Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Nutzers im Rahmen der Nutzung der Plattform Staffel. Er konkretisiert die datenschutzrechtlichen Verpflichtungen, die sich aus dem Hauptvertrag (AGB) und Art. 28 DSGVO ergeben, und wird mit Vertragsschluss Bestandteil des Vertragsverhältnisses.

Im Sinne dieses Vertrags ist der Nutzer Verantwortlicher (Art. 4 Nr. 7 DSGVO) und der Anbieter Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO).

§ 1 Vertragsparteien

Auftragsverarbeiter (Anbieter):

Verantwortlicher (Nutzer): Der mit dem Anbieter durch Registrierung und Annahme der AGB verbundene Vertragspartner gemäß Stammdaten im Nutzerkonto.

§ 2 Gegenstand, Art und Zweck der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der SaaS-Plattform Staffel zur Durchführung KI-gestützter Erstgespräche zwischen dem Nutzer und seinen Mandanten. Die Verarbeitung umfasst insbesondere:

• Erhebung, Speicherung und Strukturierung der von Mandanten im Gespräch angegebenen Daten;
• automatische Erstellung von Gesprächsberichten;
• Bereitstellung der Berichte und Sitzungsdaten im Nutzerkonto;
• Übermittlung der Gesprächsinhalte an die in § 7 genannten Unterauftragsverarbeiter zur Modell-Inferenz.

Zweck der Verarbeitung ist ausschließlich die Erbringung der vertraglich geschuldeten Plattformleistungen. Eine Verarbeitung zu eigenen Zwecken des Anbieters (insbesondere zum Training von KI-Modellen) findet nicht statt.

§ 3 Dauer der Verarbeitung

Die Verarbeitung beginnt mit Abschluss des Hauptvertrags und endet mit dessen Beendigung. Speicherfristen nach Vertragsende richten sich nach § 9 dieses AVV sowie den gesetzlichen Aufbewahrungspflichten.

§ 4 Art der personenbezogenen Daten und Kreis der Betroffenen

Kategorien personenbezogener Daten:

• Stammdaten der Mandanten (z. B. Name, Anrede, Kontaktdaten);
• Inhalte des Rechts- oder Beratungsanliegens (Freitext-Eingaben, Fragen und Antworten im Gespräch);
• ggf. besondere Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO (z. B. Gesundheitsdaten in familienrechtlichen oder sozialrechtlichen Anliegen), soweit der Mandant solche Daten von sich aus angibt;
• Nutzungsdaten der Kanzlei/des Nutzers (z. B. E-Mail-Adresse, Briefing-Inhalte, Sitzungs-Metadaten, Log-Daten).

Kreis der Betroffenen:

• Mandanten und sonstige Gesprächsteilnehmer des Nutzers;
• Mitarbeiterinnen und Mitarbeiter des Nutzers, die die Plattform bedienen.

§ 5 Weisungsgebundenheit

Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Nutzers. Als dokumentierte Weisungen im Sinne dieses AVV gelten der Hauptvertrag, dieser AVV sowie die durch den Nutzer in der Plattform vorgenommenen Einstellungen und Eingaben (z. B. Briefings, Konfigurationsoptionen).

Ist der Anbieter der Auffassung, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, hat er den Nutzer unverzüglich darauf hinzuweisen. Der Anbieter ist berechtigt, die Durchführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Nutzer auszusetzen.

§ 6 Pflichten des Auftragsverarbeiters

Der Anbieter verpflichtet sich insbesondere:

• die Daten ausschließlich im Rahmen der Weisungen des Nutzers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
• seine Mitarbeitenden und alle eingesetzten Hilfspersonen auf Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO);
• geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu ergreifen (§ 8);
• den Nutzer bei der Beantwortung von Betroffenenrechten (Art. 12 ff. DSGVO) zu unterstützen, soweit dies mit zumutbarem Aufwand möglich ist (Art. 28 Abs. 3 lit. e DSGVO);
• den Nutzer bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO);
• Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntnis, an den Nutzer zu melden (Art. 33 DSGVO);
• dem Nutzer alle erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen einschließlich Inspektionen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO);
• einen Datenschutzbeauftragten zu benennen, soweit gesetzlich erforderlich, und dessen Kontaktdaten dem Nutzer mitzuteilen.

§ 7 Unterauftragsverarbeiter

Der Nutzer erteilt dem Anbieter mit Abschluss dieses AVV die allgemeine schriftliche Genehmigung gemäß Art. 28 Abs. 2 DSGVO zur Inanspruchnahme nachfolgender Unterauftragsverarbeiter. Mit allen Unterauftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO; sie sind auf die gleichen Datenschutzpflichten verpflichtet wie der Anbieter selbst.

Der Anbieter informiert den Nutzer in Textform (z. B. per E-Mail oder über die Plattform) über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter. Dem Nutzer steht das Recht zu, gegen derartige Änderungen Einspruch zu erheben. Im Falle eines berechtigten Einspruchs sind die Parteien berechtigt, den Hauptvertrag ordentlich zu kündigen.

§ 8 Technische und organisatorische Maßnahmen (TOM)

Der Anbieter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählen insbesondere:

• Vertraulichkeit: Verschlüsselung der Datenübertragung (TLS 1.2+), Verschlüsselung im Ruhezustand (AES-256) für Datenbank und Storage, rollenbasierte Zugriffskontrollen, Multi-Faktor-Authentifizierung für administrativen Zugang.
• Integrität: Eingabevalidierung, Schutz vor Manipulation durch CSRF- und XSS-Schutz, signierte Sitzungstoken.
• Verfügbarkeit und Belastbarkeit: redundante Datenhaltung über die Infrastruktur der EU-Anbieter, regelmäßige Backups, Monitoring und Alerting.
• Pseudonymisierung und Datentrennung: Mandanten- und Kanzleidaten werden auf Ebene des Mandanten (Tenant) logisch getrennt (Row-Level Security in der Datenbank).
• Protokollierung: sicherheitsrelevante Ereignisse (Logins, administrative Zugriffe, Datenzugriffe) werden protokolliert; Logs werden regelmäßig ausgewertet.
• Auftragskontrolle: sorgfältige Auswahl von Unterauftragsverarbeitern, vertragliche Bindung nach Art. 28 DSGVO.
• Verfahren zur regelmäßigen Überprüfung: wiederkehrende Überprüfung der Wirksamkeit der TOM.

§ 9 Rückgabe und Löschung

Nach Beendigung des Hauptvertrags löscht der Anbieter sämtliche im Auftrag des Nutzers verarbeiteten personenbezogenen Daten, sofern der Nutzer keine Rückgabe in einem gängigen Format verlangt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Die Löschung erfolgt grundsätzlich innerhalb von 90 Tagen nach Vertragsende. Backup-Daten werden im Rahmen der regulären Rotationszyklen, spätestens innerhalb von weiteren 30 Tagen, überschrieben.

§ 10 Kontrollrechte des Verantwortlichen

Der Nutzer hat das Recht, sich von der Einhaltung der Pflichten dieses AVV durch den Anbieter zu überzeugen (Art. 28 Abs. 3 lit. h DSGVO). Der Anbieter weist die Einhaltung primär durch Vorlage geeigneter Nachweise nach (z. B. aktuelle Auditberichte, Zertifizierungen, schriftliche Selbstauskunft).

Vor-Ort-Inspektionen sind nach vorheriger angemessener Ankündigung und während der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs zulässig. Die Kosten der Kontrolle trägt der Nutzer, soweit kein konkreter Verstoß des Anbieters festgestellt wird.

§ 11 Haftung

Für die Haftung der Parteien aus diesem AVV gelten die Regelungen des Art. 82 DSGVO sowie die ergänzenden Haftungsregelungen der AGB. Eine Haftung der Parteien im Innenverhältnis richtet sich nach den jeweiligen Verantwortungsbereichen.