Auftragsverarbeitungsvertrag
nach Art. 28 DSGVO · ML KontorStack UG (haftungsbeschränkt) · Stand: Juni 2026
Vertragsparteien und Geltung
Dieser Auftragsverarbeitungsvertrag (AVV) wird geschlossen zwischen dem Kunden gemäß Hauptvertrag bzw. Bestellung (nachfolgend: „Verantwortlicher") und der ML KontorStack UG (haftungsbeschränkt), Plecherstraße 2, 81541 München, Amtsgericht München HRB 311846, Geschäftsführer: Matteo Isemann (nachfolgend: „KontorStack" oder „Auftragsverarbeiter").
Dieser AVV ergänzt den zwischen den Parteien geschlossenen Vertrag über die Nutzung der KontorStack-Plattform (nachfolgend: „Hauptvertrag") und regelt den Umgang mit personenbezogenen Daten, die KontorStack im Auftrag des Verantwortlichen verarbeitet. Er wird mit Abschluss des Hauptvertrags – insbesondere mit der Zustimmung zu den AGB im Bestellprozess – wirksam vereinbart; einer gesonderten Unterzeichnung bedarf es nicht. Im Konflikt zwischen Hauptvertrag und AVV gilt der AVV.
§ 1 Gegenstand, Dauer und Zweck der Verarbeitung
(1) KontorStack verarbeitet die vom Verantwortlichen bereitgestellten Dokumente ausschließlich zum Zweck des Betriebs der KI-Wissensplattform (Indexierung, Suche, KI-gestützte Beantwortung von Nutzerfragen).
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Vertragsende richtet sich der Umgang mit den Daten nach § 10 dieses AVV.
(3) Art der personenbezogenen Daten: Namen, Funktionen, E-Mail-Adressen von Mitarbeitern; Unterschriften, Prüferkürzel, Freigabevermerke in Dokumenten; Bearbeitungs- und Versionshistorien; weitere Datenkategorien, soweit sie in den vom Verantwortlichen bereitgestellten Dokumenten enthalten sind.
(4) Kategorien betroffener Personen: Mitarbeiter des Verantwortlichen; externe Prüfer und Dienstleister, deren Daten in den Dokumenten enthalten sind.
(5) Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO werden nicht erwartet. Stellt der Verantwortliche fest, dass solche Daten enthalten sind, informiert er KontorStack; diese Daten werden dann unverzüglich gelöscht.
§ 2 Weisungen
(1) KontorStack verarbeitet die Daten nur nach dokumentierten Weisungen des Verantwortlichen. Weisungen werden in Textform (E-Mail genügt) erteilt.
- Weisungsberechtigt beim Verantwortlichen: die im Bestellprozess oder im Hauptvertrag benannten Personen, ersatzweise die gesetzlichen Vertreter des Verantwortlichen.
- Weisungsempfänger bei KontorStack: Lucas Wiedemer (lucas.wiedemer@kontorstack.com)
(2) Hält KontorStack eine Weisung für rechtswidrig, informiert KontorStack den Verantwortlichen und kann die Ausführung bis zur Klärung aussetzen.
§ 3 Technische und organisatorische Maßnahmen
Die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO sind in Anlage 1 beschrieben. KontorStack darf die Maßnahmen fortentwickeln, solange das Schutzniveau nicht gesenkt wird. Wesentliche Änderungen werden dem Verantwortlichen in Textform mitgeteilt.
§ 4 Zugriffsbeschränkung und Vertraulichkeit
Bei KontorStack hat ausschließlich Lucas Wiedemer administrativen Zugriff auf die verarbeiteten Daten. Alle Personen, die Zugriff auf personenbezogene Daten haben, sind zur Vertraulichkeit verpflichtet. Diese Pflicht gilt auch nach Vertragsende.
§ 5 Unterauftragsverarbeiter
Der Verantwortliche genehmigt den Einsatz der in Anlage 2 aufgeführten Unterauftragsverarbeiter. KontorStack informiert mindestens 30 Tage vorher in Textform über neue oder geänderte Unterauftragsverarbeiter. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund binnen 14 Tagen widersprechen. KontorStack verpflichtet alle Unterauftragsverarbeiter vertraglich auf ein Schutzniveau, das mindestens diesem AVV entspricht.
§ 6 Besondere Regeln für die KI-Nutzung
- Die Daten des Verantwortlichen werden nicht zum Training oder Fine-Tuning von KI-Modellen verwendet, weder durch KontorStack noch durch eingesetzte Dritte (insbesondere Anthropic/AWS Bedrock). Abgesichert über das AWS Data Processing Addendum.
- KontorStack verwendet ausschließlich Sprachmodelle, die in der EU gehostet werden und keine Kundendaten zum Training verwenden. Ein Ausweichen auf US-Modelle mit Trainingserlaubnis ist ausgeschlossen.
- Anfragen und Antworten werden über AWS Bedrock in Frankfurt (eu-central-1) verarbeitet. AWS kann Prompts/Antworten gemäß eigener Richtlinie bis zu 30 Tage zum Schutz vor Missbrauch speichern, nicht für Training.
§ 7 Meldung von Datenschutzverletzungen
KontorStack meldet Datenschutzverletzungen an den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, in Textform. Die Meldung enthält: Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl, wahrscheinliche Folgen, ergriffene oder geplante Maßnahmen.
§ 8 Unterstützungspflichten
(1) KontorStack unterstützt den Verantwortlichen bei Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung usw.) mit angemessenen technischen Mitteln. Wenn betroffene Personen sich direkt an KontorStack wenden, leitet KontorStack die Anfrage unverzüglich an den Verantwortlichen weiter und antwortet nicht selbst.
(2) KontorStack unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der KontorStack zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO, insbesondere bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen der Aufsichtsbehörde.
§ 9 Nachweis und Kontrolle
(1) KontorStack stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung, insbesondere TOM-Dokumentation und Zertifikate der eingesetzten Cloud-Anbieter. Schriftliche Auskünfte liefert KontorStack innerhalb von 14 Tagen.
(2) Kontrollen erfolgen vorrangig durch Einsichtnahme in die vorgenannten Unterlagen. Soweit dies zum Nachweis der Einhaltung dieses AVV im Einzelfall nicht ausreicht oder eine Aufsichtsbehörde dies verlangt, kann der Verantwortliche nach vorheriger Ankündigung mit angemessener Frist (mindestens 14 Tage) während der üblichen Geschäftszeiten eine Überprüfung – auch vor Ort – durchführen oder durch einen zur Verschwiegenheit verpflichteten Dritten durchführen lassen, ohne den Geschäftsbetrieb wesentlich zu stören.
§ 10 Löschung nach Vertragsende
Nach Vertragsende oder auf Weisung des Verantwortlichen löscht KontorStack alle personenbezogenen Daten aus Produktivsystemen innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Verantwortliche kann jederzeit auch während der Laufzeit die Löschung einzelner oder aller Daten verlangen. Auf Anfrage bestätigt KontorStack die Löschung in Textform.
§ 11 Geltung für Folgeverträge
Dieser AVV gilt für den Hauptvertrag und automatisch für alle Folgeverträge zwischen den Parteien (z. B. einen späteren kommerziellen Dienstleistungsvertrag), solange keine Partei dem in Textform widerspricht.
§ 12 Sonstiges
Änderungen dieses AVV bedürfen der Textform. Es gilt deutsches Recht. Gerichtsstand ist München.
Anlage 1 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
KontorStack betreibt die Plattform auf Microsoft Azure (Region West Europe). Die KI-Verarbeitung läuft über AWS Bedrock in Frankfurt (eu-central-1) mit dem Modell Anthropic Claude Sonnet, mit vertraglich zugesichertem Ausschluss der Nutzung von Kundendaten für Modelltraining.
1. Vertraulichkeit
| Maßnahme | Umsetzung bei KontorStack |
|---|---|
| Zutritt Rechenzentren | Ausschließlich ISO 27001/27017/27018-zertifizierte Rechenzentren von Microsoft Azure und AWS. MFA + biometrische Verfahren. |
| Zugriff auf Daten | Ausschließlich Lucas Wiedemer hat administrativen Zugriff. Endnutzer des Kunden erhalten Antworten nur auf Basis freigegebener Dokumente (RBAC). |
| Verschlüsselung | Ausschließlich TLS 1.2 oder höher. Keine unverschlüsselten Verbindungen. |
| Mandantentrennung | Dedizierte, isolierte Instanz pro Kunde. Keine Datenvermischung zwischen Kunden. |
2. Integrität
| Maßnahme | Umsetzung bei KontorStack |
|---|---|
| Datenverarbeitung in der EU | Alle produktiven Verarbeitungsschritte (Indexierung, Vektor-DB, KI-Inferenz) ausschließlich in Europa. Kundendaten verlassen nie die EU. |
| EU-Standardvertragsklauseln | Für Microsoft und AWS als Subprozessoren mit US-Mutterkonzern bestehen EU-SCC (2021/914) und ein Transfer Impact Assessment. |
3. Regelmäßige Überprüfung
| Maßnahme | Umsetzung bei KontorStack |
|---|---|
| Interne Verantwortung | Lucas Wiedemer ist für den Datenschutz verantwortlich. Bei Erreichen gesetzlicher Schwellenwerte wird ein externer Datenschutzbeauftragter bestellt. |
| Incident Response | Dokumentiertes Verfahren. Meldung an den Kunden innerhalb von 48 Stunden. |
| TOM-Überprüfung | Mindestens halbjährlich. Anpassung bei neuen Bedrohungen oder technologischen Änderungen. |
4. KI-Verarbeitung
| Maßnahme | Umsetzung bei KontorStack |
|---|---|
| Kein Modelltraining | Kundendaten werden nicht für Training oder Fine-Tuning verwendet. Abgesichert über AWS Bedrock DPA und Anthropic Commercial Terms. |
| Keine dauerhafte Speicherung bei KI-Anbietern | Sprachmodell-Aufrufe sind zustandslos. AWS speichert Prompts/Antworten max. 30 Tage zum Missbrauchsschutz, nicht für Training. |
Anlage 2 – Liste der Unterauftragsverarbeiter
Microsoft Azure
- Unternehmen / Sitz:
- Microsoft Ireland Operations Limited, Dublin (Mutterkonzern: Microsoft Corp., USA)
- Leistung:
- Cloud-Infrastruktur: Compute, Storage, Datenbanken. ISO 27001/27017/27018, SOC 1/2/3, C5 (BSI).
- Verarbeitungsort:
- Azure West Europe
- Rechtsgrundlage:
- Microsoft DPA inkl. EU-SCC (2021/914), EU-US Data Privacy Framework
Amazon Web Services
- Unternehmen / Sitz:
- AWS EMEA SARL, Luxemburg (Mutterkonzern: Amazon.com Inc., USA)
- Leistung:
- Amazon Bedrock: Anthropic Claude Sonnet. Kein Modelltraining. ISO 27001/27017/27018, SOC 1/2/3, C5 (BSI).
- Verarbeitungsort:
- AWS Frankfurt (eu-central-1)
- Rechtsgrundlage:
- AWS GDPR DPA inkl. EU-SCC (2021/914), EU-US Data Privacy Framework
Langfuse
- Unternehmen / Sitz:
- Langfuse GmbH, Berlin, Deutschland
- Leistung:
- LLM Observability & Tracing (Debugging/Monitoring). Kein Modelltraining. Ausschließlich EU-Cloud.
- Verarbeitungsort:
- EU
- Rechtsgrundlage:
- DPA auf allen bezahlten Plänen inkludiert
Linkup
- Unternehmen / Sitz:
- Linkup SAS, Paris, Frankreich
- Leistung:
- Web Search API. Zero Data Retention: Queries werden nicht gespeichert.
- Verarbeitungsort:
- EU
- Rechtsgrundlage:
- Abgeschlossener DPA-Vertrag
Weitere Dienste werden fortlaufend ergänzt. KontorStack informiert den Kunden gemäß § 5 dieses AVV über Änderungen.