Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien gemäß Art. 28 DSGVO im Rahmen der Beauftragung von Leistungen durch den Auftraggeber (nachfolgend „Verantwortlicher") an:

Oleksiy Shuman
Offenbacher Landstraße 252
60599 Frankfurt am Main
Deutschland

E-Mail: hi@ai-firma.de
Website: https://ai-firma.de

(nachfolgend „Auftragsverarbeiter").

(2) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieses AVV nicht darüber hinausgehende Verpflichtungen ergeben.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen folgender Leistungen:

  • Entwicklung und Betrieb von KI-Assistenten und Chatbots
  • Automatisierung von Geschäftsprozessen (z.B. Kundenkommunikation, Lead-Qualifizierung)
  • Integration von KI-Diensten in bestehende Systeme des Verantwortlichen
  • Technischer Support und Wartung der implementierten Systeme

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung können folgende Kategorien personenbezogener Daten sein:

  • Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
  • Kommunikationsinhalte (Chat-Nachrichten, Anfragen)
  • Unternehmensdaten (Firmenname, Branche, Website)
  • Nutzungsdaten (Zeitstempel, Sitzungs-IDs, IP-Adressen)
  • Sonstige Daten, die der Verantwortliche im Rahmen der Nutzung der Dienste eingibt

§ 4 Kategorien betroffener Personen

  • Kunden und Interessenten des Verantwortlichen
  • Mitarbeiter und Geschäftspartner des Verantwortlichen
  • Nutzer der vom Auftragsverarbeiter bereitgestellten Systeme

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten dazu verpflichtet.

(2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7).

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO).

(5) Nach Abschluss der Auftragsverarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).

(6) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen/Audits.

§ 6 Unterauftragsverarbeiter

(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen (Art. 28 Abs. 2 DSGVO).

(2) Zum Zeitpunkt des Abschlusses dieses AVV setzt der Auftragsverarbeiter folgende Unterauftragsverarbeiter ein:

UnternehmenLeistungStandort
Vercel Inc.Webhosting (statische Website, Edge-CDN)USA (DPF-zertifiziert + SCCs)
Hostinger International Ltd.Hosting (Automatisierung, n8n)Deutschland (Frankfurt)
Anthropic, PBCKI-Sprachverarbeitung (API)USA (SCCs)
OpenAI, LLCKI-Sprachverarbeitung (API)USA (SCCs)
Google Ireland Ltd.Analytics, Maps/Places (nach Einwilligung)Irland (EU)
Supabase Inc.Datenbank / BackendFrankfurt, DE (EU)

(3) Bei einem Wechsel oder der Hinzuziehung weiterer Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig und räumt ihm ein Widerspruchsrecht ein.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:

Vertraulichkeit

  • Zutrittskontrolle: Kein physischer Serverraum — Cloud-Hosting bei zertifizierten Anbietern (Vercel, Hostinger, Supabase)
  • Zugangskontrolle: SSH-Key-basierter Zugang, starke Passwörter, 2FA
  • Zugriffskontrolle: Rollenbasierte Berechtigungen, Principle of Least Privilege
  • Trennungskontrolle: Logische Trennung von Kundendaten, separate Datenbanken/Schemas

Integrität

  • Weitergabekontrolle: TLS/SSL-Verschlüsselung für alle Datenübertragungen
  • Eingabekontrolle: Logging aller administrativen Zugriffe

Verfügbarkeit und Belastbarkeit

  • Regelmäßige Backups bei allen Hosting-Anbietern
  • Monitoring und automatische Benachrichtigung bei Ausfällen
  • Wiederherstellbarkeit: Dokumentierte Recovery-Prozesse

Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung der TOMs und Anpassung an den Stand der Technik
  • Datenschutz durch Technikgestaltung (Privacy by Design)

§ 8 Meldepflicht bei Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

§ 9 Drittlandtransfers

(1) Soweit Unterauftragsverarbeiter in Drittländern (z.B. USA) eingesetzt werden, erfolgt die Datenübermittlung auf Grundlage von:

  • EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
  • Ggf. ergänzende Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung)

(2) Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern in Drittländern geeignete Garantien vereinbart sind.

§ 10 Rechte und Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

(2) Der Verantwortliche erteilt alle Weisungen bezüglich der Datenverarbeitung schriftlich oder in Textform (E-Mail genügt).

(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

§ 11 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für Schäden, die durch von ihr zu vertretende Verstöße gegen die DSGVO oder diesen AVV verursacht werden.

§ 12 Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Frankfurt am Main.

Abschluss des AVV

Durch die Beauftragung von AI-Firma mit Leistungen, die eine Verarbeitung personenbezogener Daten umfassen, gilt dieser AVV als geschlossen. Für eine individuell unterzeichnete Fassung kontaktieren Sie uns unter:

hi@ai-firma.de

Stand: April 2026 · Oleksiy Shuman | AI-Firma.de