Start/ Rechtliches/ AVV-Template

Auftragsverarbeitungs-Vertrag (Muster)

nach Art. 28 DSGVO · Stand April 2026 · Version 1.0

Vorab-Einblick. Das ist unser Standard-Muster, das wir im Vertragsgespräch anpassen und gegenzeichnen. Es ersetzt keine juristische Beratung im Einzelfall. Für die rechtsverbindliche Fassung inkl. aktueller Subunternehmer-Liste und TOM-Dokumentation einfach per Mail anfragen: avv@half-work.com.
Signierte Fassung anfordern

Präambel

Der Auftraggeber (nachfolgend „Verantwortlicher") und der Auftragnehmer — Finn Malte Hinrichsen, Hamburg, betreibend den Dienst half-work.com (nachfolgend „Auftragsverarbeiter") — schließen diese Vereinbarung zur Auftragsverarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der vom Verantwortlichen beauftragten Bot-Rollen auf half-work.com — einschließlich der dabei anfallenden Verarbeitung personenbezogener Daten. Art und Zweck der Verarbeitung ergeben sich aus dem zwischen den Parteien geschlossenen Hauptvertrag.

Die Vereinbarung gilt für die Dauer des Hauptvertrags. Kündigung ergibt sich aus den dortigen Regelungen.

§ 2 Art der personenbezogenen Daten

  • Kontakt- und Kommunikationsdaten (Name, E-Mail-Adresse, Telefonnummer)
  • Beschäftigten- oder Nutzerdaten im durch den Verantwortlichen vorgegebenen Umfang
  • Konversations- und Interaktionsdaten aus dem Bot-Betrieb
  • ggf. branchenspezifische Daten je nach Use-Case (z. B. Support-Tickets, HR-Fragen, Sales-Konversationen)

Die konkrete Ausprägung wird pro Bot im Setup-Dokument festgehalten.

§ 3 Betroffene Personengruppen

  • Mitarbeitende des Verantwortlichen
  • Kund:innen und Interessent:innen des Verantwortlichen
  • ggf. weitere Personengruppen im vom Verantwortlichen definierten Rahmen

§ 4 Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Der Hauptvertrag und seine Anhänge gelten als Grundweisung. Änderungen, Ergänzungen oder Ersetzungen erfolgen in Textform, Chat oder Ticketsystem mit nachvollziehbarer Absenderadresse.

Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, teilt er dies dem Verantwortlichen unverzüglich mit.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter dokumentiert die von ihm getroffenen TOMs gemäß Art. 32 DSGVO separat und stellt diese dem Verantwortlichen auf Anfrage bereit. Kernmaßnahmen:

  • Hosting: ausschließlich in Rechenzentren innerhalb der EU (Deutschland, Österreich) mit zertifizierter Sicherheit (ISO 27001 / C5 auf Seiten der Hoster)
  • Verschlüsselung: TLS 1.2/1.3 in Transit, AES-256 at rest für persistent gespeicherte Daten
  • Zugriff: Minimalzugriff nach Need-to-know, 2FA für alle Administrativ-Accounts, protokollierte Zugriffe
  • Löschung: dokumentierte Löschkonzepte je Datentyp, Fristen nach Zweckwegfall
  • Pseudonymisierung: wo möglich (z. B. bei Trainings- und Auswertungs-Datensätzen)
  • Incident-Response: 72-Stunden-Meldekette ist eingeübt und dokumentiert

§ 6 Unterauftragsverarbeiter

Der Auftragsverarbeiter bindet nachfolgende Unterauftragsverarbeiter zur Erfüllung der Leistungen ein. Die vollständige, aktuelle Liste wird auf Anfrage als Anlage zu dieser Vereinbarung gepflegt. Beispielhafte Kategorien:

  • Hosting und Infrastruktur (EU)
  • Modell-Anbieter / LLM-API-Dienstleister (EU, nur auf ausdrückliche Zustimmung auch international mit angemessenen Garantien)
  • Support-Tools für Betrieb, Monitoring und Kommunikation

Der Wechsel oder Hinzufügung eines Unterauftragsverarbeiters wird dem Verantwortlichen mit einem Vorlauf von mindestens 30 Tagen angekündigt. Der Verantwortliche kann aus wichtigem Grund widersprechen; die Parteien suchen dann gemeinsam nach einer Lösung.

§ 7 Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Betroffenenrechte nach Art. 15–21 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit). Anfragen von Betroffenen werden unverzüglich an den Verantwortlichen weitergeleitet, nicht eigenständig beantwortet.

§ 8 Meldepflicht bei Datenpannen

Bei konkretem Verdacht oder Feststellung einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch binnen 24 Stunden nach Kenntnisnahme, unter Angabe aller verfügbaren Fakten.

§ 9 Nachweis- und Kontrollrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle notwendigen Informationen zum Nachweis der Einhaltung zur Verfügung. Kontrollen sind mit angemessener Vorankündigung (mindestens 10 Werktage) während üblicher Geschäftszeiten möglich. Der Auftragsverarbeiter behält sich vor, ein Audit aus Zertifikaten (z. B. ISO 27001 der Hoster) oder dokumentierten TOMs abzuleiten, soweit dies den Verantwortlichen ausreichend schützt.

§ 10 Löschung und Rückgabe

Nach Beendigung der Auftragsverarbeitung gibt der Auftragsverarbeiter dem Verantwortlichen auf dessen Wahl alle personenbezogenen Daten zurück oder löscht sie gemäß gesetzlichen Aufbewahrungsfristen. Die Rückgabe erfolgt in maschinenlesbarer Form (JSON / Markdown / SQL-Dump) binnen 14 Tagen nach Beendigung.

§ 11 Haftung

Die Haftung zwischen den Parteien richtet sich nach den Regelungen des Hauptvertrags. Art. 82 DSGVO bleibt unberührt.

§ 12 Schlussbestimmungen

Diese Vereinbarung unterliegt deutschem Recht. Gerichtsstand ist Hamburg, soweit zulässig. Änderungen bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Unterschriften

Ort, Datum: ______________________________

____________________________
für den Verantwortlichen

____________________________
Finn Malte Hinrichsen — half-work.com

Braucht euer DSB noch mehr?

TOMs als PDF, aktuelle Subunternehmer-Liste, branchenspezifische Ergänzungen — alles im Gespräch lösbar.

Signierte AVV + TOMs anfordern ← Zurück zu Rechtliches