AVV – Mustervertrag über Auftragsverarbeitung (Art. 28 DSGVO)
zwischen
(1) Auftraggeber – Verantwortlicher
und
(2) KrambergAI
– nachfolgend „Auftragsverarbeiter“ –
Stand: 2025
1. Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers gemäß Art. 28 DSGVO.
(2) Der Umfang, die Art und der Zweck der Verarbeitung ergeben sich aus der Leistungsbeschreibung des jeweiligen Hauptvertrags (z. B. SaaS, KI-Tools, Hosting, IT-Services, Datenanalyse, Support).
(3) Die Dauer der Auftragsverarbeitung entspricht der Vertragslaufzeit des Hauptvertrags.
2. Art, Zweck und Kategorien der Datenverarbeitung
(1) Zwecke der Verarbeitung
Bereitstellung von SaaS-/Cloud-Services
KI-gestützte Text-, Analyse- oder Automatisierungsfunktionen
Hosting, Betrieb & Wartung von Plattformen
Datenanalyse & Machine Learning
Support, Fehlerdiagnose & Systemadministration
(2) Kategorien betroffener Personen
Kunden / Nutzer
Mitarbeitende / Ansprechpartner
Schüler*innen / Lehrkräfte (bei KI-Kinderakademie)
Bürger*innen / Website-Nutzer
sonstige Personen, deren Daten der Auftraggeber übermittelt
(3) Kategorien personenbezogener Daten
Stammdaten (Name, E-Mail, Anschrift, Rolle)
Nutzungs- & Metadaten
technische Logdaten
Kommunikationsinhalte (Support, KI-Interaktionen)
optionale Organisationsdaten (z. B. Klassenzugehörigkeit bei Schulen)
(4) Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt nur, wenn ausdrücklich vereinbart.
3. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
personenbezogene Daten ausschließlich gemäß Weisung des Auftraggebers zu verarbeiten
keine eigenen Zwecke zu verfolgen
nur autorisierte Personen Zugriff zu gewähren
Vertraulichkeit sicherzustellen
sämtliche TOMs einzuhalten (siehe Abschnitt 7)
Subdienstleister nur mit Genehmigung einzusetzen (siehe Abschnitt 8)
Daten auf Anweisung zu löschen oder zurückzugeben
Datenschutzvorfälle unverzüglich zu melden (siehe Abschnitt 10)
4. Weisungsbefugnis
(1) Der Auftraggeber hat jederzeit das Recht, Weisungen zur Verarbeitung zu erteilen.
(2) Weisungen müssen schriftlich oder in elektronischer Form erfolgen.
(3) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn eine Weisung aus seiner Sicht rechtswidrig ist.
5. Datengeheimnis & Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass:
Mitarbeitende & Subdienstleister umfassend auf das Datengeheimnis verpflichtet sind
Vertraulichkeit nach Art. 28 Abs. 3 lit. b DSGVO gewährleistet ist
Schulungen regelmäßig durchgeführt werden
6. Unterstützungspflichten des Auftragsverarbeiters
Der Auftragsverarbeiter unterstützt den Auftraggeber bei:
der Erfüllung der Betroffenenrechte (Art. 12–23 DSGVO)
der Sicherheit der Verarbeitung (Art. 32 DSGVO)
Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
Meldungen an Aufsichtsbehörden & Betroffene
7. Technische und organisatorische Maßnahmen (TOMs)
gemäß Art. 32 DSGVO
7.1 Organisatorische Maßnahmen
Vertraulichkeitsvereinbarungen für alle Mitarbeitenden
Schulungen zu Datenschutz & Informationssicherheit
Rollen- & Berechtigungskonzept
Zugriff nur nach Need-to-know-Prinzip
Dokumentierte Prozesse zum Lösch-, Sperr- & Berechtigungskonzept
regelmäßige interne Sicherheitsüberprüfungen
7.2 Physische Sicherheit
Betrieb in ISO-27001-zertifizierten Rechenzentren
Zutrittskontrollsysteme (Badges, Videoüberwachung)
getrennte Kundenbereiche / Mandantentrennung
7.3 Technische Zugriffskontrollen
Passwort-Policies (Länge, Komplexität, Rotation)
Multi-Faktor-Authentifizierung (MFA)
Rollenbasierte Zugriffskontrolle (RBAC)
Logging & Monitoring
verschlüsselte Admin-Zugänge
7.4 Verschlüsselung
Transportverschlüsselung: TLS 1.2/1.3
Server- und Datenbankverschlüsselung
verschlüsselte Backups
Hashing sensibler Daten (z. B. Passwörter)
7.5 Integrität & Verfügbarkeit
Firewall- & IDS/IPS-Systeme
DDoS-Schutz
regelmäßige Backups
Geo-redundante Datenspeicherung (je nach Produkt)
Notfall- & Wiederherstellungspläne (Disaster Recovery)
7.6 Pseudonymisierung & Minimierung
Pseudonymisierung in KI-Modellen, wo technisch möglich
Datenminimierung nach Art. 5 DSGVO
Trennung produktiver & Testdaten
7.7 Risiko- & Sicherheitsmanagement
regelmäßige Sicherheitsaudits
Schwachstellenmanagement
sofortige Reaktion auf Sicherheitsvorfälle
8. Subdienstleister (Unterauftragsverhältnisse)
Der Auftragsverarbeiter setzt folgende Kategorien von Subdienstleistern ein:
Kategorie Beschreibung Standort Zertifizierung
Rechenzentrum / Hosting Cloud-/Serverhosting EU ISO 27001
E-Mail-Kommunikation SMTP/Transaktionsmail EU ISO 27001
KI-Modell-Provider (optional) Modellbereitstellung EU DSGVO-konform
Monitoring / Logging Systemüberwachung EU ISO 27001
Wichtige Punkte:
Jeder Subdienstleister wird sorgfältig geprüft
Alle Subdienstleister sind DSGVO-konform gebunden
Der Auftraggeber kann Subdienstleister ablehnen
Änderungen werden schriftlich mitgeteilt
9. Lösch- & Aufbewahrungskonzept
(1) Daten werden gelöscht:
nach Abschluss der vertraglichen Leistung
auf dokumentierte Weisung des Auftraggebers
nach Ablauf vereinbarter Speicherfristen
(2) Standard-Löschfristen:
Datentyp Standardfrist
Nutzerdaten 30–90 Tage nach Vertragsende
Backups 30–180 Tage, je nach System
Logdaten 7–180 Tage, abhängig von Systemzweck
KI-Trainingsdaten nur pseudonymisiert; Löschung auf Anweisung
(3) Auf Wunsch erhält der Auftraggeber ein Löschprotokoll.
10. Meldewege für Datenschutzvorfälle
(1) Der Auftragsverarbeiter meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden, an den Auftraggeber.
(2) Die Meldung enthält mindestens:
Art des Vorfalls
betroffene Datenkategorien
geschätzte Anzahl betroffener Personen
ergriffene Sofortmaßnahmen
Vorschlag für weitere Schritte
(3) Der Auftragsverarbeiter unterstützt aktiv bei der Meldung an:
Aufsichtsbehörde (Art. 33 DSGVO)
betroffene Personen (Art. 34 DSGVO)
11. Kontroll- & Auditrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht:
Audits durchzuführen
Prüfungen anzukündigen
technische und organisatorische Maßnahmen einzusehen
Zertifikate anzufordern (z. B. ISO 27001, Pen-Tests)
(2) Audits erfolgen mit angemessener Ankündigung, um den Betriebsablauf nicht unverhältnismäßig zu beeinträchtigen.
(3) Der Auftragsverarbeiter stellt auf Anfrage Auditberichte, Policies und Sicherheitsnachweise bereit.
12. Rückgabe oder Löschung der Daten nach Vertragsende
(1) Nach Vertragsende wählt der Auftraggeber:
Datenrückgabe
Datenexport
vollständige Datenlöschung
(2) Backups werden nach Ablauf der Standardfristen automatisch gelöscht.
(3) Über die endgültige Löschung wird ein schriftliches Protokoll erstellt.
13. Haftung & Schadenersatz
Es gelten die Regelungen des Hauptvertrags.
Der Auftragsverarbeiter haftet für Verstöße gegen die DSGVO, soweit er diese selbst zu vertreten hat.
14. Schlussbestimmungen
Änderungen nur schriftlich
sollte eine Klausel unwirksam sein, bleibt der Vertrag im Übrigen gültig
Erfüllungsort ist der Sitz des Auftraggebers oder wie vertraglich vereinbart
Es gilt EU- und deutsches Datenschutzrecht
