AVV Vorlage

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen

Auftraggeber

(im Folgenden „Verantwortlicher“)

und

Inorms AI

AC Inorms GmbH, Nobelstraße 3/5, 41189 Mönchengladbach, Deutschland.

(im Folgenden „Auftragsverarbeiter“)

1. Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der vereinbarten Dienstleistungen im Bereich:

• KI-gestützte Automatisierungen
• AI Agents
• Workflow-Automatisierung
• Datenverarbeitungssysteme
• Integrationen und digitale Prozesse
• Software- und Systementwicklung

(2) Die Dauer der Verarbeitung richtet sich nach der jeweiligen Hauptvereinbarung zwischen den Parteien.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen.

Die Verarbeitung kann insbesondere umfassen:

• Speicherung
• Strukturierung
• Analyse
• Automatisierung
• Übermittlung
• Bereitstellung
• Organisation
• Verarbeitung durch KI-Systeme

Zwecke der Verarbeitung können insbesondere sein:

• Prozessautomatisierung
• KI-gestützte Assistenzsysteme
• Dokumentenverarbeitung
• CRM-Integrationen
• Kommunikationsautomatisierung
• Wissensmanagement
• Support- und Analyseprozess

3. Kategorien betroffener Personen

Von der Verarbeitung können insbesondere folgende Personengruppen betroffen sein:

• Kunden
• Interessenten
• Mitarbeitende
• Lieferanten
• Geschäftspartner
• Nutzer digitaler Systeme

4. Kategorien personenbezogener Daten

Je nach beauftragter Leistung können insbesondere folgende Daten verarbeitet werden:

• Stammdaten
• Kontaktdaten
• Kommunikationsdaten
• Vertragsdaten
• Nutzungsdaten
• Inhaltsdaten
• Dokumente
• technische Metadaten

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden nur verarbeitet, sofern dies ausdrücklich vereinbart wurde.

5. Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

6. Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten vertraulich zu behandeln,
• nur befugten Personen Zugriff zu gewähren,
• Mitarbeitende auf Vertraulichkeit zu verpflichten,
• angemessene technische und organisatorische Maßnahmen umzusetzen.

7. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

Hierzu gehören insbesondere:

• Zugriffsbeschränkungen
• Rollen- und Berechtigungskonzepte
• Verschlüsselung
• sichere Authentifizierung
• Backup- und Wiederherstellungsverfahren
• Protokollierung
• Netzwerkschutzmaßnahmen
• sichere Hosting-Umgebungen
• regelmäßige Sicherheitsupdates

Die Maßnahmen werden unter Berücksichtigung des aktuellen Standes der Technik umgesetzt.

8. Einsatz von Unterauftragsverarbeitern

(1) Der Verantwortliche stimmt dem Einsatz von Unterauftragsverarbeitern grundsätzlich zu, sofern diese datenschutzrechtlich angemessen verpflichtet werden.

(2) Mögliche Unterauftragsverarbeiter können insbesondere sein:

• Hosting-Anbieter
• Cloud-Dienstleister
• Infrastruktur-Anbieter
• KI-Modellanbieter
• technische Integrationsdienste

(3) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter entsprechend den Anforderungen der DSGVO.

9. Internationale Datenübermittlung

Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur unter Einhaltung der gesetzlichen Vorgaben der DSGVO.

Soweit Drittlandtransfers stattfinden, werden geeignete Garantien eingesetzt, insbesondere:

• EU-Standardvertragsklauseln (SCCs)
• Angemessenheitsbeschlüsse
• zusätzliche technische Schutzmaßnahmen

10. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei:

• Betroffenenanfragen
• Datenschutz-Folgenabschätzungen
• Sicherheitsvorfällen
• Meldepflichten gegenüber Behörden
• Nachweis- und Dokumentationspflichten

11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über bekannt gewordene Verletzungen des Schutzes personenbezogener Daten.

12. Löschung und Rückgabe von Daten

Nach Abschluss der Verarbeitung oder auf Weisung des Verantwortlichen wird der Auftragsverarbeiter sämtliche personenbezogenen Daten löschen oder zurückgeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Anforderungen angemessen zu überprüfen oder durch Dritte überprüfen zu lassen.

Die Kontrollen müssen unter Berücksichtigung berechtigter Geschäfts- und Sicherheitsinteressen erfolgen.

14. Haftung

Die Haftung richtet sich nach den gesetzlichen Vorschriften der DSGVO sowie den vertraglichen Vereinbarungen zwischen den Parteien.

15. Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht.

Ort, Datum

Verantwortlicher

Inorms AI / AC Inorms GmbH