← Alle Dokumente

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Stand: Juli 2026

zwischen

dem Kunden – nachfolgend „Auftraggeber" (Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO). Die konkreten Angaben des Auftraggebers (Name/Firma, Anschrift, vertretungsberechtigte Person) ergeben sich aus dem Konto und der Abschlussbestätigung zu diesem Vertrag.

und

Artur Parutkin (Einzelunternehmen), Isestraße 35, 20144 Hamburg, Deutschland – nachfolgend „Auftragnehmer" (Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO).

Präambel

Der Auftragnehmer betreibt unter privatai.com eine EU-gehostete, datenschutzfreundliche KI-API und Chat-Plattform (der „Dienst"). Der Auftraggeber nutzt den Dienst im Rahmen des zugrunde liegenden Hauptvertrags (AGB / Leistungsbeschreibung). Der Auftragnehmer wird in den AGB als „Anbieter", der Auftraggeber dort als „Kunde" bezeichnet. Soweit der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, gilt dieser AVV. Bei Widerspruch zwischen AVV und Hauptvertrag geht dieser AVV in datenschutzrechtlichen Fragen vor.

§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung

  1. Gegenstand ist die Verarbeitung personenbezogener Daten, die der Auftraggeber über den Dienst eingibt bzw. übermittelt (Eingaben) und verarbeiten lässt, um Ausgaben durch KI-Modelle zu erzeugen.
  2. Art der Verarbeitung: automatisierte Verarbeitung (Übermittlung, Inferenz/Berechnung, Rückgabe von Ausgaben) über die API bzw. den Chat. Eine Speicherung der Eingaben/Ausgaben durch den Auftragnehmer oder das Inferenz-Rechenzentrum findet nicht statt (siehe § 4 und Anlage 2).
  3. Zweck: Bereitstellung der KI-Funktionalität ausschließlich zur Erfüllung des Hauptvertrags.
  4. Dauer: für die Laufzeit des Hauptvertrags; endet mit dessen Beendigung (§ 12).

§ 2 Art der Daten und Kategorien betroffener Personen

Umfang, Art und Zweck sowie die konkreten Datenarten und betroffenen Personen ergeben sich aus Anlage 1. Da der Auftraggeber Inhalt und Umfang der Eingaben allein bestimmt, ist er für die dort verarbeiteten Datenarten und betroffenen Personen verantwortlich.

§ 3 Rechte und Pflichten des Auftraggebers

  1. Der Auftraggeber ist der Verantwortliche für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte.
  2. Der Auftraggeber erteilt Weisungen grundsätzlich über die Nutzung des Dienstes; ergänzende Einzelweisungen erfolgen in Textform an datenschutz@privatai.com. Der Auftragnehmer darf die Ausführung einer Einzelweisung ablehnen, soweit sie technisch unmöglich ist oder eine wesentliche Änderung der vereinbarten Leistung erfordern würde; er teilt dies dem Auftraggeber unverzüglich mit.
  3. Der Auftraggeber ist dafür verantwortlich, dass er zur Übermittlung der Daten an den Auftragnehmer berechtigt ist und – soweit er Berufsgeheimnisträger ist – die berufsrechtliche Zulässigkeit (§ 10) prüft.

§ 4 Pflichten des Auftragnehmers (Art. 28 Abs. 3 DSGVO)

Der Auftragnehmer verpflichtet sich:

  1. Weisungsbindung — personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten und ihn zu informieren, wenn eine Weisung gegen Datenschutzrecht verstößt (Art. 28 Abs. 3 lit. a, h).
  2. Keine Speicherung / kein Training — Eingaben und Ausgaben werden nach der Verarbeitung nicht gespeichert, nicht geloggt und nicht zum Training oder zur Verbesserung von Modellen oder Diensten verwendet; sie sind den Modellanbietern und Dritten nicht zugänglich (vertraglich und technisch abgesichert über den Unterauftragsverarbeiter Scaleway, Anlage 3). Ausgenommen bleibt allein die vorübergehende Sicherung des Inhalts einzelner Anfragen durch den Inferenz-Unterauftragsverarbeiter bei erkannter missbräuchlicher Aktivität oder bei Störungen der Dienstqualität zur Ursachenanalyse nach Maßgabe seiner Bedingungen; eine Verwendung zum Training oder ein Zugriff durch Modellanbieter oder sonstige Dritte findet auch in diesem Fall nicht statt. Auch die Anwendungs-Logs des Auftragnehmers enthalten keine Eingabe-/Ausgabeinhalte (Anlage 2); zur Missbrauchs- und Sicherheitsanalyse werden ausschließlich Metadaten (z. B. Zeitpunkt, pseudonymisierte IP, Häufigkeit, HTTP-Status, Fehlermeldungen) ausgewertet, nicht die Inhalte der Eingaben oder Ausgaben.
  3. Vertraulichkeit — sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b, Art. 29).
  4. TOM — die technischen und organisatorischen Maßnahmen nach Art. 32 gemäß Anlage 2 umzusetzen und auf dem Stand der Technik zu halten.
  5. Unterstützung Betroffenenrechte — den Auftraggeber im Rahmen des Möglichen bei der Erfüllung von Betroffenenrechten (Art. 12–23) zu unterstützen (Art. 28 Abs. 3 lit. e).
  6. Unterstützung Art. 32–36 — den Auftraggeber bei Datenpannenmeldungen, DSFA und vorheriger Konsultation zu unterstützen (Art. 28 Abs. 3 lit. f); Datenpannen siehe § 7.
  7. Löschung/Rückgabe — nach Ende der Verarbeitung die Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g), soweit keine gesetzliche Aufbewahrungspflicht besteht.
  8. Nachweise/Kontrollen — dem Auftraggeber die zur Einhaltung von Art. 28 erforderlichen Informationen bereitzustellen und Kontrollen zu ermöglichen (§ 8).

§ 5 Unterauftragsverarbeiter (Art. 28 Abs. 2, 4 DSGVO)

  1. Der Auftraggeber erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Die bei Vertragsschluss eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
  2. Der Auftragnehmer stellt sicher, dass jeder Unterauftragsverarbeiter denselben Datenschutzpflichten unterliegt (Art. 28 Abs. 4); entsprechende AVV/DPA liegen vor, bei Nicht-EU-Anbietern mit EU-Standardvertragsklauseln.
  3. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen der Unterauftragsverarbeiter (Hinzufügung oder Austausch) mindestens 30 Tage vor deren Wirksamwerden in Textform an die im Konto hinterlegte E-Mail-Adresse. Löst ein Unterauftragsverarbeiter mit kürzerer eigener Vorlauffrist die Änderung aus, informiert der Auftragnehmer so früh, wie es ihm möglich ist.
  4. Für die Verarbeitung im Auftrag des Auftraggebers (Eingaben/Ausgaben) sind primär Scaleway (Inferenz) und Hetzner (Hosting) relevant. Resend (E-Mail) und Stripe (Zahlung) verarbeiten demgegenüber Konto-/Abrechnungsdaten, für die der Auftragnehmer eigenverantwortlich ist (Anlage 1); sie sind aus Transparenzgründen mitaufgeführt.
  5. Widerspricht der Auftraggeber innerhalb der Frist nach Nummer 3 aus wichtigem datenschutzrechtlichem Grund, wird der Auftragnehmer personenbezogene Daten des Auftraggebers nicht durch den neuen Unterauftragsverarbeiter verarbeiten lassen, solange der Widerspruch besteht. Ist dem Auftragnehmer die Leistungserbringung ohne den neuen Unterauftragsverarbeiter nicht zumutbar, kann jede Partei den Hauptvertrag mit Wirkung zum Ende des laufenden Abrechnungszeitraums kündigen; § 12 bleibt unberührt.

§ 6 Betroffenenrechte

Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser das Anliegen unverzüglich an den Auftraggeber weiter und wird nicht selbst tätig, sofern nicht gesetzlich verpflichtet.

§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer meldet dem Auftraggeber Datenpannen unverzüglich nach Bekanntwerden, in der Regel innerhalb von 48 Stunden, in Textform mit den zur Meldung nach Art. 33/34 erforderlichen Informationen und unterstützt bei der Aufklärung und Eindämmung.

§ 8 Kontrollrechte / Nachweise

Der Auftragnehmer weist die Einhaltung seiner Pflichten auf Anfrage nach, insbesondere durch die TOM (Anlage 2) sowie Zertifikate und Prüfberichte der Unterauftragsverarbeiter. Der Auftraggeber kann darüber hinaus Kontrollen durchführen oder durch einen zur Verschwiegenheit verpflichteten, unabhängigen Prüfer durchführen lassen: mit angemessener Vorankündigung in der Regel höchstens einmal jährlich sowie zusätzlich anlassbezogen, wenn konkrete Anhaltspunkte für einen Verstoß bestehen, insbesondere nach einer Datenpanne. Kontrollen erfolgen zu üblichen Geschäftszeiten, unter Wahrung von Geschäftsgeheimnissen und ohne unzumutbare Störung des Betriebs. Jede Partei trägt die ihr entstehenden Kosten; bleibt eine anlassbezogene Kontrolle ohne Feststellung eines Verstoßes, erstattet der Auftraggeber dem Auftragnehmer die nachgewiesenen angemessenen Aufwände.

§ 9 Drittlandsübermittlung

Die Kernverarbeitung (Eingaben/Ausgaben, Hosting) erfolgt innerhalb der EU (Scaleway/FR, Hetzner/DE). Soweit Nebenprozesse Unterauftragsverarbeiter mit Sitz in einem Drittland einbeziehen (E-Mail: Resend, Anbieter USA), sind geeignete Garantien nach Art. 44 ff. DSGVO – insbesondere EU-Standardvertragsklauseln (2021/914) – vereinbart.

§ 10 Berufsgeheimnis (§ 203 StGB) — für Berufsgeheimnisträger

  1. Ist der Auftraggeber Berufsgeheimnisträger i. S. v. § 203 StGB (z. B. Rechtsanwälte, Ärzte, Steuerberater, Wirtschaftsprüfer), verpflichtet sich der Auftragnehmer als „sonstige mitwirkende Person" i. S. v. § 203 Abs. 3, 4 StGB, die ihm bekannt werdenden fremden Geheimnisse zu wahren, und verpflichtet die von ihm eingesetzten Personen entsprechend zur Verschwiegenheit.
  2. Die berufsrechtliche Zulässigkeit der Einschaltung des Auftragnehmers im Einzelfall prüft der Auftraggeber in eigener Verantwortung (ggf. mit seiner Kammer).
  3. Diese Verpflichtung gilt berufsgruppenübergreifend und berücksichtigt die Anforderungen der einschlägigen berufsrechtlichen Erlaubnisnormen an mitwirkende Personen (u. a. § 43e BRAO, § 62a StBerG, § 50a WPO sowie die ärztlichen Berufsordnungen, jeweils i. V. m. § 203 StGB). Eine gesonderte Verpflichtung auf das Berufsgeheimnis (Anlage 4) wird auf Verlangen des Auftraggebers beigebracht.
  4. In den Standard-Tarifen gilt: Eingaben und Ausgaben werden weder gespeichert noch protokolliert (vorbehaltlich der eng begrenzten Sicherheitsausnahme nach § 4 Nr. 2); eine Kenntnisnahme durch Modellanbieter oder das Personal der Unterauftragsverarbeiter ist nicht vorgesehen und wird durch die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen verhindert. Das Personal der Unterauftragsverarbeiter ist nach Art. 28 Abs. 3 lit. b, Art. 29 DSGVO zur Vertraulichkeit verpflichtet. Eine ausdrückliche vertragliche Verpflichtung der gesamten Unterauftragsverarbeiter-Kette nach § 203 Abs. 4 StGB — einschließlich des Inferenz-Rechenzentrums — sowie Zusagen zum Umgang mit Beschlagnahmesituationen werden ausschließlich im Rahmen des Enterprise-Setups (gesonderte Vereinbarung) getroffen.

§ 11 Zulässige Nutzung; EU-KI-Verordnung

  1. Der Dienst ist ein Allzweck-KI-Werkzeug und nicht für Hochrisiko-Anwendungen i. S. d. Anhangs III der Verordnung (EU) 2024/1689 (EU-KI-Verordnung) ohne eine eigene Konformitätsbewertung des Auftraggebers bestimmt.
  2. Setzt der Auftraggeber den Dienst in einem Hochrisiko-Kontext ein, ist er insoweit „Anbieter"/„Betreiber" i. S. d. EU-KI-Verordnung und trägt die daraus folgenden Pflichten; er stellt den Auftragnehmer von Ansprüchen Dritter frei, die aus einer solchen Nutzung entstehen. Für die Abwicklung der Freistellung gilt § 6 der AGB entsprechend.
  3. Ausgaben werden KI-generiert; etwaige Kennzeichnungs- und Offenlegungspflichten nach Art. 50 der EU-KI-Verordnung bei Veröffentlichung obliegen dem Auftraggeber (Betreiber).

§ 12 Laufzeit und Beendigung

Dieser AVV läuft für die Dauer des Hauptvertrags; er endet automatisch mit dessen Beendigung. § 4 Nr. 7 (Löschung/Rückgabe) bleibt hiervon unberührt.

§ 13 Haftung

  1. Die Haftung der Parteien richtet sich nach § 9 der AGB (Hauptvertrag); dessen Regelungen gelten, soweit gesetzlich zulässig, auch für Ansprüche im Zusammenhang mit diesem AVV.
  2. Ansprüche betroffener Personen aus Art. 82 DSGVO bleiben unberührt. Im Innenverhältnis haften die Parteien einander entsprechend Art. 82 Abs. 5 DSGVO nach ihrem jeweiligen Anteil an der Verantwortung für den Schaden.

§ 14 Schlussbestimmungen

  1. Änderungen bedürfen der Textform. 2. Bei Widerspruch geht dieser AVV dem Hauptvertrag in datenschutzrechtlichen Fragen vor. 3. Es gilt deutsches Recht. 4. Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen wirksam.

Anlage 1 — Beschreibung der Verarbeitung

Anlage 2 — Technische und organisatorische Maßnahmen (TOM)

Die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO in der Fassung „Stand Juli 2026" sind diesem Vertrag als Anlage 2 beigefügt und Vertragsbestandteil. Der Auftragnehmer darf die TOM fortschreiben, soweit das vereinbarte Schutzniveau nicht unterschritten wird; über wesentliche Änderungen informiert er in Textform. Die jeweils aktuelle Fassung ist unter privatai.com/documents abrufbar.

Anlage 3 — Unterauftragsverarbeiter (Stand Juli 2026)

Unterauftragsverarbeiter Leistung Ort der Verarbeitung Transfer-Mechanismus
Hetzner Online GmbH, Gunzenhausen (DE) Hosting Deutschland — (EU)
Scaleway S.A.S., Paris (FR) KI-Inferenz Frankreich — (EU)
Plus Five Five, Inc. (Resend), USA Transaktions-E-Mail EU-Region; Anbieter mit Sitz in den USA EU-Standardvertragsklauseln (2021/914)
Stripe Payments Europe, Limited, Dublin (IE) Zahlungsabwicklung EU; Übermittlungen an Stripe, LLC (USA) nach Maßgabe der Stripe-DPA Garantien nach Art. 44 ff. DSGVO gemäß Stripe-DPA

Die AVV/DPA-Nachweise der Unterauftragsverarbeiter liegen dem Auftragnehmer vor und werden im Rahmen von § 8 auf Anfrage bereitgestellt.

Änderungen richten sich nach § 5; die jeweils aktuelle Liste ist unter privatai.com/unterauftragsverarbeiter abrufbar. T-Systems/Telekom kommt ausschließlich im Rahmen eines Enterprise-Setups zum Einsatz.

Anlage 4 — Verpflichtung auf das Berufsgeheimnis (§ 203 StGB)

Für Berufsgeheimnisträger (§ 203 StGB) ist die Verpflichtungserklärung auf das Berufsgeheimnis als gesondertes Dokument im Dokumente-Bereich abrufbar und wird auf Verlangen des Auftraggebers als Anlage beigebracht.

Diesen Auftragsverarbeitungsvertrag können Geschäftskunden nach der Anmeldung im Bereich „Dokumente