Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO | Stand: Juli 2026

Dieser Vertrag ergänzt automatisch die Nutzungsvereinbarung (AGB) zwischen dem Kunden („Verantwortlicher" im Sinne der DSGVO) und Quotextrana („Auftragsverarbeiter"), sobald personenbezogene Daten über die Plattform verarbeitet werden. Ein gesonderter Abschluss ist möglich, indem beide Seiten diese Vorlage ausgefüllt und unterzeichnet austauschen (Kontakt: frank.netzer@nd-digital-ki.de).

§ 1 Gegenstand und Dauer

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform „Quotextrana" (Dokumenten- und Wissensverwaltung, KI-gestützte Vertragsprüfung, E-Mail-Agent, Meeting-Agent). Die Dauer dieses Vertrags entspricht der Laufzeit des zugrunde liegenden Nutzungsvertrags (AGB).

§ 2 Art, Zweck und Umfang der Verarbeitung

Einzelheiten zu Verarbeitungszwecken, Kategorien betroffener Personen und Datenkategorien ergeben sich aus Anlage 1 (Verarbeitungstätigkeiten). Besonders hervorzuheben:

Der Verantwortliche bleibt allein dafür verantwortlich, für sämtliche Verarbeitungen – insbesondere die Aufzeichnung von Besprechungen mittels des Meeting-Agenten – über eine eigene Rechtsgrundlage zu verfügen (u. a. Einwilligung aller Gesprächsteilnehmenden gemäß § 201 StGB, ggf. Mitbestimmung des Betriebsrats nach § 87 BetrVG).

§ 3 Verantwortung des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen nach den Vorschriften der DSGVO allein verantwortlich. Er erteilt dem Auftragsverarbeiter Weisungen ausschließlich in Textform (einschließlich der Nutzung der Plattformfunktionen selbst als konkludente Weisung im Rahmen der Leistungsbeschreibung).

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist gesetzlich zu einer anderweitigen Verarbeitung verpflichtet;
  2. die mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten;
  3. geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen (siehe Anlage 2);
  4. die Voraussetzungen für die Hinzuziehung eines weiteren Auftragsverarbeiters (Unterauftragsverarbeiter) gemäß § 5 dieses Vertrags einzuhalten;
  5. den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten (Art. 12–23 DSGVO) zu unterstützen (u. a. über die Export- und Löschfunktionen im Nutzerkonto sowie im Meeting-Agenten);
  6. den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung) zu unterstützen;
  7. eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, an den Verantwortlichen zu melden;
  8. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen zurückzugeben oder zu löschen, sofern nicht eine gesetzliche Pflicht zur Speicherung besteht (vgl. bestehende Löschfristen: Meeting-Audio/ Transkript automatisch nach 90 Tagen, Chat-Verläufe nach 365 Tagen, vollständige Firmendaten 30 Tage nach Vertragsende);
  9. dem Verantwortlichen alle zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen – zu ermöglichen und dazu beizutragen.

§ 5 Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit seine allgemeine Zustimmung zur Beauftragung der in Anlage 3 aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

§ 6 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, sich vor Beginn und während der Vertragslaufzeit von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen, u. a. durch Einholung von Auskünften und Vorlage entsprechender Nachweise. Der Auftragsverarbeiter stellt dazu auf Anfrage die aktuelle Fassung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) zur Verfügung.

§ 7 Meldepflichten, Weisungsrecht

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen von Aufsichtsbehörden, soweit sie sich auf diese Auftragsverarbeitung beziehen. Weisungen, die nicht bereits im Nutzungsvertrag festgelegt sind, sind vom Verantwortlichen in Textform (z. B. E-Mail) zu erteilen.

§ 8 Löschung und Rückgabe personenbezogener Daten

Nach Beendigung des Nutzungsvertrags werden sämtliche personenbezogene Daten des Verantwortlichen automatisch nach einer Übergangsfrist von 30 Tagen unwiderruflich gelöscht (siehe AGB § 5). Innerhalb dieser Frist kann der Verantwortliche seine Daten selbständig über die Exportfunktionen (JSON/PDF, inkl. Meeting-Protokolle) sichern.

§ 9 Haftung

Es gelten die Haftungsregelungen der zugrunde liegenden AGB entsprechend. Für Schäden, die ein Betroffener wegen einer unzulässigen oder unrichtigen Verarbeitung im Rahmen dieser Auftragsverarbeitung erleidet, haftet der Auftragsverarbeiter gemäß Art. 82 DSGVO nur, soweit er seinen speziell den Auftragsverarbeitern auferlegten Pflichten der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Weisungen des Verantwortlichen gehandelt hat.

§ 10 Schlussbestimmungen

Sollten einzelne Teile dieses Vertrags unwirksam sein, berührt dies die Wirksamkeit des übrigen Vertrags nicht. Es gilt deutsches Recht. Gerichtsstand ist, soweit gesetzlich zulässig, Düsseldorf.


Anlage 1 – Verarbeitungstätigkeiten

Vollständige, laufend aktualisierte Details siehe Verzeichnis von Verarbeitungstätigkeiten (auf Anfrage erhältlich). Kurzüberblick:

VerarbeitungstätigkeitBetroffene PersonenDatenkategorienLöschfrist
Nutzerkonto-VerwaltungRegistrierte NutzerE-Mail, Passwort-Hash, RolleBei Konto-/Firmen-Löschung
Dokument-Verwaltung & KI-AnalyseNutzer; ggf. in Dokumenten genannte PersonenDokumentinhalte, Metadaten, EmbeddingsAuf Anfrage; bei Firmen-Löschung
Chat-VerläufeNutzerFragen, KI-Antworten365 Tage / manuell
E-Mail-AgentNutzer; E-Mail-Absender DritterIMAP-Zugang, Absender, Betreff, Textauszug7 Tage (Berichte)
VertragsprüfungNutzer; VertragsparteienVertragsdokumente, Score, BewertungBei Konto-/Firmen-Löschung
Meeting-AgentNutzer; alle Gesprächsteilnehmenden (i.d.R. Beschäftigte und externe Dritte)Audioaufnahme, Transkript, Besprechungsprotokoll, ProzessanalyseAudio/Transkript: 90 Tage automatisch; Protokoll: manuell/Firmen-Löschung
Session-ProtokollierungEingeloggte NutzerSession-ID, Login-ZeitpunktBei Abmeldung

Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Anlage 3 – Genehmigte Unterauftragsverarbeiter

UnterauftragsverarbeiterZweckOrtGarantie
SendGrid (Twilio Inc.)Versand transaktionaler E-MailsUSAEU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Hosting-/ServeranbieterInfrastruktur-HostingEU/EWRAVV nach Art. 28 DSGVO

KI-Verarbeitung (Meta Llama 3 über Ollama, OpenAI Whisper), Datenbank (PostgreSQL), Cache (Redis) und Dateiablage (MinIO) laufen ausschließlich auf eigener, lokal betriebener Infrastruktur – kein Unterauftragsverarbeiter erforderlich.