Art. 28 DSGVO
Auftragsverarbeitungsvertrag (AVV)
Bitte lesen Sie den AVV vollständig durch, bevor Sie Daten auf unserer Plattform verarbeiten.
AUFTRAGSVERARBEITUNGSVERTRAG (AVV) gemäß Art. 28 Abs. 3 DS-GVO zwischen dem Auftraggeber (nachfolgend „Verantwortlicher") und FormConcierge, Robert Dörries, Neue Welt 38, 10247 Berlin (nachfolgend „Auftragsverarbeiter") — gemeinsam die „Parteien" — Stand: Februar 2026 § 1 Gegenstand und Dauer der Verarbeitung (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Gegenstand der Auftragsverarbeitung ist die Erbringung folgender Leistungen: • KI-gestützte Analyse und Befüllung von Vendor-Compliance-Fragebögen • Verarbeitung hochgeladener Dokumente (Policies, Richtlinien, Zertifikate) • Generierung von Antwortvorschlägen mittels Large Language Models (LLM) (2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Beendigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. § 2 Art und Zweck der Verarbeitung Die Verarbeitung umfasst folgende Tätigkeiten: • Upload und temporäre Speicherung von Dokumenten zur Analyse • Textextraktion und semantische Analyse mittels RAG (Retrieval-Augmented Generation) • Generierung von Antwort-Drafts auf Basis hochgeladener Dokumente • Qualitätssicherung durch Constraint-Validation und Evidence-Scoring § 3 Art der personenbezogenen Daten Folgende Datenkategorien können verarbeitet werden: • Kontaktdaten der Mitarbeiter des Verantwortlichen (Name, E-Mail, Telefon) • Organisationsbezogene Daten (Abteilung, Rolle, Zuständigkeiten) • In Dokumenten enthaltene personenbezogene Daten (z.B. Ansprechpartner in Policies) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht verarbeitet. Der Verantwortliche verpflichtet sich, keine besonderen Kategorien in die Plattform hochzuladen. § 4 Kategorien betroffener Personen Betroffene Personen sind: • Mitarbeiter und Bevollmächtigte des Verantwortlichen • In hochgeladenen Dokumenten genannte Personen (z.B. Sicherheitsbeauftragte, IT-Verantwortliche) § 5 Pflichten des Auftragsverarbeiters (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). (2) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO). (3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs). Diese umfassen insbesondere: • Verschlüsselung aller Daten at rest (AES-256) und in transit (TLS 1.3) • Zugriffskontrolle durch RBAC und MFA für administrative Zugänge • Mandantentrennung durch PostgreSQL Row Level Security (RLS) • Regelmäßige Sicherheitsüberprüfungen und Penetrationstests • Incident-Response-Plan mit Meldefrist ≤ 24 Stunden (4) Der Auftragsverarbeiter nimmt keine weiteren Auftragsverarbeiter ohne vorherige schriftliche oder textförmliche Genehmigung des Verantwortlichen in Anspruch (Art. 28 Abs. 2 DSGVO). Die aktuellen Unterauftragsverarbeiter sind in Anlage 1 aufgeführt. (5) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO (Art. 28 Abs. 3 lit. f DSGVO). (6) Nach Beendigung des Auftrags werden sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben (Art. 28 Abs. 3 lit. g DSGVO). (7) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung und ermöglicht Überprüfungen/Audits (Art. 28 Abs. 3 lit. h DSGVO). § 6 Unterauftragsverarbeiter Die folgenden Unterauftragsverarbeiter sind zum Zeitpunkt des Vertragsschlusses genehmigt: | Name | Zweck | Standort | Garantie | |------|-------|----------|----------| | Supabase Inc. | Datenbank & Storage | DE (Frankfurt, eu-central-1) | AVV + SCCs | | Vercel Inc. | Frontend Hosting / CDN | EU (Core) | AVV + SCCs | | Anthropic PBC | LLM Inference (API) | USA | Enterprise Addendum, ZDR-fähig | | Stripe Inc. | Zahlungsabwicklung | IE (Irland) | Eigener Controller | Änderungen an Unterauftragsverarbeitern werden dem Verantwortlichen mit einer Frist von 14 Tagen mitgeteilt. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen nach Mitteilung widersprechen. § 7 Rechte der betroffenen Personen Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO). § 8 Meldung von Verletzungen Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden, jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). § 9 Schlussbestimmungen (1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform (E-Mail genügt). (2) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam. (3) Es gilt das Recht der Bundesrepublik Deutschland. (4) Gerichtsstand ist Berlin. ANLAGE 1: Technische und Organisatorische Maßnahmen (TOMs) 1. Vertraulichkeit • Zutrittskontrolle: Cloud-basiert (Rechenzentrum: AWS Frankfurt) • Zugangskontrolle: MFA-Pflicht, YubiKey/TOTP • Zugriffskontrolle: RBAC, Least Privilege, quartalsweise Reviews • Trennungskontrolle: Mandantentrennung via tenant_id + RLS 2. Integrität • Eingabekontrolle: Audit-Logs für alle Write-Operationen • Weitergabekontrolle: TLS 1.3, keine unverschlüsselten Transfers 3. Verfügbarkeit und Belastbarkeit • Backup: Tägliche verschlüsselte Backups (AES-256) • Wiederherstellbarkeit: RPO ≤ 24h, RTO ≤ 4h • Lastausgleich: Auto-Scaling via Vercel/Supabase 4. Verfahren zur regelmäßigen Überprüfung • Sicherheitsaudits: Jährlich • Penetrationstests: Mindestens jährlich • Incident Response: Definierter Plan, Post-Mortem innerhalb 72h