AI Act PlattformDemo

Auftragsverarbeitungsvertrag (Muster)

gemäß Art. 28 Abs. 3 DSGVO · Stand: 13. Mai 2026

Dieser Mustertext ist eine Arbeitsgrundlage für die vertragliche Beziehung zwischen Verantwortlicher (Kunde, „Auftraggeberin") und Auftragsverarbeiterin (Plattform-Betreiberin, „Auftragnehmerin"). Vor Unterzeichnung durch beide Parteien anwaltlich zu prüfen und an die konkreten Verarbeitungstätigkeiten anzupassen. Druckansicht: Strg/Cmd + P.

Parteien

Auftragnehmerin:

Anna K. Lippmann
c/o Impressumservice Dein-Impressum
Stettiner Straße 41
35410 Hungen
Deutschland
E-Mail: hello@ankarina.de

Auftraggeberin: Die im Hauptvertrag genannte Kundin bzw. der dort genannte Kunde.

§ 1 Gegenstand und Dauer

Der Auftragnehmer betreibt für den Auftraggeber eine SaaS-Plattform zur Unterstützung der Compliance mit der Verordnung (EU) 2024/1689 (KI-Verordnung). Im Rahmen dieser Tätigkeit verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers gemäß Art. 4 Nr. 8 i. V. m. Art. 28 DSGVO. Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des zugrunde liegenden Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten der Mitarbeitenden des Auftraggebers (E-Mail-Adresse, Name, Authentifizierungsdaten) sowie sachbezogene Daten zu den KI-Systemen des Auftraggebers (Stammdaten, Wizard-Antworten, Klassifikations- und Rollen-Ergebnisse). Zweck der Verarbeitung ist die Bereitstellung der Plattform, die Erstellung von Compliance-Dokumentation und die Pflege auditierbarer Versionsstände.

§ 3 Kategorien betroffener Personen

  • Mitarbeitende des Auftraggebers in ihrer Rolle als Plattform-Nutzer
  • Soweit der Auftraggeber im Wizard oder in der Dokumentation Klartext zu betroffenen Personen seiner KI-Systeme erfasst: diese betroffenen Personen.

§ 4 Pflichten des Auftragnehmers

  1. Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers.
  2. Vertraulichkeitsverpflichtung der eingesetzten Mitarbeiter.
  3. Einsatz angemessener technischer und organisatorischer Maßnahmen (TOMs); siehe Anlage A.
  4. Unterstützung des Auftraggebers bei Anträgen Betroffener auf Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit.
  5. Unterstützung bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO.
  6. Auf Wahl des Auftraggebers Rückgabe oder Löschung aller personenbezogenen Daten nach Vertragsende.
  7. Bereitstellung aller zum Nachweis der Einhaltung der DSGVO erforderlichen Informationen.

§ 5 Unterauftragsverhältnisse

Die Auftragnehmerin setzt zur Erbringung der Leistung folgende Unterauftragsverarbeiter ein:

  • Vercel Inc., Sitz in San Francisco, USA. Funktion: Hosting der Web-Anwendung und Ausführung der Server-Funktionen. Aktuelle Verarbeitungsregion: US-Ost (iad1). Eine Umstellung auf Frankfurt (fra1) ist mit dem Pro-Plan vorgesehen. Auftragsverarbeitungsvertrag: vercel.com/legal/dpa. Rechtsgrundlage für die Drittlandübermittlung: EU-Standardvertragsklauseln und, soweit zertifiziert, EU-US Data Privacy Framework.
  • Supabase Inc., Sitz in den USA. Funktion: PostgreSQL-Datenbank, Authentifizierung, Speicher-Backend. Speicherregion: Frankfurt (eu-central-1). Auftragsverarbeitungsvertrag: supabase.com/legal/dpa. Rechtsgrundlage für die ausnahmsweise Drittlandverarbeitung zu Support- und Administrationszwecken: EU-Standardvertragsklauseln.

Vor Hinzuziehung weiterer Unterauftragsverarbeiter informiert die Auftragnehmerin die Auftraggeberin. Diese kann begründet Einspruch erheben.

§ 6 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, sich von der Einhaltung der vereinbarten Datenschutzmaßnahmen zu überzeugen, insbesondere durch Vorlage geeigneter Nachweise (Zertifikate, Auditberichte, Eigenerklärung) oder nach vorheriger Ankündigung durch Vor-Ort-Prüfung.

§ 7 Meldung von Verletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten. Inhalt der Meldung mindestens gemäß Art. 33 Abs. 3 DSGVO.

§ 8 Sonstige Regelungen

Es gilt deutsches Recht. Gerichtsstand ist {{GERICHTSSTAND}}. Mündliche Nebenabreden bestehen nicht. Änderungen und Ergänzungen bedürfen der Schriftform.

Anlage A: Technische und organisatorische Maßnahmen

  • Verschlüsselung der Datenübertragung (TLS 1.2+) und ruhender Daten (Datenbank-At-Rest-Verschlüsselung).
  • Zugriffsschutz: Mehrfaktor-Authentifizierung für administrative Zugänge, Mandantentrennung auf SQL-Ebene (Row-Level-Security oder strikt scopebasierte Queries).
  • Protokollierung sicherheitsrelevanter Ereignisse mit angemessener Aufbewahrungsdauer (max. 30 Tage für Zugriffsprotokolle).
  • Regelmäßige Sicherungen mit Wiederherstellungstests.
  • Kein Einsatz externer Tracker, Analyse- oder Werbedienste.
  • Schriftarten ausschließlich vom eigenen Origin; keine Verbindung zu Google Fonts oder vergleichbaren Drittdiensten.
  • Schulung des Personals auf DSGVO-relevante Themen.

Unterschriften

Für den Auftraggeber

Ort, Datum, Name in Druckschrift, Unterschrift

Für den Auftragnehmer

Ort, Datum, Name in Druckschrift, Unterschrift

Dokument-Stand: Mustertext, vor Abschluss anzupassen. Platzhalter (`{{...}}`) durch konkrete Werte ersetzen.