AUFTRAGSVERARBEITUNGSVERTRAG (AVV)

(DSGVO Artikel 28)

Zuletzt aktualisiert: 1. 1. 2026

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Teil der Nutzungsbedingungen („Vertrag“) zwischen Basad, s.r.o. („Anbieter“ oder „Auftragsverarbeiter“) und dem Nutzer des Dienstes („Kunde“ oder „Verantwortlicher“).

1. Präambel & Geltungsbereich

Dieser AVV gilt, soweit der Anbieter personenbezogene Daten im Auftrag des Kunden im Rahmen der Bereitstellung des Dienstes verarbeitet. Er legt die Rechte und Pflichten der Parteien gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO) fest.

2. Definitionen

  • „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die vom Anbieter im Auftrag des Kunden verarbeitet werden.
  • „Verarbeitung“ bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Verwenden oder Löschen.
  • „Unterauftragsverarbeiter“ bezeichnet jeden Dritten, der vom Anbieter zur Unterstützung bei der Erfüllung seiner Verpflichtungen beauftragt wird.

3. Einzelheiten der Verarbeitung

3.1 Gegenstand und Dauer

Gegenstand der Verarbeitung ist die Bereitstellung des KI-Rechtsassistentendienstes. Die Dauer entspricht der Laufzeit des Vertrags.

3.2 Art und Zweck

Der Anbieter verarbeitet personenbezogene Daten zur Bereitstellung, Wartung und Sicherung des Dienstes (SaaS), einschließlich Dokumentenanalyse und Generierung von KI-Ausgaben.

3.3 Arten personenbezogener Daten

Daten, die in vom Kunden hochgeladenen Dokumenten und Texteingaben enthalten sind (z. B. Namen, Adressen, Falldetails) sowie Kontodaten.

3.4 Kategorien betroffener Personen

Mandanten, Mitarbeiter, Gegenparteien des Kunden oder andere in den Dokumenten des Kunden erwähnte Personen.

4. Pflichten des Kunden (Verantwortlicher)

Der Kunde ist für die Rechtmäßigkeit der Verarbeitung verantwortlich und garantiert, dass er über eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten und für die Anweisung des Anbieters zur Verarbeitung verfügt.

5. Pflichten des Anbieters (Auftragsverarbeiter)

  • Weisungen: Personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten (einschließlich dieses AVV und der Dienstfunktionen), es sei denn, das Recht der EU oder der Mitgliedstaaten schreibt etwas anderes vor.
  • Vertraulichkeit: Sicherstellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.
  • Sicherheit: Geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO).
  • Kein Training: Der Anbieter verpflichtet sich ausdrücklich, die personenbezogenen Daten des Kunden NICHT zu verwenden, um seine allgemeinen KI-Modelle oder Large Language Models (LLMs) zugunsten anderer Kunden zu trainieren.

6. Unterauftragsverarbeitung

Der Kunde erteilt dem Anbieter die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Aktuelle Unterauftragsverarbeiter umfassen:
  • OpenAI, L.L.C. (KI-Modelle, USA)
  • Anthropic, PBC (KI-Modelle, USA)
  • Vercel Inc. (Hosting, USA)
  • Amazon Web Services (AWS) (Cloud-Infrastruktur, EU/USA)
  • Pinecone Systems Inc. (Vektor-Datenbank, USA)

Der Anbieter schließt schriftliche Verträge mit Unterauftragsverarbeitern ab, die mindestens das gleiche Datenschutzniveau wie dieser AVV bieten. Übermittlungen in die USA sind durch das EU-U.S. Data Privacy Framework oder Standardvertragsklauseln (SCCs) geschützt.

7. Rechte betroffener Personen

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Anbieter den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf Anträge zur Wahrnehmung der Rechte betroffener Personen zu reagieren.

8. Sicherheitsvorfälle

Der Anbieter benachrichtigt den Kunden unverzüglich, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat. Die Benachrichtigung muss mindestens die in Art. 33(3) DSGVO geforderten Informationen enthalten.

9. Audit-Rechte

Der Anbieter stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung und ermöglicht Audits, einschließlich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Prüfer durchgeführt werden, und trägt dazu bei.

10. Beendigung und Löschung

Nach Beendigung des Dienstes löscht der Anbieter nach Wahl des Kunden alle personenbezogenen Daten oder gibt sie an den Kunden zurück, sofern nicht nach EU- oder mitgliedstaatlichem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.