AV-Vertrag
Vertragsanlage über die Auftragsverarbeitung personenbezogener Daten
i.S.d. Art. 28 DSGVO
zwischen
Plattformanbieter
– nachfolgend „Auftragnehmer“ genannt –
und
Plattformnutzer
– nachfolgend „Auftragsgeber“ genannt –
(gemeinsam „Parteien“)
§ 1 Gegenstand, Dauer und Ort der Verarbeitung
-
Gegenstand. Der Auftragnehmer Chester Roussos (Einzelunternehmen) stellt dem Auftragsgeber eine SaaS-Plattform zur Einbindung eines KI-gestützten Chatbots auf den Webseiten des Auftragsgebers bereit.
Im Rahmen dieses Vertrages verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag und nach Weisung des Auftragsgebers zum Betrieb des Chatbots (Widget), des Dashboards (Konfiguration, Statistiken), der Wissensbasis (Datei-Uploads, Unternehmens- und Produktinformationen) sowie hierfür erforderlicher Systemfunktionen (z. B. Authentifizierung, transaktionale E-Mails, Zahlungsabwicklung via beauftragte Unterauftragsverarbeiter).
Eine Nutzung der Daten zu eigenen Zwecken des Auftragnehmers findet nicht statt. -
Beginn und Ende. Dieser Vertrag zur Auftragsverarbeitung tritt mit Abschluss des Nutzungsverhältnisses über die Plattform des Auftragnehmers in Kraft und gilt für die Dauer der Nutzung. Die Beendigung der Nutzung der Plattform durch Kündigung oder Löschung des Accounts führt automatisch auch zur Beendigung dieses Vertrages. Eine gesonderte Kündigung des Auftragsverarbeitungsvertrags ist nicht erforderlich.
-
Verarbeitungsort. Die Verarbeitung erfolgt grundsätzlich in der EU/des EWR. Soweit Unterauftragsverarbeiter außerhalb der EU/des EWR eingesetzt werden, geschieht dies ausschließlich unter Beachtung von Kapitel V DSGVO (vgl. § 10 und Anlage 1).
§ 2 Art, Zweck und Umfang der Verarbeitung; Daten- und Personenkategorien
-
Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Anpassen/Verändern, Auslesen, Verwenden, Übermitteln (an Unterauftragsverarbeiter), Abgleichen, Einschränken, Löschen/Vernichten.
-
Zweck: Bereitstellung und Betrieb der SaaS-Plattform „Chatvise“ sowie der damit verbundenen Funktionen, insbesondere
• Einbindung und Betrieb des KI-gestützten Chatbots auf den Webseiten des Auftragsgebers,
• Konfiguration, Steuerung und Auswertung über das Dashboard,
• Verarbeitung und Speicherung von durch den Auftragsgeber bereitgestellten Wissens-, Unternehmens- und Produktinformationen zur Erweiterung der Chatbot-Wissensbasis,
• Durchführung systemischer Prozesse wie Authentifizierung, Benachrichtigungen und Zahlungsabwicklung,
• Qualitätssicherung, Stabilität und Verbesserung der Dienstleistung.
Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers (z. B. Marketing, Analyse, eigenständiges KI-Training) findet nicht statt. -
Kategorien personenbezogener Daten (je nach Nutzung/Konfiguration durch den Auftragsgeber):
o Chat-Inhalte (Freitexteingaben der Webseitenbesucher),
o optional: E-Mail-Adresse des Webseitenbesuchers (falls durch den Auftragsgeber aktiviert),
o Meta-/Prozessdaten (z. B. interne Chat-IDs, Zeitstempel von Einwilligungen/Popups, Antwortzeiten, Übergaben),
o Kundendaten des Auftragsgebers (z. B. Name, E-Mail, Login-/Geräteinformationen),
o Abrechnungsdaten (z. B. Zahlungs-ID/Transaktionsdaten beim Zahlungsdienst),
o Wissensbasis-Dokumente (z. B. vom Auftragsgeber bereitgestellte PDFs, Textdaten oder Produktinformationen zur Schulung des Chatbots). -
Kategorien betroffener Personen: Webseitenbesucher des Auftragsgebers (Endnutzer), beim Auftragsgeber autorisierte Nutzer (Admin/Agent), Ansprechpartner beim Auftragsgeber.
§ 3 Rollen; Weisungsrecht
-
Der Auftragsgeber ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO. Der Auftragnehmer ist Auftragsverarbeiter.
-
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftragsgebers; hierunter fallen insbesondere Einstellungen im Dashboard. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
-
Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftragsgeber unverzüglich.
-
Suspendierungsrecht: Der Auftragnehmer ist berechtigt, die Umsetzung rechtswidriger oder unklarer Weisungen bis zur Klärung auszusetzen. Der Auftragnehmer haftet nicht für Verzögerungen/Leistungseinschränkungen, die auf ausgesetzte, rechtswidrige oder unklare Weisungen zurückzuführen sind.
§ 4 Pflichten des Auftragnehmers
-
Rechtskonforme Organisation: Interne Prozesse sind so auszugestalten, dass die Anforderungen der DSGVO, insbesondere Art. 28 und Art. 32, eingehalten werden.
-
Vertraulichkeit: Personen, die beim Auftragnehmer Daten verarbeiten, sind vertraulich verpflichtet.
-
Technische und organisatorische Maßnahmen (TOMs): Der Auftragnehmer implementiert und unterhält die in Anlage 2 beschriebenen TOMs. Anpassungen sind zulässig, sofern das Schutzniveau nicht unterschritten wird.
-
Unterstützungspflichten: Angemessene Unterstützung des Auftragsgebers bei Betroffenenrechten (Art. 12–22), Meldungen von Verletzungen (Art. 33/34), DSFA (Art. 35) und ggf. Konsultationen (Art. 36).
-
Nachweise/Protokolle: Geeignete Nachweise zur Einhaltung (z. B. Informationen zur Rechenzentrums-Sicherheit, Policies) stellt der Auftragnehmer auf Anfrage bereit.
-
Datenminimierung/Privacy by Design: Verarbeitung nur im erforderlichen Umfang; Pseudonymisierung/Maskierung, wo zweckmäßig (z. B. Richtung KI-API).
-
Drittlandtransfers: Nur nach Maßgabe von Kapitel V DSGVO (vgl. § 10).
§ 5 Pflichten und Garantien des Auftragsgebers
-
Der Auftragsgeber garantiert, dass für alle im Rahmen dieses Vertrages verarbeiteten personenbezogenen Daten eine geeignete Rechtsgrundlage besteht und Informationspflichten ordnungsgemäß erfüllt sind (z. B. Hinweis auf KI-Interaktion, Datenschutzhinweise/Popup).
-
Der Auftragsgeber ist allein verantwortlich für Inhalte, die er oder seine Nutzer bereitstellen (einschließlich Trainingsdaten, Uploads, Freitexteingaben, Konfigurationen).
-
Weisungen sind rechtmäßig, eindeutig und dokumentiert zu erteilen.
-
Die Plattform wird rechtskonform konfiguriert (u. a. E-Mail-Abfrage nur mit Rechtsgrundlage; passende Löschintervalle; Rollen/Zugriffsrechte).
-
Verletzungen dieser Pflichten gehen zu Lasten des Auftragsgebers (Innenverhältnis).
§ 6 Sicherheitsvorfälle (Art. 33/34 DSGVO)
-
Der Auftragnehmer informiert den Auftragsgeber unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten.
-
Die Mitteilung enthält, soweit möglich: Art des Vorfalls, betroffene Datenkategorien/Anzahl, voraussichtliche Folgen, ergriffene/geplante Abhilfemaßnahmen.
-
Der Auftragnehmer unterstützt den Auftragsgeber bei Bewertung, Meldung an die Aufsichtsbehörde und Benachrichtigung Betroffener.
-
Die Kommunikation mit Behörden/Betroffenen erfolgt durch den Auftragsgeber; der Auftragnehmer handelt hierbei nur auf Weisung.
§ 7 Betroffenenrechte und Auskunftsersuchen
-
Gehen Betroffenenanfragen beim Auftragnehmer ein, leitet er diese – soweit zuordenbar – ohne unangemessene Verzögerung an den Auftragsgeber weiter.
-
Unterstützung des Auftragsgebers bei der Beantwortung im erforderlichen und zumutbaren Umfang.
§ 8 Nachweise, Audits, Inspektionen
-
Der Auftragnehmer stellt angemessene Nachweise zur Verfügung (z. B. Informationen zur Rechenzentrums-Sicherheit, TOM-Übersichten).
-
Audits/Inspektionen durch den Auftragsgeber oder beauftragte Prüfer: nach vorheriger Ankündigung, zu üblichen Geschäftszeiten, unter Wahrung von Vertraulichkeit und Betriebsabläufen. Vor-Ort-Audits sind nur erforderlich, wenn andere geeignete Nachweise nicht ausreichen.
-
Audits können an Bedingungen (Geheimnisschutz, keine Wettbewerber als Prüfer) geknüpft werden. Erforderliche Unterstützung wird – soweit nicht gesetzlich zwingend – angemessen vergütet.
§ 9 Löschung und Rückgabe von Daten
-
Wahlrecht des Auftragsgebers: Nach Beendigung des Nutzungsverhältnisses löscht der Auftragnehmer die im Auftrag verarbeiteten personenbezogenen Daten, je nach dokumentierter Weisung des Auftragsgebers, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
-
Löschfunktion während der Laufzeit (Dashboard): Der Auftragnehmer stellt im Dashboard eine Funktion bereit, mit der der Auftragsgeber die Löschung sämtlicher personenbezogener Daten (soweit technisch möglich und nicht aufbewahrungspflichtig) beauftragen kann; die Löschung erfolgt unverzüglich nach Auftragseingang.
-
Optionale automatisierte Löschung:
Die Pflicht zur Löschung/Anonymisierung der im Auftrag verarbeiteten Chat-Daten liegt ausschließlich beim Auftragsgeber. Der Auftragnehmer stellt hierfür optional eine Funktion zur automatisierten Löschung bereit; die Intervalle werden allein vom Auftragsgeber konfiguriert (30/60/90/180/360 Tage). Ohne entsprechende Konfiguration erfolgt keine automatisierte Löschung; in diesem Fall nimmt der Auftragsgeber die Löschung eigenverantwortlich über das Dashboard vor -
Backups: Gelöschte Datensätze können für die Dauer der Backup-Rotation in Sicherungen enthalten sein; Backups dienen ausschließlich Integritäts-/Wiederherstellungszwecken und werden nach Ablauf der Rotation überschrieben. Im Restore-Fall werden zuvor gelöschte Datensätze erneut entfernt.
§ 10 Unterauftragsverhältnisse (Subprozessoren)
-
Die aktuell eingesetzten Unterauftragsverarbeiter sind in Anlage 1 aufgeführt; der Auftragsgeber stimmt diesen zu.
-
Der Auftragnehmer informiert den Auftragsgeber vorab über die Einbindung/Änderung weiterer Subprozessoren (z. B. per E-Mail/Dashboard-Hinweis). Der Auftragsgeber kann innerhalb einer angemessenen Frist aus wichtigem datenschutzrechtlichen Grund widersprechen.
-
Der Auftragnehmer verpflichtet Subprozessoren schriftlich auf ein Datenschutzniveau, das diesem Vertrag entspricht (Art. 28 Abs. 4 DSGVO).
-
Drittländer: Bei Verarbeitung außerhalb des EU/EWR-Raums stellt der Auftragnehmer geeignete Garantien nach Kapitel V DSGVO sicher (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschluss).
-
Unterstützende Nebenleistungen ohne spezifischen Datenzugriff (z. B. Reinigung) gelten nicht als Unterauftragsverhältnisse; angemessenes Schutzniveau wird dennoch sichergestellt.
-
Der Auftragnehmer haftet nicht für Leistungsstörungen von Subprozessoren, die auf höhere Gewalt, flächendeckende Störungen oder behördliche Anordnungen beruhen. Ansprüche gegenüber Subprozessoren werden – soweit möglich – an den Auftragsgeber abgetreten.
§ 11 Technische und organisatorische Maßnahmen (TOMs)
-
Die TOMs des Auftragnehmers sind in Anlage 2 beschrieben und stellen das vereinbarte Mindestschutzniveau dar.
-
Anpassungen an technische/organisatorische Entwicklungen sind zulässig, sofern das Schutzniveau mindestens gleichwertig bleibt. Wesentliche Änderungen werden mitgeteilt.
§ 12 Haftung und Innenausgleich
-
Zwingende Haftung: Nichts in diesem Vertrag beschränkt die Haftung einer Partei für Vorsatz, grobe Fahrlässigkeit, Schäden aus Verletzung von Leben, Körper oder Gesundheit sowie Haftungstatbestände, die gesetzlich nicht beschränkbar sind (einschl. Art. 82 DSGVO gegenüber Betroffenen).
-
Kardinalpflichten: Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung auf den typischerweise vorhersehbaren Schaden begrenzt.
-
Haftungscap (Innenverhältnis): Im Übrigen ist die vertragliche und deliktische Haftung des Auftragnehmers gegenüber dem Auftragsgeber auf den Netto-Vergütungsbetrag der letzten zwölf (12) Monate vor dem schadensauslösenden Ereignis gedeckelt. Ausgenommen vom Cap sind die Fälle nach Abs. 1 sowie Schäden, die durch einen nachweislichen Verstoß gegen die in Anlage 2 festgelegten TOMs entstanden sind.
-
Ausschluss indirekter Schäden: Mittelbare Schäden, entgangener Gewinn, Produktions- und Nutzungsausfall, Datenwiederherstellungskosten außerhalb regulärer Backuproutinen sowie Folgeschäden sind ausgeschlossen, soweit nicht Abs. 1 eingreift.
-
Innenausgleich nach Art. 82 Abs. 5 DSGVO: Soweit der Auftragnehmer Betroffenen gegenüber haftet, ohne den Schaden verursacht zu haben, hat der Auftragsgeber den Auftragnehmer im Innenverhältnis entsprechend seinem Verantwortungsanteil freizustellen.
§ 12a Freistellung (Indemnität)
-
Der Auftragsgeber stellt den Auftragnehmer von Ansprüchen Dritter, behördlichen Maßnahmen (einschließlich Bußgeldern, soweit rechtlich zulässig), Schäden, Kosten und Aufwendungen (einschließlich angemessener Rechtsverfolgungskosten) frei, die zurückzuführen sind auf:
(a) rechtswidrige oder fehlende Weisungen,
(b) fehlende Rechtsgrundlagen,
(c) vom Auftragsgeber oder dessen Nutzern bereitgestellte Inhalte/Daten,
(d) nicht DSGVO-konforme Konfigurationen oder
(e) Vertragsverletzungen des Auftragsgebers. -
Der Auftragnehmer informiert den Auftragsgeber unverzüglich über geltend gemachte Ansprüche und stimmt Abwehr-/Vergleichsmaßnahmen mit ihm ab.
§ 13 Schlussbestimmungen
-
Änderungen/Ergänzungen dieses Vertrages bedürfen der Textform.
-
Sollten einzelne Bestimmungen unwirksam sein/werden, bleibt der Vertrag im Übrigen wirksam; an die Stelle der unwirksamen Bestimmung tritt eine zulässige Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.
-
Es gilt deutsches Recht. Soweit zulässig, ist Gerichtsstand der Sitz des Auftragnehmers.
-
Höhere Gewalt/Behördliche Anordnungen: Keine Partei haftet für Verzögerungen/Leistungshindernisse infolge höherer Gewalt, flächendeckender Störungen der Telekommunikations-/Cloud-Infrastruktur oder behördlicher Anordnungen, sofern die Partei hierauf keinen Einfluss hat und zumutbare Maßnahmen trifft.
Anlage 1 – Unterauftragsverarbeiter (Stand: 16.12.2025)
| Unterauftragsverarbeiter | Zweck der Verarbeitung | Sitz / Region | Garantien nach Art. 44 ff. DSGVO |
|---|---|---|---|
| Supabase Inc. | Benutzer-Authentifizierung, Session-Management, Plattform-Services | EU | Verarbeitung innerhalb de. Regionalkonfiguration; EU-Standardvertragsklauseln (SCC) bei ggf. erforderlichen Supportzugriffen außerhalb der EU |
| Prisma Data, Inc. | Datenbank-Verbindungsproxy (Prisma Accelerate); technische Weiterleitung ohne dauerhafte Speicherung. | USA | EU-Standardvertragsklauseln (Art. 46 DSGVO) |
| OpenAI, Inc. | KI-Antwortgenerierung (Textverarbeitung) | USA | EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie Angemessenheitsbeschluss nach Art. 45 DSGVO (EU-US Data Privacy Framework); Zero-Data-Retention aktiviert, keine Nutzung zu Trainingszwecken |
| Stripe, Inc. / Stripe Payments Europe Ltd. | Zahlungsabwicklung, Abonnement- und Rechnungsverwaltung | EU (Irland) | Verarbeitung primär durch EU-Gesellschaft; ggf. Drittlandübermittlungen auf Grundlage von EU-US DPF (Art. 45 DSGVO) und ergänzend SCC (Art. 46 DSGVO) |
| Uploadcare Inc. | Datei-Uploads (Bilder, PDFs, Logos, Wissensbasis) | EU | Speicherung in EU-Region bei entsprechender Konfiguration; bei Drittlandverarbeitung EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie ggf. EU-US DPF (Art. 45 DSGVO) |
| Ably Realtime Ltd. | Echtzeit-Kommunikation (Chat, Events) | Vereinigtes Königreich (UK) | Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich (Art. 45 DSGVO) |
| Resend, Inc. | Versand transaktionaler E-Mails | USA | EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie EU-US Data Privacy Framework (Art. 45 DSGVO) |
| Amazon Web Services, Inc. (AWS) | Hosting, Infrastruktur, Serverbetrieb (z. B. EC2) | EU (Frankfurt, eu-central-1) | Verarbeitung ausschließlich innerhalb der EU bei Auswahl einer EU-Region; kein Drittlandtransfer, sofern EU-Region genutzt wird |
Anlage 2 – Übersicht der umgesetzten technischen und organisatorischen Maßnahmen (Art. 32 DSGVO)
| Maßnahmenbereich | Ziel der Maßnahme | Umgesetzte Maßnahme |
|---|---|---|
| Zutrittskontrolle | Verhinderung des physischen Zugriffs Unbefugter auf Server | Rechenzentrums-Sicherheit beim Hostinganbieter (AWS, Region EU); physische Zugangsbeschränkungen durch den Anbieter |
| Zugangskontrolle | Nur autorisierte Personen dürfen auf das System zugreifen | Passwortschutz + 2FA für Admin-/Agent-Zugänge; rollenbasierte Berechtigungen (RBAC) |
| Zugriffskontrolle (intern) | Beschränkung interner Zugriffe auf notwendige Daten (Need-to-know) | Serverseitig durchgesetztes RBAC (Admin/Agent); Nutzung eingeschränkter Service-Konten (kein Superuser im Produktivbetrieb) |
| Weitergabekontrolle (Übertragung) | Schutz bei Datenübertragungen | TLS/SSL für alle externen Verbindungen; HSTS; Schutz von API-Keys/Secrets auf Server-Seite |
| Eingabekontrolle / Protokolle | Nachvollziehbarkeit, wer was wann geändert hat | Änderungs-/Administrations-Logging in der Plattform (z. B. Rollen-, Konfig-, Löschaktionen); auditfähige Logs nach Erforderlichkeit |
| Auftragskontrolle | DSGVO-konformer Umgang mit Subdienstleistern | Abschluss von AV-Vereinbarungen mit Unterauftragsverarbeitern; veröffentlichte Subprozessor-Liste; Vorab-Information bei Änderungen |
| Verfügbarkeitskontrolle | Schutz vor Datenverlust / Ausfall | Nutzung von infrastrukturseitigen Backups/Redundanzen und Wiederherstellungsmechanismen des Hostinganbieters (AWS); Monitoring/Alerting |
| Trennungsgebot | Daten verschiedener Kunden dürfen nicht vermischt werden | Logische Mandantentrennung auf Datenbank-/Applikationsebene; getrennte Speicherbereiche für Wissensbasis-Uploads |
| Datensicherung | Wiederherstellbarkeit bei Ausfall | Automatisierte, verschlüsselte Backups auf Infrastruktur-Ebene (AWS-Rotation); im Restore-Fall erneute Löschung zuvor gelöschter Datensätze |
| Privacy by Design/Default | Datenschutzfreundliche Voreinstellungen | Datenminimierung (E-Mail-Erfassung optional); Maskierung/Pseudonymisierung Richtung KI-API; konfigurierbare Löschintervalle für Chat-Daten (30/60/90/180/360 Tage) |
| Organisation/Prozesse | Geregelte Abläufe und Verantwortlichkeiten | Vertraulichkeitsbindung; dokumentierte Prozesse für Incident-Response sowie Bearbeitung von Weisungen und Betroffenenanfragen |