Auftragsverarbeitungsvereinbarung

Version: April 2026

Diese Auftragsverarbeitungsvereinbarung (“AVV“) ist Bestandteil der zwischen Ihnen und geschlossenen Nutzungs‑ bzw. Servicevereinbarung („Vereinbarung“). Sie konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der von bereitgestellten Dienste.

Begriffe, die in dieser AVV nicht gesondert definiert sind, haben die Bedeutung, die ihnen in den Servicebedingungen oder der Vereinbarung zukommt.

Die AVV wird im Einklang mit den jeweils anwendbaren Datenschutzgesetzen geschlossen, insbesondere der Datenschutz‑Grundverordnung (DSGVO).

Sofern personenbezogene Daten im Auftrag verarbeitet werden, handelt sisTent UG als Auftragsverarbeiter im Sinne der DSGVO. Der Nutzer ist in diesem Fall der Verantwortliche.

1. Rollen und Geltungsbereich

Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf dokumentierte Weisung des Auftraggebers (Art. 28 DSGVO).

Die Nutzung der Plattform und ihrer Funktionen stellt eine Weisung im Sinne dieser AVV dar.

2. Gegenstand und Umfang der Verarbeitung

2.1 Gegenstand der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bereitstellung und Nutzung der vertraglich vereinbarten Dienste über die unter erreichbare Plattform.

2.2 Arten personenbezogener Daten

Im Rahmen der Nutzung des Dienstes können insbesondere folgende personenbezogene Daten verarbeitet werden:

• Kontakt- und Identifikationsdaten (z. B. Name, E-Mail-Adresse, Telefonnummer)
• Kommunikationsinhalte (z. B. Chatverläufe, E-Mails, Nachrichten)
• hochgeladene Inhalte (z. B. Dokumente, Webseiten)
• Nutzungs- und Metadaten (z. B. Zeitstempel, IP-Adresse, Geräteinformationen)
• System- und Protokolldaten

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist untersagt, sofern nicht ausdrücklich vereinbart.

2.3 Kategorien betroffener Personen

• Mitarbeitende und Beauftragte des Nutzers
• Endkunden und Nutzer des Nutzers
• Besucher der Website des Nutzers
• Sonstige Personen, deren Daten im Rahmen der Diensterbringung verarbeitet werden

3. Art und Zweck der Verarbeitung

3.1 Verarbeitung sensibler Daten (optionale Nutzung)

Die Plattform kann – sofern vom Auftraggeber aktiviert – auch zur Verarbeitung sensibler personenbezogener Daten (z. B. Gesundheitsdaten im Rahmen von Anfragen wie Rezeptbestellungen) genutzt werden.

In diesem Fall gilt:

• Die Verarbeitung erfolgt ausschließlich auf Weisung und Verantwortung des Auftraggebers.
• Der Auftraggeber ist verpflichtet, eine geeignete Rechtsgrundlage gemäß Art. 9 DSGVO sicherzustellen.
• Die Daten werden während der Übertragung und Speicherung verschlüsselt verarbeitet.
• Konversationen mit sensiblen Daten werden spätestens innerhalb von 48 Stunden automatisch gelöscht, sofern keine abweichende Weisung oder gesetzliche Verpflichtung besteht.
• Der Auftragnehmer verwendet diese Daten ausschließlich zur Bereitstellung der angeforderten Funktion und nicht für andere Zwecke.

3.1 Art der Verarbeitung

Die Verarbeitung erfolgt ausschließlich automatisiert und elektronisch und umfasst insbesondere das Erfassen, Speichern, Auslesen, Übermitteln und Löschen personenbezogener Daten, soweit dies zur Vertragserfüllung erforderlich ist.

Die Verarbeitung erfolgt ausschließlich automatisiert und elektronisch und umfasst insbesondere das Erfassen, Speichern, Auslesen, Übermitteln und Löschen personenbezogener Daten, soweit dies zur Vertragserfüllung erforderlich ist.

3.2 Einsatz von KI-Systemen

Die Verarbeitung umfasst den Einsatz von KI-Modellen zur Generierung von Antworten und zur Automatisierung von Prozessen.

Dabei werden:

• Eingaben des Auftraggebers („Prompts“)
• sowie daraus erzeugte Ergebnisse („Outputs“)

verarbeitet.

Wichtige Klarstellung:

• Es erfolgt keine Nutzung der Daten des Auftraggebers zur Verbesserung oder zum Training von KI-Modellen, sofern nicht ausdrücklich anders vereinbart.
• Eine Verarbeitung durch externe KI-Dienstleister erfolgt ausschließlich im Rahmen von Auftragsverarbeitungsverhältnissen und unter Einhaltung der DSGVO.

3.2 Zweck der Verarbeitung

Zweck der Verarbeitung ist die ordnungsgemäße Bereitstellung, Absicherung und Weiterentwicklung der vertraglich vereinbarten Dienste.

4. Weisungsrecht

Der Auftragnehmer verarbeitet Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

Weisungen können erfolgen durch:

• Nutzung der Plattformfunktionen
• Konfigurationen innerhalb der Plattform
• schriftliche oder elektronische Anweisungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung gegen geltendes Datenschutzrecht verstößt.

5. Dauer der Verarbeitung und Datenlöschung

Die Verarbeitung erfolgt für die Dauer der Vertragslaufzeit. Nach Beendigung der Vereinbarung löscht die verarbeiteten personenbezogenen Daten spätestens innerhalb von drei Monaten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Auf Wunsch des Nutzers können die Daten vor der Löschung gegen angemessenes Entgelt herausgegeben werden.

6. Rechte und Pflichten der Parteien

6.1 Pflichten von sisTent UG

sisTent UG ist verpflichtet, personenbezogene Daten ausschließlich im Rahmen der Vereinbarung und auf dokumentierte Weisung des Nutzers zu verarbeiten. Dies umfasst insbesondere:

• die Verarbeitung personenbezogener Daten nur zu den vertraglich vereinbarten Zwecken;
• die Sicherstellung, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind;
• die Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO;
• die Unterstützung des Nutzers bei der Erfüllung seiner Pflichten im Zusammenhang mit Betroffenenrechten (Art. 12–22 DSGVO);
• die Unterstützung bei Datenschutz-Folgenabschätzungen und bei vorherigen Konsultationen mit Aufsichtsbehörden (Art. 35, 36 DSGVO), soweit erforderlich;
• die unverzügliche Information des Nutzers, sofern der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt;
• die Ermöglichung von Nachweisen (z. B. durch geeignete Dokumentationen), dass die Anforderungen dieser AVV eingehalten werden.

6.2 Pflichten des Nutzers

Der Nutzer ist Verantwortlicher im Sinne der DSGVO und bleibt für die Rechtmäßigkeit der Verarbeitung verantwortlich. Insbesondere verpflichtet sich der Nutzer:

• eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten sicherzustellen;
• betroffene Personen ordnungsgemäß über die Datenverarbeitung zu informieren;
• erforderliche Einwilligungen einzuholen;
• Anfragen betroffener Personen fristgerecht und rechtskonform zu bearbeiten;
• nur solche personenbezogenen Daten bereitzustellen, deren Verarbeitung rechtmäßig ist;
• unverzüglich zu informieren, wenn sich Weisungen oder rechtliche Anforderungen ändern.

6.3 Anfragen betroffener Personen

Erhält sisTent UG direkt eine Anfrage einer betroffenen Person zu ihren personenbezogenen Daten, leitet sisTent UG diese – soweit rechtlich zulässig – an den Kunden weiter. sisTent UG unterstützt den Kunden bei der Bearbeitung der Anfrage im angemessenen und gesetzlich zulässigen Umfang.

6.4 Kontroll- und Prüfungsrechte (Audits)

Der Nutzer ist berechtigt, die Einhaltung dieser AVV durch sisTent UG zu überprüfen. Prüfungen sind rechtzeitig anzukündigen und auf ein angemessenes Maß zu beschränken. Sie dürfen den Geschäftsbetrieb von nicht unangemessen beeinträchtigen und haben unter Wahrung der Vertraulichkeit zu erfolgen.

Weitere Einzelheiten zu Prüfungen können von vorab festgelegt werden, insbesondere hinsichtlich Umfang, Zeitpunkt und Sicherheitsanforderungen.

7. Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Erlaubnis, weitere Auftragsverarbeiter für die Verarbeitung von Auftraggeber-Daten hinzuzuziehen.

Dienstleister, die Wartung, Prüfung oder andere Nebenleistungen erbringen, bei denen ein Zugriff auf Daten nicht ausgeschlossen werden kann, sind grundsätzlich nicht zustimmungspflichtig, sofern angemessene Schutzmaßnahmen für die Vertraulichkeit der Daten bestehen.

Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen oder die Hinzuziehung weiterer Auftragsverarbeiter. Der Auftraggeber kann innerhalb von 14 Tagen nach Mitteilung Einspruch aus wichtigem Grund erheben. Unterbleibt ein Einspruch, gilt die Beauftragung als genehmigt. Bei Einspruch kann der Auftragnehmer den Hauptvertrag und diesen Vertrag mit 30-tägiger Frist kündigen.

Verträge mit weiteren Auftragsverarbeitern müssen dieselben Pflichten enthalten, die auch der Auftragnehmer gegenüber dem Auftraggeber hat. Bei Einsatz in Drittländern werden die EU-Standardvertragsklauseln (04. Juni 2021, Modul 3) angewendet, soweit Ziffer 2.3 dieses Vertrags eingehalten wird.

Eine Übersicht der aktuell eingesetzten Subprozessoren, AI-Modelle, Embedding-Dienste und Speicherlösungen ist in Appendix A enthalten. Änderungen am Appendix werden dem Auftraggeber mindestens 10 Werktage im Voraus mitgeteilt, wobei der Auftraggeber das Recht hat, innerhalb dieser Frist Widerspruch einzulegen.

8. Datensicherheit und Sicherheitsvorfälle

8.1 Technische und organisatorische Maßnahmen

sisTent UG trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Diese Maßnahmen umfassen insbesondere:

• Verschlüsselung von Datenübertragungen mittels SSL/TLS;
• Zugriffsbeschränkungen nach dem Need-to-know-Prinzip;
• Authentifizierungs- und Autorisierungskonzepte (z. B. sichere Passwörter, Rollen- und Rechteverwaltung);
• Protokollierung und Überwachung von Zugriffen und Systemereignissen;
• Regelmäßige Sicherung (Backups) personenbezogener Daten sowie getestete Wiederherstellungsverfahren;
• Schutz der Systeme vor unbefugtem Zugriff, Manipulation, Verlust oder Zerstörung;
• Regelmäßige Überprüfung, Bewertung und Weiterentwicklung der Sicherheitsmaßnahmen.

Alle mit der Verarbeitung personenbezogener Daten betrauten Mitarbeitenden von sisTent UG sind zur Vertraulichkeit verpflichtet und entsprechend geschult.

8.2 Meldung von Datenschutzverletzungen

Stellt eine Verletzung des Schutzes personenbezogener Daten fest, informiert den Nutzer unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden des Vorfalls.

Die Mitteilung enthält – soweit verfügbar – insbesondere:

• eine Beschreibung der Art der Datenschutzverletzung;
• die Kategorien und die ungefähre Anzahl der betroffenen Personen;
• die Kategorien und die ungefähre Anzahl der betroffenen Datensätze;
• eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung;
• Vorschläge zu Maßnahmen zur Behebung oder Minderung möglicher nachteiliger Auswirkungen.

sisTent UG unterstützt den Nutzer im gesetzlich zulässigen Umfang bei der Erfüllung seiner Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörden und betroffenen Personen.

9. Datenlokation

Die Verarbeitung und Speicherung personenbezogener Daten erfolgt grundsätzlich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR).

Sofern im Einzelfall eine Verarbeitung außerhalb der EU/EWR erfolgt (z. B. durch Subprozessoren), wird sichergestellt, dass geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen (z. B. Standardvertragsklauseln oder EU-US Data Privacy Framework).

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein angemessenes Schutzniveau sicherzustellen, insbesondere durch Verschlüsselung und Zugriffsbeschränkungen.

10. Haftung und Schlussbestimmungen

Es gelten die Haftungsregelungen der Servicebedingungen. Änderungen dieser AVV erfolgen gemäß den dort festgelegten Regelungen.

Diese AVV tritt gemeinsam mit der Vereinbarung in Kraft.