AVV

Letzte Änderung 01.05.2025

‍

Auftragsverarbeitungsvertrag

‍

zwischen

Kunden
– nachfolgend „Verantwortlicher“ genannt –

und

AI Club GmbH
Planckstraße 9a
22765 Hamburg
Germany

‍

– nachfolgend „Auftragsverarbeiter“ genannt –

(Verantwortlicher und Auftragsverarbeiter nachfolgend gemeinsam „Parteien“ genannt)

‍

Präambel

Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Auftragsverhältnis i.S.d. Art. 28 DSGVO. Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen. 

Er konkretisiert die datenschutzrechtlichen Verpflichtungen, die sich aus dem zwischen den Parteien bestehenden Hauptvertrag über die Corporate-Mitgliedschaft im AI Legal Club (nachfolgend „Hauptvertrag“) ergeben. 

Dieser AVV geht im Falle von Widersprüchen den Regelungen des Hauptvertrags in Bezug auf die Datenverarbeitung vor.

‍

§ 1 Gegenstand und Dauer der Verarbeitung

1. Gegenstand der Verarbeitung personenbezogener Daten ist die Durchführung der im Hauptvertrag vereinbarten Leistungen, insbesondere die Bereitstellung der Lernplattform zur Weiterbildung der Mitarbeitenden der Verantwortlichen im Bereich Künstliche Intelligenz.
   
   
2. Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags. Die Verarbeitung beginnt mit der Laufzeit des Hauptvertrags und endet mit Beendigung des Hauptvertrags, sofern sich aus diesem AVV keine darüber hinausgehenden Pflichten (z. B. zur Löschung oder Rückgabe) ergeben.

‍

§ 2 Art und Zweck der Verarbeitung

1. Die Verarbeitung umfasst insbesondere folgende Tätigkeiten durch den Auftragsverarbeiter:

• Erhebung, Erfassung und Speicherung von Teilnehmerdaten (Mitarbeitende des Verantwortlichen) zur Einladung auf die Plattform.
• Organisation und Durchführung der Weiterbildungsmaßnahmen
• Speicherung von Daten zum Nachweis der Teilnahme und des Lernfortschritts.

‍

2. Zweck der Verarbeitung ist ausschließlich die Erfüllung der im Hauptvertrag genannten Pflichten zur Bereitstellung einer Weiterbildungsplattform im Bereich der Künstlichen Intelligenz für den Verantwortlichen.

‍

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

1. Gegenstand der Verarbeitung sind folgende Arten/Kategorien personenbezogener Daten der Mitarbeitenden des Verantwortlichen:

‍

• Kontaktdaten: Vorname, Nachname, geschäftliche E-Mail-Adresse
• Organisatorische Daten: Unternehmenszugehörigkeit
• Nutzungsdaten bzgl. Lernfortschritt: Teilnahmestatus, Kurs-Fortschritt

‍

2. Von der Verarbeitung sind folgende Kategorien von Personen betroffen: Mitarbeitende des Verantwortlichen, die an den Weiterbildungsmaßnahmen teilnehmen.

‍

§ 4 Verarbeitung auf Weisung

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen werden grundsätzlich durch den Hauptvertrag und diesen AVV erteilt. Einzelweisungen können vom Verantwortlichen in Textform (z. B. E-Mail) erteilt werden. Mündlich erteilte Weisungen sind vom Verantwortlichen unverzüglich in Textform zu bestätigen. 

‍

2. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird.

‍

§ 5 Vertraulichkeit

1. Der Auftragsverarbeiter ist bei der Verarbeitung von Daten für den Verantwortlichen zur Wahrung der Vertraulichkeit verpflichtet.
2. Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

‍

§ 6 Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung. Diese umfassen insbesondere Maßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung. 

Die konkreten TOMs sind in Anlage 1 zu diesem Vertrag beschrieben und werden vom Auftragsverarbeiter auf aktuellem Stand gehalten.

‍

§ 7 Unterauftragsverarbeiter

1. Der Verantwortliche erteilt hiermit die allgemeine schriftliche Genehmigung gemäß Art. 28 Abs. 2 DSGVO zur Beauftragung von weiteren Auftragsverarbeitern (Unterauftragsverarbeitern) durch den Auftragsverarbeiter.
   
   
2. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 28 Tage im Voraus über jede beabsichtigte Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Diese Information muss mindestens den Namen, den Sitz und die Art der Tätigkeit des beabsichtigten Unterauftragsverarbeiters enthalten.
   
   
3. Der Verantwortliche hat das Recht, gegen eine solche beabsichtigte Änderung innerhalb einer Frist von 14 Tagen nach Zugang der Information schriftlich oder in Textform unter Nennung eines sachlichen Grundes Widerspruch einzulegen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt.  Im Falle eines fristgerechten Widerspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen (sofern ihm dies zumutbar ist) oder einen alternativen weiteren Auftragsverarbeiter vorschlagen. Die Parteien werden sich in diesem Fall über das weitere Vorgehen abstimmen.
   
   
4. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter, so legt er diesem im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind, insbesondere hinsichtlich der Ergreifung geeigneter TOMs gemäß § 6 und Anlage 1. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters.
   
   
5. Eine Liste der zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsverarbeiter (mit Name, Sitz, Art der Tätigkeit) ist in Anlage 2 beigefügt. Der Auftragsverarbeiter hält diese Liste aktuell und stellt sie dem Verantwortlichen auf Anfrage zur Verfügung.

‍

§ 8 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie des Rechts, nicht einer ausschließlich automatisierten Entscheidung einschließlich Profiling unterworfen zu werden) gemäß Kapitel III der DSGVO nachzukommen. Richtet eine betroffene Person einen Antrag direkt an den Auftragsverarbeiter, wird dieser den Antrag unverzüglich an den Verantwortlichen weiterleiten.

‍

§ 9 Unterstützung des Verantwortlichen bei DSGVO-Pflichten

1. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung betroffenen Person, Datenschutz-Folgenabschätzung, vorherige Konsultation).
   
   
2. Bei einer Verletzung des Schutzes personenbezogener Daten oder dem begründeten Verdacht einer solchen ist der Auftragsverarbeiter verpflichtet:
   
   1. Den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden schriftlich oder in Textform zu informieren.
   2. Alle zur Erfüllung der Meldepflichten nach Art. 33, 34 DSGVO erforderlichen Informationen bereitzustellen und bei der Bewältigung des Vorfalls zu unterstützen.
   3. Umgehend angemessene Maßnahmen zur Behebung und Eindämmung der Verletzung zu ergreifen.
      
      
3. Der Auftragsverarbeiter dokumentiert alle Datenschutzverletzungen und stellt diese Dokumentation dem Verantwortlichen auf Anfrage zur Verfügung.

‍

§ 10 Rückgabe oder Löschung von Daten

Nach Abschluss der Erbringung der Verarbeitungsleistungen (Beendigung des Hauptvertrags) löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Dies erfolgt innerhalb von vier Wochen nach Beendigung des Hauptvertrags.

‍

§ 11 Kontrollen und Nachweise

1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
   
   
2. Der Verantwortliche hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz sowie der vertraglichen Regelungen durch den Auftragsverarbeiter im erforderlichen Umfang zu kontrollieren bzw. durch im Einzelfall zu benennende Prüfer kontrollieren zu lassen.
   
   
3. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die notwendigen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis kann auch durch Vorlage geeigneter, aktueller Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren) oder einer geeigneten Zertifizierung nach Art. 42 DSGVO erbracht werden.
   
   
4. Inspektionen vor Ort sind rechtzeitig anzukündigen (in der Regel mindestens 10 Werktage vorher) und während der üblichen Geschäftszeiten durchzuführen, wobei auf die Betriebsabläufe des Auftragsverarbeiters Rücksicht zu nehmen ist. Der Auftragsverarbeiter ist berechtigt, für die Mitwirkung an Überprüfungen und Inspektionen eine angemessene Vergütung zu verlangen, sofern der Umfang über eine übliche Bereitstellung von Standarddokumentationen oder die Prüfung von vorhandenen Nachweisen hinausgeht.
   
   
5. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Aufsichtsbehörde Kontrollhandlungen oder Maßnahmen beim Auftragsverarbeiter durchführt, die einen Bezug zur Auftragsverarbeitung für den Verantwortlichen haben.

‍

§ 12 Internationale Datenübermittlung

Eine Übermittlung personenbezogener Daten an Stellen in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) (Drittländer) findet nur statt, soweit dies zur Erfüllung des Hauptvertrags erforderlich ist, der Verantwortliche eingewilligt hat oder eine gesetzliche Grundlage dafür besteht und die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standardvertragsklauseln, genehmigte Verhaltensregeln).

‍

§ 13 Haftung

1. Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffenen Personen gemäß den gesetzlichen Bestimmungen, insbesondere nach Art. 82 DSGVO.
   
   
2. Im Innenverhältnis der Parteien haftet der Auftragsverarbeiter nur für Schäden, die bei der von ihm durchgeführten Verarbeitung unter Verstoß gegen diesen AVV oder andere Datenschutzvorschriften entstanden sind. Er haftet nicht für Schäden, die auf Weisungen des Verantwortlichen oder auf Verstöße des Verantwortlichen gegen die DSGVO oder andere Datenschutzvorschriften zurückzuführen sind.
   
   
3. Der Auftragsverarbeiter wird von der Haftung im Innenverhältnis freigestellt, wenn er nachweist, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist.
   
   
4. Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter frei, die auf einem schuldhaften Verstoß des Verantwortlichen gegen die DSGVO, diesen AVV oder andere Datenschutzvorschriften beruhen.

‍

§ 14 Schlussbestimmungen

1. Änderungen und Ergänzungen dieses AVV und aller seiner Bestandteile bedürfen der Schriftform. Dies gilt auch für die Abbedingung dieses Schriftformerfordernisses. Mündliche Nebenabreden bestehen nicht.
   
   
2. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommt bzw. diese Lücke füllt.

‍

Anlage 1 

Technische und Organisatorische Maßnahmen

Die AI Club GmbH (im Folgenden 'das Unternehmen') agiert als Auftragsverarbeiter für ihre Kunden und nutzt hierfür Software-as-a-Service (SaaS)-Produkte von Unterauftragsverarbeitern. Das Unternehmen ergreift die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. 

1. Maßnahmen zur Gewährleistung der Vertraulichkeit
(Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

• Sicherung der Büroräume in Hamburg durch ein elektronisches Schließsystem.
• Vergabe individueller elektronischer Schlüssel an Mitarbeiter.
• Aufbewahrung physischer, vertraulicher Unterlagen in abschließbaren Fächern. Der Zugang zu diesen Fächern ist auf die Geschäftsführung und spezifisch benannte verantwortliche Mitarbeiter beschränkt.

‍

Zugangskontrolle:

• Schutz der IT-Systeme und SaaS-Anwendungen vor unbefugtem Zugang.
• Verwendung von individuellen Benutzerkonten.
• Einsatz eines unternehmensweiten Passwortmanagers (Keeper) zur Verwaltung und Durchsetzung sicherer, individueller Passwörter gemäß internen Passwortrichtlinien.
• Verpflichtender Einsatz von Multi-Faktor-Authentifizierung (MFA) für kritische Systeme wie E-Mail-Konten (Google Workspace) und Zahlungsdienstleister sowie weitere SaaS-Dienste, wo verfügbar und angemessen.
• Implementierte, dokumentierte Prozesse für die Einrichtung, Änderung und Entziehung von Berechtigungen bei Einstellung und Ausscheiden von Mitarbeitern (Onboarding/Offboarding).

‍

Zugriffskontrolle:

• Implementierung eines Berechtigungskonzepts nach dem Need-to-know-Prinzip, sodass Mitarbeiter nur auf die Daten zugreifen können, die für ihre jeweiligen Aufgaben erforderlich sind (umgesetzt durch Rollen/Rechtevergabe in den SaaS-Anwendungen).
• Nutzung von Protokollierungsfunktionen in der Lernplattform Circle (sog. Activity Logs). Diese Protokolle werden genutzt, um Zugriffe auf und Änderungen an personenbezogenen Daten auf der Lernplattform nachvollziehen zu können.
  
  

Trennungskontrolle:

• Keine Vermischung von Produktionsdaten mit Testdaten, da keine eigene Softwareentwicklung stattfindet.

‍

2. Maßnahmen zur Gewährleistung der Integrität
(Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

• Sorgfältige Auswahl der eingesetzten SaaS-Anbieter unter Berücksichtigung von deren Datenschutzkonformität und Sicherheitsmaßnahmen (sog. Vendor Check).
• Nutzung etablierter E-Mail-Provider (Google Workspace/GMail), die Transportverschlüsselung (TLS) standardmäßig unterstützen.

‍

Eingabekontrolle:

• Nutzung der von Circle (Lernplattform) bereitgestellten Protokollierungsfunktion, um nachvollziehen zu können, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind.

‍

3. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle:

• Bei der Auswahl der SaaS-Anbieter wird besonderer Wert auf deren dokumentierte Backup-, Wiederherstellungs- und Verfügbarkeitsmechanismen gelegt. Die Service Level Agreements (SLAs) der Anbieter werden geprüft und berücksichtigt.

‍

Zuverlässigkeit:

• Mitarbeiter sind angewiesen, Fehlfunktionen der Systeme unverzüglich über definierte interne Kanäle zu melden, um eine rasche Reaktion zu ermöglichen.

‍

4. Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

• Implementierung eines Datenschutzmanagementssystems zur Sicherstellung der Einhaltung der Datenschutzvorschriften.
• Regelmäßige (mindestens jährliche) Überprüfung der Auftragsverarbeitungsverträge (AVVs) und der TOMs der eingesetzten SaaS-Anbieter (Unterauftragsverarbeiter).
• Durchführung interner Überprüfungen zur Wirksamkeit der eigenen TOMs in regelmäßigen Abständen.
• Jährliche Sensibilisierung und Schulung der Mitarbeiter im Hinblick auf Datenschutz und Informationssicherheit.
• Etablierte Prozesse zur Bearbeitung von Anfragen Betroffener (gem. Art. 15-22 DSGVO) unter Nutzung der administrativen Funktionen und Exportmöglichkeiten der eingesetzten SaaS-Anwendungen.
• Etablierung und Dokumentation eines Prozesses zur Meldung und Bearbeitung von Datenschutzvorfällen (Incident Response).

‍

5. Sonstige Maßnahmen

• Verschlüsselung:

• Bei der Wahl der Unterauftragsverarbeiter wird darauf geachtet, dass diese eine Verschlüsselung sowohl in transit (TLS 1.2 oder höher) als auch at rest (AES-256) gewährleisten
• Auf allen unternehmenseigenen Endgeräten ist der Filevault aktiviert, Mitarbeitende haben außerdem sicherzustellen, dass Software immer auf dem neuesten Stand ist.

‍

• Auftragssteuerung:

• Sorgfältige Auswahl der eingesetzten SaaS-Anbieter unter Berücksichtigung von deren Datenschutzkonformität und Sicherheitsmaßnahmen (sog. Vendor Check).

‍

‍

Anlage 2

Genehmigte Unterauftragsverarbeiter

Gemäß § 7 (5) des AVV sind die folgenden Unterauftragsverarbeiter zum Zeitpunkt des Vertragsschlusses genehmigt:

‍