gemäß Art. 28 DSGVO | Stand: Juli 2026
Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform „Quotextrana" (Dokumenten- und Wissensverwaltung, KI-gestützte Vertragsprüfung, E-Mail-Agent, Meeting-Agent). Die Dauer dieses Vertrags entspricht der Laufzeit des zugrunde liegenden Nutzungsvertrags (AGB).
Einzelheiten zu Verarbeitungszwecken, Kategorien betroffener Personen und Datenkategorien ergeben sich aus Anlage 1 (Verarbeitungstätigkeiten). Besonders hervorzuheben:
Der Verantwortliche bleibt allein dafür verantwortlich, für sämtliche Verarbeitungen – insbesondere die Aufzeichnung von Besprechungen mittels des Meeting-Agenten – über eine eigene Rechtsgrundlage zu verfügen (u. a. Einwilligung aller Gesprächsteilnehmenden gemäß § 201 StGB, ggf. Mitbestimmung des Betriebsrats nach § 87 BetrVG).
Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen nach den Vorschriften der DSGVO allein verantwortlich. Er erteilt dem Auftragsverarbeiter Weisungen ausschließlich in Textform (einschließlich der Nutzung der Plattformfunktionen selbst als konkludente Weisung im Rahmen der Leistungsbeschreibung).
Der Auftragsverarbeiter verpflichtet sich:
Der Verantwortliche erteilt hiermit seine allgemeine Zustimmung zur Beauftragung der in Anlage 3 aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
Der Verantwortliche hat das Recht, sich vor Beginn und während der Vertragslaufzeit von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen, u. a. durch Einholung von Auskünften und Vorlage entsprechender Nachweise. Der Auftragsverarbeiter stellt dazu auf Anfrage die aktuelle Fassung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) zur Verfügung.
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen von Aufsichtsbehörden, soweit sie sich auf diese Auftragsverarbeitung beziehen. Weisungen, die nicht bereits im Nutzungsvertrag festgelegt sind, sind vom Verantwortlichen in Textform (z. B. E-Mail) zu erteilen.
Nach Beendigung des Nutzungsvertrags werden sämtliche personenbezogene Daten des Verantwortlichen automatisch nach einer Übergangsfrist von 30 Tagen unwiderruflich gelöscht (siehe AGB § 5). Innerhalb dieser Frist kann der Verantwortliche seine Daten selbständig über die Exportfunktionen (JSON/PDF, inkl. Meeting-Protokolle) sichern.
Es gelten die Haftungsregelungen der zugrunde liegenden AGB entsprechend. Für Schäden, die ein Betroffener wegen einer unzulässigen oder unrichtigen Verarbeitung im Rahmen dieser Auftragsverarbeitung erleidet, haftet der Auftragsverarbeiter gemäß Art. 82 DSGVO nur, soweit er seinen speziell den Auftragsverarbeitern auferlegten Pflichten der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Weisungen des Verantwortlichen gehandelt hat.
Sollten einzelne Teile dieses Vertrags unwirksam sein, berührt dies die Wirksamkeit des übrigen Vertrags nicht. Es gilt deutsches Recht. Gerichtsstand ist, soweit gesetzlich zulässig, Düsseldorf.
Vollständige, laufend aktualisierte Details siehe Verzeichnis von Verarbeitungstätigkeiten (auf Anfrage erhältlich). Kurzüberblick:
| Verarbeitungstätigkeit | Betroffene Personen | Datenkategorien | Löschfrist |
|---|---|---|---|
| Nutzerkonto-Verwaltung | Registrierte Nutzer | E-Mail, Passwort-Hash, Rolle | Bei Konto-/Firmen-Löschung |
| Dokument-Verwaltung & KI-Analyse | Nutzer; ggf. in Dokumenten genannte Personen | Dokumentinhalte, Metadaten, Embeddings | Auf Anfrage; bei Firmen-Löschung |
| Chat-Verläufe | Nutzer | Fragen, KI-Antworten | 365 Tage / manuell |
| E-Mail-Agent | Nutzer; E-Mail-Absender Dritter | IMAP-Zugang, Absender, Betreff, Textauszug | 7 Tage (Berichte) |
| Vertragsprüfung | Nutzer; Vertragsparteien | Vertragsdokumente, Score, Bewertung | Bei Konto-/Firmen-Löschung |
| Meeting-Agent | Nutzer; alle Gesprächsteilnehmenden (i.d.R. Beschäftigte und externe Dritte) | Audioaufnahme, Transkript, Besprechungsprotokoll, Prozessanalyse | Audio/Transkript: 90 Tage automatisch; Protokoll: manuell/Firmen-Löschung |
| Session-Protokollierung | Eingeloggte Nutzer | Session-ID, Login-Zeitpunkt | Bei Abmeldung |
| Unterauftragsverarbeiter | Zweck | Ort | Garantie |
|---|---|---|---|
| SendGrid (Twilio Inc.) | Versand transaktionaler E-Mails | USA | EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
| Hosting-/Serveranbieter | Infrastruktur-Hosting | EU/EWR | AVV nach Art. 28 DSGVO |
KI-Verarbeitung (Meta Llama 3 über Ollama, OpenAI Whisper), Datenbank (PostgreSQL), Cache (Redis) und Dateiablage (MinIO) laufen ausschließlich auf eigener, lokal betriebener Infrastruktur – kein Unterauftragsverarbeiter erforderlich.