Cookies

Wir nutzen Cookies für den technischen Betrieb und optionale Statistik nur mit Zustimmung.

SDS Engine Logo

Auftragsverarbeitungsvertrag (Muster)

Stand: 12.05.2026

Diese Seite stellt ein allgemeines Muster einer Vereinbarung zur Auftragsverarbeitung für SDS Engine dar. Die konkrete Fassung wird bei Bedarf oder im Rahmen des Vertragsschlusses mit den jeweiligen Parteien-, Kunden- und Kontaktdaten ergänzt.

Auftragsverarbeiter:
DIGI Dienst
Inhaber: Dominik Houzar
Roter-Brach-Weg 195
93049 Regensburg
Telefon: +49 157 72930769
E-Mail: dominik@digi-dienst.de

Der jeweilige Kunde wird in der finalen Fassung als Verantwortlicher mit seiner vollständigen Firmierung, Anschrift und den zugehörigen Kontaktdaten aufgenommen. Die zugehörigen technischen und organisatorischen Maßnahmen werden in einem gesonderten TOM-Anhang beschrieben.

§ 1 Gegenstand und Verhältnis zum Hauptvertrag

  1. (1)
    Diese Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung von SDS Engine.
  2. (2)
    Grundlage dieser Vereinbarung ist der zwischen den Parteien geschlossene Hauptvertrag über die Nutzung von SDS Engine. Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen die Regelungen dieser Vereinbarung vor, soweit die Verarbeitung personenbezogener Daten betroffen ist.
  3. (3)
    Diese Vereinbarung gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragsverarbeiters oder durch ihn beauftragte Unterauftragsverarbeiter personenbezogene Daten des Verantwortlichen in dessen Auftrag verarbeiten.

§ 2 Gegenstand, Art und Zweck der Verarbeitung

  1. (1)
    Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Verantwortlichen zum Zweck der Bereitstellung und des Betriebs der Plattform SDS Engine.
  2. (2)
    Die Verarbeitung kann insbesondere folgende Tätigkeiten umfassen:
    • Hosting und technischen Betrieb der webbasierten Plattform,
    • Authentifizierung, Benutzerkonten- und Organisationsverwaltung,
    • Verwaltung von Unternehmens-, Kontakt- und Rechnungsstammdaten,
    • Speicherung hochgeladener PDF-Dokumente und zugehöriger Metadaten,
    • Erstellung von Dokumentvorschauen und Bereitstellung dokumentbezogener Ansichten,
    • regelbasierte, parsergestützte sowie KI-gestützte Auslesung, Strukturierung und Aufbereitung von Dokumentinhalten,
    • Speicherung und Bereitstellung ausgelesener Struktur-, Stoff- und Dokumentdaten,
    • Versionierung, Vergleich, Zusammenführung und Zuordnung von Dokumenten und Stoffeinträgen,
    • Zuordnung von Inhalten zu Bereichen, Standorten und organisationsinternen Freigabe- oder Prüfkontexten,
    • Bereitstellung ausdrücklich freigegebener Inhalte über tokenbasierte QR-Zugriffe,
    • Protokollierung von Zugriffen, Nutzeraktionen, Systemereignissen und sicherheitsrelevanten Vorgängen,
    • Unterstützung von Abrechnung, Zahlungsabwicklung, Rechnungsstellung und tarifbezogener Steuerung,
    • Unterstützung bei Support, Fehleranalyse, Wiederherstellung und Betriebssicherheit.
  3. (3)
    Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen, soweit nicht eine gesetzliche Verpflichtung zur Verarbeitung besteht.

§ 3 Dauer der Verarbeitung

  1. (1)
    Die Verarbeitung erfolgt für die Dauer des Hauptvertrags über die Nutzung von SDS Engine.
  2. (2)
    Nach Beendigung des Hauptvertrags gelten die in dieser Vereinbarung und im Hauptvertrag geregelten Pflichten zur Löschung, Rückgabe oder Aufbewahrung fort.

§ 4 Kategorien betroffener Personen und Daten

  1. (1)
    Von der Verarbeitung können insbesondere folgende Kategorien betroffener Personen erfasst sein:
    • Nutzerkonten und Beschäftigte des Verantwortlichen,
    • sonstige Personen, deren Angaben in hochgeladenen Dokumenten oder zugehörigen Daten enthalten sein können,
    • Kontakt- und Ansprechpartner des Verantwortlichen.
  2. (2)
    Von der Verarbeitung können insbesondere folgende Kategorien personenbezogener Daten erfasst sein:
    • Name,
    • E-Mail-Adresse,
    • Rollen- und Organisationszuordnung,
    • Firmenname, Ansprechpartner und Rechnungsanschrift,
    • Vertrags-, Abrechnungs- und Zahlungsbezug,
    • Login-, Nutzungs- und Zugriffsdaten,
    • IP-Adresse, User-Agent und technische Metadaten,
    • Inhalte hochgeladener Dokumente, soweit diese personenbezogene Daten enthalten,
    • Kommunikations- und Supportdaten.

§ 5 Rechte und Pflichten des Verantwortlichen

  1. (1)
    Der Verantwortliche ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Datenschutzvorschriften, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und für die Wahrung der Rechte betroffener Personen, verantwortlich.
  2. (2)
    Der Verantwortliche erteilt dem Auftragsverarbeiter die erforderlichen Weisungen zur Verarbeitung der Daten. Weisungen sollen grundsätzlich in Textform erfolgen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
  3. (3)
    Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Verarbeitungsergebnisse oder im Zusammenhang mit datenschutzrechtlichen Anforderungen feststellt.

§ 6 Pflichten des Auftragsverarbeiters

  1. (1)
    Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen, sofern nicht eine gesetzliche Verpflichtung zu einer weitergehenden Verarbeitung besteht. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese Verpflichtung vor der Verarbeitung mit, soweit das Gesetz eine solche Mitteilung nicht verbietet.
  2. (2)
    Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. (3)
    Der Auftragsverarbeiter trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
  4. (4)
    Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung von Anfragen und Ansprüchen betroffener Personen sowie bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, soweit dies angesichts der Art der Verarbeitung möglich und zumutbar ist.
  5. (5)
    Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.
  6. (6)
    Soweit der Auftragsverarbeiter externe KI-Dienste zur Unterstützung der Dokumentauslesung oder Datenstrukturierung einsetzt, erfolgt dies ausschließlich zur Erbringung der vertraglich geschuldeten Leistungen. Eine Nutzung personenbezogener Daten des Verantwortlichen zum Training oder zur allgemeinen Verbesserung eigener Modelle des Auftragsverarbeiters erfolgt nicht.
  7. (7)
    Soweit für die Leistungserbringung die OpenAI API eingesetzt wird, erfolgt die Übermittlung auf Basis eines Business-/API-Angebots. Nach den aktuellen Angaben von OpenAI werden Inhalte der API standardmäßig nicht zum Training oder zur Verbesserung von Modellen verwendet, sofern kein ausdrückliches Opt-in zur Datenteilung erfolgt. Eine Nutzung von ChatGPT-Consumer-Angeboten für vertragsgegenständliche Kundendaten ist hiervon nicht umfasst.

§ 7 Technische und organisatorische Maßnahmen

  1. (1)
    Der Auftragsverarbeiter unterhält angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.
  2. (2)
    Diese Maßnahmen betreffen insbesondere:
    • Zugriffskontrolle,
    • Berechtigungskonzepte,
    • Verschlüsselung der Datenübertragung,
    • Mandantentrennung,
    • Protokollierung sicherheitsrelevanter Vorgänge,
    • Backup- und Wiederherstellungsprozesse,
    • Patch- und Update-Prozesse,
    • Maßnahmen zur Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit.
  3. (3)
    Die konkreten technischen und organisatorischen Maßnahmen können in einem gesonderten Anhang beschrieben und bei Bedarf fortentwickelt werden, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

§ 8 Unterauftragsverarbeiter

  1. (1)
    Der Verantwortliche stimmt dem Einsatz der in dieser Vereinbarung oder in einer zugehörigen Unterauftragsverarbeiterliste benannten Unterauftragsverarbeiter zu.
  2. (2)
    Zum Zeitpunkt dieses Musterentwurfs können insbesondere folgende Unterauftragsverarbeiter oder Infrastrukturdienste eingesetzt werden:
    • Supabase für Datenbank, Authentifizierung und Dateispeicherung; betroffen sein können insbesondere Benutzer-, Organisations-, Dokument-, Ergebnis- und Metadaten; produktiv wird derzeit das Projekt unter der Instanz ysmjkiejxshiajdrtioc.supabase.co betrieben, wobei sich der konkrete Datenstandort nach der im Projekt gewählten Region richtet,
    • Vercel für Hosting und serverseitige Ausführung der Webanwendung; betroffen sein können insbesondere Anfrage-, Sitzungs- und technische Metadaten sowie in serverseitigen Verarbeitungsroutinen verarbeitete Kundendaten; die konkrete Verarbeitungsregion richtet sich nach der eingesetzten Vercel-Konfiguration und den vom Anbieter genutzten Laufzeitdiensten,
    • Fly.io für den Betrieb des Hintergrund-Workers zur Dokumentverarbeitung; betroffen sein können insbesondere hochgeladene Dokumente, daraus extrahierte Inhalte sowie technische Job- und Protokolldaten; die konkrete Verarbeitungsregion richtet sich nach der Konfiguration der eingesetzten Fly.io-Maschinen,
    • Stripe für Zahlungsabwicklung, Rechnungs- und Abrechnungsbezug; betroffen sein können insbesondere Firmenname, Ansprechpartner, Rechnungsanschrift, tarifbezogene Vertragsdaten und Zahlungsreferenzen,
    • Resend für transaktionale E-Mails; betroffen sein können insbesondere E-Mail-Adressen, Namen, organisationsbezogene Informationen sowie in den jeweiligen E-Mails enthaltene Kommunikationsdaten,
    • OpenAI API für KI-gestützte Auslesung einzelner Dokumentabschnitte oder Textausschnitte; betroffen sein können nur diejenigen Dokumentinhalte und Metadaten, die für die konkrete Extraktion erforderlich sind,
    • weitere technische Hosting-, Infrastruktur- oder Kommunikationsdienstleister, soweit dies für den Betrieb von SDS Engine erforderlich ist.
  3. (3)
    Der Auftragsverarbeiter stellt sicher, dass mit Unterauftragsverarbeitern vertragliche Regelungen vereinbart werden, die im Wesentlichen ein gleichwertiges Datenschutzniveau wie diese Vereinbarung gewährleisten.
  4. (4)
    Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf den Einsatz neuer oder den Austausch bestehender Unterauftragsverarbeiter in angemessener Form. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
  5. (5)
    Soweit Unterauftragsverarbeiter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten oder ein Zugriff aus Drittländern nicht ausgeschlossen werden kann, stellt der Auftragsverarbeiter sicher, dass hierfür ein nach der DSGVO zulässiger Übermittlungsmechanismus besteht, insbesondere ein Angemessenheitsbeschluss, Standardvertragsklauseln oder ein sonstiger geeigneter Garantierahmen.
  6. (6)
    Der Auftragsverarbeiter dokumentiert die jeweils eingesetzten Unterauftragsverarbeiter und hält die zugehörigen Datenschutz- und Vertragsinformationen in geeigneter Form vor.

§ 9 Meldung von Datenschutzvorfällen

  1. (1)
    Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden, die Daten des Verantwortlichen betreffen.
  2. (2)
    Die Mitteilung erfolgt mit den dem Auftragsverarbeiter zu diesem Zeitpunkt verfügbaren Informationen, insbesondere soweit möglich zu:
    • Art des Vorfalls,
    • betroffenen Datenkategorien,
    • betroffenen Personenkategorien,
    • bekannten oder wahrscheinlichen Folgen,
    • bereits ergriffenen oder vorgeschlagenen Gegenmaßnahmen.

§ 10 Kontrollrechte des Verantwortlichen

  1. (1)
    Der Verantwortliche ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Datenschutzpflichten durch den Auftragsverarbeiter in angemessenem Umfang zu kontrollieren oder durch einen zur Verschwiegenheit verpflichteten Dritten kontrollieren zu lassen.
  2. (2)
    Der Auftragsverarbeiter unterstützt solche Kontrollen in zumutbarem Umfang. Kontrollen sind mit angemessener Frist vorher anzukündigen und so durchzuführen, dass Betriebsabläufe und Sicherheitsinteressen des Auftragsverarbeiters nicht unangemessen beeinträchtigt werden.
  3. (3)
    Der Auftragsverarbeiter kann die Erfüllung seiner Pflichten auch durch geeignete Nachweise, Dokumentationen, Zertifikate, Berichte oder sonstige aussagekräftige Unterlagen belegen.

§ 11 Löschung und Rückgabe personenbezogener Daten

  1. (1)
    Nach Beendigung des Hauptvertrags oder nach entsprechender Weisung des Verantwortlichen sperrt der Auftragsverarbeiter den produktiven Zugriff auf die verarbeiteten personenbezogenen Daten und löscht oder anonymisiert diese nach Maßgabe des Hauptvertrags und der Weisungen des Verantwortlichen, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe für eine weitere Speicherung entgegenstehen.
  2. (2)
    Soweit eine Rückgabe von Daten vereinbart oder technisch vorgesehen ist, erfolgt diese in einem üblichen und zumutbaren Format.
  3. (3)
    Eine erfolgte Löschung ist grundsätzlich nicht reversibel. Der Auftragsverarbeiter schuldet keine Wiederherstellung bereits gelöschter Datenbestände, soweit eine Wiederherstellung nicht ausdrücklich gesondert vereinbart wurde.
  4. (4)
    Von der Löschung oder Anonymisierung erfasst sind grundsätzlich produktive Datenbankeinträge, hochgeladene Dateien, organisationsbezogene Zuordnungen, Benutzerzuordnungen und unmittelbar produktiv genutzte Verarbeitungsergebnisse, soweit keine abweichende gesetzliche oder vertragliche Pflicht besteht.
  5. (5)
    Dokumentationen, Protokolle oder Nachweise, die der Erfüllung gesetzlicher Pflichten, der IT-Sicherheit, der Nachvollziehbarkeit technischer Vorgänge oder der Verteidigung gegen Rechtsansprüche dienen, dürfen vom Auftragsverarbeiter im gesetzlich zulässigen Umfang weiter gespeichert werden, soweit diese Daten nicht mehr für produktive Kundenprozesse verwendet werden.
  6. (6)
    Datensicherungen und Backup-Bestände können aus technischen Gründen zeitversetzt überschrieben oder gelöscht werden. Sie werden bis zu ihrer Löschung nicht produktiv genutzt und nur insoweit wiederhergestellt, wie dies zur Aufrechterhaltung oder Wiederherstellung des technischen Betriebs erforderlich ist.

§ 12 Schlussbestimmungen

  1. (1)
    Im Übrigen gelten die Regelungen des Hauptvertrags, soweit diese Vereinbarung keine spezielleren datenschutzrechtlichen Regelungen enthält.
  2. (2)
    Änderungen und Ergänzungen dieser Vereinbarung bedürfen mindestens der Textform, soweit nicht strengere gesetzliche Anforderungen gelten.
  3. (3)
    Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen oder undurchführbaren Bestimmung gelten die gesetzlichen Vorschriften.