Rechtliches

AVV

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Vertragsparteien

Auftraggeber (Verantwortlicher):
Der Kunde, der sich auf der Plattform registriert hat (nachfolgend „Auftraggeber")

Auftragnehmer (Auftragsverarbeiter):
[ai]ntity GmbH
Sebastian-Bach-Straße 47, 04109 Leipzig
Amtsgericht Leipzig, HRB 45394
(nachfolgend „Auftragnehmer")

§ 1 Gegenstand und Anwendungsbereich

(1) Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der SaaS-Plattform zur Verwaltung von Gesellschaften, Beteiligungen, Mandaten und Governance-Strukturen („Plattform").

(2) Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien gemäß Art. 28 DSGVO.

§ 2 Rollen und Verantwortlichkeiten

(1) Der Auftragnehmer verarbeitet personenbezogene Daten grundsätzlich als Auftragsverarbeiter gemäß Art. 28 DSGVO.

(2) Der Auftragnehmer verarbeitet personenbezogene Daten in folgenden Fällen als eigenständiger Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO:

  • IT-Sicherheitsmaßnahmen und Missbrauchsprävention
  • Abrechnung und Vertragsmanagement
  • Gesetzliche Aufbewahrungspflichten
  • Sicherstellung der Systemstabilität und -integrität

(3) Eine Verarbeitung zu eigenen Zwecken erfolgt ausschließlich auf Grundlage einer gesetzlichen Erlaubnis oder berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO.

(4) Eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO besteht nicht, sofern nicht ausdrücklich schriftlich vereinbart.

§ 3 Art, Umfang und Zweck der Verarbeitung

Art der Verarbeitung

Erhebung, Speicherung, Organisation, Strukturierung, Abruf, Nutzung, Übermittlung innerhalb der Plattform, Protokollierung sowie Löschung personenbezogener Daten.

Zwecke der Verarbeitung

  • Legal Entity Management
  • Beteiligungs- und Cap-Table-Management
  • Corporate Governance und Mandatsverwaltung
  • Dokumenten- und Compliance-Management
  • Nutzer- und Rechteverwaltung
  • Audit-Logging und Nachvollziehbarkeit
  • Bereitstellung optionaler KI-Assistenzfunktionen

Kategorien personenbezogener Daten

  • Stammdaten (Name, Vorname, ggf. Geburtsdatum)
  • Geschäftliche Kontaktdaten (E-Mail-Adresse)
  • Funktions- und Rollendaten (z. B. Geschäftsführer, Vorstand, Aufsichtsrat)
  • Beteiligungsdaten (Kapital- und Stimmrechtsanteile, direkte und indirekte Beteiligungen)
  • Governance-Daten (Mandate, Amtszeiten, Vertretungsbefugnisse)
  • Nutzerkontodaten (Login, Passwort-Hash, Sessions)
  • Protokolldaten (Audit-Logs: Nutzer, Aktion, Zeitstempel)

Kategorien betroffener Personen

  • Mitarbeiter und Vertreter des Auftraggebers
  • Mandatsträger und Organmitglieder
  • Anteilseigner und wirtschaftlich Berechtigte (UBO)

§ 4 Weisungsrecht

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

(2) Weisungen können schriftlich oder elektronisch erfolgen.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung gegen geltendes Datenschutzrecht verstößt.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Sicherheitsniveau

Der Auftragnehmer implementiert Maßnahmen gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie Art, Umfang und Risiken der Verarbeitung.

Infrastruktur

MerkmalAusprägung
HostingDeutschland (EU)
DatenbankumgebungDediziert
NetzwerkTLS 1.2/1.3 für alle Verbindungen

Zugriffsschutz

  • Passwort-Hashing (Argon2)
  • Rollenbasiertes Zugriffskontrollsystem (RBAC)
  • Mandantenbasierte Datenisolierung (Multi-Tenant-Trennung)

Verschlüsselung

  • Verschlüsselung der Datenübertragung
  • Verschlüsselung ruhender Daten (at rest)
  • Verschlüsselte Backups

Protokollierung

  • Unveränderliche Audit-Logs
  • Vollständige Nachvollziehbarkeit aller Datenänderungen

Verfügbarkeit und Resilienz

  • Regelmäßige Backups
  • Definierte Wiederherstellungsprozesse
  • Monitoring der Systemverfügbarkeit

Incident Response

  • Strukturierter Prozess zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen
  • Dokumentation aller Vorfälle

§ 6 KI-gestützte Verarbeitung

(1) Die Nutzung von KI-Funktionen erfolgt ausschließlich optional und durch aktive Eingabe des Nutzers.

(2) Es erfolgt keine automatische Übermittlung von Plattformdaten an KI-Dienste.

(3) Eine Nutzung personenbezogener Daten zum Training oder zur Verbesserung von KI-Modellen erfolgt nicht, sofern keine ausdrückliche Zustimmung des Auftraggebers vorliegt.

(4) KI-Anfragen werden als eigenständige Verarbeitungsvorgänge behandelt.

§ 7 Unterauftragsverarbeiter

(1) Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:

AnbieterZweckSitzRechtsgrundlage Drittland
IONOS SEHostingDeutschland (EU)entfällt
Resend Inc.E-Mail-VersandUSASCCs
Stripe Inc.ZahlungsabwicklungUSASCCs + EU-Niederlassung
Anthropic PBCOptionale KI-FunktionenUSASCCs

(2) Der Auftragnehmer stellt sicher, dass alle Unterauftragsverarbeiter vertraglich gleichwertige Datenschutzpflichten einhalten.

(3) Änderungen von Unterauftragsverarbeitern werden mindestens 14 Tage im Voraus angekündigt.

(4) Der Auftraggeber hat ein Widerspruchsrecht bei berechtigten datenschutzrechtlichen Gründen.

§ 8 Drittlandübermittlungen

(1) Übermittlungen in Drittländer erfolgen ausschließlich unter Einhaltung der Art. 44 ff. DSGVO.

(2) Es werden Standardvertragsklauseln (SCCs) verwendet.

(3) Der Auftragnehmer führt Transfer Impact Assessments (TIA) durch.

(4) Ergänzende Schutzmaßnahmen umfassen insbesondere Verschlüsselung, Zugriffsbeschränkungen und Minimierung der Datenübermittlung.

§ 9 Betroffenenrechte

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung von Betroffenenrechten.

(2) Dies umfasst insbesondere:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung
  • Datenportabilität

(3) Unterstützungsleistungen erfolgen innerhalb angemessener Fristen.

§ 10 Audit und Nachweise

(1) Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen.

(2) Die Prüfung erfolgt abgestuft:

  • Bereitstellung von Dokumentationen
  • Remote-Audits
  • Vor-Ort-Prüfungen bei berechtigtem Anlass

(3) Der Auftragnehmer kann geeignete Nachweise (z. B. Zertifikate) bereitstellen.

§ 11 Löschung und Rückgabe

(1) Nach Vertragsende werden personenbezogene Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben.

(2) Die Löschung erfolgt innerhalb von 30 Tagen.

(3) Backups werden spätestens nach 60 Tagen gelöscht.

(4) Der Auftragnehmer bestätigt die Löschung auf Anfrage.

§ 12 Haftung

(1) Die Haftung richtet sich nach Art. 82 DSGVO sowie den vertraglichen Vereinbarungen.

(2) Für Datenschutzverletzungen gelten die gesetzlichen Haftungsregelungen.

§ 13 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

§ 14 Schlussbestimmungen

(1) Es gilt deutsches Recht.

(2) Änderungen bedürfen der Schriftform.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.