[Platzhalter] durch Ihre Angaben ersetzen. Dies ist keine Rechtsberatung.Auftragsverarbeitungsvertrag (AVV)
Vorlage / Entwurf einer Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen Kunde (Verantwortlicher) und Anbieter (Auftragsverarbeiter). Diese Vorlage ist keine Rechtsberatung und vor Verwendung anwaltlich zu prüfen; Platzhalter in [eckigen Klammern] sind zu ergänzen.
1. Gegenstand & Dauer
Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung des Chatbot-Dienstes. Die Dauer entspricht der Vertragslaufzeit.
2. Art, Umfang, Zweck & Datenkategorien
Verarbeitet werden Anfragen, die Websitebesucher des Kunden über das Widget stellen — ausschließlich zur Erbringung des Dienstes. Datensparsamkeit: Von Widget-Fragen wird nur das Thema (ein kurzes Schlagwort) gespeichert, niemals die Frage im Wortlaut. Betroffene: Websitebesucher des Kunden.
3. Weisungsbindung
Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden.
4. Technische & organisatorische Maßnahmen (TOM, Art. 32)
Verarbeitung innerhalb der EU; Vektor-Einbettungen (Embeddings) werden lokal auf dem Server berechnet (keine Drittübermittlung); KI-Antworten und Themen-Klassifizierung laufen — sofern konfiguriert — über die EU-API von Mistral. Transportverschlüsselung (TLS); Zugriffskontrolle; Datensparsamkeit (keine Speicherung der Roh-Fragen); automatische Löschung der Analyse-Daten nach 30 Tagen; Verschlüsselung im Ruhezustand (at rest) der Datenbank mit SQLCipher (AES-256). [Vollständige TOM-Liste ergänzen.]
5. Unterauftragsverarbeiter (Stand: Vorlage)
Der Kunde stimmt dem Einsatz folgender Unterauftragsverarbeiter zu; über Änderungen wird vorab informiert (Widerspruchsrecht): • Mistral AI SAS (Frankreich, EU) — KI-Inferenz (Chat-Antworten) und Themen-Klassifizierung. Standort EU. • OpenRouter, Inc. (USA) — KI-Inferenz als Fallback bzw. für nicht-personenbezogene Aufrufe. Drittlandübermittlung nur auf Grundlage der EU-Standardvertragsklauseln (SCC); möglichst keine personenbezogenen Daten. • [Hosting-Anbieter], EU — Serverbetrieb/Hosting. Embeddings werden lokal berechnet und stellen keinen Unterauftragsverarbeiter dar.
6. Unterstützung & Betroffenenrechte
Der Anbieter unterstützt den Kunden bei der Wahrung der Betroffenenrechte (Art. 15–22) sowie bei Melde- und Benachrichtigungspflichten (Art. 33/34).
7. Löschung & Rückgabe
Nach Vertragsende werden die Daten gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht besteht.
8. Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
Die unter Ziff. 5 genannten Unterauftragsverarbeiter sind im Verzeichnis der Verarbeitungstätigkeiten zu führen und aktuell zu halten.
Stand: [Datum] · Diese Seite ist ein unverbindlicher Entwurf.