Zum Hauptinhalt springen

Auftragsverarbeitungsvertrag (AVV)

Stand: 24.05.2026 (v1.1) · Anlage zu den AGB AI-Act-Compliance-Kit. Wird mit Auftragsbestätigung als unterschriftsreifes PDF ausgeliefert.

1. Gegenstand und Dauer

Gegenstand dieses Auftragsverarbeitungsvertrags („AVV") ist die Verarbeitung personenbezogener Daten der Mitarbeiter des Verantwortlichen (Auftraggeber, im Folgenden „Verantwortlicher") durch die Rocket Abt Holding GmbH („Auftragsverarbeiter") im Rahmen des AI-Act-Compliance-Kits. Die Verarbeitung dauert bis zur Beendigung des Hauptvertrags zzgl. eines Aufbewahrungs- zeitraums von 30 Tagen für den Rück-Export.

2. Art und Zweck der Verarbeitung

Bereitstellung eines Whitelabel-Portals für KI-Kompetenz- Nachweise (Lernpfad, Test, Zertifikatserstellung), Speicherung der Abschluss-Nachweise und Audit-Logs. Der Auftragsverarbeiter handelt ausschließlich nach dokumentierter Weisung des Verantwortlichen. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

3. Art der personenbezogenen Daten

  • Vorname, Nachname, geschäftliche E-Mail-Adresse
  • Rolle im Maklerbüro (z. B. Innendienst, Außendienst)
  • Lernpfad-Fortschritt und Testergebnis
  • Zeitstempel der Abschlussdokumentation
  • Login-Metadaten (IP-Adresse, User-Agent) zu Sicherheitszwecken

4. Kategorien betroffener Personen

Mitarbeiter des Verantwortlichen mit Zugriff auf KI-Tools im Sinne des Art. 4 KI-VO.

5. Technisch-organisatorische Maßnahmen (TOMs)

  • Hosting ausschließlich in Rechenzentren in Deutschland (Hetzner Online GmbH, ISO/IEC 27001-zertifiziert), TLS-Verschlüsselung sämtlicher Übertragungen
  • Rollenbasiertes Zugriffsmanagement (Admin / Mitarbeiter) mit passwortlosem Magic-Link-Verfahren (Besitz-Faktor: Zugriff auf den bestätigten E-Mail-Account, Tokens zeitlich befristet und einmalig einlösbar); eine klassische 2-Faktor-Authentifizierung ist auf Anforderung des Verantwortlichen ergänzbar
  • Mandanten-Trennung auf Datenbank-Ebene (Multi-Tenancy per Customer-ID); Mitarbeiter sehen ausschließlich eigene Daten, Admins ausschließlich Daten ihres eigenen Mandanten
  • Protokollierung sicherheitsrelevanter Ereignisse: jeder E-Mail-Versand wird mit Zeitstempel, Empfänger und Versand-Status revisionssicher persistiert; jede Zertifikats-Lifecycle-Aktion (Ausstellung mit fortlaufender Nummer und SHA-256-Hash, Widerruf mit Begründung und Zeitstempel) ist nachvollziehbar
  • Tägliche automatisierte Backups (Hetzner-Snapshots); Wiederherstellungstest mindestens einmal jährlich
  • Logging von Zugriffsversuchen, Rate-Limiting an öffentlichen Endpunkten zur Abwehr automatisierter Angriffe

Eine detaillierte TOM-Liste auf Anforderung; die TOMs werden bedarfsgerecht weiterentwickelt. Eine ergänzende externe Penetrationstestung kann der Verantwortliche gesondert beauftragen.

6. Subunternehmer (Subprozessoren)

Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung folgender Subunternehmer:

  • Hosting: Hetzner Online GmbH, Gunzenhausen (Deutschland) – Rechenzentrum in der EU, ISO/IEC 27001-zertifiziert
  • CDN / DNS / Reverse-Proxy: Cloudflare, Inc. (US) – Verarbeitung gemäß EU-US Data Privacy Framework (aktive Zertifizierung beim U.S. Department of Commerce überprüfbar); ergänzend Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914
  • E-Mail-Versand: Resend, Inc. (US) – Verarbeitung gemäß EU-US Data Privacy Framework (aktive Zertifizierung); ergänzend Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914
  • Fehler-Monitoring (sofern aktiv): Sentry, Inc. (US) – EU-Datenregion, Verarbeitung gemäß EU-US Data Privacy Framework; ergänzend Standardvertragsklauseln
  • Optional Zahlungsabwicklung: Stripe, Inc. (US) – nur sofern vom Verantwortlichen aktiv gewählt; Verarbeitung gemäß EU-US Data Privacy Framework
  • Optional Termin-Synchronisation: Google LLC (US, Google Workspace) – nur sofern der Verantwortliche Google-Kalender-Integration aktiv wünscht; Verarbeitung gemäß EU-US Data Privacy Framework

Für sämtliche US-Subunternehmer wurde ein Transfer Impact Assessment (TIA) durchgeführt; das Ergebnis liegt auf Anfrage vor. Änderungen am Subunternehmerkreis werden mit 30 Tagen Vorankündigung in Textform mitgeteilt; der Verantwortliche kann widersprechen, wodurch er den AVV und den Hauptvertrag außerordentlich kündigen darf.

7. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Betroffenenrechten (Art. 15–22 DSGVO), Datenschutz- Folgenabschätzungen (Art. 35 DSGVO) und Meldungen von Datenschutzverletzungen (Art. 33 DSGVO). Meldung an den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden eines Vorfalls.

8. Löschung und Rückgabe

Nach Beendigung des Vertrags werden die Daten innerhalb von 30 Tagen exportierbar bereitgestellt (PDF-Export der Audit-Mappe, JSON-Export der Stammdaten). Anschließend erfolgt die Löschung innerhalb von weiteren 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

9. Audit-Rechte

Der Verantwortliche kann die Einhaltung dieses AVV durch Vorlage geeigneter Nachweise (z. B. ISO/IEC 27001-Zertifikat des Hosting-Providers, aktuelle TOM-Dokumentation, ggf. vorliegende externe Audit-Berichte) oder durch Vor-Ort- Audits mit 30 Tagen Vorankündigung in Textform überprüfen. Vor-Ort-Audits werden mit 1.100 € pro Personentag zzgl. tatsächlich angefallener Reisekosten vergütet.

10. Haftung und Schlussbestimmungen

Die Haftungsregelungen des Hauptvertrags (AGB Ziff. 10) gelten entsprechend. Änderungen dieses AVV bedürfen der Textform (§ 126b BGB); die Übermittlung per E-Mail genügt. Es gilt deutsches Recht, Gerichtsstand Uelzen.

Dieser AVV wird mit Auftragsbestätigung als unterschriftsreifes PDF (DocuSign / signierbar) ausgeliefert. Die Webdarstellung dient ausschließlich der Vorab-Information und ersetzt nicht die signierte PDF-Version.