Auftragsverarbeitungsvertrag (AVV)

Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO · Stand: Juni 2026

Einbindung. Dieser AVV ist Bestandteil der AGB und kommt mit der Nutzung der Plattform durch den Kunden (nachfolgend „Verantwortlicher“) zustande. Maßgeblich ist die jeweils auf dieser Seite veröffentlichte Fassung; der Annahmezeitpunkt wird vom Anbieter dokumentiert. Die elektronische Form genügt (Art. 28 Abs. 9 DSGVO).

§ 1 Präambel, Parteien und Rangfolge

(1) Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Nutzung der Plattform MeinKumpel im Rahmen der AGB (nachfolgend „Hauptvertrag“) ergeben. Er gilt für alle Verarbeitungen personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen vornimmt.

(2) Auftragsverarbeiter ist Tom Göckeritz, Attomic (Einzelunternehmer), Kaulsdorfer Str. 8a, 12621 Berlin (nachfolgend „Auftragsverarbeiter“). Verantwortlicher ist der Kunde gemäß Hauptvertrag.

(3) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.

§ 2 Gegenstand, Art, Umfang, Zweck und Dauer der Verarbeitung

(1) Gegenstand und Zweck: Bereitstellung und Betrieb des KI-gestützten Sprachassistenten und der zugehörigen Funktionen (Sprach-Sitzungen, Transkription, Verwaltung von E-Mails/Terminen/Aufgaben, Dokumentenverarbeitung, Telefonie, Benachrichtigungen) zugunsten des Verantwortlichen.

(2) Art und Umfang: Erheben, Erfassen, Speichern, Auslesen, Verwenden, Übermitteln an eingesetzte Dienstleister, Anpassen, Löschen der personenbezogenen Daten – jeweils in dem Umfang, der zur Erbringung der vertraglichen Leistung erforderlich ist.

(3) Dauer: Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags. Die Pflichten zur Löschung/Rückgabe (§ 12) bestehen darüber hinaus fort.

§ 3 Art der Daten und Kategorien betroffener Personen

(1) Gegenstand der Verarbeitung sind insbesondere folgende Datenarten:

Stamm- und Kontaktdaten (Name, Anschrift, E-Mail, Telefonnummer);
Kommunikations- und Inhaltsdaten (Audio aus Sprach-/Telefonsitzungen, Transkripte, Nachrichten- und E-Mail-Inhalte, Notizen, hochgeladene Dokumente);
Termin-, Aufgaben- und Vertragsdaten;
Nutzungs- und Metadaten (z. B. Zeitstempel, Geräte-/Sitzungskennungen);
ggf. besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten), soweit der Verantwortliche solche über den Dienst verarbeitet.

(2) Kategorien betroffener Personen: Mitarbeitende und Ansprechpartner des Verantwortlichen sowie dessen Kunden, Mandanten, Interessenten und Anrufer.

(3) Verarbeitet der Verantwortliche besondere Datenkategorien, stellt er sicher, dass die hierfür erforderliche Rechtsgrundlage – insbesondere die ausdrückliche Einwilligung der betroffenen Personen nach Art. 9 Abs. 2 lit. a DSGVO – vorliegt und nachweisbar ist.

§ 4 Rechte und Pflichten des Verantwortlichen (Weisungsrecht)

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich. Er erteilt alle Weisungen grundsätzlich in Textform.

(2) Mündliche Weisungen bestätigt der Verantwortliche unverzüglich in Textform. Weisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zu einer Verarbeitung verpflichtet.

(2) Er informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.

(3) Er führt – soweit nach Art. 30 Abs. 2 DSGVO erforderlich – ein Verzeichnis der im Auftrag durchgeführten Verarbeitungstätigkeiten.

(4) Er meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei dessen Pflichten nach Art. 33, 34 DSGVO.

§ 6 Vertraulichkeit

Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und stellt sicher, dass diese Personen die personenbezogenen Daten nur entsprechend den Weisungen verarbeiten.

§ 7 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft die zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus erforderlichen technischen und organisatorischen Maßnahmen. Diese sind in Anlage 1 beschrieben und werden bei Bedarf an den Stand der Technik angepasst, ohne das vereinbarte Schutzniveau zu unterschreiten.

§ 8 Weitere Auftragsverarbeiter (Unterauftrag)

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter und räumt dem Verantwortlichen ein Recht zum Widerspruch innerhalb von 14 Tagen ein. Widerspricht der Verantwortliche aus einem wichtigen, datenschutzbezogenen Grund und kann keine einvernehmliche Lösung gefunden werden, steht dem Verantwortlichen ein Sonderkündigungsrecht hinsichtlich der betroffenen Leistung zu.

(3) Der Auftragsverarbeiter verpflichtet weitere Auftragsverarbeiter auf dieselben Datenschutzpflichten, die in diesem Vertrag festgelegt sind (Art. 28 Abs. 4 DSGVO).

§ 9 Drittlandübermittlung

Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind – insbesondere auf Grundlage eines Angemessenheitsbeschlusses (EU-US Data Privacy Framework) oder von Standardvertragsklauseln (Art. 46 DSGVO) nebst ergänzenden Schutzmaßnahmen. Die Transfergrundlagen je Unterauftragsverarbeiter ergeben sich aus Anlage 2.

§ 10 Unterstützungspflichten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 12–22 DSGVO). Richten betroffene Personen Anliegen direkt an den Auftragsverarbeiter, leitet er diese unverzüglich an den Verantwortlichen weiter.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) – unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

§ 11 Nachweis- und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.

(2) Er ermöglicht und unterstützt Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden. Kontrollen erfolgen mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebsablaufs; Nachweise können auch durch geeignete Zertifizierungen oder Testate erbracht werden.

§ 12 Löschung und Rückgabe nach Vertragsende

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und vernichtet vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Auf Wunsch wird die Löschung in geeigneter Weise bestätigt.

§ 13 Haftung

Für die Haftung gelten die Regelungen des Hauptvertrags (§ 11 der AGB) sowie Art. 82 DSGVO. Im Außenverhältnis gegenüber betroffenen Personen bleiben die gesetzlichen Regelungen unberührt.

§ 14 Schlussbestimmungen

(1) Es gilt deutsches Recht. Gerichtsstand ist – soweit zulässig – Berlin.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Dieser AVV tritt mit Annahme der AGB in Kraft und gilt für die Dauer des Hauptvertrags.

Anlage 1 – Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Vertraulichkeit

Zutrittskontrolle: Betrieb in einem EU-Rechenzentrum (Hetzner, Frankfurt) mit Zutrittssicherung durch den Betreiber.
Zugangskontrolle: individuelle Authentifizierung (Magic-Link-Login, sichere Sitzungs-Cookies), Zugang zu administrativen Systemen nur über VPN/IP-Beschränkung.
Zugriffskontrolle: rollenbasierte Berechtigungen; Geheimnisse (Secrets) werden verschlüsselt gespeichert.
Mandantentrennung: strikte Trennung der Daten je Kunde durch isolierte Arbeitsbereiche (eigene Workspaces, je Kunde getrennte Prozesse) und tenant-gebundene Datenbankabfragen.
Pseudonymisierung/Minimierung: Datenminimierung bei der Übermittlung an Dienstleister, soweit funktional möglich.

Integrität

Weitergabekontrolle: Transportverschlüsselung (TLS) für alle externen Verbindungen.
Eingabekontrolle: Protokollierung sicherheitsrelevanter Vorgänge (Audit-Log).

Verfügbarkeit und Belastbarkeit

Netz-Isolation der Dienste, Begrenzung der öffentlichen Angriffsfläche, Rate-Limiting an sicherheitsrelevanten Endpunkten.
Maßnahmen zur Datensicherung und Wiederherstellbarkeit.

Verfahren zur regelmäßigen Überprüfung

Überprüfung und Fortschreibung der Maßnahmen nach Stand der Technik; Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).

Die TOMs werden fortlaufend weiterentwickelt. Die jeweils aktuelle Fassung wird auf dieser Seite veröffentlicht.

Anlage 2 – Liste der Unterauftragsverarbeiter

Unterauftragsverarbeiter	Leistung	Sitz / Datenstandort	Transfergrundlage
Hetzner Online GmbH	Hosting / Server-Infrastruktur	Deutschland (EU), RZ Frankfurt	kein Drittland
seven communications GmbH & Co. KG (seven.io)	SMS-Versand (OTP)	Deutschland (EU)	kein Drittland
Google Ireland Ltd. / Google LLC (Gemini, Firebase FCM)	Sprach-/KI-Verarbeitung, Push-Zustellung	EU / USA	DPF-Angemessenheitsbeschluss; ergänzend SCC
OpenAI Ireland Ltd. / OpenAI L.L.C.	KI-Verarbeitung, Transkription	EU / USA	DPF-Angemessenheitsbeschluss; ergänzend SCC
Anthropic PBC	KI-Verarbeitung (Hintergrund-Agent, Dokumentenanalyse)	USA	Standardvertragsklauseln (SCC) + Zusatzmaßnahmen
ElevenLabs Inc.	Sprachsynthese (TTS)	USA	Standardvertragsklauseln (SCC)
Telnyx LLC	Telefonie (SIP/Trunking)	USA	Standardvertragsklauseln (SCC)
Apple Inc.	Push-Zustellung auf iOS-Geräten (APNs)	USA	Standardvertragsklauseln (SCC)

Der konkrete Einsatz richtet sich nach den vom Verantwortlichen aktivierten Funktionen (z. B. Telefonie, SMS, bestimmtes Sprachmodell). Der DPF-Zertifizierungsstatus der US-Anbieter wird laufend überprüft; entfällt eine Zertifizierung, wird der Transfer auf Standardvertragsklauseln gestützt.