§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Optimaite-Plattform (Optimaite Law, Optimaite Business, Optimaite Editor) als Software-as-a-Service.

(2) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags (AGB). Die Verarbeitung endet mit Beendigung des Hauptvertrags, vorbehaltlich der in § 10 geregelten Löschpflichten.

(3) Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums statt. Alle KI-Verarbeitung erfolgt über EU-basierte Dienste (Azure AI in Deutschland, AWS Bedrock in Frankfurt).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

Speicherung und Bereitstellung von Dokumenten und Dateien des Verantwortlichen
Verarbeitung von Dokumenteninhalten durch KI-Funktionen (Analyse, Zusammenfassung, Textgenerierung)
Verwaltung von Benutzerkonto- und Authentifizierungsdaten
Protokollierung von Nutzungsaktivitäten zu Sicherheits- und Abrechnungszwecken
Fehlerüberwachung und Performance-Monitoring

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

3.1 Arten personenbezogener Daten

Name, E-Mail-Adresse, Benutzername (Benutzerkonten)

Dokumenteninhalte (inkl. ggf. personenbezogener Daten in hochgeladenen Dokumenten)

Chat-Nachrichten und KI-Interaktionen

IP-Adressen, Geräte- und Browserinformationen

Nutzungsprotokolle (Zeitstempel, Aktionen, Fehlerprotokolle)

3.2 Kategorien betroffener Personen

Mitarbeiter und Benutzer des Verantwortlichen

Mandanten, Kunden oder Geschäftspartner des Verantwortlichen (soweit deren Daten in Dokumenten enthalten sind)

Sonstige Personen, deren Daten in den verarbeiteten Dokumenten vorkommen

§ 4 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1: TOMs).

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32-36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Meldepflichten).

(5) Der Auftragsverarbeiter löscht nach Abschluss der Auftragsverarbeitung alle personenbezogenen Daten oder gibt sie zurück, sofern nicht gesetzliche Aufbewahrungspflichten bestehen.

(6) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen.

§ 5 Weisungsrecht und Kontrollen

(1) Der Verantwortliche hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

(3) Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Vorschriften und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu überprüfen, auch durch Inspektionen vor Ort nach vorheriger Ankündigung.

§ 6 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens: eine Beschreibung der Art der Verletzung, die Kategorien und ungefähre Anzahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen gemäß Art. 33 und 34 DSGVO.

§ 7 Unterauftragnehmer

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragnehmer) gemäß der in Anlage 2 aufgeführten Liste einzusetzen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen vorab über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.

(3) Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragnehmer dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind.

(4) Die aktuelle Liste der Unterauftragnehmer ist unter optimaite.eu/trust/unterauftragnehmer abrufbar.

Anlage 2: Aktuelle Unterauftragnehmer

Unternehmen	Zweck	Standort	Garantien
Hetzner Online GmbH	Cloud-Infrastruktur, Kubernetes, Object Storage	Deutschland	AVV, ISO 27001
Neon Inc.	Serverless PostgreSQL Datenbank	EU (Frankfurt)	DPA, SOC 2 Type II
Microsoft Ireland Operations Ltd.	KI-Modell-API (Azure AI Foundry)	EU (Deutschland West)	DPA, ISO 27001, Zero-Retention
Amazon Web Services EMEA SARL	KI-Modell-API (AWS Bedrock / Claude)	EU (Frankfurt)	DPA, ISO 27001, Zero-Retention
Google Ireland Limited	OCR, Dokumentenerkennung (Document AI)	EU (Frankfurt)	DPA, ISO 27001
Vercel Inc.	Website-Hosting, Edge Functions	EU-Regionen	DPA, SOC 2 Type II
Stripe Payments Europe Ltd.	Zahlungsabwicklung	Irland, EU	DPA, PCI DSS
Mailgun Technologies Inc.	Transaktionaler E-Mail-Versand	EU	DPA, SOC 2 Type II
Sentry (Functional Software Inc.)	Fehlerüberwachung, Performance Monitoring	EU	DPA, SOC 2 Type II
LangChain Inc. (LangSmith)	KI-Observability und Tracing	USA	DPA, SOC 2, SCCs

§ 8 Unterstützung bei Betroffenenrechten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

§ 9 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen alle personenbezogenen Daten für einen Zeitraum von 30 Tagen zum Export in einem gängigen, maschinenlesbaren Format bereit.

(2) Nach Ablauf der Exportfrist löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen unwiderruflich, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Die Löschung wird dem Verantwortlichen auf Verlangen bestätigt.

(3) Dokumenten- und Dateninhalte in Backups werden spätestens 90 Tage nach Vertragsende automatisch aus den Backup-Rotationen entfernt.

§ 10 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie nach den Regelungen des Hauptvertrags (AGB). Der Auftragsverarbeiter haftet gegenüber betroffenen Personen für Schäden aus einer nicht den Pflichten der DSGVO entsprechenden Verarbeitung oder einem Handeln außerhalb oder entgegen den Weisungen des Verantwortlichen.

Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)

Gemäß Art. 32 DSGVO

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Rechenzentren von Hetzner in Deutschland mit physischer Zutrittskontrolle, Videoüberwachung und biometrischen Zugangskontrollen (ISO 27001 zertifiziert).

Zugangskontrolle

Personalisierte Benutzerkonten mit starker Passwort-Policy. Multi-Faktor-Authentifizierung für Administratoren. Automatische Abmeldungen nach Inaktivität, Account-Sperren nach fehlgeschlagenen Anmeldeversuchen. TLS 1.3 für alle Login-Kommunikation. VPN-gesicherter administrativer Zugang.

Zugriffskontrolle

Detailliertes Rollen- und Berechtigungskonzept nach Need-to-know-Prinzip. Multi-Tenant-Isolation auf Datenbankebene mit automatischem Tenant-Filtering. Berechtigungen nach Minimalprinzip. Administrative Tätigkeiten manipulationssicher protokolliert.

Trennungskontrolle

Strikte mandantenbezogene Datentrennung. Jede Datenbankabfrage wird automatisch auf den jeweiligen Tenant gefiltert. Separate Namespaces in Kubernetes.

Pseudonymisierung

Technische IDs statt Klarnamen in Protokollen. KI-API-Aufrufe enthalten keine direkt identifizierenden Benutzerinformationen.

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

TLS 1.3 für alle Datenübertragungen. Verschlüsselung at Rest mit AES-256. VPN-gesicherte interne Kommunikation. API-Schnittstellen mit Authentifizierungsmechanismen. Weitergabe nur auf dokumentierte Weisung des Auftraggebers.

Eingabekontrolle

Manipulationssichere Audit-Logs für alle Eingaben, Änderungen und Löschungen. Protokolliert werden Nutzerkennung, Zeitpunkt und Art der Änderung. Logs ausschließlich für autorisierte Administratoren zugänglich.

Datenintegrität bei KI-Funktionen

Jede KI-Nutzung wird protokolliert (Nutzerkennung, Zeitpunkt, Art der Anfrage). Verarbeitung ausschließlich innerhalb des gebuchten Tenants. Keine Weitergabe an externe Systeme oder für Trainingszwecke. KI-Ergebnisse als technische Unterstützung gekennzeichnet.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Verfügbarkeitskontrolle

Tägliche Backups verschlüsselt (AES-256) an redundanten Standorten. Kubernetes-Cluster mit automatischer Pod-Wiederherstellung. Point-in-Time Recovery der Datenbank. Ziel-Verfügbarkeit 99,5 %. 24/7 Monitoring.

Wiederherstellbarkeit

Dokumentierter Disaster-Recovery-Plan mit definierten RPO/RTO-Zielwerten. Regelmäßige Wiederherstellungstests. Object Storage mit Versionierung. Kritische Vorfälle werden nach Eskalationsprozess behandelt.

Belastbarkeit

Kubernetes-Cluster im ISO 27001-zertifizierten Rechenzentrum (Hetzner, Deutschland) mit redundanter Stromversorgung, Klimatisierung und Brandschutz. Horizontal skalierbare Architektur. Autoscaling bei Lastspitzen. DDoS-Schutz durch Firewalls und IDS/IPS.

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management

Dokumentiertes Datenschutz-Management-System. Regelmäßige Überprüfung und Aktualisierung der TOMs. Dokumentation aller Verarbeitungstätigkeiten.

Incident Response

Dokumentierter Incident-Response-Plan mit definierten Eskalationsstufen. Meldung an den Verantwortlichen innerhalb von 24 Stunden.

Mitarbeiterschulungen

Regelmäßige Datenschutzschulungen für alle Mitarbeiter. Sensibilisierung für Social Engineering und Phishing. Vertraulichkeitsvereinbarungen.

Auftragsverarbeiterkontrolle

Sorgfältige Auswahl und regelmäßige Überprüfung aller Unterauftragnehmer. Vertragliche Verpflichtung auf gleichwertiges Datenschutzniveau.

Besondere Maßnahmen für KI-Verarbeitung

Zero-Retention bei KI-Diensten

Vertragliche Zero-Retention- und Zero-Training-Vereinbarungen mit Microsoft Azure und Amazon Web Services. Eingabedaten werden nach Verarbeitung sofort verworfen und nicht gespeichert.

Datenminimierung bei API-Aufrufen

Nur der für die jeweilige KI-Funktion erforderliche Kontext wird an die API übermittelt. Keine Übermittlung von Benutzer-Metadaten oder Tenant-Informationen.

EU-Datenresidenz für KI-Verarbeitung

Alle KI-Verarbeitung erfolgt ausschließlich in EU-Rechenzentren: Azure AI Foundry (Deutschland West) und AWS Bedrock (Frankfurt). Eine Datenübermittlung in Drittländer findet nicht statt.

Bei Fragen zum AV-Vertrag oder zur Datenschutzkonformität:

datenschutz@optimaite.eu

Auftragsverarbeitungs­vertrag