Vertrag zur Auftragsverarbeitung (AVV)

Präambel

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") regelt die datenschutzrechtlichen Pflichten zwischen dem Auftraggeber (Kunde von Act-Check) und dem Auftragnehmer (Lutz Hoffmann / Invory, Betreiber von Act-Check).

Rechtsgrundlage ist Art. 28 der Datenschutz-Grundverordnung (DSGVO). Der AVV ist integraler Bestandteil des Hauptvertrags (AGB).

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand: Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten zur Bereitstellung der SaaS-Plattform „Act-Check". Zweck ist die Analyse von Proxy-Logs, API-Verkehr und GitHub-Repositories zur KI-Inventarisierung und Compliance-Bewertung.

(2) Art der Daten:

• IP-Adressen (gehashed via SHA-256)
• Benutzer-IDs (gehashed via SHA-256)
• API-Endpunkt-URLs (gehashed via SHA-256)
• Zugangsdaten zu GitHub, API-Keys (AES-256 verschlüsselt)
• Metadaten zu KI-Anfragen (Zeitstempel, Request-Größe)

(3) Betroffene Personen: Mitarbeiter des Auftraggebers, die KI-Systeme nutzen.

(4) Dauer: Die Auftragsverarbeitung beginnt mit Vertragsschluss und endet mit Vertragsbeendigung gemäß § 9 dieses AVV.

§ 2 Pflichten des Auftragnehmers

(1) Weisungsgebundenheit: Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers. Eine Verarbeitung zu eigenen Zwecken ist untersagt.

(2) Vertraulichkeit: Der Auftragnehmer verpflichtet alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).

(3) Technische und organisatorische Maßnahmen (TOM): Der Auftragnehmer setzt folgende TOM um:

• Pseudonymisierung/Anonymisierung: SHA-256 Hashing bei Ingestion von Proxy-Logs
• Verschlüsselung: AES-256 für Zugangsdaten, TLS 1.3 für Datenübertragung
• Zugriffskontrolle: Rollenbasierte Zugriffe (RBAC), 2FA für Admin-Accounts
• Logging: Audit-Logs für alle Zugriffsversuche (180 Tage Aufbewahrung)
• Backup: Tägliche verschlüsselte Backups, 30 Tage Retention

§ 3 Unterauftragnehmer (Art. 28 Abs. 4 DSGVO)

(1) Genehmigung: Der Auftraggeber erteilt hiermit seine allgemeine Zustimmung zur Beauftragung folgender Unterauftragnehmer:

(2) Informationspflicht: Änderungen an der Liste der Unterauftragnehmer werden dem Auftraggeber mindestens 30 Tage im Voraus per E-Mail mitgeteilt. Der Auftraggeber hat das Recht, binnen 14 Tagen schriftlich zu widersprechen.

§ 4 Rechte des Auftraggebers (Art. 28 Abs. 3 lit. h DSGVO)

(1) Auskunftsrecht: Der Auftraggeber kann jederzeit Auskünfte über die Verarbeitung seiner Daten verlangen.

(2) Kontrollrecht: Der Auftraggeber ist berechtigt, nach vorheriger Ankündigung (5 Werktage) Audits durchzuführen. Dies kann durch eigene Mitarbeiter oder beauftragte Dritte (unter Verschwiegenheitspflicht) erfolgen.

(3) Häufigkeit: Maximal 1 Audit pro Kalenderjahr, außer bei begründetem Verdacht auf Datenschutzverstoß.

§ 5 Meldepflichten bei Datenschutzverletzungen (Art. 33 DSGVO)

(1) Unverzügliche Meldung: Der Auftragnehmer meldet Datenschutzverletzungen unverzüglich (spätestens binnen 24 Stunden nach Kenntniserlangung) an den Auftraggeber.

(2) Meldeinhalt:

• Art und Umfang der Verletzung
• Anzahl betroffener Personen und Datensätze
• Bereits ergriffene Sofortmaßnahmen
• Kontaktdaten des Datenschutzbeauftragten

§ 6 Unterstützungspflichten (Art. 28 Abs. 3 lit. e, f DSGVO)

(1) Betroffenenrechte: Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung) durch Bereitstellung technischer Schnittstellen.

(2) Datenschutz-Folgenabschätzung: Auf Anfrage stellt der Auftragnehmer alle erforderlichen Informationen für eine DSFA (Art. 35 DSGVO) bereit.

§ 7 Ort der Datenverarbeitung

(1) Primärer Standort: Deutschland (Hetzner Rechenzentrum Falkenstein/Nürnberg).

(2) Drittlandübermittlung: Verarbeitung in Drittländern (z. B. USA für OpenAI-API) erfolgt ausschließlich auf Basis von EU-Standardvertragsklauseln (Art. 46 DSGVO) und nur mit gehashten/pseudonymisierten Daten.

(3) Einwilligung: Der Auftraggeber stimmt der Verarbeitung in den genannten Ländern zu, sofern die TOM gemäß § 2 Abs. 3 eingehalten werden.

§ 8 Löschung und Rückgabe von Daten

(1) Vertragsende: Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(2) Rückgabe auf Anfrage: Der Auftraggeber kann eine Kopie seiner Daten in strukturiertem Format (JSON, CSV) anfordern. Bereitstellung binnen 7 Werktagen.

(3) Löschbestätigung: Der Auftragnehmer bestätigt die vollständige Löschung schriftlich (inklusive Backups).

§ 9 Haftung und Gewährleistung

(1) Haftung des Auftragnehmers: Der Auftragnehmer haftet für Verstöße gegen die DSGVO gemäß Art. 82 DSGVO. Die Haftungsbegrenzungen aus den AGB (§ 6) bleiben davon unberührt.

(2) Haftungsausschluss: Der Auftragnehmer haftet nicht für Schäden, die durch unrichtige oder unvollständige Weisungen des Auftraggebers entstehen.

§ 10 Schlussbestimmungen

(1) Änderungen: Änderungen dieses AVV bedürfen der Schriftform. Ausgenommen sind Änderungen aufgrund gesetzlicher Vorgaben (z. B. neue DSGVO-Auslegungen).

(2) Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein, bleibt die Gültigkeit der übrigen Bestimmungen unberührt.

(3) Rechtswahl: Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.