Rechtliches
Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO | AuraServe GmbH | Stand: März 2026 | Version 2.1 (Enterprise)
Präambel
Dieser Auftragsverarbeitungsvertrag („AVV") regelt die Verarbeitung personenbezogener Daten durch die AuraServe GmbH, Hubertusweg 6, 6712 Thüringen, Österreich („Auftragsverarbeiter") im Auftrag des Kunden („Verantwortlicher").
Dieser AVV ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags und geht diesem im Falle von Widersprüchen in datenschutzrechtlichen Fragen vor.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform „AuraServe Chat".
(2) Die Verarbeitung umfasst insbesondere:
- Betrieb eines KI-gestützten Chatbots
- Verarbeitung von Nutzeranfragen
- Bereitstellung von Antworten auf Basis bereitgestellter Datenquellen
(3) Die Verarbeitung beginnt mit der Nutzung des Dienstes und endet mit Beendigung des Hauptvertrags, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
§ 2 Art, Zweck und Umfang der Verarbeitung
(1) Art der Verarbeitung
Erhebung, Speicherung, Analyse, Übermittlung, pseudonymisierte Verarbeitung und Löschung personenbezogener Daten.
(2) Zweck der Verarbeitung
- Bereitstellung und Betrieb des Chatbot-Dienstes
- Beantwortung von Nutzeranfragen
- Technische Optimierung und Stabilität des Systems
(3) KI-Verarbeitung
Die Verarbeitung erfolgt teilweise durch KI-Modelle (z. B. Sprachmodelle und Embedding-Modelle) ausschließlich zur Generierung von Antworten sowie zur semantischen Verarbeitung von Anfragen im Rahmen einzelner Sitzungen („Inference").
Eine Nutzung der Daten zum Training von KI-Modellen des Auftragsverarbeiters oder Dritter erfolgt nicht, sofern nicht ausdrücklich vereinbart.
(4) Betroffene Personen
Endnutzer der Website des Verantwortlichen (Kunden, Interessenten, Besucher).
(5) Kategorien personenbezogener Daten
- Chatinhalte
- Freiwillig übermittelte Kontaktdaten (Name, E-Mail etc.)
- Technische Metadaten (Zeitstempel, Session-ID)
- IP-Adresse (nicht dauerhaft gespeichert)
(6) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nicht vorgesehen. Der Verantwortliche verpflichtet sich, solche Daten nicht zu übermitteln.
§ 3 Weisungen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung.
(2) Als Weisung gelten auch:
- Konfigurationen innerhalb der Plattform
- Nutzungseinstellungen
- Bereitgestellte Inhalte
(3) Offensichtlich rechtswidrige Weisungen werden nicht ausgeführt.
§ 4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Daten nur im Rahmen dieses AVV zu verarbeiten
- Vertraulichkeit aller zugriffsberechtigten Personen sicherzustellen
- geeignete TOM gemäß Art. 32 DSGVO umzusetzen (siehe Anlage 1)
- den Verantwortlichen bei Betroffenenrechten zu unterstützen
- Datenschutzverletzungen unverzüglich zu melden
Zugriffskontrolle intern
Ein Zugriff auf Daten erfolgt nur:
- zur Sicherstellung des Betriebs
- zur Fehleranalyse
- auf Weisung des Verantwortlichen
Alle Zugriffe werden protokolliert.
§ 5 Pflichten des Verantwortlichen
Der Verantwortliche verpflichtet sich:
- die Rechtmäßigkeit der Datenverarbeitung sicherzustellen
- Endnutzer transparent zu informieren
- ggf. erforderliche Einwilligungen einzuholen
- keine sensiblen Daten (Art. 9 DSGVO) zu übermitteln
§ 6 Unterauftragnehmer
(1) Der Verantwortliche genehmigt den Einsatz der nachfolgend aufgeführten Subunternehmer.
(2) Aktuelle Subunternehmer:
| Anbieter | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|
| Railway Corp. | Hosting & Infrastruktur | USA / EU | SCC |
| Google LLC (Gemini) | KI-Sprachmodell (Inference) | USA | SCC |
| OpenAI, Inc. | Embedding-Verarbeitung / KI-Inference | USA | SCC |
(3) Drittlandübermittlung erfolgt ausschließlich unter Einhaltung von Art. 44 ff. DSGVO (insb. Standardvertragsklauseln gemäß Durchführungsbeschluss EU 2021/914 sowie zusätzliche technische Schutzmaßnahmen).
(4) Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen (Hinzufügung oder Austausch von Subunternehmern) mit angemessener Vorlaufzeit, sodass der Verantwortliche Einwände erheben kann. Eine aktuelle Liste kann vom Verantwortlichen jederzeit schriftlich angefordert werden.
§ 7 Technische und organisatorische Maßnahmen (TOM)
Die vollständige Beschreibung der technischen und organisatorischen Maßnahmen ist in Anlage 1 zu diesem AVV festgehalten. Anlage 1 kann vom Auftragsverarbeiter bei wesentlichen Änderungen aktualisiert werden; der Verantwortliche wird hiervon in Kenntnis gesetzt.
§ 8 Datenpannen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis einer Datenschutzverletzung, um dem Verantwortlichen die Einhaltung seiner Meldepflicht gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO (72-Stunden-Frist) zu ermöglichen.
Die Meldung enthält alle verfügbaren Informationen gemäß Art. 33 Abs. 3 DSGVO. Soweit Informationen nicht vollständig vorliegen, erfolgt eine vorläufige Meldung mit Nachlieferung.
§ 9 Betroffenenrechte
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:
- Auskunft (Art. 15 DSGVO)
- Löschung (Art. 17 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
Anfragen werden unverzüglich, spätestens binnen 5 Werktagen, an den Verantwortlichen weitergeleitet.
§ 10 Löschung und Rückgabe
(1) Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen unwiderruflich gelöscht oder, auf ausdrücklichen Wunsch, zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
(2) Automatisierte Backups werden fortlaufend überschrieben und sind spätestens 30 Tage nach ihrer Erstellung nicht mehr verfügbar. Innerhalb dieses Zeitraums enthaltene personenbezogene Daten unterliegen denselben Schutzmaßnahmen wie Produktivdaten.
(3) Systemlogdaten (Zugriffsprotokolle, Fehler-Logs) werden automatisch nach 30 Tagen gelöscht, sodass die Aufbewahrungsfristen von Logs und Backups konsistent sind.
(4) Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage schriftlich.
§ 11 Kontrollrechte
(1) Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV zu prüfen oder durch einen zur Verschwiegenheit verpflichteten Dritten prüfen zu lassen.
(2) Prüfungen erfolgen:
- nach angemessener Vorankündigung (mindestens 5 Werktage)
- ohne wesentliche Betriebsstörung
- maximal einmal jährlich, sofern kein konkreter Anlass vorliegt
(3) Alternativ können aktuelle Nachweise (z. B. Auditberichte, Zertifizierungen, Dokumentationen) auf Anfrage bereitgestellt werden.
§ 12 Haftung
Die Haftung der Parteien richtet sich nach den gesetzlichen Regelungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den Haftungsbestimmungen des Hauptvertrags.
§ 13 Schlussbestimmungen
(1) Es gilt österreichisches Recht unter Ausschluss des UN-Kaufrechts.
(2) Ausschließlicher Gerichtsstand für Streitigkeiten aus diesem AVV ist Bludenz, Österreich.
(3) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.
(4) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Unterzeichnung
Dieser AVV wird mit Abschluss des Hauptvertrags akzeptiert. Für eine gesonderte schriftliche Unterzeichnung wenden Sie sich an .
Anlage 1: Technische und organisatorische Maßnahmen (TOM)
Separate Anlage, wird bei wesentlichen Änderungen aktualisiert und dem Verantwortlichen mitgeteilt.
Änderungsprotokoll
| Version | Datum | Änderung |
|---|---|---|
| 1.0 | - | Erstversion |
| 2.0 | März 2026 | Enterprise-Überarbeitung |
| 2.1 | April 2026 | OpenAI als Subunternehmer ergänzt; §8 72h-Frist präzisiert; §10 Aufbewahrungsfristen harmonisiert; Anlage 1 für TOM eingeführt; Unterschriftenblock ergänzt |