Dieser Vertrag über die Auftragsverarbeitung personenbezogener Daten (im Folgenden „Vertrag“) regelt die Rechte und Pflichten zwischen der Simple Tools GmbH, Mühlweg 2a, 85614 Kirchseeon (im Folgenden „Auftragnehmer“) und dem jeweiligen Kunden (im Folgenden „Auftraggeber“).
Der Auftragnehmer übernimmt die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers, insbesondere durch die Bereitstellung und Nutzung der Plattform „Mika“. Die Verarbeitung erfolgt gemäß den Bestimmungen der DSGVO sowie den vertraglich festgelegten Anweisungen des Auftraggebers.
Ziel dieses Vertrages ist es, den Schutz der verarbeiteten personenbezogenen Daten sicherzustellen und eine rechtskonforme Verarbeitung zu gewährleisten.
Der Auftragnehmer behält sich das Recht vor, den Vertrag im Falle von technischen oder rechtlichen Änderungen anzupassen, um die Einhaltung der DSGVO und andere Anforderungen zu gewährleisten.
Soweit Regelungen dieses Vertrages von den AGB abweichen und die Verarbeitung personenbezogener Daten betreffen, gehen die Regelungen dieses Vertrages vor.
Der Auftraggeber kann zwischen verschiedenen Verarbeitungsoptionen (Azure OpenAI Services innerhalb der EU oder direkte OpenAI-API mit möglichem Drittlandtransfer) wählen. Die Wahl wird projekt- bzw. agentenbezogen dokumentiert und gilt bis zur Änderung durch den Auftraggeber.
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung der Plattform „Mika“. Diese Datenverarbeitung umfasst unter anderem die Verarbeitung von Texten, hochgeladenen Dokumenten, die (optionale) pseudonymisierte Verarbeitung sowie die Nutzung der KI-Assistenten zur Generierung von Antworten.
Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer oder bis zur Kündigung durch eine der Parteien.
Die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer umfasst insbesondere folgende Arten der Verarbeitung:
Der Zweck der Verarbeitung besteht darin, dem Auftraggeber die Nutzung der Plattform zur Erstellung, Verwaltung und Verbesserung von KI-Assistenten zu ermöglichen.
Von der Verarbeitung betroffen sind insbesondere:
Der Auftragnehmer verpflichtet sich, personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers und den geltenden Datenschutzgesetzen zu verarbeiten. Eine Nutzung zu eigenen Zwecken ist untersagt.
Weisungen des Auftraggebers werden mindestens in Textform erteilt (z. B. per E-Mail oder über die Plattform) und sind zu dokumentieren. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.
Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung eingesetzten Personen mit den Datenschutzbestimmungen vertraut sind und sich zur Vertraulichkeit verpflichtet haben.
Der Auftragnehmer stellt einen Strukturfilter bereit, der projektbezogen eingesetzt werden kann, um typische personenbezogene Strukturen zu minimieren. Die Aktivierung und Pflege des Pseudonymisierungsfilters obliegt dem Auftraggeber. Wird dieser aktiviert, sorgt der Auftragnehmer für die technisch ordnungsgemäße Anwendung innerhalb der Plattform.
Die Verantwortung für die Rechtmäßigkeit der Verarbeitung sowie für die Qualität der übermittelten Daten liegt beim Auftraggeber bis zur erfolgreichen und fehlerfreien Übermittlung an die Plattform.
Der Auftragnehmer verpflichtet sich, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten umzusetzen. Diese Maßnahmen umfassen, aber sind nicht beschränkt auf:
Die Sicherheitsmaßnahmen können an technische Entwicklungen angepasst werden, ohne das vereinbarte Schutzniveau zu unterschreiten.
Der Auftragnehmer ist berechtigt, zur Erbringung der vertraglich geschuldeten Leistungen externe Partner (Unterauftragsverarbeiter) einzusetzen, z. B. Anbieter von KI-Diensten oder Hosting-Infrastruktur.
Die Verarbeitung personenbezogener Daten durch diese Partner erfolgt auf Basis geeigneter vertraglicher Vereinbarungen gemäß Art. 28 DSGVO. Wählt der Auftraggeber die Verarbeitungsoption ‚Azure OpenAI Services (EU-only)‘, erfolgt die Verarbeitung personenbezogener Daten ausschließlich in Rechenzentren innerhalb der Europäischen Union (Region Sweden Central) und damit im Geltungsbereich der DSGVO sowie des Europäischen Wirtschaftsraums (EWR). Bei Auswahl der Verarbeitungsoption „direkte OpenAI-API“ kann eine Verarbeitung in einem Drittland (USA) stattfinden. In diesem Fall stützt sich der Auftragnehmer auf geeignete Garantien nach Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln).
Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die ordnungsgemäße Datenverarbeitung durch Unterauftragsverarbeiter verantwortlich.
Der Auftraggeber ist dafür verantwortlich, die erforderlichen Rechtsgrundlagen (z. B. Einwilligungen, Verträge) für die Verarbeitung einzuholen. Er trägt die Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen bei Erhebung, Verarbeitung und Nutzung der Daten.
Der Auftraggeber ist zudem verantwortlich für die Pflege und Vollständigkeit des Pseudonymisierungsfilters sowie für die korrekte Nutzung der bereitgestellten Datenschutzfunktionen.
Der Auftraggeber ist für die Bearbeitung von Betroffenenanfragen (z. B. Auskunft, Löschung) verantwortlich. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung dieser Pflichten in angemessenem Umfang und gegen Vergütung, sofern der Aufwand über die vertraglich vereinbarten Leistungen hinausgeht.
Eine Prüfung der Einhaltung der datenschutzrechtlichen Vorschriften und der vertraglich vereinbarten Maßnahmen erfolgt im Rahmen der zwischen den Parteien abgestimmten Prozesse. Ein direkter Systemzugriff des Auftraggebers ist nicht vorgesehen.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen geltende Datenschutzbestimmungen verstößt.
Bei einer Verletzung des Schutzes personenbezogener Daten oder einem anderen Datenschutzvorfall benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme. Ergänzende Informationen werden nachgereicht, sobald sie verfügbar sind.
Bei Beendigung des Auftragsverhältnisses hat der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten entweder zu löschen oder dem Auftraggeber – nach dessen Wahl – herauszugeben. Dies gilt auch für etwaige Kopien.
Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Verlangen den Nachweis der ordnungsgemäßen Löschung oder Rückgabe der Daten zu erbringen.
Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden mindestens drei Jahre nach Vertragsbeendigung aufbewahrt.
Zusätzliche Arbeiten im Zusammenhang mit der Löschung oder Rückgabe von Daten, die über die vertraglich vorgesehenen Maßnahmen hinausgehen, können nach vorheriger Abstimmung und Zustimmung des Auftraggebers gesondert vergütet werden.
Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen. Er haftet nicht für Schäden, die aus Handlungen, Vorschlägen oder Empfehlungen der KI-Assistenten resultieren. Der Auftraggeber ist verpflichtet, die Ergebnisse der KI-Assistenten vor Nutzung zu prüfen.
Eine Vertragsstrafe wird nur im Falle eines nachweislichen Verstoßes gegen wesentliche Pflichten dieses Vertrages und im gesetzlich zulässigen Rahmen fällig.
Im Übrigen gelten die Haftungsregelungen der AGB, soweit sie diesem Vertrag nicht widersprechen.
Beide Parteien sind verpflichtet, alle im Rahmen dieses Vertragsverhältnisses erlangten Informationen vertraulich zu behandeln, auch nach Beendigung des Vertrags. Dies gilt insbesondere für Geschäftsgeheimnisse und datenschutzrelevante Informationen.
Nebenabreden zu diesem Vertrag bedürfen der Textform.
Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt diejenige, die dem wirtschaftlichen Zweck am nächsten kommt.
Stand: 22.07.2025
Diese Maßnahmen beschreiben, wie der Auftragnehmer personenbezogene Daten nach Art. 32 DSGVO schützt. Sie gelten für die Verarbeitung auf der Plattform „Mika“. Je nach gewählter Verarbeitungsoption (Azure EU-only oder direkte OpenAI-API) unterscheiden sich einzelne Aspekte der Infrastruktur.