Vertragsdokument · 365tec / Daniel Ovadia Stand: April 2026 · Version 1.2

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · KI-Potenzialanalyse

§ 1 Vertragsparteien

Auftraggeber (Verantwortlicher gem. Art. 4 Nr. 7 DSGVO)	Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO
Firma / Name __________________________________ Anschrift __________________________________ __________________________________ Vertretungsberechtigt __________________________________ Datenschutz-Ansprechpartner __________________________________	Firma / Name Daniel Ovadia (365tec) Anschrift Eugen-Richter-Str. 159 76187 Karlsruhe Deutschland Vertretungsberechtigt Daniel Ovadia (Inhaber) Datenschutz-Ansprechpartner info@365tec.de USt-IdNr. DE460012778

§ 2 Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand

Gegenstand des Auftrags ist die Durchführung einer KI-Potenzialanalyse durch den Auftragsverarbeiter. Diese umfasst:

• Strukturiertes Telefoninterview mit dem Auftraggeber bzw. von ihm benannten Mitarbeitern (geführt durch eine sprachgesteuerte KI-Assistenz, „Annie"),
• Auswertung optional bereitgestellter Dokumente (Prozess-Beschreibungen, Organigramme, Screenshots o. Ä.),
• Erstellung eines schriftlichen Reports mit konkreten Handlungsempfehlungen,
• Persönlicher Review-Call im Anschluss.

Klarstellung Use-Case (EU AI Act Art. 6 i. V. m. Anhang III): Der Report enthält ausschließlich prozessbezogene Empfehlungen. Er enthält keine personenbezogenen Bewertungen einzelner Mitarbeiter:innen und keine Empfehlungen für individuelle Beschäftigungsentscheidungen (Einstellung, Kündigung, Beförderung, Eignungsbeurteilung). Eine Verwendung des Reports für solche Zwecke durch den Auftraggeber ist vertraglich ausgeschlossen — andernfalls würde die Anwendung als Hochrisiko-KI-System nach Anhang III Nr. 4 lit. b EU AI Act einzustufen sein, was vom Auftragsverarbeiter nicht angeboten wird.

Transparenzpflicht (EU AI Act Art. 50): Die KI-Assistenz „Annie" eröffnet jedes Telefongespräch mit einem akustischen Hinweis, dass das Gegenüber mit einer KI spricht. Der erstellte Report ist als KI-generiert gekennzeichnet.

(2) Dauer

Die Verarbeitung beginnt mit Eingang des Buchungs-/Intake-Formulars und endet spätestens 90 Tage nach Abschluss der Leistung. Die Speicherfristen für einzelne Datenkategorien sind in § 12 geregelt. Steuerrechtliche bzw. handelsrechtliche Aufbewahrungspflichten (z. B. Rechnungen) bleiben unberührt.

§ 3 Art und Zweck der Verarbeitung; Datenkategorien; Betroffene

(1) Art der Verarbeitung

• Erheben und Speichern von Eingaben aus dem Online-Intake-Formular,
• Verarbeiten von Sprachaufzeichnungen aus dem KI-geführten Telefoninterview (Aufzeichnung, Transkription, Analyse),
• Verarbeiten von freiwillig hochgeladenen Dokumenten,
• Generierung von Auswertungen mittels Large-Language-Model (LLM),
• Versand von E-Mails (Buchungsbestätigung, Report, Termin-Einladung).

(2) Zweck

Erbringung der vom Auftraggeber gebuchten KI-Potenzialanalyse. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters – insbesondere für KI-Modell-Training, Profiling oder Werbung – findet nicht statt.

(3) Kategorien personenbezogener Daten

Datenkategorie	Inhalt (Beispiele)
Stammdaten	Name, Firma, Branche, Rolle, Mitarbeiter-Größe
Kontaktdaten	E-Mail-Adresse, Telefonnummer
Sprachaufzeichnung des Telefoninterviews	Audio-Datei der Antworten der Teilnehmenden. Klarstellung: Die Aufzeichnung wird nicht zur biometrischen Identifizierung genutzt; ein Stimmprofil-Abgleich findet nicht statt. Aufgrund der Sensibilität von Voice-Daten gelten die TOM gem. Anhang 1 entsprechend erhöht. Rechtsgrundlage Art. 6 Abs. 1 (Auftraggeber) / bei Mitarbeitern: Einwilligung gem. § 26 BDSG durch den Auftraggeber.
Transkript & abgeleitete Daten	Texttranskript, strukturierte Analyse-Daten (D1–D8), Report-Entwürfe, Report-PDF
Hochgeladene Dokumente	Vom Auftraggeber freiwillig bereitgestellte Prozessbeschreibungen, Organigramme, Screenshots o. Ä.
Intake-Daten	Antworten aus dem Online-Buchungsformular
Vertrags-/Abrechnungsdaten	Buchungs-ID, Rechnungsdaten, Zahlungsstatus. Hinweis: Zahlungsdaten i. e. S. (Karten-/Kontodaten) werden ausschließlich beim Zahlungsdienstleister Mollie B.V. verarbeitet, der insoweit als eigenständig Verantwortlicher auftritt (siehe Anhang 2 Abschnitt „Eigenständig Verantwortliche").
Technische Daten	IP-Adresse, User-Agent, Zeitstempel, technische Logs

(4) Kategorien betroffener Personen

• Mitarbeitende des Auftraggebers, die an der Analyse teilnehmen,
• Vertretungsberechtigte und Ansprechpartner des Auftraggebers,
• Personen, die in vom Auftraggeber bereitgestellten Dokumenten genannt werden.

§ 4 Pflichten des Auftragsverarbeiters

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der Vereinbarungen und nach Weisung des Auftraggebers, soweit nicht gesetzliche Verpflichtungen entgegenstehen.
2. Er informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.
3. Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO): Mit der Datenverarbeitung befasste Personen werden vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet und über die einschlägigen Datenschutzbestimmungen belehrt.
4. Berufsgeheimnis (§ 203 Abs. 4 StGB): Bei Auftraggebern aus berufsrechtlich verschwiegenheitspflichtigen Branchen (Anwaltskanzlei, Notariat, Arztpraxis, Steuerkanzlei) verpflichtet der Auftragsverarbeiter alle in seinem Verantwortungsbereich tätigen Personen zusätzlich zur Geheimhaltung gem. § 203 Abs. 4 Satz 2 Nr. 1 StGB unter ausdrücklichem Hinweis auf die Strafbarkeit unbefugten Offenbarens. Die entsprechenden Verpflichtungserklärungen werden dokumentiert und auf Anfrage des Auftraggebers vorgelegt.
5. Unterstützung bei der Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f, Art. 35 DSGVO): Die Pflicht zur Durchführung einer DSFA trifft den Auftraggeber als Verantwortlichen. Der Auftragsverarbeiter unterstützt den Auftraggeber, indem er auf Anforderung die hierfür benötigten Informationen bereitstellt — insbesondere Beschreibung der Verarbeitung, Risikobewertung der KI-Komponente, Subprocessor-Kette mit Drittlandbezug, eingesetzte TOM (Anhang 1), Restrisiko-Bewertung. Der Auftragsverarbeiter erstellt selbst keine DSFA für den Auftraggeber.
6. Auf schriftliche Anfrage erteilt der Auftragsverarbeiter dem Auftraggeber alle erforderlichen Auskünfte zur Erfüllung der Rechte betroffener Personen (Art. 15–22 DSGVO).
7. Der Auftragsverarbeiter führt ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und stellt dieses auf Anfrage zur Verfügung.
8. Mitteilung von Datenpannen: siehe § 10.

§ 5 Pflichten des Auftraggebers (Verantwortlicher)

Die folgenden Pflichten trifft der Auftraggeber als datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO) selbst. Der Auftragsverarbeiter unterstützt im Rahmen des Möglichen, schuldet aber nicht die Erfüllung der nachstehenden Pflichten.

1. Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Der Auftraggeber prüft eigenverantwortlich, ob für die geplante Verarbeitung eine DSFA erforderlich ist und führt diese gegebenenfalls durch. Inputs hierfür liefert der Auftragsverarbeiter auf Anforderung (siehe § 4 Nr. 5).
2. Beschäftigtendatenschutz (§ 26 BDSG, Art. 88 DSGVO): Sofern Mitarbeitende des Auftraggebers am Telefoninterview teilnehmen, holt der Auftraggeber die erforderlichen Einwilligungen rechtzeitig vor dem Termin und außerhalb des laufenden Interview-Settings ein. Er stellt insbesondere die Freiwilligkeit, die Widerruflichkeit und die Möglichkeit einer Alternativ-Teilnahme sicher.
3. Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG): Sofern beim Auftraggeber ein Betriebs-/Personalrat besteht, klärt der Auftraggeber die Beteiligung des Gremiums vor dem Termin in eigener Verantwortung.
4. Information der Betroffenen (Art. 13/14 DSGVO): Der Auftraggeber informiert teilnehmende Mitarbeitende und sonstige Betroffene über die Verarbeitung ihrer Daten. Der Auftragsverarbeiter stellt eine Vorlage als Hilfestellung bereit; die Pflicht zur Erfüllung verbleibt beim Auftraggeber.
5. Berufsrechtliche Pflichten: Bei Auftraggebern mit berufsrechtlicher Verschwiegenheitspflicht (§ 203 StGB, § 18 BNotO, § 57 StBerG, § 43a BRAO etc.) prüft der Auftraggeber eigenständig, ob für die geplante Analyse Mandanten-/Patienten-/Klienten-Einwilligungen erforderlich sind und ob nach standesrechtlichen Auslagerungs-Hinweisen eine vorherige Information der zuständigen Kammer geboten ist.
6. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO): Der Auftraggeber führt das eigene VVT; der Auftragsverarbeiter stellt einen vorgefertigten VVT-Eintrag-Vorschlag als Anlage bereit.
7. Eigenverantwortliche Verwendung des Reports: Der Auftraggeber verwendet den Report ausschließlich für prozessbezogene Zwecke gem. § 2 (1) und sichert insbesondere zu, ihn nicht für individuelle Beschäftigungsentscheidungen einzusetzen (siehe Klarstellung dort).

§ 6 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die zum Zeitpunkt des Vertragsschlusses umgesetzten Maßnahmen sind in Anhang 1 (TOM) beschrieben und Bestandteil dieses Vertrages.

Der Auftragsverarbeiter ist berechtigt, die Maßnahmen weiterzuentwickeln, sofern das Schutzniveau gleichwertig oder höher bleibt. Wesentliche Änderungen werden dem Auftraggeber in Textform mitgeteilt; dieser kann der Änderung innerhalb von 30 Tagen widersprechen, sofern das Schutzniveau im Vergleich zum Zeitpunkt des Vertragsschlusses spürbar abgesenkt würde. Im Fall eines Widerspruchs gelten die Regelungen zum Sonderkündigungsrecht aus § 8 Nr. 2 entsprechend.

§ 7 Berichtigung, Einschränkung und Löschung von Daten

1. Der Auftragsverarbeiter berichtigt, löscht oder schränkt die Verarbeitung der Daten ausschließlich nach Weisung des Auftraggebers ein.
2. Die in § 12 Abs. 1 festgelegten routinemäßigen Speicherfristen gelten als Default-Weisung des Auftraggebers iSd § 4 Nr. 1 und können durch Textform-Weisung an die in § 11 benannte Adresse jederzeit verkürzt werden.
3. Anfragen betroffener Personen werden vom Auftragsverarbeiter unverzüglich an den Auftraggeber weitergeleitet, sofern sie unmittelbar bei ihm eingehen.

§ 8 Unterauftragsverhältnisse

(1) Allgemeine Genehmigung

Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter heranzuziehen (Art. 28 Abs. 2 Satz 2 DSGVO). Die zum Vertragsschluss eingesetzten Unterauftragsverarbeiter sind in Anhang 2 (Subprocessor-Liste) aufgeführt.

(2) Information über Änderungen

Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mindestens 30 Tage im Voraus in Textform an die in § 11 benannte Adresse. Der Auftraggeber kann der Änderung innerhalb von 30 Tagen ab Zugang in Textform widersprechen. Im Fall eines Widerspruchs steht dem Auftraggeber ein Sonderkündigungsrecht zum Hauptvertrag und damit zu diesem AVV mit einer Frist von 30 Tagen zu; bereits geleistete, aber noch nicht verbrauchte Vergütungen werden anteilig erstattet. Sofern der Auftraggeber von dem Sonderkündigungsrecht keinen Gebrauch macht, ist der Auftragsverarbeiter berechtigt, die betreffende Leistung mit dem neuen Subprocessor zu erbringen.

(3) Anforderungen an Unterauftragnehmer

Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich auf datenschutzrechtliche Pflichten, die denen des vorliegenden Vertrages entsprechen (Art. 28 Abs. 4 DSGVO). Bei Auftraggebern aus berufsrechtlich verschwiegenheitspflichtigen Branchen (siehe § 5 Nr. 5) wird zusätzlich auf § 203 Abs. 4 StGB hingewirkt (siehe § 4 Nr. 4). Bei Unterauftragnehmern in Drittländern (außerhalb des EWR) erfolgt die Datenübermittlung ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere EU-Standardvertragsklauseln (SCCs); eine Transfer Impact Assessment (TIA) wird je Anbieter dokumentiert (siehe Anhang 2).

§ 9 Kontrollrechte des Auftraggebers

1. Der Auftraggeber überzeugt sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der TOM. Die Erstüberprüfung kann durch Vorlage des TOM-Anhangs (siehe § 6) erfolgen.
2. Auf Verlangen legt der Auftragsverarbeiter dem Auftraggeber zusätzliche Nachweise (z. B. Self-Assessment, Penetrationstest-Reports, Zertifikate – soweit vorhanden) vor.
3. Vor-Ort-Kontrollen sind nach vorheriger Terminabstimmung möglich. Sie dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.
   • Routine-Kontrolle (anlasslos, jährlich): Vorankündigungsfrist 14 Tage. Eigene Kosten der Vor-Ort-Kontrolle trägt der Auftraggeber. Ein angemessener Aufwandsersatz für den Auftragsverarbeiter ist nur dann geschuldet, wenn die Kontrolle über eine jährliche Routineprüfung hinausgeht.
   • Anlassbezogene Kontrolle (bei begründetem Verdacht eines Datenschutzverstoßes oder behördlicher Aufforderung): Vorankündigungsfrist verkürzt auf 72 Stunden. Die Kosten der ersten anlassbezogenen Kontrolle innerhalb eines Vertragsjahres trägt der Auftragsverarbeiter; weitere anlassbezogene Kontrollen tragen die Parteien je zur Hälfte, sofern der Verdacht sich als unbegründet erweist.

§ 10 Mitteilung bei Verstößen des Auftragsverarbeiters

1. Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich (Art. 33 Abs. 2 DSGVO) über Verletzungen des Schutzes personenbezogener Daten, die im Rahmen seiner Verantwortung erkannt werden, damit der Auftraggeber als Verantwortlicher seine eigene Meldefrist gegenüber der Aufsichtsbehörde sicher einhalten kann.
2. Soweit zum Zeitpunkt der ersten Meldung noch nicht alle in Art. 33 Abs. 3 DSGVO genannten Angaben verfügbar sind, erfolgt eine vorläufige Meldung mit den bekannten Angaben; ergänzende Angaben werden unverzüglich nachgereicht.
3. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung der Meldepflichten gegenüber Aufsichtsbehörden (Art. 33 DSGVO) und bei der Benachrichtigung betroffener Personen (Art. 34 DSGVO).

§ 11 Weisungsberechtigte Personen

Weisungen werden in Textform (E-Mail genügt) an folgende Adresse erteilt: info@365tec.de

Weisungsberechtigt seitens des Auftraggebers ist:

__________________________________________________________ (Name, Funktion, E-Mail)

Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

§ 12 Löschung und Rückgabe nach Beendigung des Auftrages

(1) Speicherfristen während der Auftragsdurchführung

Datenkategorie	Speicherfrist	Anschließende Maßnahme
Sprachaufzeichnung des Telefoninterviews	30 Tage nach Erstellung	Automatisierte Löschung der Audio-Datei (Transkript bleibt bis Tag 90)
Transkript, Intake-Daten, hochgeladene Dokumente	90 Tage nach Erstellung	Automatisierte Löschung in Datenbank und Object-Storage
Versendete Reports / E-Mails	90 Tage nach Vertragsende	Beim Auftraggeber verbleibt die Mail-/PDF-Kopie unverändert; bei 365tec automatische Löschung
Audit-Logs (DSGVO-Nachweispflicht)	1 Jahr	Anonymisierte technische Logs ohne Inhaltsdaten
Rechnungs- und Steuerdaten	10 Jahre (§ 147 AO, § 257 HGB)	Aufbewahrung getrennt vom Inhalts-Datenspeicher

(2) Vorzeitige Löschung auf Anforderung

Der Auftraggeber kann jederzeit in Textform die vollständige Löschung der Inhaltsdaten verlangen. Die Löschung erfolgt unverzüglich. Eine Bestätigung wird in Textform erteilt.

(3) Rückgabe

Vor der endgültigen Löschung kann der Auftraggeber die Rückgabe der Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen. Die Rückgabe erfolgt verschlüsselt per gesicherter Übertragung.

§ 13 Haftung

1. Unbeschränkte Haftung: Der Auftragsverarbeiter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit, bei der Verletzung von Leben, Körper oder Gesundheit, im Rahmen einer gesetzlich zwingenden Haftung (insbesondere nach Art. 82 DSGVO und dem Produkthaftungsgesetz) sowie bei Übernahme einer Garantie.
2. Begrenzte Haftung bei einfacher Fahrlässigkeit: Bei einfach fahrlässiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung des Auftragsverarbeiters auf den vertragstypisch vorhersehbaren Schaden begrenzt; der Höhe nach jedoch maximal auf den dreifachen Wert des Auftragsvolumens des betroffenen Einzelauftrags. Eine Haftung bei einfacher Fahrlässigkeit für die Verletzung nicht-wesentlicher Vertragspflichten ist ausgeschlossen.
3. Keine Aussage über die Beschaffenheit der KI-Outputs: Aussagen in Marketing-Material, FAQs oder dem Pre-Call-Fact-Sheet stellen keine Beschaffenheitszusagen iSd § 434 Abs. 1 Nr. 1 BGB analog dar, sofern sie nicht ausdrücklich als solche im Hauptvertrag oder in diesem AVV bezeichnet sind. Insbesondere die Beschreibung der Stopp-/Lösch-Funktion (Pre-Call-Fact-Sheet, § 6 Anhang 1) gibt den Soll-Stand der eingesetzten Technik wieder; eine darüber hinausgehende Erfolgsgarantie wird nicht übernommen.
4. Mitwirkungsobliegenheit: Eine Mitwirkungsobliegenheit des Auftraggebers bei der Schadensminderung gem. § 254 BGB bleibt unberührt — insbesondere die Verantwortung des Auftraggebers, teilnehmende Personen vor dem Termin auf das Pre-Call-Fact-Sheet hinzuweisen.

§ 14 Schlussbestimmungen

1. Textform: Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform; gleiches gilt für die Aufhebung dieser Textformklausel.
2. Salvatorische Klausel: Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam oder undurchführbar sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. Anstelle der unwirksamen Bestimmung gilt diejenige wirksame Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Gleiches gilt für etwaige Regelungslücken.
3. Vorrang: Bei Widersprüchen zwischen diesem AVV und Regelungen im Hauptvertrag (Leistungsvereinbarung KI-Potenzialanalyse) gehen die Regelungen dieses AVV vor, soweit es um datenschutzrechtliche Inhalte geht.
4. Anwendbares Recht / Gerichtsstand: Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss kollisionsrechtlicher Verweisungen. Gerichtsstand ist Karlsruhe, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist. Für Verbraucher und Nicht-Kaufleute gilt der gesetzliche Gerichtsstand.

Anlagen

• Anhang 1 — Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)
• Anhang 2 — Liste der Unterauftragsverarbeiter (Subprocessor-Liste)
• Anhang 3 — Transfer Impact Assessment (TIA, EDPB Recommendations 01/2020)