Auftragsverarbeitungsvertrag (Art. 28 DSGVO) – Muster

Dieses Muster dient der Vereinbarung zwischen dem Verantwortlichen (Kunde) und dem Auftragsverarbeiter.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand ist die Erbringung von AI‑API‑Services (Dokumenten‑Extraktion „DocIQ“, Produktdaten‑Anreicherung „PIM“, dynamische Preisempfehlungen „PricePilot“) einschließlich Portal‑Funktionen, Abrechnung per Credits sowie Webhook‑Benachrichtigungen. Die Dauer entspricht der Vertragslaufzeit bzw. bis zur Beendigung und abschließenden Löschung/Rückgabe der Daten.

2. Art und Zweck der Verarbeitung

Verarbeitung von durch den Kunden bereitgestellten Inhalten (z. B. Dokumente, Bilder, Texte, Produktdaten) zum Zweck der Extraktion/Analyse, Datenanreicherung sowie Berechnung von Preisempfehlungen, sowie Verarbeitung von Nutzungs‑ und Transaktionsdaten zur Erbringung und Abrechnung der Leistungen.

3. Art der Daten und Kategorien betroffener Personen

• Datenarten: Upload‑/Dateiinhalte und Metadaten, Produkttexte, API‑Key, Nutzungsdaten (Endpoint, Methode, Status, Credits, Zeitstempel, anonymisierte IP), Webhook‑URL/Secret, Transaktionsdaten (Credits).
• Betroffene: Kunden, Mitarbeiter der Kunden, Endnutzer, deren Daten in Dokumenten/Inhalten enthalten sein können.

4. Pflichten des Auftragsverarbeiters

• Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
• Vertraulichkeit der zur Verarbeitung befugten Personen (Verpflichtung).
• Ergreifen geeigneter technischer und organisatorischer Maßnahmen (TOMs) gemäß Anlage/TOMs‑Seite.
• Unterstützung des Verantwortlichen bei Betroffenenrechten, Sicherheit, Meldung von Verletzungen, Datenschutz‑Folgenabschätzung.
• Löschung oder Rückgabe personenbezogener Daten nach Abschluss der Verarbeitung; Löschfristen gem. Konfiguration (Usage‑Logs, Artefakte).
• Nachweispflichten und Ermöglichung von Audits/Kontrollen im angemessenen Umfang.

5. Technische und organisatorische Maßnahmen (TOMs)

Die TOMs sind Bestandteil dieser Vereinbarung. Es gelten die unter https://www.tomczak.dev/recht/toms veröffentlichten Maßnahmen in der jeweils aktuellen Fassung.

6. Unterauftragsverhältnisse

Eingesetzte Unterauftragsverarbeiter (sofern einschlägig): Zahlungsdienstleister Stripe für Abrechnung; Mailgun/SMTP für E‑Mail‑Versand. Die KI‑Inferenz erfolgt lokal mittels Ollama; keine Übermittlung in Drittländer. Weitere Subprozessoren bedürfen der vorherigen Information und voraussichtlichen Zustimmung des Verantwortlichen.

7. Ort der Verarbeitung / Drittlandtransfer

Die Verarbeitung erfolgt grundsätzlich in der EU/EWR. Bei künftigem Einsatz externer Cloud‑KI‑Anbieter werden geeignete Garantien (z. B. Standardvertragsklauseln) und Informationspflichten umgesetzt.

8. Weisungsbefugnis und Dokumentation

Weisungen des Verantwortlichen sind mindestens in Textform zu erteilen und werden dokumentiert. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung aus seiner Sicht gegen Datenschutzrecht verstößt.

9. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO.

10. Löschung und Rückgabe

Nach Abschluss der vertraglichen Leistungen werden personenbezogene Daten nach Weisung des Verantwortlichen gelöscht oder zurückgegeben. Sofern gesetzliche Aufbewahrungspflichten bestehen, wird die Verarbeitung eingeschränkt. Nutzungs‑Logs und Artefakte werden turnusmäßig gemäß Konfiguration gelöscht.

11. Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

12. Unterschriften

Für den Verantwortlichen (Kunde): ___________________________ Datum: __________

Für den Auftragsverarbeiter: ______________________________ Datum: __________

Hinweis: Dieses Muster ersetzt keine individuelle Rechtsberatung. Bitte passen Sie es an Ihre konkreten Anforderungen an.