Auftragsverarbeitungsvertrag (AVV)

Hinweis:

Dieser AVV wird mit Abschluss eines kostenpflichtigen HanseGPT-Abonnements automatisch Vertragsbestandteil. Eine separate Unterzeichnung ist nicht erforderlich.

Inhaltsverzeichnis

Vertragsparteien
Gegenstand und Dauer
Art und Zweck der Verarbeitung
Pflichten des Auftragnehmers
Unterauftragnehmer
Rechte der Betroffenen
Kontrollrechte
Beendigung
Haftung

Anlagen:

Anlage A: Beschreibung der Verarbeitung
Anlage B: Technisch-organisatorische Maßnahmen
Anlage C: Unterauftragnehmer

§ 1 Vertragsparteien

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") wird geschlossen zwischen:

Auftraggeber:
Der Kunde gemäß Hauptvertrag (HanseGPT-Nutzungsvertrag)

Auftragnehmer:
KI-Werke Bremen GmbH
Karl-Ferdinand-Braun-Str. 5
28359 Bremen
Deutschland
E-Mail: info@hansegpt.de

Auftraggeber und Auftragnehmer werden nachfolgend gemeinsam als „Parteien" bezeichnet.

§ 2 Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der KI-Plattform „HanseGPT". Die Einzelheiten der Verarbeitung, insbesondere Art, Zweck und Umfang der Datenverarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage A dieses Vertrags.

2.2 Dauer

Dieser AVV gilt für die Dauer des Hauptvertrags (HanseGPT-Nutzungsvertrag). Er beginnt mit Abschluss des Hauptvertrags und endet automatisch mit dessen Beendigung, sofern sich aus diesem AVV keine darüber hinausgehenden Pflichten ergeben.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragnehmer erfolgt ausschließlich:

zur Bereitstellung der HanseGPT-Plattform gemäß Hauptvertrag
zur Verarbeitung von Nutzeranfragen durch KI-Modelle
zur Speicherung und Verwaltung von Dokumenten und Chat-Verläufen
zur technischen Betriebsführung (Logging, Fehlerbehebung, Sicherheit)

Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers, insbesondere zum Training von KI-Modellen, findet nicht statt.

§ 4 Pflichten des Auftragnehmers

4.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist durch Unionsrecht oder das Recht eines EU-Mitgliedstaats zur Verarbeitung verpflichtet.

4.2 Vertraulichkeit

Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.3 Technisch-organisatorische Maßnahmen

Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die konkreten Maßnahmen sind in Anlage B beschrieben.

4.4 Unterauftragnehmer

Der Auftragnehmer nimmt keine weiteren Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Auftraggebers in Anspruch. Der Auftraggeber erteilt hiermit eine allgemeine Genehmigung für die in Anlage C aufgeführten Unterauftragnehmer. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen mit einer Frist von 30 Tagen.

4.5 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen (Art. 12-22 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32-36 DSGVO.

4.6 Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten innerhalb von 90 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

§ 5 Unterauftragnehmer

5.1 Genehmigte Unterauftragnehmer

Der Auftraggeber genehmigt den Einsatz der in Anlage C aufgeführten Unterauftragnehmer.

5.2 Änderungen

Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus über beabsichtigte Änderungen bei Unterauftragnehmern. Der Auftraggeber kann innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben.

5.3 Optionale KI-Modelle

Der Einsatz bestimmter KI-Modelle (OpenAI, Google Gemini, Anthropic Claude) erfordert die ausdrückliche Aktivierung durch den Auftraggeber im System. Ohne diese Aktivierung werden keine Daten an diese Anbieter übermittelt.

§ 6 Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen, insbesondere bei:

Auskunftsersuchen (Art. 15 DSGVO)
Berichtigungsverlangen (Art. 16 DSGVO)
Löschungsverlangen (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widersprüchen (Art. 21 DSGVO)

Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.

§ 7 Kontrollrechte

7.1 Audits

Der Auftraggeber ist berechtigt, die Einhaltung dieses AVV zu überprüfen. Der Auftragnehmer unterstützt solche Überprüfungen.

7.2 Vor-Ort-Prüfungen

Vor-Ort-Prüfungen sind nach vorheriger Ankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten möglich. Der Auftraggeber trägt die Kosten der Prüfung, sofern dabei keine Verstöße festgestellt werden.

§ 8 Beendigung

8.1 Datenrückgabe

Nach Beendigung des Hauptvertrags hat der Auftraggeber die Möglichkeit, seine Daten innerhalb von 30 Tagen zu exportieren.

8.2 Löschung

Nach Ablauf der 30-tägigen Exportfrist bzw. spätestens 90 Tage nach Vertragsende löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers unwiderruflich, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 9 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für Schäden, die durch von ihr zu vertretende Verstöße gegen diesen AVV oder die DSGVO verursacht wurden.

Anlage A: Beschreibung der Verarbeitung

A.1 Gegenstand der Verarbeitung

Bereitstellung der KI-gestützten Plattform HanseGPT zur Verarbeitung von Nutzeranfragen und Dokumenten.

A.2 Zweck der Verarbeitung

Verarbeitung von Chat-Anfragen durch KI-Modelle
Speicherung und Indexierung von Dokumenten für die Wissenssuche
Verwaltung von Benutzerkonten und Zugriffsrechten
Technischer Betrieb und Fehlerbehebung

A.3 Art der personenbezogenen Daten

Datenkategorie	Beispiele
Nutzerdaten	Name, E-Mail-Adresse, Unternehmenszugehörigkeit
Chat-Verläufe	Prompts/Anfragen der Nutzer, KI-Antworten
Dokumente	Vom Auftraggeber hochgeladene Dateien und deren Inhalte
Nutzungsdaten	Zugriffsprotokolle, Zeitstempel, verwendete Funktionen

A.4 Kategorien betroffener Personen

Mitarbeiter des Auftraggebers (Nutzer der Plattform)
Personen, deren Daten in hochgeladenen Dokumenten enthalten sind
Personen, die in Chat-Anfragen erwähnt werden

A.5 Speicherfristen

Datenkategorie	Speicherfrist
Nutzerdaten, Chat-Verläufe, Dokumente	90 Tage nach Vertragsende
Rechnungsdaten	10 Jahre (gesetzliche Aufbewahrungspflicht)
Technische Logs	7 Tage

Anlage B: Technisch-organisatorische Maßnahmen

Die vollständigen technisch-organisatorischen Maßnahmen sind unter HanseGPT TOM dokumentiert. Zusammenfassung:

B.1 Vertraulichkeit

Zutrittskontrolle: Rechenzentrum mit ISO 27001-Zertifizierung, physische Zugangskontrollen
Zugangskontrolle: Authentifizierung per E-Mail/Passwort, optionale Zwei-Faktor-Authentifizierung
Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Team-Admin, Team-Mitglied)
Trennungskontrolle: Strikte Mandantentrennung auf Datenbankebene

B.2 Integrität

Weitergabekontrolle: Verschlüsselte Datenübertragung (TLS 1.3)
Eingabekontrolle: Audit-Logging aller relevanten Aktionen

B.3 Verfügbarkeit

Verfügbarkeitskontrolle: Tägliche Backups auf separatem Storage im Rechenzentrum
Wiederherstellbarkeit: Dokumentierte Backup- und Recovery-Prozesse

Anlage C: Unterauftragnehmer

Die vollständige Unterauftragnehmerliste ist unter HanseGPT Unterauftragnehmer dokumentiert.

C.1 Genehmigte Unterauftragnehmer

Unternehmen	Zweck	Standort	Garantien
Hetzner Online GmbH	Hosting & Infrastruktur	Deutschland	ISO 27001
Mistral AI	KI-Verarbeitung (Standard)	Frankreich (EU)	–
Stripe Payments Europe Ltd.	Zahlungsabwicklung	Irland (EU) / USA	SCC, DPF
Jina AI GmbH	Websuche	Deutschland	SOC 2 Type I+II

C.2 Optionale Unterauftragnehmer (nur bei Aktivierung)

Die folgenden Unterauftragnehmer werden nur eingesetzt, wenn der Auftraggeber die entsprechenden KI-Modelle explizit im System aktiviert:

Unternehmen	Zweck	Standort	Garantien
OpenAI, LLC	KI-Verarbeitung (GPT-4)	USA	SCC, DPF
Google LLC	KI-Verarbeitung (Gemini)	USA / EU	SCC, DPF
Anthropic PBC	KI-Verarbeitung (Claude)	USA	SCC, DPF

Legende: SCC = EU-Standardvertragsklauseln, DPF = EU-US Data Privacy Framework

Version: 1.0

Stand: Januar 2026

Nächste Überprüfung: Januar 2027

Auftragsverarbeitungsvertrag