Rechtsdokument · DSGVO Art. 28

Auftragsverarbeitungsvertrag (AVV)

Version 1.2 · Stand: Juli 2025 · Gilt für alle PROVA-Pakete

📋 DSGVO Art. 28 🇩🇪 Deutsches Recht 🔒 DSGVO-konform ✅ Rechtsverbindlich

Inhaltsverzeichnis

Präambel
§1 Gegenstand und Dauer
§2 Art und Zweck der Verarbeitung
§3 Pflichten des Auftragnehmers
§4 Pflichten des Auftraggebers
§5 Unterauftragsverarbeitung
§6 Technische und organisatorische Maßnahmen
§7 Betroffenenrechte
§8 Datenpannen und Sicherheitsverletzungen
§9 Löschung und Rückgabe
§10 Kontrollrechte
§11 Haftung
§12 Schlussbestimmungen
Anlage 1: Verarbeitungstätigkeiten
Anlage 2: Unterauftragsverarbeiter
Anlage 3: TOMs

§ Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen dem Nutzer der PROVA-Plattform (nachfolgend „Auftraggeber" oder „Verantwortlicher") und

PROVA-Systems GmbH (nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter")
Musterstraße 1 · 10115 Berlin · Deutschland
E-Mail: datenschutz@prova-systems.de · Telefon: +49 30 123 456

Der AVV konkretisiert die datenschutzrechtlichen Pflichten und Rechte der Parteien gemäß Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO") und ergänzt den zwischen den Parteien abgeschlossenen Hauptvertrag (Nutzungsvertrag / AGB der PROVA-Plattform).

Im Rahmen der Nutzung der PROVA-Plattform verarbeitet der Auftragnehmer personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers. Der Auftraggeber bleibt jederzeit der datenschutzrechtlich Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO.

1 Gegenstand und Dauer der Auftragsverarbeitung

1.1 Gegenstand

Gegenstand des AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Erbringung der vertraglich vereinbarten Leistungen der PROVA-Plattform, insbesondere:

Erstellung und Verwaltung von KI-gestützten Gutachten (Sachverständigengutachten)
Verarbeitung von Sprachdiktaten und Audiodaten zur KI-Transkription
Hosting und Speicherung von Gutachtendaten, Dokumenten und Nutzerdaten
Bereitstellung von Analyse- und Reporting-Funktionen (Analytics-Dashboard)
Versendung von Gutachten und Freigabe-Links an Dritte
Verwaltung von Nutzerprofilen und Teamzugängen

1.2 Dauer

Der AVV gilt für die Dauer des Hauptvertrags (Nutzungsvertrag). Bei Beendigung des Hauptvertrags gilt dieser AVV fort, bis der Auftragnehmer alle personenbezogenen Daten des Auftraggebers gelöscht oder zurückgegeben hat (vgl. §9).

2 Art, Umfang und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Der Auftragnehmer führt im Auftrag des Auftraggebers folgende Verarbeitungstätigkeiten durch: Erhebung, Speicherung, Übermittlung, Verarbeitung, Analyse, Darstellung und Löschung personenbezogener Daten.

2.2 Betroffene Personengruppen

Nutzer der Plattform: Sachverständige, Gutachter, Teammitglieder
Kunden des Auftraggebers: Versicherungsgesellschaften, Auftraggeber von Gutachten, Geschädigte
Dritte: Personen, die in Gutachten erwähnt werden (z.B. Versicherungsnehmer, Eigentümer)

2.3 Kategorien personenbezogener Daten

Stammdaten (Name, Adresse, Kontaktdaten)
Professionelle Daten (Berufsbezeichnung, Qualifikationen, Zertifikate)
Gutachtendaten (Schadensbeschreibungen, Kostenermittlungen, Fotos)
Audiodaten (Sprachdiktate, Aufnahmen)
Authentifizierungsdaten (E-Mail, verschlüsselte Passwörter)
Nutzungsdaten (Log-Daten, Analytics, Geräteinformationen)
Finanzdaten (Rechnungsadressen, Zahlungsinformationen via Stripe)

2.4 Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten Leistungen der PROVA-Plattform. Eine Verarbeitung für eigene Zwecke des Auftragnehmers ist ausgeschlossen, soweit nicht eine gesetzliche Pflicht zur Verarbeitung besteht.

3 Pflichten des Auftragnehmers

3.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Der Hauptvertrag sowie dieser AVV gelten als solche dokumentierte Weisungen. Sollte der Auftragnehmer der Auffassung sein, dass eine Weisung gegen die DSGVO oder sonstige datenschutzrechtliche Vorschriften verstößt, teilt er dies dem Auftraggeber unverzüglich mit.

3.2 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass sich alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO und den in Anlage 3 dieses AVV aufgeführten technischen und organisatorischen Maßnahmen (TOMs).

3.4 Datenschutzbeauftragter

Der Auftragnehmer hat einen betrieblichen Datenschutzbeauftragten benannt, erreichbar unter: dsb@prova-systems.de

3.5 Unterstützungspflicht

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Datenpannen, Datenschutz-Folgenabschätzung, Konsultation der Aufsichtsbehörde) sowie bei der Beantwortung von Betroffenenanfragen.

4 Pflichten des Auftraggebers

Der Auftraggeber trägt als Verantwortlicher die volle datenschutzrechtliche Verantwortung für die Rechtmäßigkeit der Verarbeitung. Er hat insbesondere folgende Pflichten:

Sicherstellung einer geeigneten Rechtsgrundlage für die Verarbeitung (Art. 6 DSGVO)
Erfüllung der Informationspflichten gegenüber Betroffenen (Art. 13, 14 DSGVO)
Erteilung von Weisungen ausschließlich in schriftlicher oder elektronischer Form
Unverzügliche Benachrichtigung des Auftragnehmers bei Feststellung von Datenpannen
Regelmäßige Überprüfung der Einhaltung dieses AVV durch Audits oder Kontrollen
Führung eines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO

5 Unterauftragsverarbeitung

5.1 Allgemeine Genehmigung

Der Auftraggeber erteilt mit Abschluss dieses AVV die allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen im Hinblick auf die Hinzuziehung oder den Ersatz weiterer Unterauftragnehmer gemäß Art. 28 Abs. 2 DSGVO mit einer Vorankündigungsfrist von mindestens 30 Tagen.

5.2 Aktuell genehmigte Unterauftragsverarbeiter

Zum Zeitpunkt des Vertragsschlusses sind folgende Unterauftragsverarbeiter genehmigt (vollständige Aufstellung in Anlage 2):

Anbieter	Leistung	Sitz	Schutz-niveau
Airtable Inc.	Datenbank-Backend, Strukturierung von Gutachtendaten	USA (San Francisco)	EU-SCCs
Make.com (Celonis)	Workflow-Automatisierung, Systemintegration	EU (Prag / Tschechien)	DSGVO
OpenAI, Inc.	KI-Textgenerierung (PROVA Analyse-Engine)	USA (San Francisco)	EU-SCCs
Stripe Inc.	Zahlungsabwicklung	USA (San Francisco) / Irland	EU-SCCs
Amazon Web Services (AWS)	Cloud-Hosting, Datenspeicherung	EU (Frankfurt / Irland)	DSGVO

5.3 Weitergabe von Pflichten

Der Auftragnehmer verpflichtet Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten, wie sie in diesem AVV festgelegt sind. Die EU-Standardvertragsklauseln (SCCs) werden mit Anbietern in Drittländern ohne Angemessenheitsbeschluss abgeschlossen.

Hinweis Drittlandtransfer: Für die Nutzung von Airtable und OpenAI werden personenbezogene Daten in die USA übertragen. Dies erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) in Verbindung mit einem Transfer Impact Assessment (TIA). Daten im Zusammenhang mit Gutachten werden vor der Übermittlung an OpenAI nach Möglichkeit pseudonymisiert.

6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten. Die detaillierte Aufstellung ist in Anlage 3 enthalten. Zusammenfassung der wichtigsten Maßnahmen:

6.1 Zutrittskontrolle

Serverräume und Rechenzentren sind physisch gesichert; Zutritt nur für befugtes Personal mit Zwei-Faktor-Authentifizierung. Nutzung von ISO 27001-zertifizierten Rechenzentren (AWS Frankfurt).

6.2 Zugangskontrolle

Alle Nutzerzugänge sind durch Passwortschutz und optionale Zwei-Faktor-Authentifizierung gesichert. Passwörter werden ausschließlich als bcrypt-Hash (Cost Factor 12) gespeichert. Automatische Sitzungsbeendigung nach Inaktivität.

6.3 Zugriffskontrolle

Rollenbasiertes Zugriffskonzept (RBAC): Zugriff auf Daten nur für Personen, die diese zur Erfüllung ihrer Aufgaben benötigen (Need-to-know-Prinzip). Strikte Mandantentrennung zwischen verschiedenen Kundenkonten.

6.4 Übertragungskontrolle

Alle Datenübertragungen erfolgen ausschließlich über verschlüsselte Verbindungen (TLS 1.2 oder höher). API-Kommunikation ist mit Bearer-Token-Authentifizierung gesichert.

6.5 Eingabekontrolle

Alle schreibenden Datenzugriffe werden geloggt. Audit-Logs werden für 12 Monate aufbewahrt und sind manipulationssicher gespeichert.

6.6 Verfügbarkeitskontrolle

Regelmäßige automatisierte Backups (täglich, 30-Tage-Aufbewahrung). Redundante Datenspeicherung in mindestens zwei geografisch getrennten AWS-Regionen innerhalb der EU. Monitoring und Alerting 24/7.

6.7 Trennbarkeit

Strikte logische Trennung der Daten verschiedener Auftraggeber durch Mandantenisolierung auf Datenbankebene.

7 Betroffenenrechte

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten nach Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Der Auftragnehmer leitet Anfragen von Betroffenen, die direkt an ihn gerichtet werden, unverzüglich an den Auftraggeber weiter und ergreift keine eigenständigen Maßnahmen ohne Weisung des Auftraggebers, sofern nicht gesetzlich vorgeschrieben.

Auf Anfrage des Auftraggebers stellt der Auftragnehmer alle erforderlichen Daten für die Beantwortung von Betroffenenanfragen innerhalb von 5 Werktagen zur Verfügung.

8 Datenpannen und Sicherheitsverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO. Die Meldung enthält mindestens:

Beschreibung der Art der Verletzung
Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
Wahrscheinliche Folgen der Verletzung
Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Schadensminimierung
Namen und Kontaktdaten des Datenschutzbeauftragten oder einer Ansprechperson

Der Auftraggeber ist für die Meldung an die zuständige Datenschutzaufsichtsbehörde (Art. 33 DSGVO, Frist: 72 Stunden) sowie ggf. die Benachrichtigung der Betroffenen (Art. 34 DSGVO) selbst verantwortlich. Der Auftragnehmer unterstützt ihn dabei.

Meldekontakt bei Datenpannen:
E-Mail: incident@prova-systems.de (Notfall-Hotline 24/7)
Telefon: +49 30 123 456 (Durchwahl Datenschutz)

9 Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrags oder auf schriftliche Anforderung des Auftraggebers löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers vollständig und unwiderruflich oder gibt diese zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht entgegensteht.

9.1 Fristen und Verfahren

Export-Download durch Auftraggeber: innerhalb von 30 Tagen nach Vertragsende möglich
Vollständige Datenlöschung: spätestens 60 Tage nach Vertragsende
Backup-Löschung: spätestens 90 Tage nach Vertragsende
Schriftliche Löschbestätigung wird dem Auftraggeber nach Abschluss übermittelt

9.2 Gesetzliche Aufbewahrungspflichten

Soweit der Auftragnehmer zur Aufbewahrung bestimmter Daten gesetzlich verpflichtet ist (z.B. steuerrechtliche Aufbewahrungsfristen nach §147 AO), gilt die Löschungspflicht entsprechend beschränkt. Über solche Ausnahmen informiert der Auftragnehmer den Auftraggeber.

10 Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung dieses AVV durch den Auftragnehmer zu kontrollieren. Dies kann erfolgen durch:

Anforderung von Nachweisen (z.B. Zertifizierungen, Audit-Berichte, Prüfprotokolle)
Fragebögen und schriftliche Auskunftsersuchen
Vor-Ort-Prüfungen nach vorheriger Ankündigung (mindestens 14 Werktage) und während der üblichen Geschäftszeiten

Kosten für Kontrollen trägt der Auftraggeber selbst, sofern nicht Mängel der Leistungserbringung durch den Auftragnehmer festgestellt werden. Der Auftragnehmer kann alternativ anerkannte externe Prüfer (z.B. ISO 27001-Zertifizierer) als Nachweis akzeptieren lassen.

11 Haftung

Die Haftungsregelungen des Hauptvertrags (AGB) gelten entsprechend. Im Verhältnis zwischen Auftraggeber und Auftragnehmer gilt: Jede Partei haftet gegenüber Betroffenen für den Schaden, den sie zu verantworten hat. Der Auftragnehmer kann sich von der Haftung befreien, wenn er nachweist, dass er keinerlei Verschulden an dem schadensbegründenden Umstand trägt (Art. 82 Abs. 3 DSGVO).

Im Außenverhältnis zu Betroffenen haften Auftraggeber und Auftragnehmer als Gesamtschuldner, sofern beide an derselben Verarbeitungsvorgabe beteiligt waren. Im Innenverhältnis gilt ein Ausgleich entsprechend dem Verursachungsanteil.

12 Schlussbestimmungen

12.1 Vorrang

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) hat der AVV im Hinblick auf datenschutzrechtliche Regelungen Vorrang.

12.2 Änderungen

Änderungen dieses AVV bedürfen der Schriftform oder einer gleichwertigen elektronischen Form. Der Auftragnehmer ist berechtigt, den AVV bei gesetzlichen Änderungen anzupassen; der Auftraggeber wird mindestens 30 Tage im Voraus informiert.

12.3 Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten ist Berlin, soweit rechtlich zulässig.

12.4 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen. Die Parteien verpflichten sich, unwirksame Bestimmungen durch wirksame Regelungen zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmungen möglichst nahekommen.

12.5 Inkrafttreten

Der AVV tritt mit Abschluss des Hauptvertrags bzw. mit Beginn der Nutzung der PROVA-Plattform in Kraft und ist Bestandteil des Vertragsverhältnisses. Durch die Akzeptanz der AGB im Rahmen des Registrierungsprozesses erklärt der Auftraggeber auch seine Zustimmung zu diesem AVV.

A1 Anlage 1: Beschreibung der Verarbeitungstätigkeiten

Verarbeitungstätigkeit	Zweck	Rechtsgrundlage	Datenkategorien
Nutzerregistrierung & Kontoverwaltung	Vertragserfüllung	Art. 6 Abs. 1 lit. b DSGVO	Name, E-Mail, Passwort-Hash
Sprachdiktat-Verarbeitung	KI-Transkription	Art. 6 Abs. 1 lit. b DSGVO	Audiodaten (temporär)
KI-Gutachtenerstellung	Kernleistung	Art. 6 Abs. 1 lit. b DSGVO	Gutachtendaten, Schadensdaten
Freigabe-Link-Versendung	Kundenkommunikation	Art. 6 Abs. 1 lit. b DSGVO	E-Mail-Adresse, Gutachtendaten
Analytics-Dashboard	Leistungsauswertung	Art. 6 Abs. 1 lit. b DSGVO	Nutzungs- und Leistungsdaten
Zahlungsabwicklung	Rechnungsstellung	Art. 6 Abs. 1 lit. b DSGVO	Rechnungsdaten (via Stripe)
Fehlerprotokollierung	Technischer Betrieb	Art. 6 Abs. 1 lit. f DSGVO	Log-Daten (pseudonymisiert)

A2 Anlage 2: Genehmigte Unterauftragsverarbeiter

Anbieter	Leistung	Sitz	Schutz	Datenschutz
Airtable Inc.	Datenbank-Backend für Gutachtendaten, Workflow-Daten	USA · 799 Market St, San Francisco, CA 94103	EU-SCCs	airtable.com/privacy
Make.com (Celonis SE)	Automatisierung von Workflows zwischen PROVA, Airtable und OpenAI	EU · Václavské nám. 2132/47, 110 00 Prag, Tschechien	DSGVO	make.com/en/privacy-notice
OpenAI, Inc.	KI-Textgenerierung für Gutachteninhalte (PROVA Analyse-Engine)	USA · 3180 18th St, San Francisco, CA 94110	EU-SCCs + DPA	openai.com/privacy
Stripe Inc.	Zahlungsverarbeitung (Kreditkarte, SEPA)	USA / Irland · 1 Grand Canal Street Lower, Dublin, Irland	DSGVO	stripe.com/privacy
Amazon Web Services EMEA SARL	Cloud-Infrastruktur, Datenspeicherung, CDN	EU · 38 Avenue John F. Kennedy, L-1855 Luxemburg	DSGVO	aws.amazon.com/privacy
Google Workspace (Google LLC)	Geschäftliche E-Mail-Kommunikation (intern)	USA · Mountain View, CA / EU-Datenprozessierung	EU-SCCs	policies.google.com/privacy

Aktualisierungen: Diese Liste wird regelmäßig aktualisiert. Der Auftraggeber wird über Änderungen mit einer Vorankündigungsfrist von 30 Tagen per E-Mail informiert. Die aktuelle Liste ist stets unter prova-systems.de/legal/avv abrufbar.

A3 Anlage 3: Technische und Organisatorische Maßnahmen (TOMs)

Pseudonymisierung und Verschlüsselung

Verschlüsselung aller gespeicherten Daten (AES-256 at rest)
TLS 1.2+ für alle Datenübertragungen
Pseudonymisierung von Audiodaten vor KI-Verarbeitung
Passwort-Hashing mit bcrypt (Cost Factor 12)

Vertraulichkeit

Strikte Zugriffskontrolle (RBAC) auf Applikations- und Datenbankebene
Alle Mitarbeiter mit Datenzugang unterzeichnen Vertraulichkeitsvereinbarungen
Schulungen zu Datenschutz und Informationssicherheit (jährlich)
VPN-Pflicht für Remote-Zugriff auf Produktionssysteme

Integrität

Vollständige Audit-Logs aller Datenzugriffe und -änderungen
Integritätsprüfung von Backups (Checksummen)
Vier-Augen-Prinzip für kritische Systemoperationen

Verfügbarkeit und Belastbarkeit

SLA: 99,5% Verfügbarkeit (gemessen monatlich)
Tägliche automatisierte Backups mit 30-Tage-Aufbewahrung
Multi-Region-Deployment (AWS eu-central-1, eu-west-1)
DDoS-Schutz durch AWS Shield
24/7 Monitoring und automatisches Alerting

Wiederherstellbarkeit

Recovery Time Objective (RTO): max. 4 Stunden
Recovery Point Objective (RPO): max. 24 Stunden
Jährliche Disaster-Recovery-Tests

Überprüfungsverfahren

Jährliche externe Sicherheitsaudits (Penetrationstests)
Vulnerability-Scanning (wöchentlich automatisiert)
Incident-Response-Plan und Datenpannen-Managementprozess dokumentiert
ISO 27001-Zertifizierung der Rechenzentren (AWS)

Vertragsannahme

Dieser AVV wird durch die Akzeptanz der AGB bei der Registrierung oder Nutzung der PROVA-Plattform verbindlich angenommen. Eine gesonderte Unterschrift ist gemäß Art. 28 Abs. 9 DSGVO nicht erforderlich, sofern die Annahme in einem schriftlichen Format (elektronisch) erfolgt.

Auftragnehmer (Datenverarbeiter)

PROVA-Systems GmbH
Musterstraße 1 · 10115 Berlin
Handelsregister: HRB 12345 B (Amtsgericht Berlin-Charlottenburg)
USt-ID: DE123456789
datenschutz@prova-systems.de

Unterschrift Auftragsverarbeiter