen dem Kunden im Sinne des Hauptvertrags (nachfolgend „Verantwortlicher") und der Aithera GmbH, Zweibrückenstraße 17, D-80331 München (nachfolgend „Auftragsverarbeiter") geschlossen wurden, und ist Bestandteil dieses Hauptvertrags. Durch die Annahme oder den Abschluss des Hauptvertrags schließt der Verantwortliche diesen AVV für sich und, soweit nach geltendem Datenschutzrecht erforderlich, für seine verbundenen Unternehmen ab. Dieser AVV bezieht die Bedingungen des Hauptvertrags ein; soweit hierin nicht definiert, haben Begriffe die im Hauptvertrag bestimmte Bedeutung. Die Parteien vereinbaren daher Folgendes:
Erläuterung der in diesem AVV verwendeten zentralen Begriffe
„AVV" bezeichnet diesen Auftragsverarbeitungsvertrag einschließlich seines Anhangs und etwaiger von den Parteien vereinbarter Änderungen.
„Hauptvertrag" bezeichnet die Allgemeinen Geschäftsbedingungen oder den sonstigen Hauptdienstleistungsvertrag, der die Erbringung der Dienste durch den Auftragsverarbeiter für den Verantwortlichen regelt.
„Verantwortlicher" bezeichnet das Kundenunternehmen, das über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und den Hauptvertrag mit dem Auftragsverarbeiter geschlossen hat.
„Auftragsverarbeiter" bezeichnet die Aithera GmbH, die in Verbindung mit der Erbringung der Dienste als Auftragsverarbeiter im Auftrag des Verantwortlichen tätig ist.
„Dienste" bezeichnet die Software-as-a-Service-Plattform „offgen", einschließlich aller damit verbundenen Add-ins, Integrationen, KI-Funktionen, Dokumentationsleistungen und sonstiger im Rahmen des Hauptvertrags erbrachter Leistungen.
„Verbundenes Unternehmen" bezeichnet jede juristische Person, die eine Partei des Hauptvertrags direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder mit ihr gemeinsam kontrolliert wird.
„Datenschutzgesetze" bezeichnet alle anwendbaren Datenschutz- und Datensicherheitsgesetze und -vorschriften, insbesondere die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO") sowie ergänzende nationale Umsetzungs- und Ausführungsgesetze.
„Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, im Sinne von Art. 4 Nr. 1 DSGVO, die vom Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit den Diensten verarbeitet werden.
„Verarbeitung" bezeichnet jeden Vorgang, der im Zusammenhang mit personenbezogenen Daten vorgenommen wird, ob mit oder ohne Hilfe automatisierter Verfahren, im Sinne von Art. 4 Nr. 2 DSGVO.
„Betroffene Person" bezeichnet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten im Rahmen dieses AVV verarbeitet werden.
„Verletzung des Schutzes personenbezogener Daten" bezeichnet eine Verletzung der Datensicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.
„Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen im Zusammenhang mit den Diensten eingesetzt wird.
„Standarddatenschutzklauseln" oder „SCC" bezeichnet die von der Europäischen Kommission oder einer zuständigen Behörde für die Übermittlung personenbezogener Daten in Drittländer nach Maßgabe der DSGVO erlassenen Vertragsklauseln in der jeweils gültigen Fassung.
„Technische und organisatorische Maßnahmen" oder „TOM" bezeichnet die vom Auftragsverarbeiter zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO implementierten Sicherheitsmaßnahmen.
Beschreibung der Grenzen und der betrieblichen Merkmale der Verarbeitungstätigkeiten
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit den Diensten, einschließlich Authentifizierung, Präsentationserstellungsfunktionen, KI-gestützten Funktionen, Analyse, Support, Abonnementverwaltung und damit verbundenen technischen Betriebsabläufen.
Die vom Auftragsverarbeiter durchgeführten Verarbeitungsvorgänge umfassen, soweit zutreffend: (a) Erheben, (b) Speichern, (c) Übermitteln, (d) Pseudonymisieren, (e) Abrufen, (f) Anpassen, (g) Analysieren, (h) Protokollieren und Prüfen, (i) Löschen sowie (j) alle sonstigen Vorgänge, die für die Erbringung der Dienste angemessen erforderlich sind.
Personenbezogene Daten werden ausschließlich zu folgenden Zwecken verarbeitet: (a) Bereitstellung und Betrieb der Dienste, (b) Überprüfung der Nutzeridentität und Ermöglichung der Authentifizierung, (c) Verwaltung von Abonnements und Lizenzen, (d) Bereitstellung von Support und Behebung technischer Probleme, (e) Aktivierung und Verbesserung der KI-Funktionen, (f) Sicherstellung von Sicherheit, Verfügbarkeit und Performance der Dienste, (g) Analyse der Nutzung in aggregierter oder pseudonymisierter Form sowie (h) Erfüllung anwendbarer gesetzlicher Vorschriften, Abrechnungspflichten und Prüfungsanforderungen.
Der Auftragsverarbeiter nutzt personenbezogene Daten nicht für Werbung, auftragsfremdes Profiling oder KI-Training, sofern der Verantwortliche dies nicht ausdrücklich anweist.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die Laufzeit des Hauptvertrags, sofern nicht durch anwendbare Gesetze, einschließlich gesetzlicher Aufbewahrungspflichten für Abrechnungs- und Steuer-Compliance-Zwecke, etwas anderes vorgeschrieben ist.
Der Auftragsverarbeiter kann folgende Kategorien personenbezogener Daten verarbeiten: Name, E-Mail-Adresse, Microsoft-Mandanten-ID, Authentifizierungsinformationen, IP-Adresse, Geräte- und Nutzungsmetadaten, Abrechnungsinformationen, KI-Eingabe-Daten (soweit zutreffend) sowie Präsentationsmetadaten (nicht der Inhalt selbst, es sei denn, dieser ist für den Betrieb der Dienste erforderlich).
Der Auftragsverarbeiter verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO. Bettet der Verantwortliche solche Daten in hochgeladene Inhalte ein, trägt er hierfür die alleinige Verantwortung.
Betroffene Personen sind Mitarbeiter, Auftragnehmer, Bevollmächtigte und sonstige autorisierte Nutzer, die im Namen des Verantwortlichen handeln, sowie Personen, deren Daten der Verantwortliche in Präsentationsinhalte oder KI-Eingaben einbettet.
Festlegung der Verantwortlichkeiten und Zusicherungen, die vom Verantwortlichen verlangt werden
Der Verantwortliche stellt sicher, dass alle dem Auftragsverarbeiter zur Verfügung gestellten oder übermittelten personenbezogenen Daten im Einklang mit den Datenschutzgesetzen erhoben wurden und verarbeitet werden, einschließlich der Sicherstellung einer gültigen Rechtsgrundlage nach Art. 6 und gegebenenfalls Art. 9 DSGVO.
Der Verantwortliche erteilt dem Auftragsverarbeiter ausschließlich rechtmäßige Weisungen. Alle Weisungen sind zu dokumentieren, auch durch die Konfiguration und Nutzung der Dienste. Der Verantwortliche ist für die Richtigkeit, Rechtmäßigkeit und Vollständigkeit seiner Weisungen verantwortlich.
Der Verantwortliche stellt sicher, dass alle dem Auftragsverarbeiter übermittelten personenbezogenen Daten sachlich richtig, erheblich und auf das zur Erfüllung der in Abschnitt 2 beschriebenen Zwecke unbedingt erforderliche Maß beschränkt sind. Der Verantwortliche berichtigt oder aktualisiert personenbezogene Daten unverzüglich nach Maßgabe von Art. 5 und Art. 16 DSGVO.
Der Verantwortliche trägt die alleinige Verantwortung für alle über die Dienste hochgeladenen, übermittelten oder generierten Inhalte, einschließlich Präsentationsinhalte, KI-Eingaben und zugehöriger Nutzereingaben. Der Auftragsverarbeiter überwacht, liest, extrahiert, überträgt, analysiert oder verarbeitet personenbezogene Daten in diesen Inhalten nicht über das für die Erbringung der Dienste erforderliche Maß hinaus.
Der Verantwortliche ist allein dafür verantwortlich, auf Anfragen betroffener Personen nach Art. 12 bis 23 DSGVO zu reagieren. Der Auftragsverarbeiter antwortet betroffenen Personen nicht direkt, sofern er nicht gesetzlich dazu verpflichtet ist. Der Auftragsverarbeiter leistet auf schriftliche Anforderung des Verantwortlichen angemessene Unterstützung.
Der Verantwortliche stellt sicher, dass die gesamte Nutzung der Dienste im Einklang mit dem Hauptvertrag, einschließlich aller Nutzungsbeschränkungen, erfolgt. Dies umfasst das Verbot, rechtswidrige Inhalte, besondere Kategorien personenbezogener Daten oder für die rechtmäßige Nutzung der Dienste nicht relevante Daten hochzuladen.
Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen, Schäden, Verbindlichkeiten und Kosten frei, die entstehen aus: (a) rechtswidrigen personenbezogenen Daten, die der Verantwortliche übermittelt hat, (b) Verstößen gegen Datenschutzgesetze durch den Verantwortlichen, (c) Missbrauch der Dienste sowie (d) Weisungen, die gegen die DSGVO oder sonstige anwendbare Gesetze verstoßen.
Beschreibung der vom Auftragsverarbeiter übernommenen Pflichten und Schutzmaßnahmen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisungen des Verantwortlichen, einschließlich der im Hauptvertrag, in diesem AVV und in der Konfiguration der Dienste niedergelegten Weisungen, sofern nicht eine Verarbeitung durch Unionsrecht oder mitgliedstaatliches Recht vorgeschrieben ist. In solchen Fällen informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, sofern gesetzlich nicht untersagt.
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen entsprechenden Vertraulichkeitsverpflichtungen unterliegen und im Bereich Datenschutz, Informationssicherheit und eingeschränkter Datenzugang angemessen geschult wurden.
Der Auftragsverarbeiter implementiert und pflegt die nach Art. 32 DSGVO erforderlichen TOM, insbesondere: (a) Verschlüsselung personenbezogener Daten bei der Übertragung und im Ruhezustand, (b) strikte Zugriffskontrollen und Multi-Faktor-Authentifizierung (MFA), (c) rollenbasierte Zugriffskontrolle und „Need-to-know"-Grundsatz, (d) Netzwerksicherheit einschließlich Firewalls und Isolierung, (e) Pseudonymisierung, soweit angemessen, (f) sichere Entwicklungs- und Bereitstellungspraktiken, (g) Audit-Protokollierung und Monitoring, (h) Notfall- und Kontinuitätsverfahren, (i) regelmäßige Sicherheitsüberprüfungen und Bedrohungsanalysen, (j) Datensparsamkeits- und Speicherbegrenzungskontrollen sowie (k) Durchsetzung von Daten-Hosting-Regeln bei ausgewählten Anbietern (Hetzner, Neon, AWS).
Eine Beschreibung der geltenden TOM ist in Anhang A enthalten.
Der Auftragsverarbeiter führt das nach Art. 30 Abs. 2 DSGVO erforderliche Verzeichnis der Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Verantwortlichen durchgeführt werden.
Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen auf begründete schriftliche Anfrage bei der Beantwortung von Betroffenenanfragen nach Art. 12 bis 23 DSGVO, einschließlich Auskunft, Berichtigung, Löschung und Datenübertragbarkeit.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden, soweit nach Art. 35 und Art. 36 DSGVO erforderlich.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht: (a) zu Werbe- oder Profilingzwecken, (b) zum Aufbau oder zur Verbesserung von Modellen ohne Bezug zu den Diensten, (c) zum Training externer KI-Systeme, (d) durch Zusammenführung personenbezogener Daten verschiedener Verantwortlicher-Konten sowie (e) über das für die Erbringung der Dienste unbedingt erforderliche Maß hinaus.
Der Auftragsverarbeiter stellt sicher, dass nur Mitarbeiter mit strikt erforderlichem Zugriffsbedarf personenbezogene Daten einsehen oder verarbeiten können, und ausschließlich im Einklang mit den TOM und den dokumentierten Weisungen.
Soweit gesetzlich vorgeschrieben, arbeitet der Auftragsverarbeiter mit den zuständigen Aufsichtsbehörden hinsichtlich der im Rahmen dieses AVV verarbeiteten personenbezogenen Daten zusammen.
Regelung der Einbindung und der Pflichten von Unterauftragsverarbeitern
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Einbindung von Unterauftragsverarbeitern für die Erbringung der Dienste, sofern diese die Anforderungen des Art. 28 DSGVO und dieses AVV erfüllen.
Zum Zeitpunkt des Abschlusses dieses AVV setzt der Auftragsverarbeiter folgende Unterauftragsverarbeiter zur Unterstützung der Dienste ein:
OpenAI (KI-Verarbeitung), Anthropic (KI-Verarbeitung), Google Gemini (KI-Verarbeitung), PostHog (Analyse), AWS (Hosting und Cloud-Infrastruktur), Neon (Datenbank-Hosting), Hetzner (Hosting und Server-Infrastruktur), Stripe (Zahlungsabwicklung) sowie Microsoft (Authentifizierung und Plattformintegration). Die aktuelle Fassung der Unterauftragsverarbeiterliste ist in Anhang A enthalten.
Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter durch einen schriftlichen Vertrag gebunden ist, der Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in diesem AVV festgelegten, insbesondere hinsichtlich: (a) Vertraulichkeit, (b) Datensicherheit und TOM, (c) eingeschränkter Verarbeitungszwecke, (d) Meldepflichten bei Sicherheitsvorfällen sowie (e) Mechanismen für grenzüberschreitende Datenübermittlungen.
Soweit ein Unterauftragsverarbeiter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet, stellt der Auftragsverarbeiter die Verwendung eines geeigneten DSGVO-konformen Übermittlungsmechanismus sicher, insbesondere durch: (a) Standarddatenschutzklauseln (SCC), (b) ergänzende technische Maßnahmen (Verschlüsselung, Zugriffskontrollen) sowie (c) Compliance-Bewertungen des Rechts des Bestimmungslandes.
Der Auftragsverarbeiter kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit aktualisieren. Aktualisierungen werden über die Website, das Produkt-Dashboard oder andere geeignete Kanäle bekannt gegeben. Die fortgesetzte Nutzung der Dienste nach solchen Aktualisierungen gilt als Genehmigung der neuen Unterauftragsverarbeiter.
Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber in vollem Umfang für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter und für den Schutz der ihnen anvertrauten personenbezogenen Daten.
Erläuterung der Speicherorte für personenbezogene Daten und der Absicherung grenzüberschreitender Übermittlungen
Der Auftragsverarbeiter speichert und verarbeitet personenbezogene Daten in der geografischen Region, die dem Konto oder dem Geschäftsbetrieb des Verantwortlichen entspricht. Personenbezogene Daten können gespeichert werden: (a) innerhalb der Europäischen Union für EU-basierte Verantwortliche, (b) in den Vereinigten Staaten für US-basierte Verantwortliche oder (c) in sonstigen Regionen, die für eine optimale Erbringung der Dienste erforderlich sind.
Der Auftragsverarbeiter speichert oder repliziert EU-Kundendaten nicht außerhalb der EU, sofern dies nicht für die Erbringung der Dienste erforderlich oder vom Verantwortlichen ausdrücklich konfiguriert ist.
Für die Erbringung, Unterstützung, Absicherung und Verbesserung der Dienste kann der Auftragsverarbeiter personenbezogene Daten an die in Anhang A aufgeführten Unterauftragsverarbeiter oder Infrastrukturanbieter weltweit übermitteln, vorbehaltlich der in diesem Abschnitt 6 beschriebenen Schutzmaßnahmen. Solche Übermittlungen sind auf das für folgende Zwecke Notwendige beschränkt: (a) Authentifizierung, (b) Hosting und Infrastruktur, (c) KI-Funktionen, (d) Analyse, (e) Support und Fehlerbehebung sowie (f) Abrechnung und Compliance.
Soweit personenbezogene Daten aus dem EWR, der Schweiz oder dem Vereinigten Königreich in ein Land übermittelt werden, das kein angemessenes Schutzniveau nach den Datenschutzgesetzen gewährleistet, stellt der Auftragsverarbeiter sicher, dass diese Übermittlung einem rechtmäßigen Übermittlungsmechanismus unterliegt, insbesondere: (a) von der Europäischen Kommission erlassene Standarddatenschutzklauseln (SCC), (b) das UK-Addendum oder die Internationale Datentransfervereinbarung des Vereinigten Königreichs, (c) ergänzende technische Maßnahmen (Verschlüsselung, Zugangsverwaltung) sowie (d) dokumentierte Übermittlungsfolgenabschätzungen nach EDSA-Vorgaben.
Um ein dem DSGVO-Schutzniveau im Wesentlichen gleichwertiges Schutzniveau zu gewährleisten, setzt der Auftragsverarbeiter zusätzliche Maßnahmen ein, insbesondere: (a) Verschlüsselung bei der Übertragung und im Ruhezustand, (b) strikte Zugriffskontrollen und rollenbasierte Berechtigungen, (c) Trennung der Verantwortlichen-Umgebungen, (d) kein unangeforderter Zugriff auf personenbezogene Daten durch KI-Anbieter sowie (e) vertragliche Beschränkungen, die Unterauftragsverarbeiter an der Nutzung von Daten für eigene Zwecke hindern.
Der Auftragsverarbeiter pflegt eine aktuelle Liste der Unterauftragsverarbeiter und ihrer jeweiligen Datenverarbeitungsstandorte in Anhang A. Aktualisierungen dieser Liste gelten als angemessene Mitteilung im Sinne von Abschnitt 5.
Der Auftragsverarbeiter nutzt personenbezogene Daten nicht: (a) für Marketing oder Werbung, (b) für auftragsfremd Analysen, (c) zum Aufbau oder zur Verbesserung von Modellen außerhalb des Leistungsumfangs der Dienste, (d) für auftragsfremdes Profiling sowie (e) in einer Weise, die internationale Übermittlungen veranlasst, die nicht in Anhang A aufgeführt sind.
Regelung der Behandlung, Aufbewahrung und Löschung personenbezogener Daten nach Vertragsende
Der Auftragsverarbeiter speichert personenbezogene Daten für die Dauer des Hauptvertrags und nur so lange, wie dies zur Erfüllung der in Abschnitt 2 beschriebenen Zwecke erforderlich ist. Sofern nicht durch geltendes Recht anderweitig vorgeschrieben, bewahrt der Auftragsverarbeiter personenbezogene Daten nicht länger auf als für den Betrieb der Dienste erforderlich.
Nach Beendigung oder Ablauf des Hauptvertrags löscht der Auftragsverarbeiter die personenbezogenen Daten innerhalb von 90 Tagen, sofern keine weitere Aufbewahrung zur Erfüllung gesetzlicher Pflichten, einschließlich steuer- und abrechnungsrechtlicher Vorschriften, erforderlich ist.
Die Löschung umfasst die Entfernung aus aktiven Systemen, Backups und Notfallwiederherstellungsumgebungen, vorbehaltlich der mit sicheren Löschprozessen verbundenen Bearbeitungszeiten.
Der Verantwortliche nimmt zur Kenntnis, dass die Dienste keine spezifischen Datenexport- oder Datenherausgabeverfahren für personenbezogene Daten unterstützen. Der Auftragsverarbeiter ist nicht verpflichtet, personenbezogene Daten vor der Löschung zurückzugeben, zu extrahieren oder zu übermitteln, sofern nicht gesetzlich vorgeschrieben.
Ungeachtet des Abschnitts 7.2 kann der Auftragsverarbeiter bestimmte personenbezogene Daten (z. B. Abrechnungs-, Rechnungs- und steuerrelevante Unterlagen) für gesetzlich vorgeschriebene Zeiträume aufbewahren. Diese Aufbewahrung ist auf das gesetzlich Gebotene zu beschränken und durch die in Anhang A beschriebenen TOM zu schützen.
Der Auftragsverarbeiter setzt branchenübliche Löschverfahren ein, insbesondere: (a) sicheres Überschreiben, (b) kryptografisches Löschen, (c) geplante Bereinigungsläufe, (d) kontrollierte Löschworkflows mit Audit-Protokollen sowie (e) Löschmaßnahmen bei Hosting-Anbietern (Hetzner, Neon, AWS).
Festlegung der zum Schutz personenbezogener Daten implementierten Sicherheitsmaßnahmen
Der Auftragsverarbeiter implementiert und pflegt angemessene technische und organisatorische Maßnahmen, die darauf ausgelegt sind, personenbezogene Daten vor einer unberechtigten oder unrechtmäßigen Verarbeitung sowie vor versehentlichem Verlust, Vernichtung oder Beschädigung zu schützen, gemäß Art. 32 DSGVO. Die TOM des Auftragsverarbeiters berücksichtigen die Art der verarbeiteten personenbezogenen Daten, die mit der Verarbeitung verbundenen Risiken, bewährte Branchenpraktiken und den Stand der Technik.
Der Auftragsverarbeiter setzt Verschlüsselungstechnologien zum Schutz personenbezogener Daten ein: (a) Transportverschlüsselung nach TLS oder gleichwertigen Standards, (b) Verschlüsselung ruhender Daten sowie (c) Schlüsselverwaltungsrichtlinien gemäß Branchenstandards. Soweit möglich setzt der Auftragsverarbeiter Pseudonymisierungsverfahren oder Datensparsamkeitstechniken ein, um Risiken zu minimieren und die Datenexposition zu begrenzen.
Der Auftragsverarbeiter hält strikte Zugriffskontrollen aufrecht, insbesondere: (a) Multi-Faktor-Authentifizierung (MFA) für privilegierte Konten, (b) rollenbasierte Zugriffskontrolle (RBAC), (c) „Least-Privilege"- und „Need-to-know"-Grundsatz, (d) dokumentierte Bereitstellungs- und Deaktivierungsverfahren für Zugriffsrechte sowie (e) regelmäßige Überprüfung der Zugriffsberechtigungen.
Der Auftragsverarbeiter gewährleistet die Sicherheit durch: (a) Firewalls und Netzwerksegmentierung, (b) Einbruchserkennungs- und -präventionssysteme, (c) gesicherte VPN- und Remote-Zugangslösungen, (d) DDoS-Schutzmaßnahmen sowie (e) gehärtete Cloud-Umgebungen (Hetzner, Neon, AWS). Hosting-Anbieter sind verpflichtet, eigene Sicherheitsmaßnahmen einschließlich physischer Sicherheit, Redundanz und Backup-Protokollen aufrechtzuerhalten.
Der Auftragsverarbeiter setzt sichere Entwicklungspraktiken durch, insbesondere: (a) Code-Review-Prozesse, (b) Schwachstellen- und Abhängigkeitsprüfungen, (c) Trennung von Entwicklungs-, Test- und Produktionsumgebungen sowie (d) Deployment-Pipelines mit Integritätsvalidierung.
Der Auftragsverarbeiter betreibt Protokollierungs- und Monitoring-Systeme zur Erkennung ungewöhnlicher oder unberechtigter Aktivitäten, insbesondere: (a) Audit-Protokolle für administrative Aktionen, (b) System-Ereignismonitoring, (c) Anomalieerkennung sowie (d) Incident-Ticketing-Workflows. Protokolle sind gegen Manipulation gesichert und werden für einen angemessenen Zeitraum aufbewahrt.
Zur Überprüfung der Wirksamkeit der TOM führt der Auftragsverarbeiter durch: (a) regelmäßige Penetrationstests, (b) Schwachstellenbewertungen, (c) Sicherheitsaudits interner Systeme sowie (d) Überprüfungen von Drittanbieterrisiken (Unterauftragsverarbeiter).
Der Auftragsverarbeiter hält vor: (a) Backup-Systeme mit Integritätsprüfungen, (b) Notfallwiederherstellungspläne, (c) Verfahren zur Reaktion auf Sicherheitsvorfälle sowie (d) Notfall-Playbooks für kritische Ausfälle. Diese Maßnahmen gewährleisten Kontinuität und Ausfallsicherheit der Dienste.
Der Auftragsverarbeiter kann seine TOM von Zeit zu Zeit aktualisieren, um technologischen Fortschritt, veränderte Bedrohungslagen oder regulatorische Anforderungen zu berücksichtigen, sofern solche Aktualisierungen das Schutzniveau für personenbezogene Daten nicht wesentlich herabsetzen.
Festlegung der Verfahren und Fristen zur Reaktion auf Sicherheitsvorfälle
Eine „Verletzung des Schutzes personenbezogener Daten" bezeichnet einen Sicherheitsvorfall, der zur: (a) versehentlichen oder unrechtmäßigen Vernichtung personenbezogener Daten, (b) zum Verlust personenbezogener Daten, (c) zur Veränderung personenbezogener Daten, (d) zur unbefugten Offenlegung personenbezogener Daten oder (e) zum unbefugten Zugang zu personenbezogenen Daten führt, gleich ob diese übermittelt, gespeichert oder anderweitig vom Auftragsverarbeiter verarbeitet werden.
Sobald der Auftragsverarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, die im Auftrag des Verantwortlichen verarbeitete Daten betrifft, benachrichtigt er den Verantwortlichen unverzüglich, in jedem Fall aber spätestens innerhalb von 72 Stunden, sofern kein anderer Zeitrahmen nach Datenschutzgesetzen vorgeschrieben ist.
Die Meldung enthält, soweit vernünftigerweise möglich: (a) eine Beschreibung der Art der Verletzung, (b) die Kategorien und die ungefähre Anzahl der betroffenen Personen, (c) die Kategorien und die ungefähre Anzahl der betroffenen Datensätze, (d) die voraussichtlichen Folgen der Verletzung, (e) die zur Behebung ergriffenen oder vorgeschlagenen Maßnahmen sowie (f) die Kontaktdaten des verantwortlichen Vorfallmanagers.
Der Auftragsverarbeiter: (a) untersucht den Vorfall unverzüglich, (b) ergreift die erforderlichen Maßnahmen zur Eindämmung oder Behebung nachteiliger Folgen, (c) unterstützt den Verantwortlichen bei etwaigen Meldungen an Aufsichtsbehörden oder betroffene Personen, (d) dokumentiert alle relevanten Fakten, Maßnahmen und Ergebnisse im Zusammenhang mit dem Vorfall sowie (e) liefert zeitnahe Aktualisierungen, sobald weitere Informationen verfügbar sind.
Der Auftragsverarbeiter informiert ohne ausdrückliche Weisung des Verantwortlichen keine Aufsichtsbehörde und keine betroffene Person über den Vorfall, sofern er nicht gesetzlich dazu verpflichtet ist.
Der Auftragsverarbeiter führt interne Aufzeichnungen über alle Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 5 DSGVO und stellt diese dem Verantwortlichen auf begründete Anfrage zur Verfügung.
Erläuterung der Kooperationsmechanismen zur Erfüllung der Betroffenenrechte nach der DSGVO
Der Verantwortliche ist allein dafür zuständig, auf Anfragen betroffener Personen nach Art. 12 bis 23 DSGVO zu reagieren, insbesondere auf: (a) Auskunft, (b) Berichtigung, (c) Löschung, (d) Einschränkung der Verarbeitung, (e) Datenübertragbarkeit, (f) Widerspruch sowie (g) Rechte im Zusammenhang mit automatisierten Entscheidungen. Der Auftragsverarbeiter antwortet betroffenen Personen nicht direkt, sofern er hierzu nicht vom Verantwortlichen ausdrücklich angewiesen oder durch Datenschutzgesetze verpflichtet ist.
Unter Berücksichtigung der Art der Verarbeitung leistet der Auftragsverarbeiter dem Verantwortlichen auf begründete schriftliche Anfrage angemessene Unterstützung, insbesondere durch: (a) Bereitstellung relevanter Systemprotokolle, (b) Unterstützung des Verantwortlichen bei der Lokalisierung relevanter personenbezogener Daten, (c) technische Erläuterungen zum Systemverhalten sowie (d) Unterstützung bei der sicheren Löschung oder Korrektur von Daten. Diese Unterstützung ist auf das technisch Machbare begrenzt und umfasst nicht die Entwicklung individueller Tools oder manuelle Datenprüfungen.
Befinden sich personenbezogene Daten in Präsentationen, KI-Eingaben oder sonstigen nutzergenierten Inhalten, ist der Verantwortliche allein dafür verantwortlich: (a) diese Daten zu lokalisieren, (b) auf Löschungs- oder Berichtigungsanfragen zu reagieren sowie (c) einen rechtmäßigen Zugriff und eine rechtmäßige Verarbeitung durch seine Nutzer sicherzustellen. Der Auftragsverarbeiter verarbeitet, extrahiert oder prüft personenbezogene Daten in solchen Inhalten nicht, außer soweit für die Erbringung der Dienste erforderlich.
Wendet sich eine Aufsichtsbehörde oder eine Regulierungsbehörde an den Auftragsverarbeiter wegen personenbezogener Daten, die im Rahmen dieses AVV verarbeitet werden, hat der Auftragsverarbeiter: (a) den Verantwortlichen unverzüglich zu informieren, sofern gesetzlich nicht untersagt; (b) nicht direkt zu antworten, sofern nicht gesetzlich verpflichtet; (c) den Verantwortlichen bei der Vorbereitung einer Antwort zu unterstützen sowie (d) die für die Compliance erforderlichen Unterlagen oder Erläuterungen beizustellen.
Erfordert die Unterstützung nach diesem Abschnitt erheblichen Zeit-, Arbeits- oder Ressourcenaufwand über die üblichen betrieblichen Aufgaben hinaus, kann der Auftragsverarbeiter angemessene Entgelte verlangen, sofern diese dem Verantwortlichen im Voraus mitgeteilt werden.
Festlegung der Mechanismen zur Überprüfung der Einhaltung datenschutzrechtlicher Pflichten
Der Verantwortliche nimmt zur Kenntnis und erklärt sich damit einverstanden, dass er nicht berechtigt ist, Vor-Ort-Prüfungen beim Auftragsverarbeiter, seinen Einrichtungen oder Unterauftragsverarbeitern durchzuführen. Diese Einschränkung gewährleistet die Sicherheit und Integrität der Umgebungen des Auftragsverarbeiters und entspricht den branchenüblichen SaaS-Praktiken.
Zur Nachweisführung seiner Compliance stellt der Auftragsverarbeiter auf begründete schriftliche Anfrage folgende Unterlagen bereit: (a) Zusammenfassungen der Sicherheitsrichtlinien und TOM, (b) Datenfluss-Beschreibungen, (c) übergeordnete Zusammenfassungen von Penetrationstests, (d) relevante Compliance-Dokumentation von Hosting- und Infrastrukturanbietern, (e) Verzeichnisse der Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO sowie (f) Ergebnisse interner oder beauftragter Sicherheitsbewertungen (soweit angemessen). Diese Unterlagen werden elektronisch bereitgestellt, sofern keine andere Übermittlungsart erforderlich ist.
Der Auftragsverarbeiter kann bereitgestellte Unterlagen, Berichte oder Informationen einschränken oder schwärzen, um: (a) Vertraulichkeit zu schützen, (b) geistiges Eigentum zu wahren, (c) interne Architekturdetails nicht preiszugeben, (d) Sicherheits- oder Betriebsanforderungen einzuhalten sowie (e) Daten anderer Verantwortlicher zu schützen. Schwärzungen dürfen die Fähigkeit des Verantwortlichen zur Beurteilung der Compliance des Auftragsverarbeiters nicht wesentlich beeinträchtigen.
Verlangt eine zuständige Aufsichtsbehörde eine Prüfung oder Inspektion beim Auftragsverarbeiter, hat der Auftragsverarbeiter: (a) den Verantwortlichen unverzüglich zu informieren, sofern gesetzlich nicht untersagt, (b) mit der Behörde im erforderlichen Umfang zu kooperieren sowie (c) gesetzlich angeordnete Korrekturmaßnahmen umzusetzen.
Verlangt der Verantwortliche Unterstützung, die erheblichen manuellen Aufwand erfordert und über die dokumentenbasierte Standardüberprüfung hinausgeht, kann der Auftragsverarbeiter angemessene Entgelte verlangen, sofern diese vorab mitgeteilt und vereinbart werden.
Zuweisung von Verantwortlichkeiten und Festlegung von Haftungsgrenzen nach diesem AVV
Die Parteien vereinbaren, dass die im Hauptvertrag festgelegten Haftungsbegrenzungen – einschließlich Haftungsobergrenzen, Ausschluss mittelbarer, zufälliger und Folgeschäden sowie monetärer Gesamtbegrenzungen – im größtmöglichen nach Datenschutzrecht zulässigen Umfang in gleicher Weise für diesen AVV gelten.
Im gesetzlich größtmöglichen Umfang übersteigt die gesamte Haftung des Auftragsverarbeiters aus und im Zusammenhang mit diesem AVV, gleich aus welchem Rechtsgrund, nicht die vom Verantwortlichen im Rahmen des Hauptvertrags in den zwölf (12) der haftungsbegründenden Ereignis vorangegangenen Monaten gezahlten Gesamtentgelte. Nichts in diesem AVV begrenzt die Haftung, soweit eine Begrenzung nach anwendbarem Recht nicht zulässig ist, insbesondere für vorsätzliches Verhalten oder grobe Fahrlässigkeit.
Der Auftragsverarbeiter haftet nicht für Schäden, Ansprüche oder Verluste, die entstehen aus: (a) der Verletzung von Datenschutzgesetzen durch den Verantwortlichen, (b) der rechtswidrigen oder unsachgemäßen Nutzung der Dienste durch den Verantwortlichen, (c) personenbezogenen Daten, die der Verantwortliche unter Verstoß gegen den Hauptvertrag, diesen AVV oder die DSGVO hochgeladen hat, (d) Weisungen des Verantwortlichen, die gegen geltendes Recht verstoßen, (e) besonderen Kategorien personenbezogener Daten, die der Verantwortliche in die Dienste eingebracht hat, sowie (f) Betroffenenansprüchen aufgrund unrichtiger oder unvollständiger Daten des Verantwortlichen.
Der Verantwortliche stellt den Auftragsverarbeiter, seine verbundenen Unternehmen, Geschäftsführer, Mitarbeiter und Beauftragte von allen Ansprüchen, Schäden, Verbindlichkeiten, Bußgeldern, Kosten und Ausgaben frei, die entstehen aus: (a) der Verletzung dieses AVV durch den Verantwortlichen, (b) dem Missbrauch der Dienste durch den Verantwortlichen, (c) der unterlassenen Einholung erforderlicher Einwilligungen oder der unterlassenen Erteilung von Hinweisen durch den Verantwortlichen, (d) personenbezogenen Daten, die unter Verstoß gegen gesetzliche Einschränkungen an den Auftragsverarbeiter übermittelt wurden, sowie (e) Weisungen des Verantwortlichen, die zu einer rechtswidrigen Verarbeitung führen.
Jede Partei ist für die Einhaltung der DSGVO und sonstiger anwendbarer Datenschutzgesetze selbst verantwortlich. Keine Bestimmung dieses AVV ist dahingehend auszulegen, dass gesetzliche Verantwortlichkeiten einer Partei auf die andere verlagert werden.
Ergänzende Vertragsregelungen für diesen AVV
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland ohne Rücksicht auf kollisionsrechtliche Grundsätze. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem AVV sind die Gerichte in München, sofern nicht durch zwingende Datenschutzgesetze etwas anderes vorgeschrieben ist.
Der Auftragsverarbeiter kann diesen AVV von Zeit zu Zeit aktualisieren, um Änderungen rechtlicher Anforderungen, technischer Maßnahmen oder der Unterauftragsverarbeiter-Praxis abzubilden. Wesentliche Aktualisierungen werden in angemessener Weise mitgeteilt. Die fortgesetzte Nutzung der Dienste nach solchen Aktualisierungen gilt als Annahme des geänderten AVV.
Mitteilungen nach diesem AVV haben schriftlich zu erfolgen und sind per E-Mail oder auf einem anderen geeigneten elektronischen Weg zu übermitteln. Mitteilungen an den Auftragsverarbeiter sind an support@offgen.ai zu richten. Mitteilungen an den Verantwortlichen werden an die dem Verantwortlichen-Konto zugeordnete E-Mail-Adresse gesendet.
Sollte eine Bestimmung dieses AVV für unwirksam oder nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen in vollem Umfang wirksam. Die unwirksame Bestimmung ist durch eine Regelung zu ersetzen, die dem ursprünglichen Zweck am nächsten kommt.
Dieser AVV wird mit der Annahme oder dem Abschluss des Hauptvertrags durch den Verantwortlichen wirksam und gilt für die Laufzeit des Hauptvertrags, sofern er nicht durch eine spätere Fassung ersetzt oder gemäß dem Hauptvertrag früher beendet wird. Bestimmungen dieses AVV, die ihrem Wesen nach über die Beendigung hinauswirken – insbesondere Vertraulichkeit, Haftung und Datenlöschungspflichten – bleiben nach Beendigung in Kraft.
Dieser AVV bildet zusammen mit dem Hauptvertrag und der Datenschutzerklärung die vollständige Vereinbarung zwischen den Parteien hinsichtlich der Verarbeitung personenbezogener Daten und ersetzt alle früheren Angebote, Erklärungen oder Vereinbarungen zu diesem Gegenstand.
Zusammenfassung der nach Art. 28 und Art. 30 DSGVO erforderlichen Verarbeitungsangaben
Der Auftragsverarbeiter kann personenbezogene Daten folgender Kategorien betroffener Personen verarbeiten:
Mitarbeiter des Verantwortlichen; Auftragnehmer und Berater des Verantwortlichen; Administratoren und interne IT-Mitarbeiter des Verantwortlichen; sowie Personen, deren Daten der Verantwortliche in Präsentationsinhalte oder KI-Eingaben einbettet.
Der Auftragsverarbeiter kann folgende Kategorien personenbezogener Daten verarbeiten:
Authentifizierungs- und Kontodaten
Name, E-Mail-Adresse, Microsoft-Mandanten-ID, Organisations-Kennung, Authentifizierungsmetadaten, Rollen- und Berechtigungszuweisungen.
Technische Nutzungsdaten
IP-Adresse, Geräte- und Browser-Metadaten, Protokolldateien und Zeitstempel, Diagnoseereignisse, Leistungskennzahlen, Telemetrie- und Dienstanalysen.
Betriebsdaten
Abonnementdetails, Abrechnungsinformationen, rechnungsbezogene Daten.
Inhaltsbezogene Metadaten
Präsentationsmetadaten (Struktur, Formatierung, Kennungen), KI-Eingabe-Metadaten, Nutzerinteraktionen mit dem offgen-Editor oder dem Add-in, durch den Nutzer ausgelöste Inhaltstransformationen.
Der Auftragsverarbeiter kann folgende Verarbeitungsvorgänge an personenbezogenen Daten durchführen: Erheben und Übermitteln, Speichern und Abrufen, Pseudonymisieren, Anpassen und Verarbeiten, sicheres Übertragen, Nutzungsanalyse (pseudonymisiert), technisches Protokollieren, Löschen sowie alle für die Erbringung der Dienste erforderlichen Vorgänge.
Personenbezogene Daten werden ausschließlich verarbeitet für: Nutzerauthentifizierung und Identitätsverifizierung; Lizenz- und Abonnementverwaltung; Bereitstellung von Präsentationserstellungs- und Ausrichtungsfunktionen; KI-gestützte Funktionen (abhängig vom Abonnement); Analyse für Performance, Stabilität und Nutzungsoptimierung; Fehlererkennung und -behebung; Kundensupport und technische Unternehmenshilfe; Abrechnung, Zahlung und Einhaltung gesetzlicher Pflichten; Durchsetzung des Hauptvertrags und dieses AVV.
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:
KI-Verarbeitung
OpenAI, Anthropic, Google Gemini.
Hosting und Infrastruktur
AWS, Hetzner, Neon.
Analyse
PostHog.
Zahlungsabwicklung
Stripe.
Plattformintegration
Microsoft (Authentifizierung, Add-in-Installation).
Abhängig von der Region des Verantwortlichen gilt: EU-Verantwortliche: Datenspeicherung innerhalb der Europäischen Union; US-Verantwortliche: Datenspeicherung in den Vereinigten Staaten; sonstige Regionen: nächstgelegene verfügbare Infrastruktur.
Bei Datenübermittlungen außerhalb des EWR stellt der Auftragsverarbeiter sicher: Standarddatenschutzklauseln (SCC), ergänzende Verschlüsselung, Zugriffskontrollen sowie Übermittlungsfolgenabschätzungen.
Personenbezogene Daten werden für die Laufzeit des Hauptvertrags gespeichert. Die Löschung erfolgt innerhalb von 90 Tagen nach Vertragsbeendigung. Abrechnungs- und Steuerdaten werden für die gesetzlich vorgeschriebenen Zeiträume aufbewahrt (typischerweise 6 bis 10 Jahre). Sichere Löschverfahren werden auf Produktions- und Backup-Systeme angewendet.
Der Auftragsverarbeiter implementiert folgende TOM:
Technische Kontrollen
Transportverschlüsselung (TLS), Verschlüsselung ruhender Daten, MFA für privilegierte Konten, rollenbasierte Zugangskontrolle (RBAC), Netzwerk-Firewalls und Segmentierung, Pseudonymisierung, sicherer Entwicklungslebenszyklus sowie dedizierte Sicherheitsrichtlinien der Hosting-Anbieter.
Organisatorische Kontrollen
Vertraulichkeitsvereinbarungen für Mitarbeiter, Workflow zur Zugangsvergabe, regelmäßige Überprüfung der Zugriffsrechte, interne Datenschutzrichtlinien, dokumentierter Vorfallsreaktionsplan sowie Business-Continuity- und Notfallwiederherstellungsverfahren.
Tests und Monitoring
Schwachstellen-Scans, Penetrationstests, Protokollmonitoring und Anomalieerkennung sowie Sicherheitsüberprüfungen der Unterauftragsverarbeiter.
Weitere Informationen zu TOM, Unterauftragsverarbeitern und Infrastruktur können auf begründete Anfrage bereitgestellt werden, vorbehaltlich der Einschränkungen in Abschnitt 11.