AUFTRAGSVERARBEITUNGSVERTRAG (AVV)

Art. 28 DSGVO

Zuletzt aktualisiert: 5. 5. 2026

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil des Vertrags zwischen Basad, s.r.o. („Auftragsverarbeiter“) und dem Kunden („Verantwortlicher“), soweit Basad personenbezogene Daten im Auftrag des Kunden verarbeitet.

1. Gegenstand und Dauer

Gegenstand der Verarbeitung ist die Bereitstellung des LawyerAI-Dienstes als KI-gestützte SaaS-Plattform für juristische Fachnutzer. Die Dauer der Verarbeitung entspricht der Laufzeit des Kundenkontos oder der jeweiligen vertraglichen Vereinbarung, zuzüglich erforderlicher Lösch-, Export- oder Aufbewahrungsfristen.

2. Art und Zweck der Verarbeitung

  • Bereitstellung von Konten, Workspaces und Berechtigungen
  • Speicherung, Abruf und Verarbeitung hochgeladener Dokumente
  • Extraktion, Analyse, Zusammenfassung und Generierung von KI-Ausgaben
  • Rechtsrecherche und Quellenaufbereitung, soweit vom Nutzer ausgelöst
  • Support, Sicherheit, Missbrauchsprävention, Fehleranalyse und Protokollierung

3. Kategorien personenbezogener Daten und betroffener Personen

3.1 Datenarten

  • Konto- und Kontaktdaten von Nutzern
  • Inhalte aus Prompts, Chats, Dokumenten und hochgeladenen Dateien
  • Mandats-, Geschäfts-, Vertrags-, Prozess- und Kommunikationsdaten, soweit vom Kunden eingegeben
  • technische Nutzungs-, Sicherheits- und Logdaten

3.2 Betroffene Personen

  • Nutzer und Mitarbeiter des Kunden
  • Mandanten, Gegenparteien, Zeugen, Beschäftigte und sonstige in Dokumenten erwähnte Personen
  • Geschäftspartner, Lieferanten und Vertreter des Kunden

4. Weisungen des Kunden

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, einschließlich dieses AVV, der Nutzungsbedingungen, der vom Kunden gewählten Einstellungen und der durch den Kunden ausgelösten Dienstfunktionen, sofern keine gesetzliche Pflicht zu einer anderen Verarbeitung besteht.

5. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur gemäß dokumentierter Weisung
  • Verpflichtung befugter Personen auf Vertraulichkeit
  • Umsetzung angemessener technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO
  • Unterstützung des Kunden bei Betroffenenrechten, Datenschutz-Folgenabschätzungen und Sicherheitsvorfällen, soweit gesetzlich erforderlich und technisch möglich
  • keine Nutzung von Benutzerinhalten zum Training allgemeiner KI-Modelle oder LLMs für andere Kunden
  • Löschung oder Rückgabe personenbezogener Daten nach Vertragsende nach Wahl des Kunden, soweit keine gesetzliche Aufbewahrungspflicht besteht

6. Technische und organisatorische Maßnahmen

  • Transportverschlüsselung für Datenübertragungen
  • rollenbasierte Zugriffs- und Berechtigungskontrollen
  • Mandanten-/Workspace-Trennung auf Anwendungsebene
  • Passwort- und Sitzungs-Sicherheitsmaßnahmen
  • Rate Limits, Upload-Validierung und Missbrauchsschutz
  • Protokollierung sicherheitsrelevanter Ereignisse
  • Verschlüsselung gespeicherter Dokumente, soweit in der jeweiligen Umgebung aktiviert und mit Schlüsselmaterial konfiguriert
  • regelmäßige technische Überprüfung und Weiterentwicklung der Sicherheitsmaßnahmen

Die Maßnahmen werden unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umständen und Zwecken der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken angepasst.

7. Unterauftragsverarbeiter

Der Kunde erteilt eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern, die für Betrieb, KI-Funktionen, Speicherung, Zahlung, E-Mail, Monitoring und Sicherheit erforderlich sind. Der Auftragsverarbeiter schließt mit Unterauftragsverarbeitern Vereinbarungen, die ein angemessenes Datenschutzniveau sicherstellen.
  • OpenAI, L.L.C. – KI-Modellverarbeitung, soweit entsprechende Funktionen genutzt werden
  • Anthropic, PBC – KI-Modellverarbeitung, soweit entsprechende Funktionen genutzt werden
  • Cloud-/Hosting-/Datenbank-/Objektspeicher-Anbieter für Infrastruktur und Speicherung
  • Stripe – Zahlungsabwicklung, Rechnungs- und Steuerfunktionen
  • E-Mail-, Monitoring-, Support- und Sicherheitsdienstleister

Eine aktuelle, produktspezifische Liste der eingesetzten Unterauftragsverarbeiter ist auf Anfrage verfügbar oder wird gesondert bereitgestellt.

8. Drittlandübermittlungen

Soweit Unterauftragsverarbeiter Daten außerhalb des EWR verarbeiten, erfolgen Übermittlungen auf Grundlage geeigneter Schutzmaßnahmen, insbesondere Angemessenheitsbeschlüssen, EU-U.S. Data Privacy Framework, Standardvertragsklauseln und ergänzenden Maßnahmen, soweit erforderlich.

9. Sicherheitsvorfälle

Der Auftragsverarbeiter informiert den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, und stellt die gesetzlich erforderlichen Informationen nach Art. 33 DSGVO bereit, soweit diese verfügbar sind.

10. Nachweise und Audits

Der Auftragsverarbeiter stellt dem Kunden angemessene Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung. Audits oder Inspektionen erfolgen nach vorheriger Abstimmung, während üblicher Geschäftszeiten, ohne Beeinträchtigung der Sicherheit anderer Kunden und unter Wahrung von Betriebs- und Geschäftsgeheimnissen.

11. Rückgabe und Löschung

Nach Vertragsende löscht der Auftragsverarbeiter personenbezogene Daten oder gibt sie zurück, soweit der Kunde dies verlangt und keine gesetzliche Aufbewahrungspflicht besteht. Technische Backups werden nach den regulären Backup-Zyklen gelöscht oder überschrieben.