Vertrag zur Verarbeitung von Daten

1. Einleitung und Geltungsbereich

Dieser Vertrag über die Auftragsverarbeitung personenbezogener Daten (im Folgenden „Vertrag“) regelt die Rechte und Pflichten zwischen der Simple Tools GmbH, Mühlweg 2a, 85614 Kirchseeon (im Folgenden „Auftragnehmer“) und dem jeweiligen Kunden (im Folgenden „Auftraggeber“).

Der Auftragnehmer übernimmt die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers, insbesondere durch die Bereitstellung und Nutzung der Plattform „Mika“. Die Verarbeitung erfolgt gemäß den Bestimmungen der DSGVO sowie den vertraglich festgelegten Anweisungen des Auftraggebers.

Ziel dieses Vertrages ist es, den Schutz der verarbeiteten personenbezogenen Daten sicherzustellen und eine rechtskonforme Verarbeitung zu gewährleisten.

Der Auftragnehmer behält sich das Recht vor, den Vertrag im Falle von technischen oder rechtlichen Änderungen anzupassen, um die Einhaltung der DSGVO und andere Anforderungen zu gewährleisten.

Soweit Regelungen dieses Vertrages von den AGB abweichen und die Verarbeitung personenbezogener Daten betreffen, gehen die Regelungen dieses Vertrages vor.

Der Auftraggeber kann zwischen verschiedenen Verarbeitungsoptionen (Azure OpenAI Services innerhalb der EU oder direkte OpenAI-API mit möglichem Drittlandtransfer) wählen. Die Wahl wird projekt- bzw. agentenbezogen dokumentiert und gilt bis zur Änderung durch den Auftraggeber.

2. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung der Plattform „Mika“. Diese Datenverarbeitung umfasst unter anderem die Verarbeitung von Texten, hochgeladenen Dokumenten, die (optionale) pseudonymisierte Verarbeitung sowie die Nutzung der KI-Assistenten zur Generierung von Antworten.

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer oder bis zur Kündigung durch eine der Parteien.

3. Art und Zweck der Verarbeitung

Die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer umfasst insbesondere folgende Arten der Verarbeitung:

• Erheben, Speichern, Organisieren, Bereitstellen und Löschen von Daten innerhalb der Plattform.
• Übermittlung von Prompts/Inhalten an KI-Modelle und Entgegennahme von Antworten (kein Training oder Fine-Tuning der Modelle).
• Anwendung von Struktur- und optionalen Pseudonymisierungsfiltern zur Minimierung personenbezogener Daten.

Der Zweck der Verarbeitung besteht darin, dem Auftraggeber die Nutzung der Plattform zur Erstellung, Verwaltung und Verbesserung von KI-Assistenten zu ermöglichen.

4. Kategorien betroffener Personen

Von der Verarbeitung betroffen sind insbesondere:

• Kunden und Interessenten des Auftraggebers,
• Mitarbeitende und Endnutzer des Auftraggebers,
• Sonstige Dritte, deren personenbezogene Daten im Rahmen der Nutzung der Plattform verarbeitet werden.

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich, personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers und den geltenden Datenschutzgesetzen zu verarbeiten. Eine Nutzung zu eigenen Zwecken ist untersagt.

Weisungen des Auftraggebers werden mindestens in Textform erteilt (z. B. per E-Mail oder über die Plattform) und sind zu dokumentieren. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung eingesetzten Personen mit den Datenschutzbestimmungen vertraut sind und sich zur Vertraulichkeit verpflichtet haben.

Der Auftragnehmer stellt einen Strukturfilter bereit, der projektbezogen eingesetzt werden kann, um typische personenbezogene Strukturen zu minimieren. Die Aktivierung und Pflege des Pseudonymisierungsfilters obliegt dem Auftraggeber. Wird dieser aktiviert, sorgt der Auftragnehmer für die technisch ordnungsgemäße Anwendung innerhalb der Plattform.

Die Verantwortung für die Rechtmäßigkeit der Verarbeitung sowie für die Qualität der übermittelten Daten liegt beim Auftraggeber bis zur erfolgreichen und fehlerfreien Übermittlung an die Plattform.

6. Sicherheitsmaßnahmen

Der Auftragnehmer verpflichtet sich, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten umzusetzen. Diese Maßnahmen umfassen, aber sind nicht beschränkt auf:

• Verwendung von SSL/TLS zur sicheren Übertragung von Daten,
• Zugriffsbeschränkungen auf personenbezogene Daten (Need-to-know-Prinzip),
• Regelmäßige Überprüfungen der Sicherheitsprotokolle und Systeme zur Identifikation und Behebung von Schwachstellen,
• Anwendung des optionalen Pseudonymisierungsfilters (sofern aktiviert) sowie des Strukturfilters zur Minimierung personenbezogener Daten.

Die Sicherheitsmaßnahmen können an technische Entwicklungen angepasst werden, ohne das vereinbarte Schutzniveau zu unterschreiten.

7. Partnerschaften und Weitergabe der Daten

Der Auftragnehmer ist berechtigt, zur Erbringung der vertraglich geschuldeten Leistungen externe Partner (Unterauftragsverarbeiter) einzusetzen, z. B. Anbieter von KI-Diensten oder Hosting-Infrastruktur.

Die Verarbeitung personenbezogener Daten durch diese Partner erfolgt auf Basis geeigneter vertraglicher Vereinbarungen gemäß Art. 28 DSGVO. Wählt der Auftraggeber die Verarbeitungsoption ‚Azure OpenAI Services (EU-only)‘, erfolgt die Verarbeitung personenbezogener Daten ausschließlich in Rechenzentren innerhalb der Europäischen Union (Region Sweden Central) und damit im Geltungsbereich der DSGVO sowie des Europäischen Wirtschaftsraums (EWR). Bei Auswahl der Verarbeitungsoption „direkte OpenAI-API“ kann eine Verarbeitung in einem Drittland (USA) stattfinden. In diesem Fall stützt sich der Auftragnehmer auf geeignete Garantien nach Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln).

Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die ordnungsgemäße Datenverarbeitung durch Unterauftragsverarbeiter verantwortlich.

8. Rechte und Pflichten des Auftraggebers

Der Auftraggeber ist dafür verantwortlich, die erforderlichen Rechtsgrundlagen (z. B. Einwilligungen, Verträge) für die Verarbeitung einzuholen. Er trägt die Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen bei Erhebung, Verarbeitung und Nutzung der Daten.

Der Auftraggeber ist zudem verantwortlich für die Pflege und Vollständigkeit des Pseudonymisierungsfilters sowie für die korrekte Nutzung der bereitgestellten Datenschutzfunktionen.

Der Auftraggeber ist für die Bearbeitung von Betroffenenanfragen (z. B. Auskunft, Löschung) verantwortlich. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung dieser Pflichten in angemessenem Umfang und gegen Vergütung, sofern der Aufwand über die vertraglich vereinbarten Leistungen hinausgeht.

Eine Prüfung der Einhaltung der datenschutzrechtlichen Vorschriften und der vertraglich vereinbarten Maßnahmen erfolgt im Rahmen der zwischen den Parteien abgestimmten Prozesse. Ein direkter Systemzugriff des Auftraggebers ist nicht vorgesehen.

9. Meldepflichten

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen geltende Datenschutzbestimmungen verstößt.

Bei einer Verletzung des Schutzes personenbezogener Daten oder einem anderen Datenschutzvorfall benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme. Ergänzende Informationen werden nachgereicht, sobald sie verfügbar sind.

10. Beendigung des Vertrags

Bei Beendigung des Auftragsverhältnisses hat der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten entweder zu löschen oder dem Auftraggeber – nach dessen Wahl – herauszugeben. Dies gilt auch für etwaige Kopien.

Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Verlangen den Nachweis der ordnungsgemäßen Löschung oder Rückgabe der Daten zu erbringen.

Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden mindestens drei Jahre nach Vertragsbeendigung aufbewahrt.

Zusätzliche Arbeiten im Zusammenhang mit der Löschung oder Rückgabe von Daten, die über die vertraglich vorgesehenen Maßnahmen hinausgehen, können nach vorheriger Abstimmung und Zustimmung des Auftraggebers gesondert vergütet werden.

11. Haftung und Vertragsstrafe

Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen. Er haftet nicht für Schäden, die aus Handlungen, Vorschlägen oder Empfehlungen der KI-Assistenten resultieren. Der Auftraggeber ist verpflichtet, die Ergebnisse der KI-Assistenten vor Nutzung zu prüfen.

Eine Vertragsstrafe wird nur im Falle eines nachweislichen Verstoßes gegen wesentliche Pflichten dieses Vertrages und im gesetzlich zulässigen Rahmen fällig.

Im Übrigen gelten die Haftungsregelungen der AGB, soweit sie diesem Vertrag nicht widersprechen.

12. Sonstiges

Beide Parteien sind verpflichtet, alle im Rahmen dieses Vertragsverhältnisses erlangten Informationen vertraulich zu behandeln, auch nach Beendigung des Vertrags. Dies gilt insbesondere für Geschäftsgeheimnisse und datenschutzrelevante Informationen.

Nebenabreden zu diesem Vertrag bedürfen der Textform.

Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt diejenige, die dem wirtschaftlichen Zweck am nächsten kommt.

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

Stand: 22.07.2025

Diese Maßnahmen beschreiben, wie der Auftragnehmer personenbezogene Daten nach Art. 32 DSGVO schützt. Sie gelten für die Verarbeitung auf der Plattform „Mika“. Je nach gewählter Verarbeitungsoption (Azure EU-only oder direkte OpenAI-API) unterscheiden sich einzelne Aspekte der Infrastruktur.

1. Vertraulichkeit

1.1 Zutrittskontrolle (physischer Zugang zu Servern)

• Azure EU-only: Verarbeitung in Rechenzentren von Microsoft Azure (Region „Sweden Central“, EU); physischer Zugang ist auf autorisiertes Provider-Personal beschränkt (z. B. Zutrittskarten, Überwachung).
• Direkte OpenAI-API: Verarbeitung über OpenAI Ireland Ltd.; primäre Rechenzentren befinden sich u. a. in Irland. Ein (technischer) Zugriff aus Drittländern kann nicht vollständig ausgeschlossen werden.

1.2 Zugangskontrolle (Schutz vor unbefugter Nutzung der Systeme)

• Individuelle Benutzerkonten und starke Passwörter für Server- und Administrationszugänge.

1.3 Zugriffskontrolle (Rechte innerhalb der Anwendung)

• Rollen- und Rechtevergabe innerhalb der Plattform auf Basis eindeutiger Nutzer-IDs (z. B. Team-/Projektzuordnungen).

1.4 Weitergabekontrolle (Übertragung an Dritte)

• TLS/HTTPS für sämtliche externen Verbindungen (Browser ↔︎ Mika, Mika ↔︎ KI-Provider).
• Unterauftragsverarbeiter werden vertraglich zur weisungsgebundenen Verarbeitung, Vertraulichkeit und zur Einhaltung angemessener technischer und organisatorischer Maßnahmen verpflichtet. Bei direkter OpenAI-API kommen EU-Standardvertragsklauseln und ergänzende Maßnahmen zum Einsatz.

2. Integrität

2.1 Eingabekontrolle

• Relevante Systemereignisse werden protokolliert; Protokolle dienen der Nachvollziehbarkeit wesentlicher Vorgänge.

3. Verfügbarkeit & Belastbarkeit

• Regelmäßige Backups der relevanten Daten mit definierten Wiederherstellungsprozessen.
• Systeme werden überwacht; bei Störungen erfolgen Benachrichtigungen und Maßnahmen zur Wiederherstellung des Betriebs.

4. Pseudonymisierung & Datenminimierung

• Strukturfilter: Automatische Erkennung und Ersetzung typischer personenbezogener Daten (z. B. E-Mail-Adressen, Telefonnummern); optional aktivierbar.
• Pseudonymisierungsfilter (optional): Projektspezifische Schlüsselwörter können durch Platzhalter ersetzt werden; Pflege durch den Auftraggeber, technische Umsetzung durch die Plattform.
• Speicherung nur der für die Zwecke der Plattform erforderlichen Daten; Logdaten werden in reduziertem Umfang geführt.

5. Prozesse zur Überprüfung & Bewertung

• Interne Sicherheitsüberprüfungen und Updates erfolgen nach Bedarf.
• Ein Incident-Response-Prozess ist definiert: Datenschutzvorfälle werden dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, gemeldet; ergänzende Informationen folgen, sobald verfügbar.

6. Datentrennung

• Logische Trennung der Kundendaten über eindeutige Kunden-/Projekt-IDs innerhalb der Datenbank.
• Trennung von Produktiv- und Testumgebungen; produktive personenbezogene Daten werden nicht zu Testzwecken verwendet.

7. Verschlüsselung

• Transportverschlüsselung: TLS (HTTPS) für externe Datenübertragungen.