Auftragsverarbeitungsvertrag

Der Kunde nutzt den API-Dienst PrivateRouter der Digitalalchemisten UG (haftungsbeschränkt) zur Verarbeitung von Anfragen an KI-Sprachmodelle. Im Rahmen dieser Nutzung kann der Kunde personenbezogene Daten Dritter (z. B. von Endnutzern seiner eigenen Anwendungen) in Form von Prompt-Texten oder anderen Inhalten an die API übermitteln.

In diesem Verhältnis ist der Kunde datenschutzrechtlicher Verantwortlicher (Art. 4 Nr. 7 DSGVO) und die Digitalalchemisten UG (haftungsbeschränkt) Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Die Parteien schließen daher gemäß Art. 28 Abs. 3 DSGVO den nachfolgenden Auftragsverarbeitungsvertrag.

(1)Auftragsverarbeiter:

(2)Verantwortlicher (Kunde): Das Unternehmen bzw. die natürliche Person, die einen PrivateRouter-Account eingerichtet hat und die AGB akzeptiert hat. Die konkreten Kontaktdaten des Verantwortlichen ergeben sich aus den Registrierungsdaten im Nutzerkonto.

(1)Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung des Dienstes PrivateRouter (KI-API-Gateway).

(2)Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags (AGB). Er endet automatisch mit der Beendigung des Nutzungsvertrags, vorbehaltlich der Regelungen zu Löschung und Rückgabe in Art. 10.

(1)Art der Verarbeitung: Übermittlung von Anfragen an KI-Sprachmodelle per HTTPS-Proxy. Anfrageinhalte werden nicht dauerhaft gespeichert und nach Beendigung der jeweiligen API-Anfrage nicht mehr vorgehalten. Verarbeitete Metadaten (Token-Anzahl, Zeitstempel) enthalten keine personenbezogenen Inhalte der Anfragen.

(2)Zweck der Verarbeitung: Bereitstellung des API-Dienstes für den Verantwortlichen; Weiterleitung von Anfragen an die gewählten KI-Modelle und Rückleitung der Ergebnisse; Abrechnung der Nutzung anhand von Metadaten.

(3)Betroffene Personen: Personen, deren Daten der Verantwortliche in Anfragen an die API übermittelt. Dies können u. a. Endnutzer von Kundenanwendungen, Mitarbeiter des Verantwortlichen oder sonstige Dritte sein. Die konkrete Bestimmung liegt beim Verantwortlichen.

(4)Art der personenbezogenen Daten: Die Kategorien und Inhalte der personenbezogenen Daten werden ausschließlich durch den Verantwortlichen bestimmt. Typischerweise handelt es sich um Freitextdaten, die Namen, Adressen, Kommunikationsinhalte oder andere Informationen enthalten können. Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten) durch den Auftragsverarbeiter ist nicht vorgesehen und bedarf einer gesonderten schriftlichen Vereinbarung.

Der Auftragsverarbeiter verpflichtet sich gemäß Art. 28 Abs. 3 DSGVO zu folgenden Pflichten:

(1)Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die vorliegende Nutzungsvereinbarung und dieser AVV bilden die Grundlage dieser Weisung. Erteilt der Verantwortliche eine Weisung, die nach Einschätzung des Auftragsverarbeiters gegen die DSGVO oder sonstige datenschutzrechtliche Vorschriften verstößt, hat er den Verantwortlichen unverzüglich zu informieren.

(2)Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen der Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3)Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter trifft geeignete TOMs gemäß Art. 32 DSGVO. Die konkret umgesetzten Maßnahmen sind in Art. 6 dieses AVV beschrieben.

(4)Unterauftragsverarbeitung: Der Auftragsverarbeiter nimmt keine weiteren Auftragsverarbeiter ohne vorherige Genehmigung des Verantwortlichen in Anspruch. Für die in Art. 7 genannten, zum Zeitpunkt des Vertragsschlusses bereits eingesetzten Unterauftragsverarbeiter erteilt der Verantwortliche mit Abschluss dieses AVV seine allgemeine Vorabgenehmigung gemäß Art. 28 Abs. 2 DSGVO. Über Änderungen bei Unterauftragsverarbeitern wird der Verantwortliche mindestens 14 Tage im Voraus informiert.

(5)Unterstützung des Verantwortlichen: Der Auftragsverarbeiter unterstützt den Verantwortlichen soweit möglich bei der Erfüllung von Betroffenenrechten (Art. 8), bei der Einhaltung von Art. 32–36 DSGVO (Sicherheit, Folgenabschätzung, Meldepflichten) sowie durch Bereitstellung erforderlicher Informationen für Nachweise gegenüber Aufsichtsbehörden.

(6)Löschung und Rückgabe: Nach Beendigung des AVV löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück, es sei denn, eine unionsrechtliche oder mitgliedstaatliche Rechtsvorschrift sieht eine Pflicht zur Speicherung vor (vgl. Art. 10).

(7)Nachweis: Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen (Art. 11).

(1)Der Verantwortliche trägt die datenschutzrechtliche Gesamtverantwortung für die Rechtmäßigkeit der Datenverarbeitung. Er ist insbesondere verpflichtet:

• sicherzustellen, dass eine Rechtsgrundlage für die Übermittlung personenbezogener Daten Dritter an den Dienst besteht;
• die betroffenen Personen gemäß Art. 13/14 DSGVO über die Verarbeitung ihrer Daten durch den Auftragsverarbeiter zu informieren;
• keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ohne gesonderte schriftliche Vereinbarung zu verarbeiten;
• Weisungen schriftlich (E-Mail genügt) zu erteilen;
• den Auftragsverarbeiter unverzüglich zu informieren, falls er Fehler oder Unregelmäßigkeiten in der Verarbeitung festgestellt hat.

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

(1)Der Auftragsverarbeiter setzt zum Zeitpunkt des Abschlusses dieses AVV folgende Unterauftragsverarbeiter ein:

(2)Alle oben genannten Unterauftragsverarbeiter sind zur Einhaltung der DSGVO und der in diesem AVV beschriebenen Maßnahmen verpflichtet. Mit ihnen bestehen gesonderte Auftragsverarbeitungsverträge gemäß Art. 28 Abs. 4 DSGVO.

(3)Änderungen bei Unterauftragsverarbeitern (Hinzufügung oder Wechsel) werden dem Verantwortlichen mindestens 14 Tage vor Inkrafttreten per E-Mail mitgeteilt. Der Verantwortliche kann innerhalb dieser Frist widersprechen, wenn sachliche Gründe gegen den neuen Unterauftragsverarbeiter vorliegen. Im Widerspruchsfall sind die Parteien berechtigt, den Vertrag außerordentlich zu kündigen.

(1)Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter zur Ausübung ihrer Rechte nach Art. 15–22 DSGVO, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter und unterstützt ihn bei der Beantwortung, soweit dies mit den dem Auftragsverarbeiter vorliegenden Informationen möglich ist.

(2)Da der Auftragsverarbeiter keine Anfrageinhalte speichert, sind ihm in der Regel keine personenbezogenen Daten der betroffenen Dritten bekannt. Auskünfte über verarbeitete Daten können sich daher ausschließlich auf Metadaten (Token-Anzahl, Zeitstempel, Modell) beziehen, die keinen Rückschluss auf die betroffene Person zulassen. Über diesen Umstand ist der Verantwortliche informiert.

(1)Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden. Die Meldung erfolgt per E-Mail an die im Nutzerkonto hinterlegte Adresse.

(2)Die Meldung enthält mindestens: eine Beschreibung der Art der Verletzung, die ungefähre Zahl der betroffenen Personen und Datensätze, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen. Soweit zum Zeitpunkt der ersten Meldung noch nicht alle Informationen vorliegen, werden diese unverzüglich nachgereicht.

(3)Die Meldung einer Datenschutzverletzung durch den Auftragsverarbeiter an den Verantwortlichen stellt keine Anerkennung einer Pflichtverletzung oder Schuld dar.

(1)Nach Beendigung der Leistungen und Ablauf ggf. bestehender Aufbewahrungsfristen löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen. Da Anfrageinhalte ohnehin nicht gespeichert werden, beschränkt sich dies auf Abrechnungsmetadaten und Kontodaten.

(2)Abrechnungsdaten und Rechnungen werden entsprechend der gesetzlichen Aufbewahrungspflichten (§ 147 AO: 10 Jahre) auch nach Vertragsende vorgehalten. Eine Löschung vor Ablauf dieser Fristen ist nicht möglich.

(3)Der Auftragsverarbeiter kann auf Anfrage eine schriftliche Bestätigung der Löschung ausstellen.

(1)Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten erforderlich sind, und ermöglicht Überprüfungen einschließlich Inspektionen, die durch den Verantwortlichen oder einen von ihm beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei.

(2)Überprüfungen sind dem Auftragsverarbeiter mit angemessener Frist (mindestens 30 Tage) schriftlich anzukündigen. Sie finden während der üblichen Geschäftszeiten statt und dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen. Die mit Überprüfungen verbundenen Kosten trägt der Verantwortliche.

(3)Als geeigneter Nachweis können auch aktuelle Zertifizierungen (ISO 27001) der eingesetzten Rechenzentren sowie Testate zugelassener Prüfer anerkannt werden, soweit diese die relevanten Verarbeitungstätigkeiten abdecken.

(1)Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die durch eine Verarbeitung entstehen, die nicht den Weisungen des Verantwortlichen entspricht oder die gegen unmittelbar geltende datenschutzrechtliche Vorschriften verstößt.

(2)Im Übrigen gelten die Haftungsregelungen der AGB (§ 10 AGB) entsprechend.

(3)Der Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen Dritter frei, die darauf beruhen, dass der Verantwortliche nicht über eine hinreichende Rechtsgrundlage für die Übermittlung personenbezogener Daten Dritter verfügte oder seine Informationspflichten gegenüber betroffenen Personen nicht erfüllt hat.

(1)Dieser AVV tritt mit Abschluss des Nutzungsvertrags in Kraft und läuft parallel zum Hauptvertrag. Er endet automatisch mit der Beendigung des Hauptvertrags.

(2)Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund für den Verantwortlichen liegt insbesondere vor, wenn der Auftragsverarbeiter schwerwiegend gegen datenschutzrechtliche Pflichten verstößt und den Verstoß nicht innerhalb einer angemessenen Frist behebt.

(1)Dieser AVV unterliegt deutschem Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters.

(2)Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit des übrigen AVV unberührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(3)Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform; E-Mail genügt.

(4)Dieser AVV ersetzt alle vorherigen mündlichen oder schriftlichen Vereinbarungen zwischen den Parteien über die Auftragsverarbeitung im Rahmen von PrivateRouter.