Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) · AIEUACT.DE — Stand: Juni 2026

Präambel

Dieser Auftragsverarbeitungsvertrag („AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Zusammenhang mit der Nutzung der SaaS-Plattform AIEUACT.

Er ergänzt die zwischen den Parteien geschlossene Hauptvereinbarung über die Nutzung der Plattform.

1. Vertragsparteien

Verantwortlicher: Der jeweilige Kunde der Plattform AIEUACT. (nachfolgend „Verantwortlicher")

Auftragsverarbeiter:
YUUO Holding OÜ
Narva mnt 5
10117 Tallinn
Estland
Vertreten durch: Markus Goch
E-Mail: info@aieuact.de
(nachfolgend „Auftragsverarbeiter")

2. Gegenstand der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen.

Die Verarbeitung erfolgt zur Bereitstellung der SaaS-Plattform AIEUACT.

3. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere: Speicherung, Organisation, Strukturierung, Dokumentation, Abruf, Auswertung, Archivierung und Löschung von Daten im Rahmen der Nutzung der Plattform.

4. Dauer

Die Verarbeitung erfolgt für die Dauer des Hauptvertrages.

Nach Vertragsende gelten die Regelungen gemäß Abschnitt 15 dieses Vertrages.

5. Art der Daten

Je nach Nutzung können insbesondere folgende Daten verarbeitet werden:

Stammdaten: Name, Vorname, Funktion, Unternehmen
Kontaktdaten: E-Mail-Adresse, Telefonnummer
Benutzerdaten: Login-Informationen, Rollen, Berechtigungen
Compliance-Daten: KI-Inventare, Governance-Dokumentationen, Audit-Nachweise, Risikobewertungen
Technische Daten: IP-Adressen, Logdaten, Zeitstempel

6. Kategorien betroffener Personen

Mitarbeiter, Kunden, Geschäftspartner, Lieferanten, Berater und Ansprechpartner des Verantwortlichen.

7. Weisungsrecht

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Weisungen können schriftlich oder in Textform erfolgen.

8. Vertraulichkeit

Der Auftragsverarbeiter verpflichtet alle Personen mit Datenzugriff auf Vertraulichkeit. Diese Verpflichtung besteht über das Vertragsende hinaus fort.

9. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um.

9.1 Zugangskontrolle: Benutzerkonten, Passwortschutz, Rollenmodell, MFA (soweit aktiviert)
9.2 Zugriffskontrolle: Least-Privilege-Prinzip, Berechtigungskonzepte, Protokollierung
9.3 Übertragungskontrolle: TLS-Verschlüsselung, HTTPS, verschlüsselte Datenübertragung
9.4 Eingabekontrolle: Audit-Logs, Änderungsprotokolle
9.5 Verfügbarkeitskontrolle: tägliche Backups, Monitoring, Wiederherstellungsverfahren
9.6 Wiederherstellbarkeit: Backup-Aufbewahrung 30 Tage, getestete Wiederherstellungsprozesse

10. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei: Auskunftsersuchen, Löschersuchen, Berichtigungen, Einschränkungen, Datenschutz-Folgenabschätzungen und Behördenanfragen, soweit gesetzlich erforderlich.

11. Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, um dem Verantwortlichen die fristgerechte Erfüllung seiner Meldepflichten gemäß Art. 33 DSGVO (72-Stunden-Frist gegenüber der Aufsichtsbehörde) zu ermöglichen.

12. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Hetzner Online GmbH — Hosting, Server, Backups
Supabase — Datenbank, Authentifizierung
Vercel Inc. — Frontend Hosting, CDN
Stripe Payments Europe Ltd. — Zahlungsabwicklung
Microsoft Ireland Operations Limited — E-Mail-Kommunikation
OpenAI Inc. — KI-gestützte Auswertungsfunktionen (ausschließlich nutzereingegebene Textinhalte; kein Training mit Kundendaten)
Anthropic PBC — KI-gestützte Auswertungsfunktionen (ausschließlich nutzereingegebene Textinhalte; kein Training mit Kundendaten)

Bei wesentlichen Änderungen der Unterauftragsverarbeiter wird der Verantwortliche informiert.

13. Internationale Datenübermittlungen

Soweit personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, erfolgt dies ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln (SCCs) oder Angemessenheitsbeschlüssen der Europäischen Kommission.

14. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrages angemessen zu überprüfen. Der Auftragsverarbeiter stellt die hierfür erforderlichen Informationen zur Verfügung.

15. Löschung und Rückgabe

Nach Vertragsende werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder exportiert und zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Die Löschung erfolgt spätestens 30 Tage nach Vertragsende.

16. Haftung

Die Haftung richtet sich nach Art. 82 DSGVO, den gesetzlichen Bestimmungen sowie den Haftungsregelungen des Hauptvertrages.

17. Schlussbestimmungen

Es gilt deutsches Recht.

Ausschließlicher Gerichtsstand ist Berlin, Deutschland.

Änderungen dieses Vertrages bedürfen der Textform.

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 – Genehmigte Unterauftragsverarbeiter

Anbieter	Standort	Zweck
Hetzner Online GmbH	Deutschland	Infrastruktur, Hosting, Backups
Supabase	EU (Frankfurt)	Datenbank, Authentifizierung
Vercel Inc.	EU / USA Edge	Frontend Hosting, CDN
Stripe Payments Europe Ltd.	Irland / USA	Zahlungsabwicklung
Microsoft Ireland Operations Limited	EU	E-Mail (Microsoft 365)
OpenAI Inc.	USA	KI-Auswertungsfunktionen (SCCs)
Anthropic PBC	USA	KI-Auswertungsfunktionen (SCCs)

Anlage 2 – Speicherfristen

Datenkategorie	Frist
Kundenkonto	bis Löschung + 30 Tage Grace Period
Server-Logs	7 Tage (dann anonymisiert)
Backups	30 Tage Aufbewahrung
Rechnungsdaten	10 Jahre (§ 257 HGB, § 147 AO)

Stand: Juni 2026

← Zur Startseite Zum Dashboard