Auftraggeber (Verantwortlicher):
Der Kunde, der sich auf der Plattform registriert hat (nachfolgend „Auftraggeber")
Auftragnehmer (Auftragsverarbeiter):
[ai]ntity GmbH
Sebastian-Bach-Straße 47, 04109 Leipzig
Amtsgericht Leipzig, HRB 45394
(nachfolgend „Auftragnehmer")
(1) Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der SaaS-Plattform zur Verwaltung von Gesellschaften, Beteiligungen, Mandaten und Governance-Strukturen („Plattform").
(2) Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien gemäß Art. 28 DSGVO.
(1) Der Auftragnehmer verarbeitet personenbezogene Daten grundsätzlich als Auftragsverarbeiter gemäß Art. 28 DSGVO.
(2) Der Auftragnehmer verarbeitet personenbezogene Daten in folgenden Fällen als eigenständiger Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO:
(3) Eine Verarbeitung zu eigenen Zwecken erfolgt ausschließlich auf Grundlage einer gesetzlichen Erlaubnis oder berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO.
(4) Eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO besteht nicht, sofern nicht ausdrücklich schriftlich vereinbart.
Erhebung, Speicherung, Organisation, Strukturierung, Abruf, Nutzung, Übermittlung innerhalb der Plattform, Protokollierung sowie Löschung personenbezogener Daten.
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.
(2) Weisungen können schriftlich oder elektronisch erfolgen.
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung gegen geltendes Datenschutzrecht verstößt.
Der Auftragnehmer implementiert Maßnahmen gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie Art, Umfang und Risiken der Verarbeitung.
| Merkmal | Ausprägung |
|---|---|
| Hosting | Deutschland (EU) |
| Datenbankumgebung | Dediziert |
| Netzwerk | TLS 1.2/1.3 für alle Verbindungen |
(1) Die Nutzung von KI-Funktionen erfolgt ausschließlich optional und durch aktive Eingabe des Nutzers.
(2) Es erfolgt keine automatische Übermittlung von Plattformdaten an KI-Dienste.
(3) Eine Nutzung personenbezogener Daten zum Training oder zur Verbesserung von KI-Modellen erfolgt nicht, sofern keine ausdrückliche Zustimmung des Auftraggebers vorliegt.
(4) KI-Anfragen werden als eigenständige Verarbeitungsvorgänge behandelt.
(1) Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:
| Anbieter | Zweck | Sitz | Rechtsgrundlage Drittland |
|---|---|---|---|
| IONOS SE | Hosting | Deutschland (EU) | entfällt |
| Resend Inc. | E-Mail-Versand | USA | SCCs |
| Stripe Inc. | Zahlungsabwicklung | USA | SCCs + EU-Niederlassung |
| Anthropic PBC | Optionale KI-Funktionen | USA | SCCs |
(2) Der Auftragnehmer stellt sicher, dass alle Unterauftragsverarbeiter vertraglich gleichwertige Datenschutzpflichten einhalten.
(3) Änderungen von Unterauftragsverarbeitern werden mindestens 14 Tage im Voraus angekündigt.
(4) Der Auftraggeber hat ein Widerspruchsrecht bei berechtigten datenschutzrechtlichen Gründen.
(1) Übermittlungen in Drittländer erfolgen ausschließlich unter Einhaltung der Art. 44 ff. DSGVO.
(2) Es werden Standardvertragsklauseln (SCCs) verwendet.
(3) Der Auftragnehmer führt Transfer Impact Assessments (TIA) durch.
(4) Ergänzende Schutzmaßnahmen umfassen insbesondere Verschlüsselung, Zugriffsbeschränkungen und Minimierung der Datenübermittlung.
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung von Betroffenenrechten.
(2) Dies umfasst insbesondere:
(3) Unterstützungsleistungen erfolgen innerhalb angemessener Fristen.
(1) Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen.
(2) Die Prüfung erfolgt abgestuft:
(3) Der Auftragnehmer kann geeignete Nachweise (z. B. Zertifikate) bereitstellen.
(1) Nach Vertragsende werden personenbezogene Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben.
(2) Die Löschung erfolgt innerhalb von 30 Tagen.
(3) Backups werden spätestens nach 60 Tagen gelöscht.
(4) Der Auftragnehmer bestätigt die Löschung auf Anfrage.
(1) Die Haftung richtet sich nach Art. 82 DSGVO sowie den vertraglichen Vereinbarungen.
(2) Für Datenschutzverletzungen gelten die gesetzlichen Haftungsregelungen.
Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
(1) Es gilt deutsches Recht.
(2) Änderungen bedürfen der Schriftform.
(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.