Allgemeine Geschäftsbedingungen für die Cloud-Anwendung KnowledgePilot (Software as a Service)
Stand: Juni 2026
Companionware AG, Arminiusstraße 30, 07548 Gera, E-Mail: office@knowledgepilot.ai
(nachfolgend „Anbieter") gegenüber seinen Kunden (nachfolgend „Kunde")
§ 1 Geltungsbereich
1.1 Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB") gelten für sämtliche Verträge zwischen der Companionware AG (nachfolgend „Anbieter") und dem Kunden über die Bereitstellung und Nutzung der cloudbasierten Softwareanwendung „KnowledgePilot" als Software as a Service (SaaS).
1.2 Der Anbieter richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts und öffentlich-rechtliche Sondervermögen. Der Kunde versichert mit Vertragsschluss, dass er in Ausübung seiner gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Eine Nutzung durch Verbraucher im Sinne des § 13 BGB ist ausgeschlossen.
1.3 Allgemeine Geschäftsbedingungen des Kunden finden keine Anwendung. Abweichende Bedingungen des Kunden werden nur Vertragsbestandteil, wenn der Anbieter ihrer Geltung ausdrücklich in Textform zugestimmt hat.
1.4 Im Falle von Widersprüchen zwischen diesen AGB und individuell in Textform getroffenen Vereinbarungen (z. B. Angebote, Leistungsbeschreibungen) gehen die individuellen Vereinbarungen vor. Bei Widersprüchen zwischen diesen AGB und dem Auftragsverarbeitungsvertrag (AVV) geht in datenschutzrechtlichen Fragen der AVV vor.
§ 2 Vertragsgegenstand und Leistungsumfang
2.1 Der Anbieter stellt dem Kunden die Software „KnowledgePilot" – ein KI-gestütztes System zur Wissensorganisation und Dokumentenanalyse – über das Internet als SaaS zur Nutzung bereit. Der konkrete Funktionsumfang richtet sich nach dem gewählten Tarif und der zum Zeitpunkt des Vertragsschlusses gültigen Leistungsbeschreibung. Die Datenverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums, sofern nicht im Auftragsverarbeitungsvertrag (AVV) etwas anderes geregelt ist.
2.2 Der Kunde erhält Zugang über internetfähige Endgeräte mittels eines gängigen Webbrowsers. Die Datenübertragung erfolgt verschlüsselt nach dem Stand der Technik (derzeit TLS 1.2 oder höher). Der Kunde erhält nach Vertragsschluss Zugangsdaten für ein Administratorkonto und ist für die Verwaltung weiterer Nutzerkonten selbst verantwortlich.
2.3 Verfügbarkeit, Wartungsfenster und Reaktionszeiten regelt das separat vereinbarte Service Level Agreement (SLA).
2.4 Nicht Gegenstand dieses Vertrages sind, sofern nicht individuell vereinbart: die Bereitstellung von Hardware oder Internetanbindung beim Kunden, individuelle Anpassungen der Software, Schulungen sowie die inhaltliche Prüfung der vom Kunden eingestellten Dokumente.
2.5 Die Software nutzt künstliche Intelligenz zur Analyse und Aufbereitung von Dokumenten. Der Anbieter verwendet die vom Kunden eingestellten Inhalte nicht zum Training von KI-Modellen und gibt sie nicht zu diesem Zweck an Dritte weiter. Die Ergebnisse dienen ausschließlich der Unterstützung des Kunden und ersetzen keine fachkundige Prüfung. Der Anbieter übernimmt keine Gewähr für die inhaltliche Richtigkeit, Vollständigkeit oder rechtliche Verwertbarkeit der KI-generierten Ergebnisse.
Kostenlose Testphase
2.6 Der Anbieter kann eine kostenlose Testphase von 14 Tagen anbieten. Die Testphase endet automatisch mit Ablauf des Testzeitraums, ohne dass es einer Kündigung bedarf; ein entgeltpflichtiger Vertrag kommt nur durch ausdrückliche Buchung eines Tarifs durch den Kunden zustande. Während der Testphase werden die Leistungen unentgeltlich und ohne Verfügbarkeitszusagen (SLA) erbracht; die Haftung des Anbieters ist insoweit auf Vorsatz und grobe Fahrlässigkeit beschränkt, die Haftung für die Verletzung von Leben, Körper oder Gesundheit bleibt unberührt. Bucht der Kunde keinen Tarif, werden die in der Testphase eingestellten Daten 30 Tage nach Ende der Testphase entsprechend § 8.5 gelöscht; der Kunde kann sie bis dahin über die Exportfunktion herunterladen. Der AVV gilt auch während der Testphase.
§ 3 Leistungserbringung
3.1 Der Anbieter erbringt die Leistungen mit der gebotenen Sorgfalt und nach dem Stand der Technik. Er ist berechtigt, die Art und Weise der Leistungserbringung nach eigenem Ermessen zu bestimmen, soweit die geschuldete Leistung dadurch nicht beeinträchtigt wird.
3.2 Der Anbieter ist berechtigt, Subunternehmer und technische Dienstleister einzusetzen (insbesondere für Hosting, Infrastruktur und KI-Dienste). Der Anbieter bleibt gegenüber dem Kunden für die ordnungsgemäße Leistungserbringung verantwortlich.
3.3 Der Anbieter ist von der Leistungspflicht befreit, soweit und solange die Leistungserbringung durch Umstände verhindert wird, die außerhalb seines Einflussbereichs liegen (höhere Gewalt), insbesondere Naturkatastrophen, Pandemien, behördliche Anordnungen, Ausfall von Telekommunikationsnetzen oder Cyberangriffe. Der Anbieter informiert den Kunden unverzüglich. Dauert die Behinderung länger als 30 Tage, ist jede Partei berechtigt, den Vertrag mit einer Frist von 14 Tagen zum Monatsende zu kündigen. Bereits gezahlte Vergütung wird anteilig erstattet.
§ 4 Nutzungsrechte
4.1 Der Anbieter räumt dem Kunden für die Vertragsdauer ein einfaches, nicht übertragbares und nicht unterlizenzierbares Recht ein, die Software bestimmungsgemäß über das Internet zu nutzen.
4.2 Der Kunde kann so viele Nutzerkonten anlegen, wie er benötigt. Die Abrechnung erfolgt je aktivem Nutzerkonto. Ein Nutzerkonto gilt als aktiv von seiner Anlage bis zu seiner Deaktivierung oder Löschung. Wird ein Nutzerkonto im Laufe eines Abrechnungszeitraums angelegt, deaktiviert oder gelöscht, erfolgt die Berechnung für diesen Abrechnungszeitraum zeitanteilig nach Nutzertagen. Jedes Nutzerkonto darf nur von einer natürlichen Person genutzt werden. Die Weitergabe von Zugangsdaten ist untersagt. Eine Nutzung durch verbundene Unternehmen (§ 15 AktG) bedarf der vorherigen Zustimmung des Anbieters in Textform und kann gesondert bepreist werden.
4.3 Dem Kunden ist es untersagt:
- die Software zurückzuentwickeln, zu dekompilieren oder zu disassemblieren, soweit nicht gesetzlich zwingend gestattet (§§ 69d, 69e UrhG)
- die Software Dritten zugänglich zu machen, zu vermieten oder anderweitig zur Nutzung zu überlassen
- Sicherheitsmechanismen oder Zugangsbeschränkungen zu umgehen
- die Software für rechtswidrige Zwecke zu nutzen oder Inhalte zu verarbeiten, die gegen geltendes Recht verstoßen oder Rechte Dritter verletzen
- Schadsoftware hochzuladen
- automatisierte Massenabfragen, Scraping oder Data Mining durchzuführen, soweit nicht im Tarif vorgesehen
- die Infrastruktur des Anbieters übermäßig zu belasten
4.4 Alle Rechte an der Software, einschließlich Urheber- und Markenrechte, verbleiben beim Anbieter bzw. dessen Lizenzgebern.
Nutzungsvolumen und bestimmungsgemäße Nutzung
4.5 Tarife mit nutzungsunbeschränkten Leistungsmerkmalen (z. B. „unbegrenzte KI-Anfragen" sowie die unbegrenzte Aufnahme und Speicherung von Dokumenten ohne Mengen- oder Speicherplatzgebühr) berechtigen zur interaktiven Nutzung durch die angelegten Nutzerkonten (je Konto eine natürliche Person, § 4.2) im eigenen Geschäftsbetrieb. Nicht umfasst sind insbesondere:
- automatisierte oder skriptgesteuerte Anfragen (Bots, RPA-Tools, API-Anbindungen), soweit nicht im Tarif vorgesehen
- Nutzung als Infrastrukturkomponente für eigene Produkte (Embedding), soweit nicht vereinbart
4.6 Der Anbieter ist berechtigt, aggregierte Nutzungskennzahlen automatisiert zu erfassen, um die Einhaltung dieser Bestimmungen sicherzustellen. Eine inhaltliche Auswertung findet nicht statt.
4.7 Ein Nutzungsvolumen, das das Zehnfache des durchschnittlichen monatlichen Verbrauchs aller Kunden desselben Tarifs übersteigt, begründet die widerlegbare Vermutung einer nicht bestimmungsgemäßen Nutzung. Als Richtwerte bestimmungsgemäßer Nutzung gelten 100 KI-Anfragen pro Nutzerkonto und Tag sowie ein belegter Speicherplatz von 10 GB je Nutzerkonto (für das Unternehmen entsprechend mit der Anzahl der Nutzerkonten multipliziert). Das Überschreiten eines Richtwerts führt nicht automatisch zu einer Beschränkung; es gilt das abgestufte Verfahren nach § 4.8.
4.8 Bei Verdacht auf nicht bestimmungsgemäße Nutzung gilt folgendes abgestuftes Verfahren:
(a) Der Anbieter informiert den Kunden in Textform und gewährt 14 Tage zur Stellungnahme.
(b) Bestätigt sich eine nicht bestimmungsgemäße Nutzung, unterbreitet der Anbieter ein Anpassungsangebot (Frist: 14 Tage).
(c) Kommt keine Einigung zustande, kann der Anbieter die betroffenen Leistungsmerkmale auf ein angemessenes Maß beschränken.
(d) Bei schwerwiegenden oder wiederholten Verstößen bleibt das Recht zur außerordentlichen Kündigung nach § 8.3 unberührt.
4.9 Der Anbieter stellt dem Kunden im Kundenportal eine Übersicht über sein aktuelles Nutzungsvolumen bereit.
§ 5 Pflichten des Kunden
5.1 Der Kunde ist insbesondere verpflichtet:
- die für die Leistungserbringung erforderlichen Informationen vollständig, korrekt und rechtzeitig bereitzustellen
- Zugangsdaten vertraulich zu behandeln und vor unbefugtem Zugriff zu schützen
- bei Verdacht auf Kompromittierung von Zugangsdaten den Anbieter unverzüglich zu informieren
- aktuelle Kontaktdaten zu hinterlegen und Änderungen mitzuteilen
- Störungen und Sicherheitsvorfälle unverzüglich zu melden
- einen Ansprechpartner zu benennen
Für Verzögerungen durch verspätete oder unvollständige Mitwirkung des Kunden ist der Anbieter nicht verantwortlich.
5.2 Der Kunde ist dafür verantwortlich, dass die technischen Voraussetzungen auf seiner Seite erfüllt sind (aktueller Webbrowser, stabile Internetverbindung). Der Anbieter kann die Systemvoraussetzungen mit angemessener Frist anpassen.
5.3 Der Kunde ist allein verantwortlich für alle Inhalte, die er in die Software hochlädt oder verarbeitet. Der Anbieter führt keine inhaltliche Prüfung durch.
5.4 Der Kunde ist für die Einhaltung datenschutzrechtlicher Bestimmungen verantwortlich, soweit er personenbezogene Daten in der Software verarbeitet. Die Einzelheiten regelt der diesen AGB als Anlage beigefügte Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO (siehe Abschnitt „Anlage: Auftragsverarbeitungsvertrag (AVV)" am Ende dieses Dokuments). Die Datenschutzerklärung des Anbieters ist unter https://knowledgepilot.ai/datenschutz abrufbar.
5.5 Der Kunde ist für die Sicherung seiner Daten selbst verantwortlich. Der Anbieter geht davon aus, dass der Kunde die Originale der hochgeladenen Dokumente besitzt und sichert. KnowledgePilot ist kein Dokumentenarchiv.
Sperrung und Folgen bei Verstößen
5.6 Bei Verstößen gegen diese AGB oder bei begründetem Verdacht auf Missbrauch ist der Anbieter berechtigt:
- den Zugang ganz oder teilweise zu sperren
- rechtswidrige Inhalte zu entfernen
- den Vertrag außerordentlich zu kündigen
Der Anbieter informiert den Kunden über die Sperrung und deren Grund, soweit dem keine rechtlichen oder sicherheitsrelevanten Gründe entgegenstehen. Bei Gefahr im Verzug kann die Sperrung ohne Vorankündigung erfolgen. Eine Sperrung entbindet den Kunden nicht von seiner Zahlungspflicht.
§ 6 Vergütung und Zahlungsbedingungen
6.1 Die Vergütung richtet sich nach dem gewählten Tarif gemäß der aktuellen Preisliste unter https://knowledgepilot.ai/preise. Alle Preise verstehen sich in Euro zuzüglich der gesetzlichen Umsatzsteuer.
6.2 Die Vergütung besteht aus nutzerbezogenen Entgelten je aktivem Nutzerkonto (§ 4.2). Die Abrechnung erfolgt in monatlichen Abrechnungszeiträumen über eine Rechnung; die Entgelte werden nach Ablauf des jeweiligen Abrechnungszeitraums berechnet und in Rechnung gestellt. Für die Nutzung von Dokumenten- und Speicherplatz fällt keine gesonderte Vergütung an. Der Kunde kann aus den bereitgestellten Zahlungsmethoden wählen und ist verpflichtet, für deren Gültigkeit und Deckung zu sorgen.
6.3 Der Anbieter ist berechtigt, die Preise mit einer Ankündigungsfrist von sechs Wochen zum Ende eines Abrechnungszeitraums anzupassen. Bei Preiserhöhungen von mehr als 5 % steht dem Kunden ein Sonderkündigungsrecht zu; die Kündigung muss innerhalb von zwei Wochen nach Zugang der Ankündigung in Textform erklärt werden und wird zum Zeitpunkt des Inkrafttretens der Preiserhöhung wirksam. Preisanpassungen gelten nicht für bereits bezahlte Abrechnungszeiträume.
6.4 Schlägt eine Zahlung aus Gründen fehl, die der Kunde zu vertreten hat, trägt der Kunde die dadurch entstehenden Gebühren. Der Anbieter setzt eine angemessene Nachfrist; bei Nichterfüllung kann der Zugang bis zum vollständigen Zahlungseingang gesperrt werden.
6.5 Die Aufrechnung mit Gegenansprüchen des Kunden ist nur zulässig, soweit diese rechtskräftig festgestellt oder unbestritten sind. Ein Zurückbehaltungsrecht besteht nur bei Gegenansprüchen aus demselben Vertragsverhältnis.
§ 7 Gewährleistung und Haftung
7.1 KnowledgePilot haftet aus jedem Rechtsgrund uneingeschränkt bei Vorsatz oder grober Fahrlässigkeit, bei vorsätzlicher oder fahrlässiger Verletzung des Lebens, des Körpers oder der Gesundheit, aufgrund eines Garantieversprechens, soweit diesbezüglich nichts anderes geregelt ist, oder aufgrund zwingender Haftung nach dem Produkthaftungsgesetz.
7.2 Die verschuldensunabhängige Haftung des Anbieters auf Schadensersatz für bereits bei Vertragsschluss vorhandene Mängel gemäß § 536a Abs. 1, 1. Alternative BGB ist ausgeschlossen.
7.3 Der Anbieter gewährleistet, dass die Leistungen im Wesentlichen der Leistungsbeschreibung entsprechen. Unwesentliche Abweichungen begründen keine Gewährleistungsansprüche. Die Gewährleistung erstreckt sich nicht auf Mängel durch unsachgemäße Nutzung, Eingriffe des Kunden oder höhere Gewalt.
7.4 Der Kunde hat Mängel unverzüglich in Textform anzuzeigen. Unterlässt der Kunde die unverzügliche Anzeige eines erkennbaren Mangels, verliert er seine Gewährleistungsrechte hinsichtlich dieses Mangels, es sei denn, der Anbieter hat den Mangel arglistig verschwiegen. Der Anbieter beseitigt angezeigte Mängel innerhalb angemessener Frist. Die Wahl zwischen Nachbesserung und Bereitstellung einer fehlerbereinigten Version steht dem Anbieter zu. Schlägt die Nachbesserung nach zwei Versuchen fehl, kann der Kunde vom Vertrag zurücktreten oder die Vergütung mindern. Ein Rücktrittsrecht besteht nicht bei unerheblichen Mängeln.
7.5 Bei fahrlässiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung auf den vertragstypischen, bei Vertragsschluss vorhersehbaren Schaden begrenzt. Im Übrigen ist die Haftung bei leichter Fahrlässigkeit ausgeschlossen. Dies gilt insbesondere für mittelbare Schäden, Folgeschäden und entgangenen Gewinn. Die Haftungsbegrenzung ist begrenzt auf die gezahlte Vergütung der letzten zwölf Monate, mindestens jedoch 1.000 Euro.
Eine Haftung besteht insbesondere nicht für Schäden durch:
- mangelhafte oder unterlassene Datensicherung durch den Kunden
- Handlungen Dritter außerhalb des Einflussbereichs des Anbieters
- höhere Gewalt
- unsachgemäße oder vertragswidrige Nutzung
7.6 Die vorstehenden Haftungsbeschränkungen gelten auch zugunsten der gesetzlichen Vertreter, Erfüllungsgehilfen und Mitarbeiter des Anbieters.
7.7 Der Kunde stellt den Anbieter von Ansprüchen Dritter frei, die aufgrund von Verstößen des Kunden gegen diese AGB, geltendes Recht oder Rechte Dritter geltend gemacht werden, einschließlich angemessener Kosten der Rechtsverteidigung.
7.8 Gewährleistungsansprüche verjähren in zwölf Monaten ab Bereitstellung. Schadensersatzansprüche nach Absatz 7.3 verjähren in zwölf Monaten ab Kenntnis, spätestens in drei Jahren ab dem Ereignis. Gesetzliche Verjährungsfristen für Ansprüche bei Vorsatz, grober Fahrlässigkeit und Verletzung von Leben, Körper oder Gesundheit bleiben unberührt.
§ 8 Laufzeit und Kündigung
8.1 Der Vertrag wird auf unbestimmte Zeit geschlossen. Der Vertrag kann mit einer Frist von 14 Tagen zum Monatsende ordentlich gekündigt werden. Ohne Kündigung verlängert sich der Vertrag automatisch um den jeweiligen Abrechnungszeitraum.
8.2 Bei Preiserhöhungen von mehr als 5 % steht dem Kunden ein Sonderkündigungsrecht gemäß § 6.3 zu.
8.3 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für den Anbieter insbesondere vor bei Zahlungsverzug trotz Mahnung, wiederholten oder schwerwiegenden Vertragsverstößen oder Insolvenzantrag des Kunden. Ein wichtiger Grund liegt für den Kunden insbesondere vor bei dauerhafter Nichterbringung der Leistungen trotz Nachfrist oder Insolvenzantrag des Anbieters.
8.4 Kündigungen bedürfen der Textform. Eine Kündigung per E-Mail an office@knowledgepilot.ai ist ausreichend.
Folgen der Beendigung
8.5 Mit Wirksamwerden der Kündigung endet der Zugang. Der Kunde kann seine Daten bis 30 Tage nach Vertragsende über die Exportfunktion herunterladen. Nach Ablauf dieser Frist werden alle Kundendaten vollständig und unwiederbringlich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Anbieter bestätigt die Löschung auf Verlangen in Textform.
8.6 Bei Beendigung des Vertrags wird der bis zum Wirksamwerden der Kündigung tatsächlich genutzte Zeitraum zeitanteilig nach Nutzertagen (§ 4.2) abgerechnet; eine Vergütung für Zeiträume nach Vertragsende fällt nicht an. Da die Abrechnung nachschüssig erfolgt (§ 6.2), entstehen keine im Voraus gezahlten Beträge, die zu erstatten wären.
§ 9 Referenznennung
Der Anbieter ist berechtigt, den Kunden als Referenzkunden zu nennen und das Logo des Kunden für Marketingzwecke zu verwenden, sofern der Kunde dem zuvor in Textform zugestimmt hat. Die Zustimmung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
§ 10 Änderungen der AGB und Leistungen
10.1 Der Anbieter ist berechtigt, diese AGB mit Wirkung für die Zukunft zu ändern, sofern ein sachlich gerechtfertigter Grund vorliegt (insbesondere Änderungen der Rechtslage, technische Entwicklungen, regulatorische Anforderungen). Änderungen werden mindestens sechs Wochen vor Inkrafttreten in Textform mitgeteilt. Sie gelten als genehmigt, wenn der Kunde nicht innerhalb von sechs Wochen nach Zugang widerspricht. Der Anbieter weist in der Mitteilung gesondert auf diese Genehmigungsfiktion hin. Bei Widerspruch wird der Vertrag zu den bisherigen Bedingungen fortgeführt; der Anbieter kann in diesem Fall ordentlich mit 30 Tagen zum Ende des Abrechnungszeitraums kündigen. Änderungen der Hauptleistungspflichten und des Entgelts sind von diesem Änderungsrecht ausgenommen; Preisanpassungen richten sich nach § 6.3.
10.2 Der Anbieter entwickelt die Software kontinuierlich weiter. Der Kunde hat keinen Anspruch auf Beibehaltung eines bestimmten Funktionsumfangs, solange die Kernfunktionalität erhalten bleibt. Über wesentliche Änderungen wird der Kunde vorab informiert. Führt eine Änderung zu einer erheblichen Beeinträchtigung, steht dem Kunden ein Sonderkündigungsrecht mit 14 Tagen Frist zu.
§ 11 Schlussbestimmungen
11.1 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).
11.2 Gerichtsstand für alle Streitigkeiten ist Gera, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder keinen allgemeinen Gerichtsstand in Deutschland hat. Der Anbieter ist daneben berechtigt, den Kunden auch an dessen allgemeinem Gerichtsstand zu verklagen.
11.3 Der Kunde kann Rechte und Pflichten aus diesem Vertrag nur mit vorheriger Zustimmung des Anbieters in Textform übertragen. Der Anbieter ist berechtigt, Rechte und Pflichten auf verbundene Unternehmen (§ 15 AktG) zu übertragen.
11.4 Änderungen und Ergänzungen dieser AGB bedürfen der Textform. Mündliche Nebenabreden bestehen nicht.
11.5 Beide Parteien verpflichten sich, vertrauliche Informationen der jeweils anderen Partei zeitlich unbegrenzt vertraulich zu behandeln und nur für Vertragszwecke zu verwenden. Jede Partei wird die Vertraulichkeitsverpflichtung allen Mitarbeitern und beauftragten Dritten auferlegen, die Zugang zu vertraulichen Informationen haben. Die Vertraulichkeitsverpflichtung gilt nicht für Informationen, die öffentlich bekannt sind, der empfangenden Partei bereits bekannt waren, von Dritten rechtmäßig erlangt wurden, unabhängig entwickelt wurden oder aufgrund gesetzlicher Vorschriften offengelegt werden müssen; in letzterem Fall wird die zur Offenlegung verpflichtete Partei die andere Partei – soweit rechtlich zulässig – vorab informieren.
Anlage: Auftragsverarbeitungsvertrag (AVV) im Sinne von Art. 28 Abs. 3 DSGVO
Dieser Vertrag über Auftragsverarbeitung (nachfolgend „AVV") ist Bestandteil der vorstehenden AGB und wird gemeinsam mit diesen bei Vertragsschluss elektronisch angenommen; einer gesonderten handschriftlichen Unterzeichnung bedarf es nicht.
Im Sinne dieses AVV ist „Auftraggeber" der Kunde – Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO – gemäß den von ihm bei Vertragsschluss gemachten Angaben; „Auftragnehmer" ist der Anbieter, die Companionware AG, Arminiusstraße 30, 07548 Gera.
Die Laufzeit dieses AVV ist an den Bestand des SaaS-Hauptvertrags geknüpft; er endet automatisch mit dessen Beendigung. Im Übrigen gilt Ziffer 2.
1. Allgemeine Bestimmungen und Vertragsgegenstand
1.1 Gegenstand des vorliegenden Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag durch den Auftragnehmer (Art. 28 DSGVO). Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Auftraggeber.
1.2 Inhalt des Auftrags, Kategorien betroffener Personen und Datenarten sowie Zweck der Vereinbarung sind Anlage 1 zu entnehmen.
1.3 Die Verarbeitung der Daten durch den Auftragnehmer findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung oder nach vorheriger Weisung des Auftraggebers.
2. Vertragslaufzeit und Kündigung
Die Laufzeit dieses Vertrags entspricht der Laufzeit des SaaS-Hauptvertrags (AGB); er beginnt und endet automatisch mit diesem. Eine gesonderte ordentliche Kündigung dieses AVV ist nicht möglich. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
3. Weisungen des Auftraggebers
3.1 Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung ggü. dem Auftragnehmer zu. Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls der Auftragnehmer der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit der Auftragnehmer substantiiert anzweifelt, ist der Auftragnehmer berechtigt, deren Ausführung vorübergehend auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich bestätigt oder ändert. Besteht die Möglichkeit, dass der Auftragnehmer durch das Befolgen der Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchführung der Weisung bis zur Klärung der Haftung im Innenverhältnis – oder bis zu einer Einräumung sonstiger angemessener Sicherheiten durch den Auftraggeber zur Abwendung von Schäden des Auftragnehmers – ausgesetzt werden.
3.2 Eine von den Weisungen oder ohne Weisungen des Auftraggebers abweichende Verarbeitung ist nur zulässig, wenn der Auftragnehmer nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Datenverarbeitung verpflichtet ist. Im Falle einer solchen Verarbeitung, informiert der Auftragnehmer den Auftraggeber unverzüglich über beabsichtigte oder bereits eingeleitete Verarbeitung, es sei denn, dass das betreffende Recht der Europäischen Union oder des Mitgliedstaates eine solche Mitteilung aufgrund eines wichtigen öffentlichen Interesses verbietet; in diesem Fall erfolgt die Mitteilung unverzüglich, sobald die rechtlichen Hindernisse nicht mehr bestehen.
3.3 Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z.B. per E-Mail) zu erteilen. Mündliche Weisungen sind in begründeten Einzelfällen zulässig und werden vom Auftraggeber unverzüglich schriftlich oder in einem elektronischen Format bestätigt. In der Bestätigung ist ausdrücklich zu begründen, warum keine Weisung in Textform erfolgen konnte. Der Auftragnehmer hat Person, Datum und Uhrzeit der durch den Auftraggeber erteilten Weisung in angemessener Form zu dokumentieren.
3.4 Der Auftraggeber benennt auf Verlangen des Auftragnehmers eine oder mehrere weisungsberechtigte Personen. Personelle Änderungen sind dem Auftragnehmer unverzüglich mitzuteilen.
4. Kontrollbefugnisse des Auftraggebers
4.1 Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während der Vertragslaufzeit regelmäßig, im erforderlichen Umfang, zu kontrollieren. Der Auftraggeber hat dafür zu sorgen, dass die Kontrollmaßnahmen verhältnismäßig sind und den Betrieb des Auftragnehmers nicht mehr als erforderlich beeinträchtigen.
4.2 Die Ergebnisse der Kontrollen und Weisungen sind vom Auftraggeber in geeigneter Weise zu protokollieren.
4.3 Der Auftragnehmer stellt dem Auftraggeber alle zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlichen Informationen zur Verfügung. Er ermöglicht und unterstützt Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragnehmer kann den Nachweis geeigneter technischer und organisatorischer Maßnahmen auch durch aktuelle Testate, anerkannte Zertifizierungen (z. B. nach ISO 27001) oder Berichte unabhängiger Prüfer erbringen, soweit diese den Prüfgegenstand abdecken. Ein vom Auftraggeber beauftragter Prüfer darf nicht in einem Wettbewerbsverhältnis zum Auftragnehmer stehen und ist zur Verschwiegenheit zu verpflichten.
5. Allgemeine Pflichten des Auftragnehmers
5.1 Die Verarbeitung der vertragsgegenständlichen Daten durch den Auftragnehmer erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen in Verbindung mit den ggf. erteilten Weisungen des Auftraggebers. Für eine hiervon abweichende Verarbeitung aufgrund von Rechtspflichten der Europäischen Union oder der Mitgliedstaaten gilt Ziffer 3.2.
5.2 Der Auftragnehmer hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu den vom Auftraggeber überlassenen personenbezogenen Daten erhalten.
6. Technische und organisatorische Maßnahmen
Der Auftragnehmer hat geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus festgelegt und diese in Anlage 2 dieses Vertrags festgehalten. Die dort beschriebenen Maßnahmen wurden unter Beachtung der Vorgaben nach Art. 32 DSGVO ausgewählt. Der Auftragnehmer wird die technischen und organisatorischen Maßnahmen regelmäßig und anlassbezogen überprüfen und anpassen.
7. Unterstützungspflichten von Auftragnehmer
Der Auftragnehmer wird den Auftraggeber gem. Art. 28 Abs. 3 lit. e DSGVO bei dessen Pflichten zur Wahrung der Betroffenenrechte aus Kapitel III, Art. 12 – 22 DSGVO, unterstützen. Dies gilt insbesondere für die Erteilung von Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogener Daten. Der Auftragnehmer wird den Auftraggeber ferner gem. Art. 28 Abs. 3 lit. f DSGVO bei dessen Pflichten nach Art. 32-36 DSGVO (insb. Meldepflichten) unterstützen. Die Reichweite dieser Unterstützungspflichten bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem Auftragnehmer zur Verfügung stehen.
8. Einsatz von Unterauftragsverarbeitern (Subunternehmer)
8.1 Der Auftragnehmer ist zum Einsatz von Unterauftragsverarbeitern (Subunternehmern) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Subunternehmerverhältnisse des Auftragnehmers sind diesem Vertrag abschließend in Anlage 3 aufgeführt. Für die in Anlage 3 aufgezählten Subunternehmer gilt die Zustimmung mit Abschluss dieses Vertrags als erteilt.
8.2 Beabsichtigt der Auftragnehmer den Einsatz weiterer Subunternehmer, wird der Auftragnehmer dies dem Auftraggeber rechtzeitig - spätestens jedoch zwei Wochen - vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen. Der Auftraggeber hat nach dieser Mitteilung zwei Wochen Zeit, der Hinzuziehung des/der Subunternehmer zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung des/der Subunternehmer(s) als genehmigt. In dringenden Fällen (z.B. bei kurzfristig benötigten Fehleranalysen oder Mängelbeseitigungen), kann der Auftragnehmer die Anzeige- und Widerspruchsfrist für Subunternehmer angemessen verkürzen. Erfolgt ein fristgerechter Widerspruch, dürfen die betroffenen Subunternehmer nicht eingesetzt werden. Ist dem Auftragnehmer in diesem Fall die Erbringung der vertraglich geschuldeten Leistung ohne den Einsatz des betroffenen Subunternehmers nicht oder nur mit unverhältnismäßigem Aufwand möglich, ist der Auftragnehmer berechtigt, diesen AVV und den SaaS-Hauptvertrag mit einer Frist von 30 Tagen zum Monatsende in Textform zu kündigen. Widersprüche sind nur zulässig, wenn der Auftraggeber begründete Anhaltspunkte dafür hat, dass durch den Einsatz des Unterauftragnehmers die Datensicherheit oder der Datenschutz eingeschränkt würde, die Einhaltung gesetzlicher oder vertraglicher Bestimmungen gefährdet wäre und/oder sonstige berechtigte Interessen des Auftraggebers entgegenstehen; die entsprechenden Verdachtsmomente sind dem Widerspruch beizufügen.
8.3 Subunternehmer werden vom Auftragnehmer unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Sämtliche Verträge zwischen Auftragsverarbeiter (Auftragnehmer) und Unterauftragsverarbeiter (Subunternehmer) müssen den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen; dies betrifft insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO im Betrieb des Subunternehmers. Nebenleistungen, welche der Auftragnehmer zur Ausübung von geschäftlichen Tätigkeiten in Anspruch nimmt, stellen keine Unterauftragsverhältnisse im Sinne des Art. 28 DSGVO dar. Nebentätigkeiten in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen sowie sonstige Maßnahmen, welche die Vertraulichkeit und/oder Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. Der Auftragnehmer wird jedoch auch bei diesen Drittleistungen die Einhaltung der gesetzlichen Datenschutzstandards (insbesondere durch entsprechende Vertraulichkeitsvereinbarungen) sicherstellen.
8.4 Die Beauftragung von Subunternehmern in Drittstaaten (außerhalb der EU und des EWR) ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der Auftraggeber zuvor ausdrücklich in Textform zugestimmt hat; die Genehmigungsfiktion nach Ziffer 8.2 gilt insoweit nicht. In der Zustimmungsanfrage weist der Auftragnehmer auf den Drittstaatenbezug und das eingesetzte Übermittlungsinstrument (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln) hin.
8.5 Dem Subunternehmer werden durch Vertrag dieselben Datenschutzpflichten auferlegt, die in diesem AVV festgelegt sind, insbesondere die Gewährleistung hinreichender Garantien für geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Subunternehmers in vollem Umfang (Art. 28 Abs. 4 DSGVO).
9. Mitteilungspflichten des Auftragnehmers
9.1 Verstöße gegen diesen Vertrag, gegen Weisungen des Auftraggebers oder gegen sonstige datenschutzrechtliche Bestimmungen sind dem Auftraggeber unverzüglich mitzuteilen; das gleiche gilt bei Vorliegen eines entsprechenden begründeten Verdachts. Diese Pflicht gilt unabhängig davon, ob der Verstoß vom Auftragnehmer selbst, einer beim Auftragnehmer angestellten Person, einem Subunternehmer oder einer sonstigen Person, die der Auftragnehmer zur Erfüllung vertraglicher Pflichten eingesetzt hat, begangen wurde.
9.2 Ersucht ein Betroffener, eine Behörde oder ein sonstiger Dritter den Auftragnehmer um Auskunft, Berichtigung, Einschränkung der Verarbeitung oder Löschung, wird der Auftragnehmer die Anfrage unverzüglich an den Auftraggeber weiterleiten und das weitere Vorgehen mit ihm abstimmen.
9.3 Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von denen auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten personenbezogenen Daten betroffen sein könnten. Darüber hinaus hat der Auftragnehmer den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch welche die vertragsgegenständlichen Daten gefährdet oder beeinträchtigt werden könnten.
9.4 Wird dem Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) bekannt, die die vom Auftraggeber überlassenen Daten betrifft, meldet er diese dem Auftraggeber unverzüglich nach Bekanntwerden. Die Meldung enthält mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit dem Auftragnehmer bekannt (Art der Verletzung sowie betroffene Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Abhilfemaßnahmen). Der Auftragnehmer ergreift unverzüglich die zur Sicherung der Daten und zur Eindämmung möglicher nachteiliger Folgen erforderlichen Maßnahmen und unterstützt den Auftraggeber bei dessen Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO. Die Meldung des Auftragnehmers gilt nicht als Anerkennung eines Verschuldens.
10. Vertragsbeendigung, Löschung und Rückgabe der Daten
Nach Abschluss der vertragsgegenständlichen Datenverarbeitung bzw. nach Beendigung dieses Vertrags hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern für den Auftragnehmer keine rechtliche Verpflichtung zur Speicherung der betreffenden Daten mehr besteht (z.B. gesetzliche Aufbewahrungsfristen). Die Rückgabe erfolgt über die Exportfunktion der Anwendung; der Auftraggeber kann seine Daten innerhalb der Frist von 30 Tagen nach Vertragsende gemäß § 8.5 der AGB selbst exportieren. Übt der Auftraggeber sein Wahlrecht nicht innerhalb dieser Frist aus, werden die Daten nach Fristablauf gemäß § 8.5 der AGB vollständig und unwiederbringlich gelöscht. Der Auftragnehmer bestätigt die Löschung auf Verlangen in Textform.
11. Datengeheimnis und Vertraulichkeit
Der Auftragnehmer ist unbefristet und über das Ende dieses Vertrages hinaus verpflichtet, die im Rahmen der vorliegenden Vertragsbeziehung erlangten personenbezogenen Daten vertraulich zu behandeln. Der Auftragnehmer verpflichtet sich, Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit beim Auftragnehmer aufnehmen.
12. Schlussbestimmungen
12.1 Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen oder elektronischen Form, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.
12.2 Sind die Vertragsparteien Kaufleute, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist der Sitz des Auftragnehmers Gerichtsstand für alle Streitigkeiten aus diesem Vertrag; ausschließliche Gerichtsstände bleiben hiervon unberührt.
12.3 Sollte sich die DSGVO oder sonstige in Bezug genommenen gesetzlichen Regelungen während der Vertragslaufzeit ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.
12.4 Sollten einzelne Teile dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
12.5 Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.
Dieser AVV wird gemeinsam mit den vorstehenden AGB beim Vertragsschluss elektronisch durch den Auftraggeber angenommen. Eine handschriftliche Unterzeichnung durch Auftraggeber und Auftragnehmer (Ort, Datum, Unterschrift) ist nicht erforderlich.
Anlage 1 – Auftragsdetails
| Leistungen, bei denen Daten im Auftrag verarbeitet werden | Verarbeitete Datenarten | Betroffene Personenkategorien |
|---|---|---|
| Bereitstellen einer SaaS-Anwendung (KnowledgePilot) | Vom Auftraggeber in die Anwendung eingestellte oder über vom Auftraggeber angebundene Drittsysteme (z. B. E-Mail-Postfächer per IMAP/Exchange, Cloud-Speicher, Kollaborationsplattformen) abgerufene Inhalte und Dokumente, soweit diese personenbezogene Daten enthalten (z. B. Namen, Kontaktdaten, berufliche Angaben sowie Inhalte von Dokumenten und Korrespondenz); daraus abgeleitete Daten (Suchindizes, KI-Repräsentationen, Wissensgraph, gespeicherte Chatverläufe); Konto- und Nutzungsdaten der angelegten Nutzerkonten (Name, geschäftliche E-Mail-Adresse, Anmelde- und Protokolldaten) sowie vom Auftraggeber hinterlegte Zugangsdaten/Token für angebundene Drittsysteme. | Nutzer der Anwendung sowie Beschäftigte, Kunden, Interessenten, Lieferanten und sonstige Geschäftspartner des Auftraggebers; ferner Personen, die in den vom Auftraggeber eingestellten Dokumenten genannt werden. |
Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Analysieren (einschließlich KI-gestützter Indexierung und Auswertung), Bereitstellen, Einschränken und Löschen der vorgenannten Daten im Rahmen der Bereitstellung der SaaS-Anwendung.
Zweck der Verarbeitung: Erbringung der vertraglich vereinbarten Leistungen der SaaS-Anwendung KnowledgePilot (KI-gestützte Wissensorganisation und Dokumentenanalyse) für den Auftraggeber. Die Verarbeitung erfolgt ausschließlich zu diesem Zweck und im Umfang der Weisungen des Auftraggebers.
Anlage 2 – Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVO
Der Auftragnehmer setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.
1. Physische Sicherheit (Zutrittskontrolle)
Die Verarbeitung der vertragsgegenständlichen Daten erfolgt in Rechenzentren der Hetzner Online GmbH in Deutschland (vgl. Anlage 3). Die physische Sicherheit dieser Rechenzentren (u. a. Zutrittskontrollsysteme, Videoüberwachung, Sicherheitsdienst, Perimeterschutz) ist nach ISO/IEC 27001 zertifiziert; der Auftragnehmer überzeugt sich regelmäßig vom Fortbestand der Zertifizierung.
Die Arbeitsstätte des Auftragsverarbeiters (Büro), an der keine dauerhafte Speicherung vertragsgegenständlicher Daten erfolgt, wird ergänzend wie folgt gegen unbefugten Zutritt gesichert:
- Manuelles Schließsystem / Sicherheitsschlösser
- Zutrittskonzept / Besucherregelung
- Sorgfältige Auswahl von Reinigungspersonal
2. Sicherung der IT-Systeme des Auftragsverarbeiters (Zugangskontrolle)
Die IT-Systeme des Auftragsverarbeiters werden in folgender Weise gegen unbefugte Zugriffe (z.B. Hackerangriffe) gesichert:
- Passwortrichtlinie (Mindestanforderungen an Länge und Komplexität)
- Zwei-Faktor-Authentifizierung (2FA), verpflichtend für administrative Zugänge
- Erstellen von Benutzerprofilen in den IT-Systemen
- Login in die IT-Systeme mit individuellem Benutzernamen und Passwort
- Verwaltung der Berechtigungen durch Systemadministratoren
- Anzahl der Systemadministratoren ist auf das „Notwendigste" reduziert
- Einsatz von Anti-Viren-Software
- Einsatz von Hardware-Firewall
- Einsatz von Software-Firewall
- Verschlüsselung mobiler Datenträger (Handys, Laptops etc.)
- Patch- und Schwachstellenmanagement: regelmäßige, zeitnahe Einspielung sicherheitsrelevanter Updates der eingesetzten System- und Anwendungssoftware sowie anlassbezogene Prüfung auf bekannt gewordene Schwachstellen
3. Beschränkung der Zugriffe auf personenbezogene Daten (Zugriffskontrolle)
Folgende Maßnahmen stellen sicher, dass die zur Nutzung der IT-Systeme Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:
- Rollen- und Berechtigungskonzept nach dem Need-to-know-Prinzip
- Bedarfsgerechte Vergabe von Zugriffsrechten (Grundsatz der minimalen Rechtevergabe)
- Regelmäßige Überprüfung und Anpassung der Zugriffsberechtigungen
- Protokollierung von Zugriffen auf personenbezogene Daten
- Trennung von administrativen und nutzerbezogenen Zugriffsrechten
4. Getrennte Verarbeitung mandantenbezogener Daten (Trennungskontrolle)
Folgende Maßnahmen stellen sicher, dass die Daten verschiedener Auftraggeber (Mandanten) sowie zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Logische Mandantentrennung der Daten verschiedener Kunden (mandantenfähige Architektur mit mandantenbezogener Kennung)
- Technische Zugriffsbeschränkung auf den jeweils eigenen Mandanten des Auftraggebers
- Trennung von Produktiv-, Test- und Entwicklungsumgebungen
- Zweckgebundene, nach Auftraggeber getrennte Verarbeitung
5. Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
Folgende Maßnahmen schützen die personenbezogenen Daten durch Verschlüsselung und – soweit für den Verarbeitungszweck möglich – Pseudonymisierung:
- Verschlüsselte Übertragung der Daten nach dem Stand der Technik (TLS 1.2 oder höher)
- Verschlüsselung der gespeicherten Daten (Verschlüsselung „at rest")
- Verschlüsselung der Datensicherungen (Backups)
- Pseudonymisierung personenbezogener Daten, soweit für den Verarbeitungszweck möglich
6. Protokollierung von Datenverarbeitungsprozessen (Eingabekontrolle)
Folgende Maßnahmen stellen sicher, dass der Auftragsverarbeiter jederzeit erkennen kann, welche Datenverarbeitungsprozesse in seinen Datenverarbeitungssystemen stattgefunden haben (z.B. Eingabe, Veränderung, Sperrung oder Löschung):
- Protokollierung von Eingaben, Änderungen und Löschungen (Log-Protokolle)
- Protokollierung der Aktionen einzelner Nutzer
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
7. Sichere Löschung von Daten
Folgende Maßnahmen stellen die ordnungsgemäße Löschung der vertragsgegenständlichen Daten sicher:
- Dokumentiertes Löschkonzept mit definierten Löschfristen je Datenkategorie
- Vollständige und unwiederbringliche Löschung aller Kundendaten 30 Tage nach Vertragsende (§ 8.5 AGB), einschließlich abgeleiteter Daten (z. B. Suchindizes und KI-Repräsentationen der Dokumente)
- Gelöschte Daten entfallen im Zuge der turnusmäßigen Backup-Rotation auch aus den Datensicherungen; Datensicherungen werden nicht zur Wiederherstellung gelöschter Einzeldaten verwendet
- Löschbestätigung gegenüber dem Auftraggeber auf Verlangen in Textform
8. Datenschutz bei den Subunternehmern des Auftragsverarbeiters
Folgende Maßnahmen stellen sicher, dass sich die vom Auftragsverarbeiter ausgewählten Subunternehmer datenschutzkonform verhalten:
- Auswahl der Subunternehmer unter Sorgfaltsgesichtspunkten (insb. hinsichtlich Datensicherheit)
- Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen mit dem Subunternehmer
- Laufende und anlassbezogene Prüfung des Subunternehmers
9. Sicherung von Daten bei Transport und Übermittlung (Weitergabekontrolle)
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) vor unbefugten Dritten geschützt werden:
- Verschlüsselung der sonstigen Kommunikationswege
10. Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme
Folgende Maßnahmen stellen sicher, dass die vertragsgegenständlichen Daten jederzeit verfügbar sind, die Systeme belastbar bleiben und die Integrität der Daten gewahrt wird:
- Backup- & Wiederherstellungskonzept
- Testen der Datenwiederherstellung
- Maßnahmen zur Gewährleistung der Belastbarkeit und Ausfallsicherheit der Systeme (Resilienz)
- Schutz vor Datenverlust und unbeabsichtigter Veränderung (Integritätssicherung)
- Dokumentierter Incident-Response-Prozess (Erkennung, Bewertung, Eskalation, Eindämmung, Behebung und Nachbereitung von Sicherheitsvorfällen einschließlich der Meldewege nach Ziffer 9 dieses AVV)
11. Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen
Der Auftragsverarbeiter wird die in dieser Anlage beschriebenen technischen und organisatorischen Maßnahmen im Abstand von 12 Monaten und anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen.
Anlage 3 – Liste der bestehenden Subunternehmer zum Zeitpunkt des Vertragsschlusses
| (Unternehmens-) Name und Anschrift | Beschreibung der Leistung | Land der Leistungserbringung |
|---|---|---|
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (www.hetzner.com) | Hosting der Anwendung | Deutschland |
| Nebius B.V., Schiphol Boulevard 165, 1118 BG Schiphol, Niederlande (nebius.com) | Betrieb des Sprachmodells für die Antwortgenerierung (KI-Inferenz, GPU-Compute) in einem Rechenzentrum in Finnland (EU). Die sonstigen Funktionen der Anwendung verwenden eigene Systeme des Auftragnehmers in Deutschland, nicht die dieses Subunternehmers. | Finnland |