Zum Hauptinhalt springen

Auftragsverarbeitungs-Vertrag (AVV) — Vorlage

Diese Seite stellt eine Mustervorlage nach Art. 28 Abs. 3 DSGVO für die Verarbeitung personen­bezogener Daten im Rahmen der Plattform Aequitas AI bereit. Sie richtet sich an Rechts­anwalts­kanzleien, Rechts­abteilungen und sonstige Verantwortliche, die Aequitas AI zur Bearbeitung von Mandanten- oder Beschäftigten­daten einsetzen.

Vor produktivem Einsatz ist der Vertrag individuell zu konkretisieren und durch eine autorisierte Person beider Parteien rechtsverbindlich abzuschließen. Eine ausgefüllte und unterschrieben Fassung erhalten Sie auf Anfrage an kontakt@aequitas-ai.de.

1. Gegenstand und Dauer der Verarbeitung

Gegenstand: Verarbeitung personen­bezogener Daten, die der Verantwortliche in das System eingibt oder einbringen lässt, im Rahmen der Nutzung der Plattform Aequitas AI als Arbeits- und Assistenz­werkzeug für juristische Tätigkeiten.

Dauer: entspricht der Laufzeit des Hauptvertrags zwischen den Parteien (siehe AGB).

2. Art und Zweck der Verarbeitung

  • Speichern und Verarbeiten der eingegebenen Texte und Datei­anhänge.
  • Übermittlung an die in Ziffer 6 genannten KI-Modell-Anbieter zur Erzeugung von Vorschlags- bzw. Antwort­texten.
  • Persistieren der Chat-Historie zur Wiederverwendung durch den Verantwortlichen.
  • Protokollierung von Anfragen, Antworten und Nutzungs­statistiken zur technischen Steuerung.

3. Art der Daten und Kreis der Betroffenen

Der Verantwortliche entscheidet eigenständig über Inhalt und Umfang der eingegebenen Daten. Üblicherweise umfassen die verarbeiteten Datenkategorien:

  • Stammdaten der Beschäftigten / Bevollmächtigten des Verantwortlichen (Account-Inhaber).
  • Inhalts­daten (Text, ggf. Datei­anhänge), die der Verantwortliche eingibt.
  • Soweit eingegeben: Mandanten-, Gegner- oder Vertrags­partner­daten Dritter.

Werden besondere Kategorien personen­bezogener Daten (Art. 9 DSGVO) eingegeben, hat der Verantwortliche eigenständig dafür eine Rechts­grundlage sicherzustellen (Einwilligung, gesetzliche Erlaubnis, etc.). Der Auftragnehmer empfiehlt vor jeder Eingabe von Mandanten­namen, Aktenzeichen oder vergleichbaren Klar-Identifikatoren eine Pseudonymisierung. Für strukturell vertrauliche Mandats­akten empfiehlt der Auftragnehmer die Nutzung einer in den Räumen des Verantwortlichen installierten lokalen KI-Umgebung.

4. Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich nach dokumentierter Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a).
  • Verschwiegenheits­verpflichtung aller Mitarbeiter und beauftragten Dienst­leister (Art. 28 Abs. 3 lit. b; § 43e Abs. 2 BRAO).
  • Umsetzung der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO — siehe Anlage 1.
  • Meldung von Daten­schutz­verletzungen unverzüglich, spätestens binnen 24 Stunden ab Kenntnis (über die in Art. 33 DSGVO geforderte 72-Stunden-Frist hinausgehend).
  • Unterstützung bei Betroffenen­anfragen, DSFA und Aufsichts­behörden­meldungen (Art. 28 Abs. 3 lit. e und f).
  • Löschung oder — auf Wunsch des Verantwortlichen — Rückgabe aller verarbeiteten Daten nach Beendigung der Verarbeitung; Bestätigung in Textform.

5. Technisch-organisatorische Maßnahmen (Anlage 1, Art. 32 DSGVO)

5.1 Vertraulichkeit

  • Hosting im Rechen­zentrum Hetzner Falkenstein (Deutschland) — Zutritts­kontrolle durch den Hosting-Provider.
  • Zugangs­kontrolle: Passwort-Hashing (bcrypt 12 Runden), TOTP-2FA, Session-Rotation, Account-Lockout.
  • Zugriffs­kontrolle: Role-Based Access (Nutzer / Admin); Prinzip der minimalen Rechte; Audit-Log auf Admin-Aktionen.
  • Pseudonymisierung: IP-Adressen werden nur als SHA-256-Hash mit Salt gespeichert.

5.2 Integrität

  • Eingabe­kontrolle: nachvollziehbare Änderungen an Account- und Inhalts­daten.
  • Weitergabe­kontrolle: TLS 1.3 für alle Verbindungen; HSTS-Preload.
  • HTTP-Header: Content-Security-Policy, X-Frame-Options DENY, Permissions-Policy, Referrer-Policy.

5.3 Verfügbarkeit und Belastbarkeit

  • Regelmäßige Backups in derselben EU-Region.
  • Wiederher­stellbarkeit der Datenbank über SQLite-WAL und Snapshot-Backups.
  • Laufendes System-Monitoring und Process-Manager (pm2) zur automatischen Wieder­herstellung bei Prozess-Abstürzen.

5.4 Verfahren zur regelmäßigen Überprüfung

  • Dokumentation der eingesetzten Modelle und Subprocessor in der Datenschutz­erklärung sowie hier in Ziffer 6.
  • Periodische Sicherheits-Reviews und Updates der Abhängigkeiten.
  • Rate-Limits und Brute-Force-Schutz auf Authentication-Endpunkten.

6. Unterauftrags­verarbeiter (Subprocessor-Liste)

Der Auftragsverarbeiter setzt die nachfolgenden Unterauftrags­verarbeiter ein (Stand: April 2026). Eine Aktualisierung wird dem Verantwortlichen mit einer Vorlauf­frist von mindestens 30 Tagen angezeigt; der Verantwortliche kann dieser innerhalb von 30 Tagen aus einem berechtigten Grund widersprechen.

Unter­auftrag­nehmerSitzZweckRechts­grundlage Drittland
Hetzner Online GmbHGunzenhausen, DE — RZ FalkensteinHosting (Server, Speicher, Backups)kein Drittland
OpenAI Ireland Ltd. / OpenAI L.L.C.Dublin, IE / San Francisco, USAKI-Modelle (GPT-Familie) für Standard- und Klausur-AntwortenEU-US DPF (USA), ergänzend SCC
Anthropic PBCSan Francisco, USAKI-Modelle (Claude-Familie) für Tiefen-Antworten und Streit­ständeSCC (Art. 46 Abs. 2 lit. c DSGVO)
Perplexity AI Inc.San Francisco, USAWeb-Recherche im Deep-Research-ModusSCC
Resend Inc.San Francisco, USAVersand transaktionaler E-Mails (Verifizierung, Reset)SCC

Mit allen drei KI-Anbietern bestehen Geschäftsverträge mit aktivierter Daten-Nicht-Verwendung zu Trainings­zwecken; bei OpenAI gilt zusätzlich eine maximale Aufbewahrungs­frist von 30 Tagen zur Missbrauchs­erkennung. Mit Hetzner und Resend bestehen jeweils eigene Auftragsverarbeitungs­verträge nach Art. 28 DSGVO.

7. Rechte des Verantwortlichen

  • Auskunft über den Status der Verarbeitung (Art. 28 Abs. 3 lit. h).
  • Anordnung von Korrekturen, Einschränkungen oder Löschungen.
  • Audit-Rechte: nach angemessener Vorankündigung (mindestens 30 Tage) und in zumutbarem Umfang. Audits können auch durch unabhängige zertifizierte Auditoren erfolgen; Kosten trägt grundsätzlich der Verantwortliche.
  • Weisungs- und Kontrollrechte gem. Art. 28 Abs. 3 lit. h DSGVO.

8. Berufsrechtliche Pflichten (Anwaltschaft)

Soweit der Verantwortliche Mitglied einer Rechts­anwaltskammer ist, sind zusätzlich § 43a BRAO (Verschwiegenheits­pflicht), § 203 StGB (Verletzung von Privat­geheimnissen) und § 43e BRAO (Inanspruchnahme von Dienst­leistern) zu beachten. Der Auftragsverarbeiter verpflichtet seine Mitarbeitenden und die in Ziffer 6 aufgeführten Subprocessor durch entsprechende Vertrags­klauseln zur berufs­bezogenen Verschwiegenheit nach § 43e Abs. 2 BRAO. Ergänzend bietet der Auftragsverarbeiter die Installation einer lokalen KI-Umgebung in den Räumen des Verantwortlichen an, mit der mandats­sensitive Inhalte ohne Übermittlung an Dritte verarbeitet werden können.

9. Haftung

Für die Haftung gelten die Regelungen des Hauptvertrags sowie Art. 82 DSGVO. Der Auftragsverarbeiter haftet für Schäden, die er durch eine der DSGVO zuwider­laufende Verarbeitung verursacht hat; die Haftung gegenüber Betroffenen bleibt unberührt. Eine Inanspruchnahme aus § 43a BRAO oder § 203 StGB durch den Verantwortlichen oder Dritte berührt das Innen­verhältnis zwischen den Parteien nicht.

10. Beendigung und Löschung

Bei Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle ihm überlassenen oder im Auftrag verarbeiteten personen­bezogenen Daten innerhalb von 30 Tagen nach Beendigung — sofern der Verantwortliche nicht innerhalb dieser Frist eine Rückgabe in einem maschinen­lesbaren Format anfordert. Über die Löschung wird in Textform ein Nachweis erteilt.

11. Schlussbestimmungen

  • Änderungen und Ergänzungen bedürfen der Textform (§ 126b BGB).
  • Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.
  • Gerichtsstand und anwendbares Recht: gemäß Hauptvertrag, hilfsweise gilt deutsches Recht und der Sitz des Auftragsverarbeiters.