Auftragsverarbeitungsvertrag

Geschlossen nach Art. 28 Abs. 3 DSGVO. Er ist wesentlicher Bestandteil der Allgemeinen Geschäftsbedingungen und gilt automatisch für jeden WorkAist-Cloud-Kunden.

Gültig ab: 2026-07-10

Dieses Dokument wird in mehreren Sprachen veröffentlicht. Bei Abweichungen ist die englische Fassung verbindlich.

1. Parteien und Rollen

Dieser Auftragsverarbeitungsvertrag („AVV“) wird zwischen dem im WorkAist-Konto benannten Kunden (der „Verantwortliche“) und ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (der „Auftragsverarbeiter“) geschlossen.

In Bezug auf in WorkAist Cloud verarbeitete Kundendaten bestimmt der Verantwortliche die Zwecke und Mittel der Verarbeitung, und der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen. Ist der Verantwortliche selbst Auftragsverarbeiter für einen Dritten, sichert der Verantwortliche zu, zum Abschluss dieses AVV befugt zu sein und dass die von ihm erteilten Weisungen den Weisungen dieses Dritten entsprechen.

Dieser AVV gilt nicht für WorkAist Self-Hosted, bei dem Kundendaten die Systeme des Auftragsverarbeiters nicht erreichen, noch für Daten, für die der Auftragsverarbeiter selbst Verantwortlicher ist; diese richten sich nach der Datenschutzerklärung.

2. Rangfolge

Widerspricht dieser AVV den Allgemeinen Geschäftsbedingungen, geht dieser AVV in Datenschutzfragen vor. Widerspricht er einem individuell verhandelten Auftragsformular oder einem unterzeichneten Auftragsverarbeitungsvertrag, geht dieses Dokument vor.

3. Gegenstand, Dauer, Art und Zweck

Gegenstand ist die Bereitstellung von WorkAist Cloud. Art und Zweck der Verarbeitung sind das Hosting, die Speicherung, Übermittlung und automatisierte Verarbeitung von Kundendaten, damit die vom Verantwortlichen konfigurierten Agenten, Connectors und Prozesse laufen können, zusammen mit den zur Erbringung des Dienstes erforderlichen Support-, Sicherheits-, Mess- und Abrechnungstätigkeiten.

Die Verarbeitung dauert so lange an, wie der Vertrag des Verantwortlichen für WorkAist Cloud in Kraft ist, zuzüglich der Löschfristen in Ziffer 11.

4. Kategorien betroffener Personen und personenbezogener Daten

Der Verantwortliche entscheidet, was er hochlädt. Typischerweise betrifft die Verarbeitung:

Kategorien betroffener PersonenKategorien personenbezogener Daten
Mitarbeitende und berechtigte Nutzer des VerantwortlichenName, geschäftliche E-Mail-Adresse, Rolle, Authentifizierungsdaten, Audit-Protokolleinträge
Kunden, Leads und Kontakte des VerantwortlichenName, E-Mail, Telefonnummer, Unternehmen, Korrespondenz, CRM-Datensätze, jede vom Verantwortlichen zur Synchronisierung ausgewählte Kennung
Lieferanten und Partner des VerantwortlichenKontaktdaten, Vertrags- und Rechnungsdaten
Jede in vom Verantwortlichen verarbeiteten Dokumenten oder Nachrichten auftretende betroffene PersonAlle personenbezogenen Daten in Dateien, E-Mails, Transkripten, Bildern oder Nachrichten, die der Verantwortliche in den Dienst einreicht

Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sowie personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO dürfen im Dienst nicht verarbeitet werden, sofern die Parteien nicht vorab zusätzliche Schutzmaßnahmen schriftlich vereinbart haben.

Herkunft der Daten

Kundendaten gelangen in den Dienst, weil der Verantwortliche externe Systeme verbindet, Dateien hochlädt oder seine Agenten anweist, sie abzurufen. Allein der Verantwortliche wählt diese Quellen aus und bestimmt, was importiert wird.

Der Verantwortliche sichert zu, über eine Rechtsgrundlage nach Art. 6 DSGVO — und, soweit anwendbar, Art. 9 — zur Erhebung dieser personenbezogenen Daten und zu deren Übermittlung an den Auftragsverarbeiter zu verfügen und dass jeder im Quellsystem erforderliche Informationshinweis oder jede erforderliche Einwilligung vorliegt. Der Auftragsverarbeiter hat keinen Zugriff auf die Quellsysteme des Verantwortlichen, wählt sie nicht aus und prüft nicht und kann nicht prüfen, ob sie datenschutzrechtlich konform sind. Dies festzustellen obliegt dem Verantwortlichen in seiner Eigenschaft als Verantwortlicher.

5. Verarbeitung auf dokumentierte Weisung

Der Auftragsverarbeiter verarbeitet Kundendaten nur auf dokumentierte Weisung des Verantwortlichen, auch hinsichtlich Übermittlungen in Drittländer, sofern er nicht durch Unionsrecht oder das Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zu einer anderen Verarbeitung verpflichtet ist. In diesem Fall setzt der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung in Kenntnis, sofern das betreffende Recht diese Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Die Allgemeinen Geschäftsbedingungen, dieser AVV sowie die Konfiguration und Nutzung des Dienstes durch den Verantwortlichen bilden dessen vollständige dokumentierte Weisungen. Jede zusätzliche Weisung bedarf der Schriftform und kann, sofern sie einen über die Standardfunktionalität des Dienstes hinausgehenden Aufwand erfordert, einer vorab vereinbarten angemessenen Vergütung unterliegen.

Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder sonstige Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

6. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung von Kundendaten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und dass der Zugriff auf diejenigen beschränkt ist, die ihn zur Vertragserfüllung benötigen.

7. Sicherheit der Verarbeitung

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Auftragsverarbeiter die folgenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.

Anhang II — Technische und organisatorische Maßnahmen

MaßnahmeUmsetzung
Verschlüsselung bei der ÜbertragungSämtlicher Datenverkehr zu und von dem Dienst wird über TLS mit automatisch erneuerten Zertifikaten geleitet. Interner Dienst-zu-Dienst-Verkehr verlässt das Host-Netzwerk nicht.
Verschlüsselung von GeheimnissenKundenzugangsdaten und Connector-Geheimnisse werden im Ruhezustand mit AES-256-GCM unter einem außerhalb der Anwendungsdatenbank gehaltenen Schlüssel verschlüsselt.
PseudonymisierungTelemetrie- und Messdatensätze referenzieren Mandanten und Agenten, wo die Kennung ausreicht, anhand einer Kennung statt eines Namens oder einer E-Mail-Adresse.
Vertraulichkeit — ZugriffskontrolleRollenbasierte Zugriffskontrolle je Arbeitsbereich. Jeder Agent ist auf sein eigenes Speicher-Präfix und sein eigenes Datenbankschema beschränkt; mandantenübergreifender Zugriff wird bereits auf Datenebene verweigert, nicht nur in der Benutzeroberfläche.
Vertraulichkeit — PersonalAdministrativer Zugriff nach dem Prinzip geringster Rechte, individuell gewährt und bei Rollenwechsel überprüft. Alle administrativen Handlungen werden in ein Nur-Anhängen-Audit-Protokoll geschrieben.
IntegritätDurchgängige Eingabevalidierung und parametrisierte Abfragen. Jede Änderung über die Operations-API zeichnet eine Audit-Protokollzeile auf, die den Handelnden identifiziert.
Verfügbarkeit und BelastbarkeitVerwaltetes Hosting in einem Rechenzentrum der Tier-III-Klasse in Deutschland. Automatisierte tägliche Backups der Datenbank, verschlüsselt und getrennt von der Produktivumgebung aufbewahrt.
WiederherstellungDokumentiertes Wiederherstellungsverfahren aus dem jüngsten Backup; die Wiederherstellung wird im Rahmen von Infrastrukturänderungen erprobt.
Testung und BewertungSchwachstellenscans von Abhängigkeiten in der kontinuierlichen Integration, Code-Review vor dem Merge sowie periodische Überprüfung dieser Maßnahmen mindestens jährlich und bei wesentlichen Änderungen des Dienstes.
Datenminimierung durch TechnikgestaltungConnectors synchronisieren nur die vom Verantwortlichen aktivierten Felder. Der Verantwortliche kann jede synchronisierte Tabelle jederzeit löschen.

Der Auftragsverarbeiter kann diese Maßnahmen im Zuge der technischen Entwicklung aktualisieren, sofern das Schutzniveau nicht verringert wird. Maßgeblich ist stets die auf dieser Seite veröffentlichte aktuelle Fassung.

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Einbindung von Unterauftragsverarbeitern. Der Auftragsverarbeiter legt jedem Unterauftragsverarbeiter vertraglich Datenschutzpflichten auf, die nicht weniger schützend sind als die in diesem AVV, und bleibt gegenüber dem Verantwortlichen für die Leistung des Unterauftragsverarbeiters in vollem Umfang haftbar.

Anhang III — Genehmigte Unterauftragsverarbeiter

Die folgenden Unterauftragsverarbeiter werden für jeden WorkAist-Cloud-Kunden eingesetzt, da sie Teil der Infrastruktur sind, auf der der Dienst läuft.

UnterauftragsverarbeiterZweckOrtÜbermittlungsgarantie
Hetzner Online GmbHHosting der Anwendungsserver, der Datenbank und der BackupsDeutschland (EU)Nicht anwendbar
Cloudflare, Inc.DNS, Reverse-Proxy, TLS-Terminierung, DDoS-SchutzGlobales Edge-Netzwerk, einschließlich der EUSCCs; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Zahlungs- und AbonnementabwicklungIrland (EU)SCCs für konzerninterne Weiterübermittlungen; EU-US Data Privacy Framework
Resend, Inc.Zustellung von Transaktions-E-MailsVereinigte StaatenSCCs

Modellanbieter

Anbieter großer Sprachmodelle werden anders behandelt, da der Verantwortliche sie selbst auswählt.

  • Stellt der Verantwortliche eigene Anbieter-Zugangsdaten bereit, wird dieser Anbieter vom Verantwortlichen, nach dessen Weisungen und im Rahmen dessen eigener Vereinbarung mit ihm eingesetzt. Er ist kein Unterauftragsverarbeiter des Auftragsverarbeiters. Der Auftragsverarbeiter übermittelt die Anfrage lediglich unter Verwendung der bereitgestellten Zugangsdaten und übernimmt keine Gewähr für die Sicherheit, den Verarbeitungsort, die Trainingspraktiken oder die Compliance dieses Anbieters.
  • Nutzt der Verantwortliche die verwaltete Token-Abrechnung des Auftragsverarbeiters, wählt der Auftragsverarbeiter den Anbieter aus, und dieser ist Unterauftragsverarbeiter des Auftragsverarbeiters. Der derzeit in dieser Funktion eingesetzte Anbieter ist Anthropic PBC (Vereinigte Staaten) für Large-Language-Model-Inferenz, im Rahmen von Standardvertragsklauseln und vertraglich daran gehindert, mit den ihm übermittelten Daten zu trainieren.

Der Verantwortliche kann jederzeit innerhalb des Dienstes einsehen, welchen Modellanbieter jeder seiner Agenten nutzt, und ihn ändern.

Änderungen der Unterauftragsverarbeiter

Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 30 Tage im Voraus per E-Mail, bevor ein Unterauftragsverarbeiter hinzugefügt oder ersetzt wird. Der Verantwortliche kann innerhalb dieser 30 Tage aus vertretbaren datenschutzrechtlichen Gründen widersprechen. Können die Parteien den Widerspruch nicht ausräumen, kann der Verantwortliche den betroffenen Teil des Dienstes ohne Vertragsstrafe kündigen und erhält eine anteilige Rückerstattung vorausbezahlter Gebühren.

9. Unterstützung bei den Rechten betroffener Personen

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung von dessen Pflicht, auf Anträge zur Ausübung der Rechte der betroffenen Person nach Kapitel III DSGVO zu reagieren.

Der Dienst gewährt dem Verantwortlichen direkten Zugriff auf Kundendaten, sodass er personenbezogene Daten selbst lokalisieren, exportieren, berichtigen und löschen kann. Erfordert ein Antrag dennoch die Mitwirkung des Auftragsverarbeiters, antwortet dieser unverzüglich, spätestens jedoch innerhalb von 10 Werktagen. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter bezüglich Kundendaten, antwortet der Auftragsverarbeiter nicht inhaltlich; er leitet den Antrag unverzüglich an den Verantwortlichen weiter.

10. Unterstützung bei Art. 32 bis 36

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Sicherstellung der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen — insbesondere bei der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten, der Benachrichtigung betroffener Personen, Datenschutz-Folgenabschätzungen und vorheriger Konsultation.

Verletzung des Schutzes personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem er von einer Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, Kenntnis erlangt hat. Die Benachrichtigung beschreibt die Art der Verletzung, die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen, die getroffenen oder vorgeschlagenen Maßnahmen sowie eine Kontaktstelle. Liegen nicht alle Informationen gleichzeitig vor, werden sie ohne weitere unangemessene Verzögerung stufenweise bereitgestellt. Der Auftragsverarbeiter benachrichtigt keine Aufsichtsbehörde und keine betroffenen Personen im Namen des Verantwortlichen, sofern er nicht dazu angewiesen wird.

11. Löschung und Rückgabe von Kundendaten

Nach Wahl des Verantwortlichen löscht oder gibt der Auftragsverarbeiter sämtliche Kundendaten nach Beendigung der mit der Verarbeitung verbundenen Dienstleistungen zurück und löscht vorhandene Kopien, sofern nicht Unionsrecht oder das Recht der Mitgliedstaaten die Speicherung der personenbezogenen Daten vorschreibt.

  • Für 30 Tage nach Vertragsende kann der Verantwortliche Kundendaten aus dem Dienst exportieren oder deren Rückgabe in einem strukturierten, gängigen, maschinenlesbaren Format verlangen.
  • Der Auftragsverarbeiter löscht Kundendaten innerhalb von 30 Tagen nach Ablauf dieses Exportfensters aus Live-Systemen.
  • Verschlüsselte Backups mit Kundendaten werden im Rahmen ihrer üblichen Rotation und in jedem Fall innerhalb von 90 Tagen nach der Löschung aus Live-Systemen überschrieben.
  • Auf schriftliche Anfrage bestätigt der Auftragsverarbeiter die Löschung schriftlich.

12. Audits und Information

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung von Art. 28 DSGVO zur Verfügung und ermöglicht Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten anderen Prüfer durchgeführt werden, und wirkt daran mit.

In der Praxis stellt der Auftragsverarbeiter zunächst seine aktuelle Dokumentation der technischen und organisatorischen Maßnahmen, seine Liste der Unterauftragsverarbeiter sowie schriftliche Antworten auf einen Sicherheitsfragebogen zur Verfügung. Reicht dies zum Nachweis der Einhaltung nicht aus, kann der Verantwortliche mit 30 Tagen schriftlicher Vorankündigung ein Vor-Ort- oder Remote-Audit durchführen, höchstens einmal pro Kalenderjahr, sofern nicht eine Verletzung des Schutzes personenbezogener Daten eingetreten ist oder eine Aufsichtsbehörde dies verlangt. Audits finden während der Geschäftszeiten statt, dürfen den Betrieb des Auftragsverarbeiters nicht unangemessen stören und unterliegen der Vertraulichkeit. Der Verantwortliche trägt seine eigenen Auditkosten; der Auftragsverarbeiter trägt seine eigenen, es sei denn, das Audit deckt einen wesentlichen Verstoß gegen diesen AVV auf.

13. Internationale Übermittlungen

Der Auftragsverarbeiter speichert Kundendaten im Ruhezustand in Deutschland. Übermittlungen an in Anhang III aufgeführte Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums erfolgen im Rahmen der Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914), Modul Drei, sofern der Auftragsverarbeiter als Auftragsverarbeiter einen Unterauftragsverarbeiter einbindet, ergänzt, soweit erforderlich, durch zusätzliche Garantien, und — sofern der Empfänger zertifiziert ist — im Rahmen des Angemessenheitsbeschlusses für das EU-US Data Privacy Framework.

Mit Abschluss dieses AVV beauftragt der Verantwortliche den Auftragsverarbeiter, diese Standardvertragsklauseln im Namen und im Auftrag des Verantwortlichen mit jedem Unterauftragsverarbeiter zu schließen.

14. Haftung

Die Haftung unter diesem AVV richtet sich nach der Haftungsbeschränkung in den Allgemeinen Geschäftsbedingungen, mit der Maßgabe, dass nichts die Haftung einer Partei gegenüber einer betroffenen Person nach Art. 82 DSGVO oder gegenüber einer Aufsichtsbehörde beschränkt.

15. Laufzeit, anwendbares Recht und Kontakt

Dieser AVV wird wirksam, sobald der Vertrag des Verantwortlichen für WorkAist Cloud beginnt, und bleibt in Kraft, solange der Auftragsverarbeiter Kundendaten verarbeitet. Er unterliegt dem Recht Portugals, und die Gerichte von Lissabon haben ausschließliche Zuständigkeit, unbeschadet des Art. 79 DSGVO.

Kontakt für alle Angelegenheiten im Rahmen dieses AVV: [email protected].