Auftragsverarbeitungsvertrag (AVV)

Stand: 7. Juli 2025

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Auftrag zwischen dem Auftraggeber (Nutzer von Agentland.saarland) und dem Auftragsverarbeiter (Betreiber von Agentland.saarland) gemäß Art. 28 DSGVO.

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragsverarbeiter erbringt für den Auftraggeber Dienstleistungen im Bereich der KI-gestützten Chatbot- und Agentenerstellung. Im Rahmen dieser Dienstleistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Auftraggebers.

1.2 Dauer

Die Dauer der Auftragsverarbeitung entspricht der Dauer des Hauptvertrags (Nutzungsvertrag für Agentland.saarland).

2. Art und Zweck der Verarbeitung

2.1 Art der Daten

Die folgenden Arten personenbezogener Daten werden verarbeitet:

• Stammdaten (Name, E-Mail-Adresse)
• Kommunikationsdaten (Chat-Verläufe, Nachrichten)
• Nutzungsdaten (Log-Daten, IP-Adressen)
• Inhaltsdaten (hochgeladene Dokumente, Agent-Konfigurationen)
• Abrechnungsdaten (soweit für die Diensterbringung erforderlich)

2.2 Kategorien betroffener Personen

• Nutzer der Plattform
• Endnutzer der erstellten Agenten
• Mitarbeiter des Auftraggebers
• Kommunikationspartner

2.3 Zweck der Verarbeitung

• Bereitstellung der KI-Agent-Plattform
• Speicherung und Verarbeitung von Chat-Verläufen
• Verwaltung von Agenten-Konfigurationen
• Bereitstellung von RAG-Funktionalitäten
• Technischer Support

3. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter verpflichtet sich, angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen:

3.1 Technische Maßnahmen

• Verschlüsselte Datenübertragung (TLS/SSL)
• Verschlüsselte Datenspeicherung (AES-256)
• Regelmäßige Sicherheitsupdates
• Firewall und Intrusion Detection Systeme
• Regelmäßige Backups mit Verschlüsselung
• Zugangskontrolle und Authentifizierung

3.2 Organisatorische Maßnahmen

• Verpflichtung der Mitarbeiter auf Vertraulichkeit
• Regelmäßige Schulungen zum Datenschutz
• Dokumentierte Zugriffsberechtigungen
• Incident Response Plan
• Regelmäßige Überprüfung der Maßnahmen

4. Ort der Verarbeitung

Die Verarbeitung der Daten erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union. Eine Übermittlung in Drittländer erfolgt nur nach vorheriger schriftlicher Zustimmung des Auftraggebers und unter Einhaltung der Vorgaben der Art. 44 ff. DSGVO.

5. Unterauftragsverarbeiter

Der Auftragsverarbeiter ist berechtigt, die folgenden Unterauftragsverarbeiter einzusetzen:

• Supabase (Vercel Inc.)
  Zweck: Datenbankhosting und -verwaltung
  Ort: Frankfurt, Deutschland (EU)
• Clerk (Auth0 Inc.)
  Zweck: Authentifizierung und Benutzerverwaltung
  Ort: EU-Rechenzentren
• OpenRouter
  Zweck: KI-Modell-Zugriff
  Ort: Verschiedene Anbieter (Daten werden anonymisiert)

Der Auftraggeber stimmt dem Einsatz der genannten Unterauftragsverarbeiter zu. Änderungen werden dem Auftraggeber rechtzeitig mitgeteilt.

6. Rechte und Pflichten des Auftraggebers

Der Auftraggeber hat das Recht:

• Auf Auskunft über die verarbeiteten Daten
• Auf Berichtigung, Löschung und Einschränkung der Verarbeitung
• Auf Datenübertragbarkeit
• Auf jederzeitige Kontrolle der Einhaltung der Datenschutzvorschriften
• Auf Erteilung von Weisungen zur Datenverarbeitung

7. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Daten nur gemäß den Weisungen des Auftraggebers zu verarbeiten
• Bei der Erfüllung der Betroffenenrechte zu unterstützen
• Nach Beendigung der Verarbeitung alle Daten zu löschen oder zurückzugeben
• Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Compliance zur Verfügung zu stellen
• Bei Datenschutzverletzungen unverzüglich zu informieren

8. Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften beim Auftragsverarbeiter zu kontrollieren. Kontrollen sind nach vorheriger Ankündigung während der üblichen Geschäftszeiten möglich.

9. Mitteilungspflichten

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich über:

• Datenschutzverletzungen
• Anfragen von Aufsichtsbehörden
• Anfragen von Betroffenen
• Maßnahmen der Aufsichtsbehörden

10. Löschung und Rückgabe von Daten

Nach Beendigung des Auftrags werden alle personenbezogenen Daten nach Wahl des Auftraggebers entweder gelöscht oder zurückgegeben. Die Löschung wird schriftlich bestätigt. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

11. Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen. Der Auftragsverarbeiter haftet für Schäden, die durch eine Verletzung seiner Pflichten aus diesem Vertrag entstehen.

12. Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.