Auftragsverarbeitungsvertrag (AVV)
1 Gegenstand und Dauer
(1) Der Auftragsverarbeiter (nachfolgend „Anbieter") verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (nachfolgend „Kunde") im Rahmen der Nutzung der Nexovito-Plattform.
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags (siehe AGB, § 6). Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 90 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst:
- Bereitstellung und Betrieb der Plattform (Webseiten-Editor, Kundenbereich, Terminbuchung, Helpdesk, Rechnungswesen, DMS, Berichte)
- Verarbeitung von Kundendaten zur Leistungserbringung (Kontaktdaten, Projektdaten, Dokumente, Kommunikation)
- KI-gestützte Verarbeitung durch den Assistenten Vito (Textanalyse, Klassifikation, Vorschläge)
- Backup und Wiederherstellung
3 Art der personenbezogenen Daten
- Kontaktdaten (Name, E-Mail, Telefon, Anschrift)
- Geschäftliche Kommunikation (E-Mails, Nachrichten, Notizen)
- Dokumente und Dateien (hochgeladene Unterlagen im DMS)
- Nutzungsdaten (Login-Zeiten, Feature-Nutzung)
- Rechnungs- und Zahlungsdaten
- Terminbuchungsdaten
4 Kategorien betroffener Personen
- Mitarbeiter und Beauftragte des Kunden
- Endkunden und Geschäftspartner des Kunden
- Interessenten und Kontakte des Kunden
5 Pflichten des Auftragsverarbeiters
(1) Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten hierzu verpflichtet.
(2) Der Anbieter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.
(3) Der Anbieter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage TOM).
(4) Der Anbieter unterstützt den Kunden bei der Erfüllung der Pflichten nach Art. 32–36 DSGVO sowie bei Betroffenenanfragen (Art. 12–23 DSGVO).
(5) Nach Beendigung der Auftragsverarbeitung löscht der Anbieter alle personenbezogenen Daten oder gibt sie zurück — nach Wahl des Kunden — und löscht vorhandene Kopien, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
(6) Der Anbieter stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
6 Unterauftragsverarbeiter (Sub-Processors)
(1) Der Kunde erteilt dem Anbieter eine allgemeine schriftliche Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter. Der Anbieter informiert den Kunden über jede beabsichtigte Änderung mindestens 30 Tage im Voraus. Der Kunde kann widersprechen.
(2) Aktuelle Sub-Processor-Liste (Stand Mai 2026):
| Unternehmen | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Backup-Storage | Deutschland (Falkenstein, Nürnberg) |
| Amazon Web Services EMEA SARL | KI-Verarbeitung (Amazon Bedrock) | Deutschland (Frankfurt, eu-central-1) |
| Anthropic PBC | KI-Modell-Anbieter (Sub-Sub-Processor via AWS) | Verarbeitung in Frankfurt (via AWS Bedrock) |
| Cloudflare Inc. | DNS, DDoS-Schutz | EU-Rechenzentren (kein Datentransfer USA) |
(3) Es findet kein Transfer personenbezogener Daten in Drittländer statt. Alle Verarbeitungsvorgänge erfolgen innerhalb der EU/EWR.
7 Rechte des Kunden
(1) Der Kunde hat das Recht, sich vor Beginn und während der Verarbeitung von der Einhaltung der vereinbarten Maßnahmen zu überzeugen. Der Anbieter ermöglicht Überprüfungen — einschließlich Inspektionen — die vom Kunden oder einem beauftragten Prüfer durchgeführt werden.
(2) Der Anbieter informiert den Kunden unverzüglich, wenn eine Weisung nach seiner Auffassung gegen Datenschutzvorschriften verstößt.
8 Meldepflichten bei Datenschutzverletzungen
(1) Der Anbieter meldet dem Kunden jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung.
(2) Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien, ungefähre Zahl der Betroffenen, wahrscheinliche Folgen und ergriffene Abhilfemaßnahmen.
9 Technische und organisatorische Maßnahmen (TOM)
Der Anbieter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:
Vertraulichkeit
- Zutrittskontrolle: Ausschließlich Hetzner-Rechenzentren mit ISO-27001-Zertifizierung, biometrische Zutrittskontrolle, 24/7-Videoüberwachung
- Zugangskontrolle: SSH-Key-basierter Serverzugang, kein Passwort-Login, Zwei-Faktor-Authentifizierung für alle Admin-Zugänge
- Zugriffskontrolle: Rollenbasiertes Berechtigungssystem, Mandantentrennung auf Datenbankebene, Principle of Least Privilege
- Trennungskontrolle: Logische Mandantentrennung, separate Datenbank-Schemata pro Kunde
Integrität
- Weitergabekontrolle: TLS 1.3 für alle Verbindungen, verschlüsselte Backups, kein unverschlüsselter Datentransfer
- Eingabekontrolle: Vollständiges Audit-Log aller Datenänderungen, Benutzer-Identifikation bei jedem Schreibvorgang
Verfügbarkeit und Belastbarkeit
- Stündliche Datenbank-Backups, tägliche Volumen-Backups
- Backup-Aufbewahrung auf separater Storage Box (geografisch getrennt)
- Monitoring mit Prometheus + Grafana, automatische Alertierung
- Zero-Downtime-Deployments
Verfahren zur regelmäßigen Überprüfung
- Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
- Automatische Schwachstellen-Scans der Container-Images
- Incident-Response-Prozess dokumentiert
10 Schlussbestimmungen
(1) Dieser AVV ist Bestandteil des Hauptvertrags (AGB). Bei Widersprüchen geht dieser AVV vor.
(2) Änderungen bedürfen der Textform.
(3) Gerichtsstand ist der Sitz des Anbieters.
(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Stand: Mai 2026 (Entwurf)
Anlagen: Sub-Processor-Liste (in § 6 integriert) · TOM (in § 9 integriert)
Status: Entwurf — anwaltliche Prüfung erforderlich vor Veröffentlichung