AVV
Stand: Juni 2026
Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
baugenic GmbH
Planckstraße 26
26810 Westoverledingen
vertreten durch Dr.-Ing. Steffen Kruse und Florian Backer
(nachfolgend auch „Auftragnehmer“)
Der vorliegende Auftragsverarbeitungsvertrag („AVV“) gilt für die Verarbeitungsmaßnahmen personenbezogener Daten durch den Auftragnehmer, die gegenüber Kunden (nachfolgend „Auftraggeber“) in Erfüllung des Hauptvertrages erbracht werden.
Präambel
Der Auftragnehmer erbringt für den Auftraggeber Leistungen gemäß dem zwischen ihnen geschlossenen Lizenzvertrag (im Folgenden: „Hauptvertrag“). Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung („DSGVO“). Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden Auftragsverarbeitungsvertrag (auch „Vertrag“), der mit Unterzeichnung bzw. Wirksamwerden des Hauptvertrages zustande kommt.
Gegenstand/Umfang der Beauftragung
Im Rahmen der Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages hat der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend „Auftraggeberdaten"). Diese Auftraggeberdaten verarbeitet der Auftragnehmer im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.
Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt in der in den Anlagen beschriebenen Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen wird dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
Ob die Leistungen des Auftragnehmers für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO geeignet sind, bedarf einer Risikobewertung durch den Auftraggeber.
Dem Auftragnehmer ist eine von den in den Anlagen genannten Verarbeitungen abweichende Verarbeitung von Auftraggeberdaten untersagt.
Die Verarbeitung der Auftraggeberdaten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Der produktive Betrieb der webbasierten Anwendung einschließlich Compute und Object Storage erfolgt nach der derzeitigen technischen Architektur über Hetzner Online GmbH in Deutschland, insbesondere am Rechenzentrumsstandort NBG1/Nürnberg. Für einzelne Funktionsbestandteile können die in Anlage 1 genannten Unterauftragnehmer eingesetzt werden, insbesondere für KI-Inferenz/Prompt-Verarbeitung und transaktionalen E-Mail-Versand. Sollte es eine Verlagerung der Auftragsverarbeitung in ein Drittland geben, bedarf dies der vorherigen Zustimmung des Auftraggebers und erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind. Der Auftraggeber stimmt bereits mit Abschluss dieses Auftragsverarbeitungsvertrages der Verarbeitung personenbezogener Daten durch die in Anlage 1 genannten Unterauftragnehmer zu.
Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen. Gleiches gilt für alle Tätigkeiten, bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit Auftraggeberdaten in Berührung kommen.
Soweit der Auftragnehmer KI- und RAG-Funktionen einsetzt, werden vom Auftraggeber bereitgestellte Inhalte, Eingaben/Prompts, OCR-Inhalte, Dokumentauszüge, technische Metadaten, Analyseergebnisse sowie gegebenenfalls hieraus erzeugte Index- oder Embedding-Daten ausschließlich zur Erbringung der vertraglich geschuldeten Leistung verarbeitet. Auftraggeberdaten werden durch den Auftragnehmer nicht zum Training von KI-Modellen verwendet. Unterauftragnehmer, die Zugriff auf Auftraggeberdaten erhalten, werden nur auf Grundlage geeigneter datenschutzrechtlicher Vereinbarungen und zweckgebundener Weisungen eingesetzt.
Weisungsbefugnisse des Auftraggebers
Der Auftragnehmer verarbeitet die Auftraggeberdaten im Rahmen der Beauftragung und im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber hat das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht"). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit. Weisungen werden vom Auftraggeber grundsätzlich schriftlich oder in elektronischer Form (E-Mail ausreichend) erteilt; mündlich erteilte Weisungen sind vom Auftragnehmer in elektronischer Form zu bestätigen. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.
Schutzmaßnahmen des Auftragnehmers
Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern. Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden "Mitarbeiter" genannt), zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO). Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder in elektronischer Form nachweisen. Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DSGVO, insbesondere die in Anlage 2 zu diesem Vertrag aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrecht zu erhalten. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der technischen und organisatorischen Maßnahmen nachweisen. Der Auftragnehmer und die bei oder für ihn Beschäftigten sind berechtigt, die gemäß Hauptvertrag zu erbringenden Leistungen und damit auch die Verarbeitung personenbezogener Daten aus der Hauptverwaltung, Betriebstätten, Niederlassungen sowie aus dem Home- und Mobile-Office heraus zu erbringen, sofern sichergestellt ist, dass die in diesem AVV und in Anlage 2 definierten Schutzmaßnahmen eingehalten werden. Dies umfasst auch eine Verarbeitung auf dienstlichen, durch angemessene technische und organisatorische Maßnahmen geschützten Endgeräten des Auftragnehmers, soweit dies für Administration, Support, Entwicklung, Sicherheitsmaßnahmen oder Vertragserfüllung erforderlich ist.
Informations- und Unterstützungspflichten des Auftragnehmers
Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte, wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von 48 Stunden in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Diese Meldungen sollten jeweils zumindest die in Art. 33 Absatz 3 DSGVO genannten Angaben enthalten. Der Auftragnehmer wird den Auftraggeber im o.g. Falle bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen Anforderung innerhalb angemessener Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle erforderlich sind.
Sonstige Verpflichtungen des Auftragnehmers
Der Auftragnehmer ist, sofern die Voraussetzungen des Art. 30 DSGVO auf ihn zutreffen, verpflichtet, ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Absatz 2 DSGVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zu unterstützen. Der Auftragnehmer bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat. Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.
Subunternehmerverhältnisse
Der Auftragnehmer darf die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter (nachfolgend auch „Unterauftragnehmer“ oder „Subunternehmen“) erbringen lassen. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Bewachungsdienste, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt. Der Auftragnehmer wird mit dem Unterauftragnehmer die in diesem AVV getroffenen Regelungen inhaltsgleich vereinbaren. Insbesondere müssen die mit dem Unterauftragnehmer zu vereinbarenden TOM ein gleichwertiges Schutzniveau aufweisen. Der Auftragnehmer hat mit den in Anlage 1 genannten Unternehmen Unterauftragnehmerverhältnisse begründet, denen der Auftraggeber mit Abschluss dieses Auftragsverarbeitungsvertrages zustimmt. Die in Anlage 1 genannten Unternehmen können durch den Auftragnehmer ergänzt, ersetzt oder entfernt werden. Sollte der Auftragnehmer einen weiteren Unterauftragnehmer hinzufügen oder einen bestehenden Unterauftragnehmer in einer Weise ersetzen, die die Verarbeitung von Auftraggeberdaten wesentlich betrifft, informiert er den Auftraggeber hierüber spätestens 4 Wochen vor dem beabsichtigten Einsatz. Der Auftraggeber kann der Hinzuziehung aus wichtigem datenschutzrechtlichem Grund innerhalb von 4 Wochen nach Zugang der Information widersprechen. Widerspricht der Auftraggeber berechtigt und kann keine zumutbare alternative Lösung gefunden werden, ist der Auftragnehmer berechtigt, den Hauptvertrag einschließlich sämtlicher Anlagen mit einer Frist von 2 Wochen zu kündigen, sofern der Einsatz des Unterauftragnehmers für die Leistungserbringung erforderlich ist. Mit den Unterauftragnehmern hat der Auftragnehmer den Anforderungen aus § 6 Abs. 3 entsprechende Auftragsverarbeitungsverträge geschlossen. Mit Wirksamwerden dieses AVV genehmigt der Auftraggeber die vorgenannten Unterauftragnehmer. Bestandteil der Auftragsverarbeitungsverträge mit den Unterauftragnehmern ist insbesondere auch, dass die Unterauftragnehmer sicherstellen, ihrerseits angemessene und geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO wegen der von ihnen im Auftrag durchgeführten Verarbeitungen personenbezogener Daten getroffen zu haben.
Kontrollrechte
Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
Rechte Betroffener
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von 14 Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftraggeber nicht selbst über die entsprechenden Informationen verfügt. Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DSGVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich, spätestens binnen einer Frist von 7 Werktagen zu berichtigen, löschen oder einzuschränken. Der Auftragnehmer wird dem Auftraggeber die Löschung, Berichtigung bzw. Einschränkung der Daten auf Verlangen schriftlich nachweisen. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.
Laufzeit und Kündigung
Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet damit automatisch mit Beendigung des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung für diesen Vertrag entsprechend. Sollte der Auftragnehmer vor Ablauf des Hauptvertrages keine Auftraggeberdaten mehr verarbeiten, endet dieser Vertrag ebenfalls automatisch.
Löschung und Rückgabe nach Vertragsende
Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben, exportieren oder auf Wunsch des Auftraggebers, sofern keine gesetzliche Aufbewahrungsfrist entgegensteht, vollständig löschen. Dies umfasst insbesondere hochgeladene Dokumente, Inhaltsdaten, Prompt-/Chat-Inhalte, OCR-Inhalte, Analyseergebnisse sowie Index- oder Embedding-Daten, soweit diese personenbezogene Auftraggeberdaten enthalten oder aus solchen abgeleitet sind. Soweit Auftraggeberdaten in Sicherungskopien enthalten sind, werden diese nicht produktiv genutzt und nach dem jeweils geltenden Backup- und Löschzyklus überschrieben; eine vorzeitige Einzellöschung aus technisch gebündelten Sicherungen erfolgt nicht, soweit dies technisch nicht oder nur mit unverhältnismäßigem Aufwand möglich ist und die Sicherungen ausschließlich zur Wiederherstellung der Systemintegrität genutzt werden. Nicht umfasst sind Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Solche Dokumentationen werden vom Auftragnehmer für eine Dauer von 6 Monaten aufbewahrt, soweit keine längeren gesetzlichen Aufbewahrungspflichten bestehen. Der Auftragnehmer wird dem Auftraggeber die Löschung elektronisch bestätigen. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren. Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.
Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Dies gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.
Vertraulichkeit & Datengeheimnis
Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Es besteht eine Verschwiegenheitspflicht für die Mitarbeiter des Auftragnehmers und durch ihn beauftragte Dritte. Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeberdaten beschäftigten Personen gemäß Art. 28 Abs. 3 lit. b DSGVO schriftlich auf die Vertraulichkeit zu verpflichten. Dies ist nicht erforderlich, wenn die beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer wird die in dieser Ziffer niedergelegte Verpflichtung schriftlich dokumentieren und sie auf Verlangen des Auftraggebers diesem vorlegen. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und er diese auf die Einhaltung der geltenden Datenschutzvorschriften zu verpflichten. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. Diese in dieser Ziffer geregelten Verschwiegenheitspflichten besteht auch nach der Beendigung des Vertragsverhältnisses fort. Darüber hinaus ist der Auftragnehmer neben den jeweils geltenden gesetzlichen Bestimmungen (insbesondere § 3 TDDDG, § 203 StGB, §§ 4, 23 GeschGehG sowie ggf. besondere berufsständische Verschwiegenheitspflichten) auch verpflichtet, alle Informationen und Daten, die ihm im Rahmen der vertraglich vereinbarten Leistungen zur Kenntnis gelangen, geheim zu halten und nicht an Dritte weiterzugeben (vertrauliche Informationen). Vertrauliche Informationen sind insbesondere Geschäfts- und Betriebsgeheimnisse, Vertragsschlüsse, technische oder kaufmännische Informationen jedweder Art bzw. anderweitige Angaben, die als vertraulich bezeichnet oder ihrer Natur nach als vertraulich anzusehen sind. Dies gilt insbesondere auch für: Namen, Anschriften sowie die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse aller Kunden vom Auftraggeber und die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse vom Auftraggeber und aller anderen für Auftraggeber tätigen Personen. Eine Information ist nicht als vertraulich anzusehen, wenn sie zu der Zeit, zu der der Auftragnehmer von der Information Kenntnis erlangt hat, bereits öffentlich bekannt gewesen ist. Ebenso als nicht vertraulich sind solche Informationen anzusehen, die zeitlich später mit Zustimmung des Auftraggebers öffentlich bekannt geworden sind bzw. bekannt gemacht wurden. Der Auftragnehmer verpflichtet sich, sämtliche Mitarbeiter, die im Rahmen der Tätigkeit für Auftraggeber Kenntnis von vorgenannten vertraulichen Informationen von Auftraggeber erlangen, ebenso wie sich selbst zu verpflichten. Beauftragt der Auftragnehmer Dritte, hat er dafür Sorge zu tragen, dass die Forderungen der Absätze 1 bis 6 entsprechend umgesetzt werden.
Schlussbestimmungen
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer iSd § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der elektronischen Form. Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Sitz des Auftragnehmers.
Anlagen
Anlage 1 – Festlegungen zum Vertrag
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Anlage 1 – Festlegungen zum Vertrag
| Gegenstand und Dauer des Auftrages Übersicht der Anforderungen und Festlegungen | |
|---|---|
| Hauptvertrag | Lizenzvertrag |
| Gegenstand des Auftrages | Bereitstellung und Betrieb der webbasierten SaaS-Lösung „baugenic“ zur KI-gestützten Unterstützung im Baualltag. Die Anwendung ermöglicht insbesondere die Verarbeitung, Auswertung und strukturierte Bereitstellung von Bau- und Projektunterlagen, Leistungsverzeichnissen, Vertrags- und Vergabeunterlagen, OCR-Inhalten, Prompts und Analyseergebnissen mittels KI- und RAG-Funktionen. Der Auftragnehmer betreibt die Anwendung auf technischer Infrastruktur unter Einsatz der in diesem AVV genannten Unterauftragnehmer. |
| Zweck der Datenerhebung, Datenverarbeitung oder Datennutzung | Zur Erfüllung der Pflichten des Auftragnehmers aus dem Hauptvertrag werden personenbezogene Daten aus dem Herrschaftsbereich des Auftraggebers durch den Auftragnehmer vollumfänglich i.S.d. Art. 4 Nr. 2 DSGVO verarbeitet, insbesondere soweit jeweils erforderlich erhoben, gespeichert, verändert, ausgelesen, abgefragt, verwendet, offengelegt, abgeglichen, verknüpft und gelöscht. Der Zweck der Verarbeitung hängt damit von dem jeweils im Hauptvertrag beschriebenen Auftrag ab. |
| Art der Daten | Die von der Verarbeitung betroffenen Kategorien personenbezogener Daten hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Gegenstand der Verarbeitung in Betracht kommende Kategorien von Daten sind möglich• Stammdaten (z.B. Namen, Anschriften, Geburtsdaten),• Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern),• Inhaltsdaten (z.B. Fotografien, Videos, Inhalte von Dokumenten),• Vertragsdaten (z.B. Vertragsgegenstand, Laufzeiten, Kunden),• Zahlungsdaten (z.B. Bankverbindungen, Zahlungsdienstleister),• Nutzungsdaten (z.B. Verlauf Web-Dienste, Zugriffszeiten),• Verbindungsdaten (z.B. Geräte-ID, IP-Adressen, URL-Referrer), und• Standortdaten (z.B. GPS-Daten, IP-Geolokalisierung).• Index-, Such- und Embedding-Daten, soweit diese personenbeziehbar sind oder aus personenbezogenen Auftraggeberdaten abgeleitet werden;• Vertrags-, Abrechnungs-, Zahlungs- oder Projektdaten, soweit der Auftraggeber solche Daten in die Anwendung eingibt oder hochlädt;• besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO nur, soweit der Auftraggeber solche Daten eigenständig in die Anwendung eingibt oder hochlädt. Eine gezielte Verarbeitung besonderer Kategorien personenbezogener Daten ist nicht Leistungszweck von baugenic. |
| Kreis der Betroffenen | Die von der Verarbeitung betroffenen Kategorien betroffener Personen hängen von der Nutzung durch den Auftraggeber und vom Inhalt der bereitgestellten Unterlagen ab. In Betracht kommen insbesondere:• Beschäftigte, Auszubildende, Praktikanten, freie Mitarbeiter, ehemalige Beschäftigte und Bewerber des Auftraggebers;• Gesellschafter, Organe, Führungskräfte und sonstige Ansprechpartner des Auftraggebers;• Kunden, Interessenten, Bauherren, Auftraggeber, Auftragnehmer, Nachunternehmer, Lieferanten und Dienstleister;• Planer, Architekten, Ingenieure, Gutachter, Sachverständige, externe Berater und sonstige Projektbeteiligte;• Behörden, öffentliche Stellen, Kommunen, Vertreter von Vergabestellen und sonstige institutionelle Ansprechpartner;• sonstige natürliche Personen, die in vom Auftraggeber bereitgestellten Bau-, Vertrags-, Vergabe-, Projekt- oder Kommunikationsunterlagen enthalten sind. |
Unterauftragnehmer
| Nr. | Name des Unterauftragnehmers Anschrift / Land | Gegenstand der Leistung | Verarbeitete personenbezogene Daten |
|---|---|---|---|
| 1 | Hetzner Online GmbHIndustriestr. 2591710 GunzenhausenDeutschlandRechenzentrumsstandort: NBG1/Nürnberg, Deutschland | Hosting, Compute, Serverbetrieb, Object Storage, Datenhaltung, Backups und technische Infrastruktur für den Betrieb der webbasierten Anwendung. | Nutzer-, Account-, Inhalts-, Dokument-, Prompt-/Chat-, OCR-, Analyse-, Index-/Embedding-, Log-, Nutzungs- und Verbindungsdaten, soweit für Hosting, Speicherung, Betrieb, Sicherheit und Wiederherstellung erforderlich. |
| 2 | Mistral AI SAS12 Rue de Londres75009 ParisFrankreich | Betrieb und Bereitstellung von KI-Modellen bzw. KI-Inferenz zur Verarbeitung von Prompts, Dokumentauszügen, OCR-Inhalten und zur Erzeugung von Analyseergebnissen im Rahmen der baugenic-Funktionen. | Prompt- und Eingabedaten, Dokumentauszüge, LV-/Vertrags-/OCR-Inhalte, technische Metadaten und KI-Ausgaben, soweit für die jeweilige Anfrage erforderlich. Keine Nutzung von Auftraggeberdaten zum Training von KI-Modellen nach Maßgabe der vertraglichen Vereinbarungen mit dem Unterauftragnehmer. |
| 3 | Scaleway SAS8 rue de la Ville-l’Évêque75008 ParisFrankreich | Transactional Email Management (TEM) für Verifizierungs-, Benachrichtigungs-, Sicherheits- und System-E-Mails. | E-Mail-Adressen, Namen bzw. Nutzerkennungen, technische Versanddaten und Inhalte transaktionaler E-Mails, soweit für Zustellung, Nachvollziehbarkeit, Sicherheit und Fehleranalyse erforderlich. |
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Verantwortliche und Auftragsverarbeiter sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen, durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird. Maßnahmen müssen so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau sichergestellt wird. Diese Übersicht erläutert, welche konkreten Maßnahmen durch den Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im Rahmen von baugenic getroffen sind.
| Weisungen zu technischen und organisatorischen Maßnahmen |
|---|
| 1. Organisation der Informationssicherheit Es sind Richtlinien, Prozesse und Verantwortlichkeiten festzulegen, mit denen die Informationssicherheit implementiert und kontrolliert werden kann. |
| Maßnahmen: Verpflichtung der Mitarbeiter auf Geheimhaltung und Wahrung des Datengeheimnisses. Regelmäßige Durchführung von Schulungen und Awareness-Maßnahmen. |
| 2. Privacy by Design Privacy by Design beinhaltet den Gedanken, dass Systeme so konzipiert und konstruiert sein sollten, dass der Umfang der verarbeiteten personenbezogenen Daten minimiert wird. Wesentliche Elemente der Datensparsamkeit sind die Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die Verwendung von Pseudonymen und die Anonymisierung. Außerdem muss das Löschen von personenbezogenen Daten gemäß einer konfigurierbaren Aufbewahrungsfrist realisiert sein. |
|---|
| Maßnahmen: Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind. Prozess zur Sicherstellung von Privacy by Design bei Einführung oder Änderung von Systemen und Anwendungen. Die Verarbeitungen und Systeme sind so konzipiert, dass Sie ein DSGVO konformes Löschen der verarbeiteten personenbezogenen Daten ermöglichen und sicherstellen. |
| 3. Privacy by Default Privacy by Default bezieht sich auf die datenschutzfreundlichen Voreinstellungen / Standardeinstellungen. Inwieweit wurden diese von Ihnen vorgenommen? Beispiel: Bei einem Besuch einer Webseite kann der Besucher erwarten, dass alle Programme zunächst deaktiviert sind, die personenbezogene Daten erheben. |
|---|
| Maßnahmen: Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen. Trackingfunktionen, die den Betroffenen überwachen, sind standardmäßig deaktiviert. Sämtliche Vorbelegungen von Auswahlmöglichkeiten erfüllen die Anforderungen der DSGVO in Bezug auf datenschutzfreundliche Voreinstellungen (z.B. keine Vorbelegungen von Opt-ins). |
| 4. Zugriffskontrolle und Zugangskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten bzw. schutzbedürftigen Informationen und Daten zugreifen können (Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.). Der Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können. |
|---|
| Maßnahmen: ☒ Berechtigungskonzepte dokumentiert. ☒ Zugriff auf Daten ist eingeschränkt und nur für Berechtigte möglich. ☒ Sperrung des Benutzerkontos bei Fehlversuchen / Inaktivität. ☒ Sperrung des Endgerätes bei Verlassen des Arbeitsplatzes oder Inaktivität. ☒ Anzahl der Administratoren auf das Notwendigste reduziert. |
| 5. Kryptographie und / oder Pseudonymisierung Einsatz von Verschlüsselungsverfahren für die Sicherstellung des ordnungsgemäßen und wirksamen Schutzes der Vertraulichkeit, Authentizität oder Integrität von personenbezogenen Daten bzw. schutzbedürftigen Informationen. Maßnahmen, die geeignet sind, eine Identifikation des Betroffenen zu erschweren. |
|---|
| Maßnahmen:☒ Verschlüsselung von Endgeräten (PC, Laptop, Smartphones). ☒ Verschlüsselte Ablage von personenbezogenen Daten. ☒ Verschlüsselung von Zugängen zum Netzwerkzugängen und -verbindungen. |
| 6. Schutz von Gebäuden Verhinderung des unautorisierten physischen Zugriffs auf die Informationen und informationsverarbeitende Einrichtungen der Organisation sowie deren Beschädigung und Beeinträchtigung. Der Auftragnehmer trifft Maßnahmen, um zu verhindern, dass unbefugte Personen Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten mit denen personenbezogene Daten verarbeitet werden. |
|---|
| Maßnahmen / Erläuterungen: Der physische Schutz der produktiven Server- und Speicherinfrastruktur wird im Rahmen des Rechenzentrumsbetriebs insbesondere durch Hetzner Online GmbH umgesetzt. Für interne Arbeitsplätze und dienstliche Endgeräte des Auftragnehmers bestehen Zutritts-, Zugriffsschutz- und Verschlüsselungsmaßnahmen. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
| 7. Schutz von Betriebsmitteln / Informationswerten Vorbeugung von Verlust, Beschädigung, Diebstahl oder Beeinträchtigung von Werten und Unterbrechungen der Betriebstätigkeit der Organisation. |
|---|
| Maßnahmen: Sichere Platzierung der Systeme, so dass Schutz vor Diebstahl gewährleistet ist. |
| Weitere umgesetzte Maßnahmen / Erläuterungen: (Weitere) Maßnahmen wie Schutz von Betriebsmitteln oder Löschung von Datenträgern umgesetzt durch unsere Dienstleister. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
| 8. Betriebsverfahren und Zuständigkeiten Sicherstellung des ordnungsgemäßen und sicheren Betriebes von Systemen sowie Verfahren zur Verarbeitung von Informationen. |
|---|
| Maßnahmen:☒ Klare Zuordnung von Verantwortlichkeiten für System- und Anwendungsbetreuung. ☒ Trennung der Verarbeitung von Daten der einzelnen Mandanten. ☒ Trennung von Entwicklungs-, Test- und Produktivsystemen, soweit für den jeweiligen Verarbeitungszweck erforderlich und angemessen. ☒ Betrieb der Anwendung auf eigener technischer Infrastruktur des Auftragnehmers unter Einsatz der in Anlage 1 genannten Unterauftragnehmer. ☒ Einsatz selbst gehosteter Betriebs-, Deployment- und Administrationskomponenten ohne zusätzlichen externen Auftragsverarbeiter, soweit diese Komponenten ausschließlich auf der eigenen Infrastruktur laufen. |
| 9. Datensicherungen Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten gegen zufällige Zerstörung oder Verlust geschützt sind. |
|---|
| Maßnahmen / Erläuterungen: Es werden angemessene Datensicherungen und Wiederherstellungsmaßnahmen zur Sicherstellung von Verfügbarkeit, Integrität und Wiederherstellbarkeit der Systeme umgesetzt. Sicherungen werden nur für Sicherheits-, Wiederherstellungs- und Notfallzwecke verwendet und nach dem jeweils geltenden Backup- und Löschzyklus überschrieben. Produktive Datenhaltung und Sicherungen erfolgen nach der derzeitigen technischen Architektur im Rahmen der Hosting-/Storage-Infrastruktur des Auftragnehmers bei Hetzner Online GmbH in Deutschland. |
| 10. Schutz vor Malware und Patchmanagement Verhinderung einer Ausnutzung technischer Schwachstellen durch den Einsatz von aktueller Virenschutzsoftware und die Implementierung eines Patchmanagements. |
|---|
| Maßnahmen: Regelmäßige Überwachung des Status von Sicherheitsupdates und Systemschwachstellen. Regelmäßige Einspielen von Sicherheitspatches und Updates. |
| 11. Protokollierung und Überwachung Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind. System-, Sicherheits- und Anwendungsprotokolle werden nur im erforderlichen Umfang und nach dem jeweiligen Lösch- und Sicherheitskonzept aufbewahrt. |
|---|
| Maßnahmen: ☒ Protokollierung von Zugängen und administrativen Zugriffen im erforderlichen Umfang. ☒ Protokollierung sicherheitsrelevanter Ereignisse. ☒ Zugriff auf Protokolle nur für berechtigte Personen. |
| 12. Netzwerksicherheitsmanagement Es muss ein angemessener Schutz für das Netzwerk implementiert werden, so dass die Informationen und die Infrastrukturkomponenten geschützt werden. |
|---|
| Maßnahmen: Einsatz von Firewallsystemen. |
| Weitere umgesetzte Maßnahmen / Erläuterungen: (Weitere) Maßnahmen zum Netzwerksicherungsmanagement umgesetzt durch unsere Dienstleister. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
| 13. Informationsübertragung Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft sowie festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten bzw. schutzbedürftiger Informationen sowie Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. (Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.) |
|---|
| Maßnahmen: ☒ Regelungen für den Austausch sensibler Informationen und Beschränkung des zur Übermittlung befugten Personenkreises. ☒ Weitergabe von Daten an Dritte nur nach Prüfung der Rechtsgrundlage bzw. auf Grundlage dieses AVV und der in Anlage 1 genannten Unterauftragnehmer. ☒ Rechtmäßigkeit und schriftliche Festlegung der Weitergabe von Daten in Drittländer, sofern einschlägig. ☒ Sichere Datenübertragung zwischen Client und Server. ☒ Angemessener Schutz von E-Mails, die sensible Informationen / Daten beinhalten. ☒ Transaktionale E-Mails werden über den in Anlage 1 genannten Dienstleister Scaleway versendet. |
| 14. Anschaffung, Entwicklung und Instandhaltung von Systemen Maßnahmen, die sicherstellen, dass Informationssicherheit ein fester Bestandteil über den Lebenszyklus von Informationssystemen ist. |
|---|
| Maßnahmen: ☒ Änderungen an Systemen und Anwendungen erfolgen nach einem kontrollierten Entwicklungs-, Review- und Deployment-Prozess. ☒ Schutz von Testdaten; Einsatz produktiver Auftraggeberdaten in Entwicklungs- oder Testsystemen nur, soweit erforderlich und angemessen geschützt. ☒ Überwachung und Steuerung ausgelagerter Systembestandteile und Unterauftragnehmer, soweit solche eingesetzt werden. ☒ Trennung von Verantwortlichkeiten bei Entwicklung, Betrieb und Administration, soweit organisatorisch möglich. |
| 15. Lieferantenbeziehungen Maßnahmen betreffend die Informationssicherheit zur Verringerung von Risiken im Zusammenhang mit dem Zugriff von Lieferanten auf die Werte des Unternehmens, sollten mit Sublieferanten / Subunternehmern vereinbart und dokumentiert werden. |
|---|
| Maßnahmen: ☒ Auswahl von Unterauftragnehmern unter Sorgfaltsgesichtspunkten, insbesondere hinsichtlich Datenschutz, Datensicherheit, Leistungsfähigkeit und Verarbeitungsort. ☒ Abschluss geeigneter Auftragsverarbeitungsverträge bzw. Datenschutzvereinbarungen mit Unterauftragnehmern im Sinne der DSGVO. ☒ Wirksame Kontroll- und Nachweismöglichkeiten gegenüber Unterauftragnehmern vereinbart oder über verfügbare Zertifizierungen, Nachweise und Dokumentationen abgedeckt. ☒ Vorherige Prüfung und Dokumentation der beim Unterauftragnehmer getroffenen Sicherheitsmaßnahmen, soweit verfügbar und angemessen. ☒ Verpflichtung der Mitarbeiter und eingesetzten Dritten auf Vertraulichkeit. ☒ Sicherstellung der Löschung oder Rückgabe von Daten nach Beendigung des jeweiligen Auftrags nach Maßgabe der einschlägigen Vereinbarungen. |
| 16. Management von Informationssicherheitsvorfällen Es sind konsistente und wirksame Maßnahmen für das Management von Informationssicherheitsvorfällen (Diebstahl, Systemausfall etc.) zu implementieren. |
|---|
| Maßnahmen: Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen Sofortige Information des Auftraggebers bei Datenschutzvorfällen. |
| 17. Informationssicherheitsaspekte des Business Continuity Management / Notfallmanagements Die Aufrechterhaltung der Systemverfügbarkeit in schwierigen Situationen, wie Krisen- oder Schadensfälle. Ein Notfallmanagement muss dieses sicherstellen. Die Anforderungen bezüglich der Informationssicherheit sollten bei den Planungen zur Betriebskontinuität und Notfallwiederherstellung festgelegt werden. |
|---|
| Maßnahmen / Erläuterungen: Maßnahmen zur Aufrechterhaltung der Systemverfügbarkeit, Wiederherstellbarkeit und Betriebskontinuität werden durch den Auftragnehmer und die eingesetzten Unterauftragnehmer umgesetzt. Dazu gehören insbesondere Backups, Wiederherstellungsverfahren, Monitoring, Patchmanagement, Zugriffsbeschränkungen und der Betrieb in professionellen Rechenzentrumsstrukturen. Bei Interesse an den konkreten technischen und organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an. |
| 18. Einhaltung gesetzlicher und vertraglicher Anforderungen Implementierung von Maßnahmen zur Vermeidung von Verstößen gegen gesetzliche, amtliche oder vertragliche Verpflichtungen sowie gegen jegliche Sicherheitsanforderungen. |
|---|
| Maßnahmen: Sicherstellung der Einhaltung der gesetzlichen Verpflichtungen im Rahmen der Zusammenarbeit. Einrichtung eines Lizenzmanagements. Geheimhaltungsverpflichtungen mit Mitarbeitern sowie Sublieferanten und Dienstleistern. |
| 19. Datenschutzanforderungen und Datenschutzmanagement Die Privatsphäre sowie der Schutz von personenbezogenen Daten sollte entsprechend den Anforderungen der einschlägigen gesetzlichen Regelungen, anderen Vorschriften sowie Vertragsbestimmungen sichergestellt werden. |
|---|
| Maßnahmen: Einrichtung einer Datenschutzorganisation. Verzeichnis der Verarbeitungstätigkeiten. Durchführung von Datenschutzschulungen. Aufbau eines Datenschutz-Managementsystems. |