Rechtliches

Auftragsverarbeitungsvertrag (AVV) — Vorlage

Stand: Pre-Launch · Mai 2026

Diese Vorlage entspricht Art. 28 DSGVO. Vor Projektbeginn unterzeichnen beide Parteien eine angepasste, mandantenindividuelle Version.

1. Vertragsparteien

Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen dem Auftraggeber („Kunde“, Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO) und der Azena.ai GmbH (in Gründung; nachfolgend „Azena“, als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO).

2. Gegenstand

Gegenstand des Vertrags ist die Verarbeitung personenbezogener Daten durch Azena im Rahmen der Beratungs- und Build-Leistungen, wie sie im jeweiligen Festpreis-Brief / Hauptvertrag spezifiziert sind.

3. Datenkategorien & betroffene Personen

Typischerweise werden folgende Kategorien personenbezogener Daten verarbeitet:

  • Mitarbeiterdaten des Auftraggebers (Namen, Rollen, Kontaktdaten)
  • Geschäftspartner- und Kundendaten des Auftraggebers
  • In Pilot-Projekten ggf. operative Datensätze (E-Mails, Dokumente, Strukturdaten) im für die Use-Case-Erprobung notwendigen Umfang

Betroffene Personen sind insbesondere Mitarbeiter, Kunden und Geschäftspartner des Auftraggebers.

4. Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Erbringung der im Hauptvertrag vereinbarten Leistungen. Azena verarbeitet die Daten nicht für eigene Zwecke und gibt sie ohne ausdrückliche schriftliche Weisung des Auftraggebers nicht an Dritte weiter.

5. Dauer

Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags zuzüglich einer Übergabephase von maximal 90 Tagen. Im Anschluss werden die Daten gelöscht oder auf Wunsch an den Auftraggeber zurückgegeben (siehe Ziffer 10).

6. Technisch-organisatorische Maßnahmen (TOM)

Azena trifft die nachstehenden technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO (Anlage 1 zum AVV):

  • Verschlüsselung: TLS in Transit, AES-256 at rest
  • Zugriffsbeschränkung: Need-to-Know-Prinzip, dokumentierte Rollen und Berechtigungen
  • Audit-Logs: lückenlose Protokollierung sicherheitsrelevanter Zugriffe
  • MFA: Multi-Faktor-Authentifizierung für alle Operator-Zugänge
  • EU-Region-Hosting: primäre Verarbeitung in Frankfurt (EU)

7. Unterauftragsverarbeiter

Die Einbindung weiterer Unterauftragsverarbeiter erfolgt nach vorheriger Offenlegung gegenüber dem Auftraggeber. Aktuell relevant sind:

  • Cloud-Hosting: Cloudflare (EU-Region) und AWS Frankfurt
  • E-Mail: Resend (EU)
  • LLM-Inferenz (EU): Nexus Router / Nebius (Frankfurt, EU)
  • LLM-Inferenz (US, mit Drittland-Transfer): OpenAI (OpenAI Ireland Ltd. / OpenAI LLC) — Inferenz für GPT-Modelle, Sitz USA. Drittland-Transfer abgesichert durch EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln (SCCs). Ein Transfer Impact Assessment (TIA) liegt vor. Verarbeitungs-Region: bevorzugt EU-Endpoints wo verfügbar (Azure OpenAI EU); andernfalls US-Region mit DPF-Absicherung.
  • LLM-Inferenz (US, mit Drittland-Transfer): Anthropic (Anthropic PBC) — Inferenz für Claude-Modelle, Sitz USA. Gleicher Schutz-Mechanismus: EU-Standardvertragsklauseln (SCCs) plus Transfer Impact Assessment (TIA). Bevorzugung von Anthropic-via-AWS-Bedrock (EU-Region) wo verfügbar.

EU-Only-Option: Mandant kann die Wahl der LLM-Provider auf EU-gehostete Anbieter einschränken (verfügbar: Nebius EU, Mistral EU, Azure OpenAI Frankfurt). Diese Wahl ist Teil des Festpreis-Briefs.

Eine aktuelle Liste der Unterauftragsverarbeiter wird gepflegt und dem Auftraggeber auf Anfrage zur Verfügung gestellt. Wesentliche Änderungen werden vorab angekündigt.

8. Rechte der betroffenen Personen

Azena unterstützt den Auftraggeber durch geeignete technische und organisatorische Maßnahmen bei der Wahrnehmung der Betroffenenrechte (Auskunft gem. Art. 15 DSGVO, Berichtigung gem. Art. 16 DSGVO, Löschung gem. Art. 17 DSGVO sowie weiterer Rechte nach Art. 18 ff. DSGVO).

9. Pflichtverletzungen / Meldepflichten

Azena meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten („Datenpanne“) oder einen begründeten Verdacht darauf unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme. Die Meldung erfolgt schriftlich an die vom Auftraggeber benannte Kontaktstelle.

10. Löschung & Rückgabe

Nach Abschluss der Leistung oder auf vorherige Anweisung des Auftraggebers werden alle personenbezogenen Daten entweder vollständig gelöscht oder an den Auftraggeber zurückgegeben, nach Wahl des Auftraggebers. Bestehende gesetzliche Aufbewahrungspflichten bleiben unberührt.

Stand: Mai 2026 — Pre-Launch-Vorlage. Die finale Fassung wird vor Projektbeginn mandantenindividuell ausgefertigt und beidseitig unterzeichnet.

Weiter: AGB · Datenschutz · Impressum

← Zurück zur Startseite