Zum Inhalt springen
dokuparse

Auftragsverarbeitungsvertrag (AVV)

# Auftragsverarbeitungsvertrag (AVV) — Template

> ⚠️ **ANWALTSPFLICHT:** Dieses Template ist eine technisch fundierte Ausgangsbasis, erstellt auf der Grundlage des internen DSGVO-Audits (`docs/compliance/2026-05-22-gdpr-audit.md`), des ROPA (`docs/compliance/2026-05-22-ropa.md`) und der TOMs (`docs/compliance/2026-05-22-toms.md`). **Vor Erstunterzeichnung mit einem Kunden MUSS ein Fach-Anwalt für IT-Recht / DSGVO alle Klauseln prüfen und freigeben.** Länder-Spezifika zwischen DE, AT und CH (insbesondere DSG AT, nDSG CH) sind in § 12.3 als Entwurf adressiert und bedürfen einer länderspezifischen fachanwaltlichen Prüfung. Empfehlung: einmaliges Review-Mandat für das Mustertemplate; ggf. länderspezifische Addenda.
>
> **Stand: 2026-05-24 | Doku-Version: v1.0-2026-05-22 — vollständig ausgearbeitet, Fachanwaltsprüfung ausstehend**

---

## Auftragsverarbeitungsvertrag

gemäß Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO)

---

## 1. Vertragsparteien

### Verantwortlicher (im Sinne von Art. 4 Nr. 7 DSGVO)

**[KUNDE-UNTERNEHMEN]**
[KUNDE-RECHTSFORM]
[KUNDE-STRASSE], [KUNDE-PLZ] [KUNDE-ORT]
vertreten durch: [KUNDE-GF-NAME]
E-Mail: [KUNDE-EMAIL]
Tel.: [KUNDE-TEL]

— nachfolgend „**Verantwortlicher**" oder „**Kunde**" —

### Auftragsverarbeiter (im Sinne von Art. 4 Nr. 8 DSGVO)

**easytect UG (haftungsbeschränkt)**
Marktplatz 10a, 56457 Westerburg
Handelsregister: Amtsgericht Montabaur, HRB 28807
Vertreten durch den Geschäftsführer: Usman Ahmad
E-Mail (Datenschutz): datenschutz@easytect.de
Tel.: +49 2663 9790191

— nachfolgend „**Auftragsverarbeiter**" oder „**easytect**" —

Der Verantwortliche und der Auftragsverarbeiter werden gemeinsam als „**Parteien**" bezeichnet.

---

## 2. Vertragsgegenstand

### 2.1 Bezug zum Hauptvertrag

Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt und ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags über die Nutzung der SaaS-Lösung „DokuParse" (im Folgenden: „**Hauptvertrag**"), abgeschlossen am [DATUM-HAUPTVERTRAG], Vertragsnummer [VERTRAGS-NR].

### 2.2 Gegenstand der Auftragsverarbeitung

Der Auftragsverarbeiter erbringt für den Verantwortlichen KI-gestützte Vertragsextraktionsdienste. Konkret verarbeitet der Auftragsverarbeiter personenbezogene Daten auf dokumentierte Weisung des Verantwortlichen im Rahmen folgender Aktivitäten:

- Entgegennahme und Eingangsprüfung von PDF-Dokumenten (Versicherungsverträge, Notarverträge)
- Automatische KI-Klassifikation von Dokumenttypen (Microsoft Azure OpenAI GPT-4o-mini)
- Strukturierte Extraktion von Vertragsfeldern mittels KI (Microsoft Azure OpenAI GPT-4o)
- Speicherung von Dokumenten und extrahierten Daten in einer mandantenisolierten Cloud-Datenbank
- Erstellung von Vektor-Embeddings für semantische Suche (RAG-System)
- Bereitstellung einer Human-Review-Oberfläche (Side-by-Side-Ansicht Original + KI-Extrakt)
- Export freigegebener Daten in konfigurierbare Formate (CSV, XML) zur ERP-Übergabe

Vollständige Verarbeitungsaktivitäten sind im Verzeichnis von Verarbeitungstätigkeiten beschrieben: `docs/compliance/2026-05-22-ropa.md` (Abschnitte VA-01 bis VA-08).

### 2.3 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

---

## 3. Art und Zweck der Verarbeitung

### 3.1 Art der Verarbeitung

| Verarbeitungsart | Beschreibung |
|---|---|
| Erhebung | Upload von Dokumenten durch Mitarbeiter des Verantwortlichen |
| Speicherung | Cloud-Speicherung in Microsoft Azure (Region West Europe, Niederlande) |
| Strukturierung | KI-Extraktion definierter Datenfelder aus Dokumenten |
| Verwendung | Bereitstellung extrahierter Daten für menschliche Prüfung und ERP-Export |
| Übermittlung | Export an ERP-System des Verantwortlichen (nach menschlicher Freigabe) |
| Löschung | Hard-Delete auf Anfrage des Verantwortlichen |

### 3.2 Zweck der Verarbeitung

Der alleinige Zweck der Auftragsverarbeitung besteht in der **KI-gestützten Extraktion und strukturierten Aufbereitung von Vertragsdaten** aus Versicherungs- und Notarverträgen, um die manuelle Dateneingabe in das ERP-System des Verantwortlichen zu ersetzen oder zu unterstützen.

Eine Verarbeitung zu anderen Zwecken — insbesondere zu Profiling-, Scoring- oder Werbezwecken — ist ausgeschlossen.

### 3.3 Geographischer Verarbeitungsort

Alle Verarbeitungen finden **ausschließlich innerhalb der Europäischen Union** statt:

- **Microsoft Azure Region West Europe** (Rechenzentrum Amsterdam, Niederlande) für Datenspeicherung, Nachrichtenverarbeitung und KI-Verarbeitung
- **Azure EU Data Boundary**: Microsoft hat die Einhaltung der EU Data Boundary für alle in diesem Vertrag relevanten Azure-Dienste (Azure Blob Storage, Azure PostgreSQL, Azure OpenAI, Azure Service Bus) zugesichert
- **Ausnahme Billing (Stripe):** Abrechnungsdaten des Verantwortlichen (Name, E-Mail, Zahlungsdaten) werden an Stripe Inc. (USA) übertragen — **ausschließlich für die Abwicklung von SaaS-Abonnements, nicht für Versicherungsnehmer-Daten** (siehe Abschnitt 10 und Anlage 2)

---

## 4. Art der personenbezogenen Daten

Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen folgende Kategorien personenbezogener Daten:

### 4.1 Reguläre personenbezogene Daten (Art. 4 Nr. 1 DSGVO)

| Datenkategorie | Beschreibung | Typische Felder |
|---|---|---|
| Stammdaten | Identifikationsdaten der Versicherungsnehmer | Name, Vorname, Adresse, Geburtsdatum |
| Vertragsdaten | Daten aus Versicherungs- und Notarverträgen | Versicherungsnummer, Versicherungsart, Vertragslaufzeit, Prämie |
| Kontaktdaten | Kommunikationsinformationen | E-Mail-Adresse, Telefonnummer (sofern im Vertrag enthalten) |
| Nutzerdaten der Mitarbeiter | Identifikation der handelnden Personen | E-Mail-Adresse, Name (in Authentifizierungssystem und Audit-Log) |

### 4.2 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

> ⚠️ **Besonderer Hinweis — Art. 9 DSGVO:**

Bei der Verarbeitung von **Kranken-, Lebens-, Pflege- oder Berufsunfähigkeitsversicherungsverträgen** können Dokumente **besondere Kategorien personenbezogener Daten** im Sinne des Art. 9 Abs. 1 DSGVO enthalten, insbesondere:

| Datenkategorie (Art. 9) | Kontext |
|---|---|
| **Gesundheitsdaten** | Vorerkrankungen, Diagnosen, Gesundheitsstatus in Kranken-/BU-/Lebensversicherungen |
| Biometrische Daten (soweit enthalten) | Selten; ggf. in bestimmten Vertragstypen |

**Verantwortung des Verantwortlichen:** Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass für die Verarbeitung dieser besonderen Datenkategorien eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vorliegt (typisch: Art. 9 Abs. 2 lit. b DSGVO — arbeitsrechtliche Verpflichtungen oder Sozialschutz, oder Art. 9 Abs. 2 lit. f DSGVO — Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen).

**Verarbeitungsbeschränkung:** Der Auftragsverarbeiter extrahiert nur diejenigen Felder, die im durch den Verantwortlichen konfigurierten Extraktionsschema (ExtractionSchema) definiert sind. Nicht konfigurierte Felder werden nicht gesondert gespeichert.

---

## 5. Kategorien betroffener Personen

Die Auftragsverarbeitung betrifft folgende Kategorien betroffener Personen:

| Kategorie | Beschreibung |
|---|---|
| **Versicherungsnehmer** | Endkunden des Verantwortlichen; natürliche Personen, deren Vertragsdaten in den verarbeiteten Dokumenten enthalten sind (Kernzielgruppe der Extraktion) |
| **Mitarbeiter des Verantwortlichen** | Personen, die die Plattform bedienen (Upload-Aktion, Review, Freigabe); deren Nutzerdaten (E-Mail, Name) werden im Authentifizierungssystem und Audit-Log gespeichert |
| **Vertragspartner** (soweit enthalten) | Natürliche Personen, die als weitere Vertragsparteien in Dokumenten erscheinen (z. B. Mitversicherte, Bevollmächtigte) |

---

## 6. Dauer und Beendigung der Verarbeitung

### 6.1 Laufzeit

Dieser AVV gilt ab Unterzeichnung für die Dauer des Hauptvertrags.

### 6.2 Beendigung

Bei Beendigung des Hauptvertrags aus beliebigem Grund ist der Auftragsverarbeiter verpflichtet, nach Wahl des Verantwortlichen:

**(a) Rückgabe der Daten:** Export aller verarbeiteten Daten (Dokumente + extrahierte Felder) in einem standardisierten Format (JSON, CSV oder ZIP-Archiv mit PDFs) innerhalb von **30 Tagen** nach Beendigung; oder

**(b) Löschung der Daten:** Unwiderrufliche Löschung aller personenbezogenen Daten des Verantwortlichen aus der Produktivdatenbank und dem Cloud-Speicher (Hard-Delete aller Document-, DocumentChunk-, StagingExtraction-Datensätze und Blobs) sowie Bestätigung der Löschung in Textform.

Der Auftragsverarbeiter darf die Daten nach Rückgabe oder Löschung nicht weiter aufbewahren, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Speicherung vor (z. B. handels- und steuerrechtliche Aufbewahrungspflichten für Rechnungsdaten).

### 6.3 Audit-Log-Erhalt

Das technisch unveränderliche Audit-Log (ohne personenbezogene Klardaten — nur IDs und pseudonymisierte Referenzen) darf der Auftragsverarbeiter für interne Compliance-Nachweise über das Vertragsende hinaus aufbewahren, sofern keine PII-Identifizierung der betroffenen Personen möglich ist.

---

## 7. Pflichten des Auftragsverarbeiters

### 7.1 Verarbeitung nur auf dokumentierte Weisung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen erfolgen primär durch:

- Die im Hauptvertrag und diesem AVV festgelegte Verarbeitungsbeschreibung (Abschnitt 2, 3)
- Die im System konfigurierten Extraktionsschemata (ExtractionSchema), die der Verantwortliche selbst definiert
- Schriftliche Sonderweisungen per E-Mail an datenschutz@easytect.de

Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, teilt er dies dem Verantwortlichen unverzüglich mit. Er darf die Ausführung der Weisung aussetzen, bis der Verantwortliche die Weisung bestätigt oder abgeändert hat.

### 7.2 Vertraulichkeitsverpflichtung

Der Auftragsverarbeiter stellt sicher, dass alle Personen, die mit der Verarbeitung der Daten des Verantwortlichen betraut sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Diese Verpflichtung besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

### 7.3 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO zum Schutz der verarbeiteten personenbezogenen Daten. Die aktuell implementierten TOMs sind in **Anlage 1** zu diesem AVV beschrieben.

Zu den zentralen Maßnahmen gehören insbesondere:

| TOM | Maßnahme |
|---|---|
| Zugangskontrolle | MFA (TOTP), Account-Lockout (5 Fehlversuche → 15 Min.), Session-Timeout (30 Min.) |
| Zugriffskontrolle | RBAC (ADMIN/MANAGER/OPERATOR), Tenant-Isolation via tenantId in allen Queries |
| Verschlüsselung at rest | AES-256 via Azure Transparent Data Encryption (TDE) und Azure Storage Service Encryption (SSE) |
| Verschlüsselung in transit | TLS 1.2+ für alle Verbindungen, HSTS |
| Prompt-Injection-Schutz | 3-Ebenen-Schutz (Regex-Scan, Azure Prompt Shields, Output-Validierung) |
| Human-in-the-Loop | Keine ERP-Übergabe ohne explizite menschliche Freigabe (Approval-Token JWT, 15 Min.) |
| Audit-Log | Unveränderliches, transaktionales Audit-Log aller Lifecycle-Events (kein PII in Log) |
| Eingabevalidierung | Zod-Schema-Validierung aller Inputs; Magic-Bytes-Prüfung bei Upload |

Der Verantwortliche erkennt an, dass die TOMs dem aktuellen Stand der Technik entsprechen und ein angemessenes Schutzniveau bieten. Der Auftragsverarbeiter ist berechtigt, die TOMs zu aktualisieren, sofern das Schutzniveau nicht unterschritten wird.

### 7.4 Unterauftragsverhältnisse (Subunternehmer)

Der Auftragsverarbeiter ist berechtigt, Subunternehmer (Unterauftragsverarbeiter) einzusetzen. Die aktuell eingesetzten Subunternehmer sind in **Anlage 2** (Subprozessor-Liste) aufgeführt.

**Allgemeingenehmigungs-Modell mit Widerspruchsrecht:**

- Der Verantwortliche erteilt hiermit die **allgemeine Genehmigung** für den Einsatz der in Anlage 2 aufgeführten Subunternehmer.
- Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung oder Ersetzung von Subunternehmern) informieren. Die Information erfolgt per E-Mail mit einer **Ankündigungsfrist von mindestens 14 Tagen**.
- Der Verantwortliche hat das Recht, innerhalb dieser Frist schriftlich **Widerspruch** einzulegen, wenn objektive datenschutzrechtliche Gründe bestehen. Wird kein Widerspruch eingelegt, gilt die Änderung als genehmigt.
- Im Fall eines begründeten Widerspruchs werden die Parteien eine Lösung verhandeln. Kommt keine Einigung zustande, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht des Hauptvertrags zu.

Der Auftragsverarbeiter stellt sicher, dass Subunternehmer denselben Datenschutzpflichten unterliegen wie der Auftragsverarbeiter gemäß diesem AVV (Art. 28 Abs. 4 DSGVO). Bei Pflichtverletzungen eines Subunternehmers haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen.

### 7.5 Unterstützung bei Betroffenenanfragen (Art. 15–22 DSGVO)

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen nach Art. 15–22 DSGVO (Art. 28 Abs. 3 lit. e DSGVO):

| Betroffenenrecht | Unterstützungsleistung des Auftragsverarbeiters |
|---|---|
| Art. 15 — Auskunft | Export aller zu einer Person im System vorhandenen Daten auf Anfrage des Verantwortlichen (Tenant-Admin-Interface) |
| Art. 16 — Berichtigung | Korrekturfunktion im Human-Review-Interface vor ERP-Export; nach INTEGRATED-Status: Unterstützung bei Identifikation der betroffenen Datensätze |
| Art. 17 — Löschung | Hard-Delete aller Dokumente, extrahierten Daten und Blobs eines Versicherungsnehmers auf dokumentierte Weisung des Verantwortlichen |
| Art. 18 — Einschränkung | Manuelles Setzen eines Quarantäne-Status auf Weisung; Unterstützung bei der technischen Umsetzung |
| Art. 20 — Portabilität | Export aller extrahierten Daten zu einer Person als JSON oder CSV auf Anfrage |
| Art. 21 — Widerspruch | Weiterleitung von Widersprüchen an den Verantwortlichen; Umsetzung auf Weisung |

Anfragen des Verantwortlichen zu Betroffenenrechten werden vom Auftragsverarbeiter **innerhalb von 5 Werktagen** beantwortet oder bearbeitet.

> **Hinweis zum aktuellen Entwicklungsstand:** Das automatisierte technische Hard-Delete-System befindet sich in der Implementierung (offenes Gap laut GDPR-Audit Art. 17). Bis zu dessen vollständiger Implementierung — angestrebt bis zum Produktiv-Go-Live der Plattform — werden Löschanfragen manuell durch den Auftragsverarbeiter bearbeitet und innerhalb der in Abschnitt 7.5 genannten Frist (5 Werktage) umgesetzt. Die Parteien können diesen Zeitrahmen im individuellen Vertrag verbindlich fixieren.

### 7.6 Unterstützung bei Pflichten nach Art. 32–36 DSGVO

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung von (Art. 28 Abs. 3 lit. f DSGVO):

**(a) Art. 32 — Sicherheit der Verarbeitung:** Bereitstellung der TOM-Dokumentation (Anlage 1); Auskunft über aktuelle Sicherheitsmaßnahmen auf Anfrage.

**(b) Art. 33 — Meldepflicht bei Datenschutzverletzungen:** Der Auftragsverarbeiter meldet Datenschutzverletzungen, die die Daten des Verantwortlichen betreffen, unverzüglich und **spätestens binnen 24 Stunden** nach Kenntnisnahme an den Verantwortlichen (per E-Mail an den im Hauptvertrag hinterlegten Datenschutzkontakt). Der Verantwortliche ist seinerseits gemäß Art. 33 DSGVO verpflichtet, meldepflichtige Verletzungen **binnen 72 Stunden** der zuständigen Aufsichtsbehörde zu melden.

Die Meldung des Auftragsverarbeiters enthält mindestens: (1) Beschreibung der Art der Verletzung, (2) betroffene Datenkategorien und geschätzte Anzahl betroffener Personen, (3) wahrscheinliche Folgen, (4) ergriffene oder geplante Abhilfemaßnahmen.

**(c) Art. 35 — Datenschutz-Folgenabschätzung (DPIA):** Bereitstellung aller für eine DPIA des Verantwortlichen erforderlichen Informationen über die Verarbeitungsvorgänge des Auftragsverarbeiters.

**(d) Art. 36 — Vorabkonsultation:** Unterstützung bei der Vorbereitung einer Vorabkonsultation bei der Aufsichtsbehörde, sofern erforderlich.

### 7.7 Datenschutzverletzungen — Meldewege

| Schritt | Verantwortlicher | Frist |
|---|---|---|
| Entdeckung einer Datenschutzverletzung | Auftragsverarbeiter | — |
| Meldung an Verantwortlichen | Auftragsverarbeiter | **24 Stunden** nach Kenntnis |
| Meldung an Aufsichtsbehörde (Art. 33 DSGVO) | **Verantwortlicher** | **72 Stunden** nach Kenntnis |
| Ggf. Benachrichtigung betroffener Personen (Art. 34 DSGVO) | **Verantwortlicher** | Unverzüglich (bei hohem Risiko) |
| Incident-Follow-Up und Lessons-Learned | Auftragsverarbeiter | Innerhalb von 14 Tagen |

Meldekontakt Auftragsverarbeiter: datenschutz@easytect.de

### 7.8 Datenlöschung und -rückgabe nach Vertragsende

Auf Anfrage oder bei Vertragsbeendigung gemäß Abschnitt 6.2 dieses AVV. Frist: 30 Tage. Format: JSON-Export + PDF-Archiv-ZIP oder datenschutzkonforme Löschung mit schriftlicher Bestätigung.

### 7.9 Mitwirkung an Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen durch den Verantwortlichen oder von ihm beauftragte Prüfer (Art. 28 Abs. 3 lit. h DSGVO):

**(a) Dokumentationsaudit (Fernprüfung):** Bereitstellung der TOM-Dokumentation, des ROPA und des DSGVO-Audit-Berichts auf Anfrage (bevorzugte Audit-Form).

**(b) On-Site-Audit:** On-Site-Prüfungen sind mit einem **Vorlauf von mindestens 4 Wochen** schriftlich anzukündigen, auf die übliche Geschäftszeit (Mo–Fr, 09:00–17:00 Uhr) zu beschränken und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen. Kosten von On-Site-Audits trägt der Verantwortliche.

**(c) Zertifizierung:** Der Auftragsverarbeiter kann alternativ Nachweise durch Vorlage von Zertifizierungen anerkannter Stellen (z. B. ISO 27001, SOC 2 eines Subunternehmers) erbringen.

### 7.10 Datenschutzbeauftragter

Der Auftragsverarbeiter (easytect UG) ist gesetzlich nicht zur Benennung eines Datenschutzbeauftragten verpflichtet und hat keinen benannt. Datenschutzkontakt des Auftragsverarbeiters: datenschutz@easytect.de.

---

## 8. Weisungsrechte des Verantwortlichen

### 8.1 Form der Weisungen

Weisungen des Verantwortlichen sollen schriftlich (E-Mail an datenschutz@easytect.de) erteilt werden. In dringenden Fällen kann eine Weisung mündlich erteilt und anschließend unverzüglich schriftlich bestätigt werden.

### 8.2 Inhalt der Weisungen

Der Verantwortliche kann insbesondere Weisungen erteilen zu:

- Konfigurierten Extraktionsschemata (welche Felder aus welchen Dokumenttypen extrahiert werden)
- Aufbewahrungsfristen und Löschung bestimmter Datensätze
- Einschränkung der Verarbeitung bestimmter Dokumente oder Datenkategorien
- Änderungen der Export-Konfiguration

### 8.3 Grenzen der Weisungen

Der Auftragsverarbeiter ist nicht verpflichtet, Weisungen auszuführen, die gegen Datenschutzrecht oder sonstige anwendbare Rechtsvorschriften verstoßen. Er informiert den Verantwortlichen über solche Bedenken unverzüglich.

---

## 9. Pflichten des Verantwortlichen

Der Verantwortliche ist für die Einhaltung der Datenschutzpflichten auf seiner Seite verantwortlich, insbesondere:

### 9.1 Sicherstellung der Rechtsgrundlage

Der Verantwortliche stellt sicher, dass für alle personenbezogenen Daten, die er in das System des Auftragsverarbeiters eingibt, eine gültige Rechtsgrundlage nach Art. 6 DSGVO (und ggf. Art. 9 Abs. 2 DSGVO für besondere Datenkategorien) vorliegt.

### 9.2 Beschränkung auf zulässige Daten

Der Verantwortliche gibt ausschließlich Daten in das System ein, zu deren Verarbeitung er rechtlich befugt ist. Eine Eingabe von Daten, für die keine Rechtsgrundlage besteht, stellt einen Verstoß gegen diesen AVV dar.

### 9.3 Informationspflichten gegenüber Versicherungsnehmern

Der Verantwortliche stellt sicher, dass seine Versicherungsnehmer (betroffene Personen) in einer Datenschutzerklärung des Verantwortlichen darüber informiert werden, dass ihre Vertragsdaten von einem Dienstleister (Auftragsverarbeiter) mittels KI verarbeitet werden. Dies beinhaltet insbesondere die Nennung von Zweck, Rechtsgrundlage, Empfänger (easytect UG als Auftragsverarbeiter) und Betroffenenrechten gemäß Art. 13 / 14 DSGVO.

### 9.4 Sicherstellung der Systemzugänge

Der Verantwortliche trägt die Verantwortung für die ordnungsgemäße Verwaltung der ihm zugewiesenen Benutzerkonten (Passwörter, MFA, Zugriffsrechte). Der Verantwortliche meldet Kompromittierungen von Zugangsdaten unverzüglich an den Auftragsverarbeiter.

### 9.5 Weisungserteilung nur durch Berechtigte

Weisungen an den Auftragsverarbeiter dürfen nur von autorisierten Vertretern des Verantwortlichen erteilt werden, die dem Auftragsverarbeiter namentlich und per E-Mail-Adresse mitgeteilt wurden.

### 9.6 Gewährleistung der Rechtmäßigkeit; Muster-Vorlagen (Spiegelklausel zu AGB § 3.7)

**(1) Rechtmäßigkeit der Verarbeitung.** Der Verantwortliche sichert hiermit ausdrücklich zu, dass er für **alle personenbezogenen Daten, die er in die Plattform eingibt, vor dem Upload** über eine gültige Rechtsgrundlage nach **Art. 6 DSGVO** verfügt und — soweit besondere Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO aus Kranken-, Lebens-, Pflege- oder Berufsunfähigkeitsversicherungsverträgen) betroffen sind — zusätzlich über eine Rechtsgrundlage nach **Art. 9 Abs. 2 DSGVO** verfügt (Art. 28 Abs. 3 lit. a DSGVO). Diese Verpflichtung besteht unabhängig davon, ob der Auftragsverarbeiter Muster-Vorlagen bereitstellt oder nicht.

**(2) Kein gemeinsamer Verantwortlicher durch Muster-Bereitstellung.** Soweit der Auftragsverarbeiter dem Verantwortlichen unverbindliche Muster-Vorlagen für datenschutzrechtliche Dokumente (Einwilligungserklärungen, Datenschutzinformationen, Widerrufsformulare) bereitstellt, begründet dies **keine gemeinsame Verantwortlichkeit** (Art. 26 DSGVO). Der Verantwortliche bleibt alleiniger datenschutzrechtlicher Verantwortlicher. Die Bereitstellung der Muster stellt **keine Rechtsberatung** und **keine Rechtsdienstleistung** durch den Auftragsverarbeiter dar. Der Verantwortliche ist verpflichtet, die Muster vor Verwendung gegenüber seinen Endkunden durch eine Rechtsanwältin oder einen Rechtsanwalt auf seine spezifische Situation prüfen zu lassen.

**(3) Folgen einer Pflichtverletzung.** Die Eingabe von personenbezogenen Daten ohne die nach Absatz (1) erforderliche Rechtsgrundlage stellt eine wesentliche Vertragspflichtverletzung dar und berechtigt den Auftragsverarbeiter, die Verarbeitung unverzüglich einzustellen und den Hauptvertrag fristlos zu kündigen. Schadensersatzansprüche des Auftragsverarbeiters bleiben vorbehalten.

> `[ANWALT: Formulierung von Abs. (1) im Hinblick auf Art. 28 Abs. 3 lit. a DSGVO und die konkrete Ausgestaltung der Gewährleistungsklausel prüfen; insbesondere das Verhältnis zu AGB § 3.7 (Freistellung) und § 3.1 (Datenpflichten) auf Widerspruchsfreiheit und Vollständigkeit hin prüfen. Ferner klären, ob ergänzend ein konkreter Nachweis der Rechtsgrundlage (z. B. Muster der Einwilligungserklärung) als Anlage beigefügt werden soll.]`

---

## 10. Subunternehmer

### 10.1 Genehmigte Subunternehmer

Die zum Zeitpunkt des Abschlusses dieses AVV eingesetzten Subunternehmer (Unterauftragsverarbeiter) sind in **Anlage 2** (Datei: `docs/legal/subprocessors.md`) aufgeführt. Der Verantwortliche genehmigt den Einsatz dieser Subunternehmer mit Unterzeichnung dieses AVV.

### 10.2 Änderungen der Subunternehmer-Liste

Bei beabsichtigtem Einsatz neuer oder Austausch bestehender Subunternehmer:

1. Der Auftragsverarbeiter informiert den Verantwortlichen **mindestens 14 Tage vor** dem beabsichtigten Einsatz per E-Mail.
2. Die Information enthält: Name, Anschrift und Kontaktdaten des neuen Subunternehmers; Art der übertragenen Daten; Zweck der Beauftragung; Drittlandstransfer und Transfer-Grundlage falls zutreffend.
3. Der Verantwortliche kann innerhalb von **14 Tagen schriftlich Widerspruch** einlegen, wenn er datenschutzrechtliche Gründe nachweisen kann.
4. Nach Ablauf der Frist ohne Widerspruch gilt die Änderung als genehmigt; Anlage 2 wird aktualisiert.

### 10.3 Pflichten der Subunternehmer

Der Auftragsverarbeiter verpflichtet alle Subunternehmer vertraglich zur Einhaltung derselben Datenschutzpflichten, die in diesem AVV geregelt sind (Art. 28 Abs. 4 DSGVO).

---

## 11. Datenschutzverletzungen

### 11.1 Interne Meldung und Reaktion

Bei Kenntnisnahme einer (mutmaßlichen) Datenschutzverletzung, die die Daten des Verantwortlichen betrifft:

1. **Sofortmaßnahmen:** Der Auftragsverarbeiter ergreift unverzüglich Maßnahmen zur Eindämmung (Containment) und zur Verhinderung weiterer Schäden.
2. **Meldung an Verantwortlichen:** Innerhalb von **24 Stunden** nach Kenntnisnahme, auch wenn noch nicht alle Details bekannt sind.
3. **Vollständiger Vorfallbericht:** Innerhalb von 72 Stunden nach erster Meldung mit allen verfügbaren Details.

### 11.2 Inhalt der Meldung (Art. 33 Abs. 3 DSGVO)

Die Meldung enthält soweit möglich:

- Beschreibung der Art der Datenschutzverletzung (Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzung)
- Kategorien und ungefähre Anzahl der betroffenen Personen
- Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Datensätze
- Namen und Kontaktdaten des Ansprechpartners beim Auftragsverarbeiter
- Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung, einschließlich gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

### 11.3 Pflichten des Verantwortlichen nach Meldung

Der Verantwortliche entscheidet eigenständig über die Meldung an die Aufsichtsbehörde (Art. 33 DSGVO, 72h-Frist) und die Benachrichtigung betroffener Personen (Art. 34 DSGVO). Der Auftragsverarbeiter unterstützt bei der Bereitstellung aller benötigten Informationen.

---

## 12. Schlussbestimmungen

### 12.1 Vorrang des AVV

Soweit dieser AVV von Regelungen des Hauptvertrags abweicht, gehen die Regelungen dieses AVV vor, soweit es datenschutzrechtliche Fragen betrifft.

### 12.2 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, berührt dies die Gültigkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, anstelle der unwirksamen Bestimmung eine wirksame Regelung zu treffen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

### 12.3 Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Als Gerichtsstand wird Westerburg vereinbart.

**Österreich:** Für Verträge mit österreichischen Verantwortlichen gelten ergänzend das österreichische Datenschutzgesetz (DSG) sowie das TKG 2021; als Gerichtsstand kann Westerburg oder der Sitz des Verantwortlichen vereinbart werden.

**Schweiz:** Für Verträge mit Schweizer Verantwortlichen gilt ergänzend das revidierte Schweizer Datenschutzgesetz (nDSG, in Kraft seit 01.09.2023); Gerichtsstand und anwendbares Recht sind individuell zu vereinbaren. Eine fachanwaltliche Prüfung der grenzüberschreitenden Datenschutzanforderungen wird empfohlen.

### 12.4 Änderungen

Änderungen dieses AVV bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.

---

## Unterschriften

**Für den Verantwortlichen:**

Ort, Datum: ___________________________

Name: ___________________________

Funktion: ___________________________

Unterschrift: ___________________________

---

**Für den Auftragsverarbeiter:**

Ort, Datum: Westerburg, ___________________________

Name: Usman Ahmad

Funktion: Geschäftsführer, easytect UG (haftungsbeschränkt)

Unterschrift: ___________________________

---

## Anlagen

### Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)

Die vollständige, aktuelle TOM-Dokumentation ist unter folgendem Pfad hinterlegt:

`docs/compliance/2026-05-22-toms.md`

Das Dokument beschreibt 16 TOM-Kategorien (TOM-01 bis TOM-16) von Zutrittskontrolle über Verschlüsselung, Audit-Log, Prompt-Injection-Schutz bis zu Incident-Response-Prozessen.

> **Hinweis:** Die TOMs werden regelmäßig überprüft und weiterentwickelt. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die jeweils aktuelle Version zur Verfügung. Wesentliche Änderungen, die das Schutzniveau beeinflussen, werden dem Verantwortlichen vorab mitgeteilt.

### Anlage 2: Liste der eingesetzten Subprozessoren (Unterauftragsverarbeiter)

Die aktuelle, vollständige Subprozessor-Liste einschließlich Angaben zu Dienst, Datenkategorien, Region, Transfer-Basis und Vertragsdokumentation ist unter folgendem Pfad hinterlegt:

`docs/legal/subprocessors.md`

> **Hinweis:** Die Liste wird bei Änderungen (Hinzufügung/Austausch von Subprozessoren) aktualisiert. Kunden werden mit 14 Tagen Widerspruchsfrist vorab informiert (Abschnitt 10.2).

### Anlage 3: Datenflussbeschreibung und Verarbeitungsaktivitäten

Die detaillierte Beschreibung aller Verarbeitungsaktivitäten (Datenflussbeschreibung, Rechtsgrundlagen, betroffene Datenkategorien, Empfänger, Löschfristen) ist im Verzeichnis von Verarbeitungstätigkeiten (ROPA) dokumentiert:

`docs/compliance/2026-05-22-ropa.md`

Das ROPA umfasst die Verarbeitungsaktivitäten VA-01 (PDF-Intake) bis VA-08 (Audit-Log-Führung) sowie die Subprozessor-Übersicht.

---

## Änderungshistorie

| Version | Datum | Änderung | Autor |
|---|---|---|---|
| (Vorentwurf) | 2026-05-22 | Initiale Erstellung (Vorentwurf) | Claude Code (intern, auf Basis GDPR-Audit + ROPA + TOMs) |
| v1.0-2026-05-22 | 2026-05-24 | easytect-Stammdaten + Gerichtsstand eingetragen, DACH-Klauseln (§ 12.3) ausformuliert, Hard-Delete-Frist konkretisiert, Platzhalter entfernt | Claude Code (intern) |
| v1.1-2026-05-25 | 2026-05-25 | § 9.6 neu: Gewährleistung Rechtmäßigkeit + Muster-Spiegelklausel (kein gemeinsamer Verantwortlicher, keine Beratung) + [ANWALT:]-Marker | Claude Code (intern) |
| _ausstehend_ | _ausstehend_ | Fachanwaltliche Prüfung & Freigabe | _Kanzlei (offen)_ |
| _ausstehend_ | _ausstehend_ | Erste Unterzeichnung mit Kunden | easytect UG |

---

*Stand: 2026-05-24 | Doku-Version: v1.0-2026-05-22 | Status: vollständig ausgearbeitet — Fachanwaltsprüfung (IT-Recht/DSGVO) ausstehend. Die `[KUNDE-*]`-Felder sowie `[DATUM-HAUPTVERTRAG]`/`[VERTRAGS-NR]` werden bei Vertragsschluss vom Verantwortlichen (Kunden) ausgefüllt.*