Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen Micrapix LLC (Auftragsverarbeiter) und dem Kunden (Verantwortlicher).

§1 Gegenstand und Dauer

Auftragnehmer (Micrapix LLC) stellt dem Auftraggeber (Kunde) die SaaS-Plattform kaipilot zur Verfügung. Im Rahmen dieser Plattform werden personenbezogene Daten der Endkunden des Auftraggebers (z.B. Schreinerei-Kunden) verarbeitet.

§2 Art und Zweck der Verarbeitung

• Speicherung von Audio-Aufnahmen und Transkripten auf Server in Deutschland (Hetzner Falkenstein)
• Klassifikation und Strukturierung von Kundenanfragen
• Generierung von Antwort-Entwürfen
• Email-Versand an Endkunden im Auftrag des Auftraggebers

§3 Art der Daten und Kategorien Betroffener

Kategorien Betroffener: Endkunden des Auftraggebers (Familien, Auftraggeber, Architekten, Lieferanten).

Datenarten:

• Name, Anschrift, Telefon, E-Mail (PII)
• Anfrage-Inhalte (Audio, Text)
• Auftrags- und Vertragsdaten
• Korrespondenz (versendete Emails)

§4 Pflichten des Auftragnehmers

• Verarbeitung nur auf dokumentierte Weisung des Auftraggebers
• Vertraulichkeitsverpflichtung aller Mitarbeiter
• Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (siehe §7)
• Unterstützung des Auftraggebers bei Betroffenenrechten
• Information bei Datenpannen unverzüglich, spätestens binnen 72h
• Auf Wunsch des Auftraggebers Datenexport oder Löschung bei Vertragsende

§5 Pflichten des Auftraggebers

• Rechtmäßige Erhebung der Daten beim Endkunden (z.B. Hinweispflichten bei Telefonaufnahmen)
• Bereitstellung sicherer Zugangsdaten
• Wahrung der Betroffenenrechte gegenüber den Endkunden

§6 Unterauftragsverarbeiter

Der Auftraggeber genehmigt folgende Subunternehmer für die Vertragsabwicklung:

Änderungen am Subunternehmer-Verzeichnis werden 30 Tage vorab angekündigt. Auftraggeber kann widersprechen — in diesem Fall ist Auftragnehmer berechtigt, den Vertrag mit 30 Tagen Frist zu kündigen.

§7 Technische und organisatorische Maßnahmen (TOMs)

7.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Pseudonymisierung: PII-Maskierung vor jeglichem LLM-Aufruf
• Verschlüsselte Übertragung: TLS 1.2+ mit RSA-Zertifikaten (Let's Encrypt, ISRG Root X1)
• Verschlüsselte Speicherung: Postgres mit Zugriffsbeschränkung
• Login-Authentifizierung mit gehashten Passwörtern (Django PBKDF2)
• Rate-Limiting + Honeypot bei Self-Service-Registrierung

7.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Datenbank-Versionierung und Backup (täglich)
• Audit-Log: Wer hat wann was geändert
• Versionierte Legal-Documents mit User-Consent-Tracking (Datum, IP, User-Agent)

7.3 Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Tägliche Backups auf separates Storage
• Health-Checks und Monitoring
• Caddy mit automatischer TLS-Erneuerung

7.4 Belastbarkeit der Systeme

• Container-basierte Deployment mit Auto-Restart
• Async-Verarbeitung über Celery (entkoppelt von Web-Frontend)

7.5 Verfahren zur regelmäßigen Überprüfung

• Quartalsweise Sichtprüfung der TOMs
• Nach jeder größeren Architektur-Änderung

§8 Rechte des Auftraggebers

• Kontrollrechte gemäß Art. 28 Abs. 3 lit. h DSGVO
• Anforderung von Nachweisen zur Einhaltung der TOMs
• Audits nach vorheriger Abstimmung (max. 1× pro Jahr, Kostentragung Auftraggeber)

§9 Löschung und Rückgabe nach Beendigung

Nach Vertragsende werden alle Daten innerhalb von 30 Tagen entweder in einem maschinenlesbaren Format exportiert übergeben oder sicher gelöscht. Die Wahl trifft der Auftraggeber. Gesetzliche Aufbewahrungspflichten bleiben unberührt — entsprechende Daten werden gesperrt und nur noch für rechtliche Zwecke vorgehalten.

§10 Schlussbestimmungen

Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Rest in Kraft (salvatorische Klausel). Bei Widersprüchen zwischen AVV und Haupt-Vertrag (AGB) hat der AVV Vorrang bzgl. Datenschutz-Bestimmungen.