Rechtsvereinbarung

Auftragsverarbeitungsvereinbarung (AVV)

Bedingungen für die Verarbeitung personenbezogener Daten durch SetAIComply als Auftragsverarbeiter gemäß Artikel 28 DSGVO.

← Zurück zur Startseite

Zuletzt aktualisiert: März 2026

1. Zweck und Geltungsbereich

Diese Auftragsverarbeitungsvereinbarung (nachfolgend „AVV”) ergänzt die Nutzungsbedingungen (nachfolgend „AGB”) und definiert die Bedingungen, unter denen SetAIComply (nachfolgend der „Auftragsverarbeiter”) personenbezogene Daten im Auftrag des Nutzers (nachfolgend der „Verantwortliche”) im Rahmen der Bereitstellung der SetAIComply-SaaS-Plattform verarbeitet.

Diese AVV wird gemäß Artikel 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (nachfolgend „DSGVO”) geschlossen. Sie gilt für alle Verarbeitungen personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der Plattform durchführt.

Im Falle eines Widerspruchs zwischen den Bestimmungen dieser AVV und denen der AGB haben die Bestimmungen dieser AVV in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.

2. Definitionen

Die in dieser AVV verwendeten Begriffe haben die ihnen durch die DSGVO zugewiesene Bedeutung, insbesondere:

  • „Personenbezogene Daten”: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in Artikel 4 Absatz 1 der DSGVO definiert
  • „Verarbeitung”: jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie in Artikel 4 Absatz 2 der DSGVO definiert
  • „Verantwortlicher”: der Nutzer der SetAIComply-Plattform, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt
  • „Auftragsverarbeiter”: SetAIComply, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
  • „Unterauftragsverarbeiter”: jeder Auftragsverarbeiter, der vom Auftragsverarbeiter beauftragt wird, bestimmte Verarbeitungsvorgänge im Auftrag des Verantwortlichen durchzuführen
  • „Datenschutzverletzung”: eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt

3. Beschreibung der Verarbeitung

3.1 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter führt folgende Verarbeitungen im Auftrag des Verantwortlichen durch:

  • Hosting und Speicherung der vom Verantwortlichen auf der Plattform eingegebenen Daten
  • Verarbeitung von Daten zu KI-Systemen für die Risikoklassifizierung und Konformitätsbewertung
  • Erstellung technischer Dokumentation unter Verwendung von Diensten der Künstlichen Intelligenz
  • Verwaltung von Benutzerkonten und Authentifizierung
  • Protokollierung von Aktionen für Prüf- und Rückverfolgbarkeitszwecke
  • Datensicherung und -wiederherstellung

3.2 Kategorien verarbeiteter Daten

  • Identifikationsdaten der Nutzer: Nachname, Vorname, berufliche E-Mail-Adresse, Berufsbezeichnung
  • Daten zu KI-Systemen: technische Beschreibungen, Anwendungsfälle, verwendete Trainingsdaten, Leistungsbewertungen
  • Prüfdaten: Aktionsprotokolle, Zeitstempel, Nutzerkennungen
  • Verbindungsdaten: IP-Adressen, Sitzungsprotokolle

3.3 Kategorien betroffener Personen

  • Beschäftigte des Verantwortlichen, die die Plattform nutzen
  • Gegebenenfalls natürliche Personen, deren Daten in den vom Verantwortlichen eingegebenen Beschreibungen der KI-Systeme erwähnt werden

3.4 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die gesamte Dauer des Abonnements des Verantwortlichen bei der SetAIComply-Plattform. Bei Ablauf oder Beendigung des Abonnements gelten die Bestimmungen von Artikel 12 dieser AVV.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich in Bezug auf Übermittlungen in ein Drittland, es sei denn, der Auftragsverarbeiter ist nach geltendem Recht dazu verpflichtet
  • Sicherzustellen, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen
  • Geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau gemäß Artikel 32 der DSGVO zu gewährleisten
  • Die in Artikel 28 Absätze 2 und 4 der DSGVO genannten Bedingungen für die Beauftragung eines weiteren Auftragsverarbeiters einzuhalten
  • Den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Ausübung der Rechte betroffener Personen zu unterstützen
  • Den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO festgelegten Pflichten zu unterstützen (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung)
  • Nach Wahl des Verantwortlichen alle personenbezogenen Daten am Ende der Diensterbringung zu löschen oder zurückzugeben und vorhandene Kopien zu vernichten, es sei denn, das geltende Recht schreibt eine Speicherung vor
  • Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 der DSGVO festgelegten Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen und daran mitzuwirken

5. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

  • Dem Auftragsverarbeiter dokumentierte Anweisungen zur Verarbeitung von Daten zu erteilen
  • Vor und während der gesamten Dauer der Verarbeitung die Einhaltung der in der DSGVO festgelegten Pflichten sicherzustellen
  • Die Rechtmäßigkeit der dem Auftragsverarbeiter anvertrauten Datenverarbeitung sicherzustellen
  • Den Auftragsverarbeiter über besondere Pflichten im Zusammenhang mit der Datenverarbeitung zu informieren
  • Die vom Auftragsverarbeiter durchgeführte Verarbeitung zu überwachen, einschließlich durch Durchführung von Audits und Inspektionen

6. Sicherheitsmaßnahmen

Der Auftragsverarbeiter setzt die folgenden technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten um:

6.1 Technische Maßnahmen

  • Verschlüsselung der Daten bei der Übertragung mittels TLS 1.3 und im Ruhezustand mittels AES-256
  • Hosting auf EU-Cloud-Infrastruktur (Railway, SOC 2 Type II zertifiziert) mit Rechenzentren in Amsterdam, Niederlande
  • Sichere Authentifizierung mit Passwort-Hashing (bcrypt-Algorithmus)
  • Rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der geringsten Berechtigung
  • Web Application Firewall (WAF) und DDoS-Schutz
  • Automatisierte und verschlüsselte Backups mit Notfallwiederherstellungsplan
  • Kontinuierliche Infrastrukturüberwachung und Echtzeit-Warnungen
  • Netzwerksegmentierung und Umgebungsisolierung

6.2 Organisatorische Maßnahmen

  • Dokumentierte und regelmäßig aktualisierte Informationssicherheitsrichtlinie
  • Sensibilisierung und Schulung der Mitarbeiter zu Datenschutz und Sicherheit
  • Verfahren zum Management von Sicherheitsvorfällen
  • Regelmäßige Sicherheitsüberprüfungen und Penetrationstests
  • Zugriffsrechteverwaltung und regelmäßige Überprüfung der Zugriffsrechte
  • Von allen Mitarbeitern unterzeichnete Vertraulichkeitsverpflichtungen

7. Unterauftragsverarbeiter

7.1 Allgemeine Genehmigung

Der Verantwortliche genehmigt dem Auftragsverarbeiter allgemein, weitere Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten im Rahmen dieser AVV zu beauftragen. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern mindestens 30 Tage vor der Änderung.

7.2 Einspruchsrecht

Der Verantwortliche hat ab der Benachrichtigung eine Frist von 15 Tagen, um begründeten Einspruch gegen einen neuen Unterauftragsverarbeiter zu erheben. Im Falle eines Einspruchs verpflichten sich die Parteien, in gutem Glauben zu verhandeln, um eine für beide Seiten akzeptable Lösung zu finden. Scheitert eine Einigung, kann der Verantwortliche den Vertrag gemäß den AGB kündigen.

7.3 Liste der Unterauftragsverarbeiter

Zum Datum dieser AVV sind die folgenden Unterauftragsverarbeiter genehmigt:

UnterauftragsverarbeiterZweckStandortBetroffene Daten
Railway CorporationAnwendungs-Hosting, Datenbanken, Cache, BackupsEuropäische Union (Amsterdam, Niederlande)Alle Plattformdaten
Stripe, Inc.ZahlungsabwicklungEuropäische UnionAbrechnungsdaten, Bankdaten
Anthropic, PBCKI-Dokumentenerstellung (Claude API)Vereinigte StaatenBeschreibende Daten von KI-Systemen (keine direkt identifizierenden Daten)
Cloudflare, Inc.Versand transaktionaler E-Mails, DNSEuropäische Union / globales Edge-Netzwerk (in den USA eingetragen)E-Mail-Adresse und Inhalt transaktionaler Nachrichten

7.4 Für Unterauftragsverarbeiter geltende Pflichten

Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter durch Datenschutzpflichten gebunden ist, die mindestens den in dieser AVV festgelegten Pflichten entsprechen. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter verantwortlich.

8. Datenübermittlungen außerhalb der EU/des EWR

Personenbezogene Daten werden innerhalb der Europäischen Union (Amsterdam, Niederlande) auf Railway-Infrastruktur gehostet und verarbeitet.

Die einzigen Datenübermittlungen außerhalb der Europäischen Union betreffen beschreibende Daten von KI-Systemen, die an Anthropic, PBC (Vereinigte Staaten) zum Zweck der KI-Dokumentenerstellung übermittelt werden. Diese Übermittlungen unterliegen:

  • Standardvertragsklauseln (SCCs), die von der Europäischen Kommission angenommen wurden (Durchführungsbeschluss 2021/914 vom 4. Juni 2021)
  • Angemessenen ergänzenden Maßnahmen, einschließlich Verschlüsselung der Daten bei der Übertragung und Minimierung der übermittelten Daten
  • Einer spezifischen Auftragsverarbeitungsvereinbarung mit Anthropic, PBC, die sicherstellt, dass die Daten nicht zum Training von KI-Modellen verwendet werden

Im regulären Betrieb der Plattform werden keine direkt identifizierenden Daten (Nachname, Vorname, E-Mail-Adresse) an Anthropic übermittelt.

9. Rechte betroffener Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflicht, auf Anträge zur Ausübung der Rechte betroffener Personen zu antworten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

Wenn der Auftragsverarbeiter einen Antrag direkt von einer betroffenen Person erhält, informiert er den Verantwortlichen unverzüglich und antwortet nicht ohne Anweisungen des Verantwortlichen auf den Antrag, es sei denn, er ist gesetzlich dazu verpflichtet.

Der Auftragsverarbeiter stellt dem Verantwortlichen über die Plattform die technischen Werkzeuge zur Verfügung, die zur Erleichterung der Ausübung der Rechte betroffener Personen erforderlich sind, insbesondere den Datenexport und die Datenlöschung.

10. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich und spätestens 48 Stunden nach Kenntnisnahme der Verletzung. Diese Benachrichtigung umfasst mindestens:

  • Die Art der Verletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze
  • Den Namen und die Kontaktdaten der Anlaufstelle, bei der weitere Informationen eingeholt werden können
  • Die wahrscheinlichen Folgen der Verletzung
  • Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen

Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und ergreift alle angemessenen Maßnahmen, um den Verantwortlichen bei der Erfüllung seiner Pflichten zur Benachrichtigung der Aufsichtsbehörde (Artikel 33 DSGVO) und der betroffenen Personen (Artikel 34 DSGVO) zu unterstützen.

11. Audits und Inspektionen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser AVV festgelegten Pflichten zur Verfügung und ermöglicht Audits, einschließlich Inspektionen, durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten Prüfer.

Audits unterliegen den folgenden Bedingungen:

  • Der Verantwortliche reicht mindestens 30 Tage vor dem geplanten Auditdatum einen schriftlichen Antrag ein
  • Das Audit wird während der normalen Geschäftszeiten durchgeführt und darf die Tätigkeiten des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen
  • Die Kosten des Audits trägt der Verantwortliche, es sei denn, das Audit deckt einen Verstoß des Auftragsverarbeiters gegen seine Pflichten auf
  • Ein Audit pro Jahr ist im Vertrag enthalten. Jedes weitere Audit bedarf der vorherigen Zustimmung des Auftragsverarbeiters und wird gesondert in Rechnung gestellt
  • Der beauftragte Prüfer unterliegt angemessenen Vertraulichkeitspflichten

Der Auftragsverarbeiter kann auch bestehende Auditberichte oder Zertifizierungen (ISO 27001, SOC 2-Berichte) als Nachweis der Einhaltung seiner Pflichten vorlegen.

12. Verbleib der Daten bei Vertragsende

Bei Ablauf oder Beendigung des Abonnements hat der Verantwortliche eine Frist von 30 Tagen, um alle seine Daten über die Exportfunktionen der Plattform herunterzuladen. Die Daten können in strukturierten und gängigen Formaten (JSON, CSV) exportiert werden.

Am Ende dieser 30-tägigen Frist und sofern der Verantwortliche keine gegenteiligen Anweisungen erteilt hat, löscht der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten dauerhaft innerhalb weiterer 60 Tage.

Der Auftragsverarbeiter darf Daten über diese Fristen hinaus nur aufbewahren, wenn dies nach EU-Recht oder französischem Recht vorgeschrieben ist (insbesondere Abrechnungsdaten, die gemäß dem Handelsgesetzbuch 10 Jahre aufbewahrt werden, und Verbindungsdaten, die gemäß Dekret Nr. 2011-219 12 Monate aufbewahrt werden). Der Auftragsverarbeiter informiert den Verantwortlichen über etwaige geltende gesetzliche Aufbewahrungspflichten.

Auf Anfrage wird dem Verantwortlichen nach Abschluss des Löschverfahrens eine Löschbestätigung ausgestellt.

13. Datenschutz-Folgenabschätzung

Wenn der Verantwortliche verpflichtet ist, eine Datenschutz-Folgenabschätzung (DSFA) im Sinne von Artikel 35 der DSGVO durchzuführen, leistet der Auftragsverarbeiter dem Verantwortlichen die angemessene Unterstützung, die zur Durchführung dieser Bewertung erforderlich ist, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

14. Verzeichnis der Verarbeitungstätigkeiten

Gemäß Artikel 30 Absatz 2 der DSGVO führt der Auftragsverarbeiter ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Verantwortlichen durchgeführt werden. Dieses Verzeichnis wird der CNIL auf Anfrage zur Verfügung gestellt.

15. Haftung

Jede Partei haftet für Schäden, die durch eine Verarbeitung verursacht werden, die nicht den ihr obliegenden Pflichten der DSGVO entspricht, gemäß den Artikeln 82 und 83 der DSGVO.

Der Auftragsverarbeiter haftet für Schäden, die durch die Verarbeitung verursacht werden, nur dann, wenn er die speziell an Auftragsverarbeiter gerichteten Pflichten der DSGVO nicht eingehalten hat oder wenn er außerhalb der oder entgegen den rechtmäßigen Weisungen des Verantwortlichen gehandelt hat.

16. Laufzeit und Beendigung

Diese AVV tritt mit der Registrierung des Verantwortlichen auf der Plattform in Kraft und bleibt in Kraft, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Die Pflichten in Bezug auf Vertraulichkeit, Sicherheit und den Verbleib der Daten bei Vertragsende bestehen nach Beendigung dieser AVV fort.

17. Anwendbares Recht und Gerichtsstand

Diese AVV unterliegt französischem Recht. Jede Streitigkeit in Bezug auf ihre Auslegung, Durchführung oder Beendigung unterliegt der ausschließlichen Zuständigkeit der zuständigen Gerichte in Paris.

18. Kontakt

Bei Fragen zu dieser AVV oder zur Verarbeitung personenbezogener Daten können Sie uns kontaktieren:

  • E-Mail: support@setaicomply.com