Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Version 1.0 | Stand: Mai 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Nutzung der Compliance-Software Custodio (nachfolgend „Plattform“) ergeben. Die Plattform wird als Software-as-a-Service (SaaS) vom Auftragnehmer bereitgestellt und ermöglicht dem Auftraggeber die digitale Verwaltung von Datenschutz-, Compliance- und IT-Sicherheitsanforderungen.

Sämtliche in diesem Vertrag beschriebenen Verpflichtungen finden Anwendung auf alle Tätigkeiten, die mit der Nutzung der Plattform in Zusammenhang stehen und bei denen Mitarbeiterinnen und Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen bzw. kommen können.

Hinweis Art. 9 DSGVO: Die Verarbeitung kann besondere Kategorien personenbezogener Daten umfassen (Gesundheits-/Patientendaten), sofern der Auftraggeber solche Daten in die Plattform eingibt. In diesem Fall unterliegt der Auftragnehmer den verschärften Anforderungen des Art. 9 Abs. 2 i.V.m. Art. 32 DSGVO sowie ggf. der ärztlichen Schweigepflicht gemäß § 203 StGB.

Vertragsparteien

Zwischen

[Name und Anschrift des Kunden]
[Straße, PLZ Ort]
Vertreten durch: [Geschäftsführer/Inhaber]

— nachfolgend „Auftraggeber“ (Verantwortlicher gem. Art. 4 Nr. 7 DSGVO) —

und

NordPrax GmbH
Rudower Chaussee 29, 12489 Berlin
Registergericht: Amtsgericht Charlottenburg, HRB 239739 B
E-Mail: info@custodio-compliance.de

— nachfolgend „Auftragnehmer“ (Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO) —

§ 1 Definitionen

Es gelten die Begriffsbestimmungen entsprechend Art. 4 DSGVO, § 2 GeschGehG und § 2 TDDDG sowie das jeweils anwendbare Landesdatenschutzgesetz. Sollten sich widersprechende Darstellungen ergeben, gelten die Definitionen in der Rangfolge DSGVO, Bundesrecht, Landesrecht. Weiterhin gelten folgende Begriffsbestimmungen:

  1. Anonymisierung: Prozess, bei dem personenbezogene Daten unumkehrbar so verändert werden, dass sich die betroffene Person danach weder direkt noch indirekt identifizieren lässt (DIN EN ISO 25237).
  2. Plattform: Die vom Auftragnehmer betriebene SaaS-Anwendung „Custodio“ zur Verwaltung von Datenschutz-, Compliance- und IT-Sicherheitsprozessen, einschließlich aller zugehörigen Module (DSE-Generator, AVV-Generator, VVT, TOM, KI-Analyse etc.).
  3. Unterauftragnehmer: Vom Auftragnehmer beauftragter Leistungserbringer, dessen Dienstleistung der Auftragnehmer zur Erbringung der in diesem Vertrag beschriebenen Leistungen gegenüber dem Auftraggeber benötigt.
  4. Verarbeitung im Auftrag: Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers.
  5. Weisung: Die auf einen bestimmten datenschutzmäßigen Umgang (z. B. Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch diesen AVV festgelegt und können danach in schriftlicher Form geändert, ergänzt oder ersetzt werden (Einzelweisung).
  6. KI-Verarbeitung: Die auf der Plattform eingesetzte künstliche Intelligenz (Ollama, self-hosted) zur Unterstützung von Compliance-Analysen. Es werden keine externen KI-APIs (OpenAI, Google, Anthropic o. Ä.) genutzt; die gesamte KI-Verarbeitung erfolgt auf eigener Infrastruktur des Auftragnehmers in Deutschland.

§ 2 Gegenstand des Auftrags

Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber in dessen Auftrag und nach dessen Weisung im Zusammenhang mit der Nutzung der Plattform Custodio (nachstehend „Hauptvertrag“).

BezeichnungDetails
Verarbeitungszweck Bereitstellung und Betrieb der SaaS-Plattform Custodio für Datenschutz-Management, Compliance-Dokumentation, Verarbeitungsverzeichnisse, AVV-Generierung, DSE-Generierung, TOM-Verwaltung, Auftragsverarbeiter-Verwaltung, Schulungsverwaltung (LMS), KI-gestützte Compliance-Analyse.
DatenkategorienDetails
Kontaktdaten Name, E-Mail, Telefon, Anschrift von Ansprechpartnern des Auftraggebers
Firmendaten Firmenname, Adresse, Handelsregisternummer, Steuer-ID, Branche
Compliance-Daten Verarbeitungsverzeichnisse, TOM-Dokumentation, DSE-Texte, AVV-Entwürfe, Schulungsnachweise, Audit-Ergebnisse, Risikobewertungen
Beschäftigtendaten Namen, E-Mail-Adressen, Schulungsstatus und Zertifikate von Mitarbeitern des Auftraggebers (soweit in die Plattform eingegeben)
Besondere Kategorien (Art. 9 DSGVO) Ggf. Gesundheitsdaten / Patientendaten, sofern der Auftraggeber solche Daten in die Plattform eingibt (z. B. im Rahmen der Dokumentation von Verarbeitungstätigkeiten einer Arztpraxis). Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 BDSG.
Betroffene PersonenkreiseDetails
Bei den Betroffenen handelt es sich um: Kunden des Auftraggebers, Beschäftigte des Auftraggebers, Patienten des Auftraggebers (sofern Gesundheits-/Arztpraxisdaten verarbeitet werden), Geschäftspartner und Kontakte des Auftraggebers, Auftragsverarbeiter des Auftraggebers
Art der VerarbeitungDetails
Tätigkeiten gem. Art. 4 Nr. 2 DSGVO: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung (Export-Funktionen), Abgleichen, Einschränken, Löschen oder Vernichten. Einschließlich KI-gestützter Analyse durch self-hosted Ollama (keine externe API).

§ 3 Verantwortlichkeiten

  1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).
  2. Der Auftraggeber bestimmt Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten auf der Plattform. Er trägt die Verantwortung für die Richtigkeit, Integrität, Zweckbindung und Rechtsgrundlage der eingegebenen Daten.
  3. Auftraggeber sowie Auftragnehmer müssen gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, sind auf das Datengeheimnis zu verpflichten und über ihre Datenschutzpflichten zu belehren. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.
  4. Der Auftraggeber und der Auftragnehmer sind bezüglich der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich.

§ 4 Dauer des Auftrags

  1. Die Dauer des Auftrags richtet sich nach der Laufzeit des Nutzungsvertrages (Hauptvertrag) für die Plattform Custodio, sofern sich aus den Bestimmungen dieses AVV nicht etwas anderes ergibt.
  2. Es ist den Vertragspartnern bewusst, dass ohne Vorliegen eines gültigen AVV keine (weitere) Auftragsverarbeitung durchgeführt werden darf.
  3. Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragnehmer schwerwiegend gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages verstößt und trotz schriftlicher Abmahnung keine Abhilfe schafft.
  4. Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform (E-Mail genügt).

§ 5 Weisungsbefugnis des Auftraggebers

  1. Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers. Ausgenommen hiervon sind Sachverhalte, in denen dem Auftragnehmer eine Verarbeitung aus zwingenden rechtlichen Gründen auferlegt wird. Der Auftragnehmer unterrichtet, soweit ihm möglich, in derartigen Situationen den Auftraggeber vor Beginn der Verarbeitung über die entsprechenden rechtlichen Anforderungen.
  2. Der Auftraggeber behält sich ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann.
  3. Die Weisungen des Auftraggebers werden dokumentiert und in Textform (E-Mail genügt) erteilt. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
  4. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind von der Weisungsbefugnis des Auftraggebers gedeckt und entsprechend zu dokumentieren.
  5. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Er ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

§ 6 Leistungsort

  1. Der Auftragnehmer erbringt die vertraglichen Leistungen ausschließlich in Deutschland. Die Plattform Custodio wird auf Servern der Hetzner Online GmbH in Deutschland gehostet.
  2. Die KI-Verarbeitung (Ollama) erfolgt self-hosted auf eigener Infrastruktur des Auftragnehmers in Deutschland. Es werden keine externen KI-APIs genutzt (kein OpenAI, kein Google Gemini, kein Anthropic Claude API, keine sonstigen Drittanbieter-KI-Dienste). Die Daten verlassen zu keinem Zeitpunkt die Infrastruktur des Auftragnehmers in Deutschland.
  3. Etwaige Unterauftragnehmer erbringen die sie betreffenden Leistungen in der Europäischen Union (EU) oder im Europäischen Wirtschaftsraum (EWR). Für Zahlungsabwicklung (Stripe) gelten die Regelungen in § 9.
  4. Der Auftraggeber wird über Änderungen des Leistungsorts mindestens 60 Tage im Voraus schriftlich informiert.
Zusammenfassung Datenstandort: Alle personenbezogenen Daten verbleiben auf Servern in Deutschland. Die KI-Analyse erfolgt lokal (Ollama, self-hosted). Kein Datenabfluss an Cloud-KI-Anbieter.

§ 7 Pflichten des Auftragnehmers

  1. Der Auftragnehmer darf Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.
  2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen (siehe Anlage 2 – TOM). Wesentliche Änderungen sind zu dokumentieren und dem Auftraggeber mitzuteilen.
  3. Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch ein aussagekräftiges und aktuelles Datenschutz- und Sicherheitskonzept für die Plattform zur Verfügung.
  4. Der Auftragnehmer führt für die Verarbeitung ein Verzeichnis der Verarbeitungstätigkeiten im Sinne des Art. 30 Abs. 2 DSGVO und stellt es dem Auftraggeber sowie auf Anfrage der Aufsichtsbehörde zur Verfügung.
  5. Der Auftragnehmer unterstützt den Auftraggeber bei allen sich aus Art. 32 bis 36 DSGVO ergebenden Verpflichtungen des Verantwortlichen mit allen ihm zur Verfügung stehenden Informationen, einschließlich einer ggf. erforderlichen Vorabkonsultation der zuständigen Aufsichtsbehörde (Art. 36 DSGVO).
  6. Vertraulichkeit: Der Auftragnehmer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebsgeheimnissen und Datensicherheitsmaßnahmen des Auftraggebers vertraulich zu behandeln. Diese Pflicht gilt auch nach Beendigung des Vertrages. Alle Personen des Auftragnehmers sind auf § 53 BDSG und § 203 StGB (soweit anwendbar) zu verpflichten.
  7. Meldepflichten: Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei Verstößen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die in diesem AVV getroffenen Festlegungen. Erstmeldung spätestens binnen 24 Stunden nach Kenntniserlangung. Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl Betroffener, Zeitpunkt, voraussichtliche Folgen, ergriffene Sofortmaßnahmen.
  8. Datenschutzbeauftragter: Der Auftragnehmer hat einen Datenschutzbeauftragten bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. Der Auftragnehmer gewährleistet die Einhaltung der Anforderungen des Art. 38 DSGVO.
  9. Schulung: Der Auftragnehmer stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 29 DSGVO) und regelmäßig – mindestens einmal jährlich – datenschutzrechtlich geschult werden. Schulungsnachweise sind auf Anfrage vorzulegen.
  10. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung oder Löschung seiner Daten wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich, spätestens binnen 3 Werktagen, an den Auftraggeber weiterleiten.
  11. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen und Maßnahmen durch Aufsichtsbehörden oder falls eine Aufsichtsbehörde beim Auftragnehmer ermittelt.
  12. Der Auftragnehmer verwendet die überlassenen Daten für keine anderen Zwecke als die der Vertragserfüllung. Insbesondere werden Kundendaten nicht für KI-Modelltraining verwendet.
  13. Die Erfüllung der vorgenannten Pflichten ist vom Auftragnehmer zu kontrollieren, zu dokumentieren und in geeigneter Weise gegenüber dem Auftraggeber auf Anforderung nachzuweisen. Dokumentationen sind mindestens 3 Jahre nach Vertragsende aufzubewahren.

§ 8 Fernzugriff und Wartung

Für die Durchführung von Wartungsarbeiten an der Plattform sowie technischen Support gelten ergänzend folgende Rechte und Pflichten:
  1. Wartungsarbeiten an der Plattform (Updates, Patches, Datenbankwartung) werden vom Auftragnehmer im Rahmen des normalen SaaS-Betriebs durchgeführt. Der Auftragnehmer minimiert dabei den Zugriff auf personenbezogene Daten des Auftraggebers.
  2. Fernzugriffe auf individuelle Kundendaten (z. B. bei Support-Anfragen) werden nur mit Zustimmung des Auftraggebers ausgeführt.
  3. Alle Wartungs- und Supportzugriffe werden vollständig protokolliert (Zeitstempel, Mitarbeiter-ID, ausgeführte Aktionen, Dauer).
  4. Der Auftragnehmer verwendet angemessene Identifizierungs- und Verschlüsselungsverfahren (mindestens TLS 1.2, bevorzugt TLS 1.3, SSH mit Key-Authentifizierung).
  5. Geplante Wartungsfenster werden dem Auftraggeber mindestens 5 Werktage im Voraus angekündigt (Sicherheits-Patches ausgenommen).
  6. Die Wartungsprotokolle werden dem Auftraggeber auf Anfrage binnen 48 Stunden bereitgestellt.

§ 9 Datenübermittlung in Drittländer (Art. 44–49 DSGVO)

  1. Kerninfrastruktur: Die gesamte Kerninfrastruktur der Plattform (Anwendungsserver, Datenbank, Dateispeicher, KI-Modelle) befindet sich ausschließlich in Deutschland (Hetzner Online GmbH, Rechenzentren in Deutschland).
  2. KI-Verarbeitung: Die KI-Analyse erfolgt über self-hosted Ollama auf eigener Infrastruktur in Deutschland. Es findet keine Übermittlung personenbezogener Daten an OpenAI, Google, Anthropic oder sonstige externe KI-Anbieter statt.
  3. Zahlungsabwicklung: Für die Zahlungsabwicklung wird Stripe, Inc. (USA) eingesetzt. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO. An Stripe werden ausschließlich Zahlungsdaten (Name, E-Mail, Rechnungsadresse, Zahlungsmittel) übermittelt – keine Compliance-Daten, keine Gesundheitsdaten.
  4. E-Mail-Versand: Für transaktionale E-Mails kann ein SMTP-Provider eingesetzt werden. Soweit dieser außerhalb der EU/des EWR betrieben wird, gelten SCC und ergänzende Schutzmaßnahmen (TLS-Verschlüsselung, Datenminimierung). E-Mail-Inhalte enthalten keine Compliance- oder Gesundheitsdaten.
  5. Der Auftragnehmer stellt sicher, dass ein dem EU-Datenschutzniveau gleichwertiges Schutzniveau gewährleistet wird. Er informiert den Auftraggeber unverzüglich über wesentliche Änderungen (z. B. Entscheidungen ausländischer Behörden). In diesem Fall hat der Auftraggeber das Recht, die Datenverarbeitung zu suspendieren.

§ 10 Pflichten des Auftraggebers

  1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.
  2. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Nutzung der Plattform Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.
  3. Der Auftraggeber ist hinsichtlich der in die Plattform eingegebenen Daten datenschutzrechtlich verantwortlich und hat die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO.
  4. Dem Auftraggeber obliegen die aus Art. 33, 34 DSGVO resultierenden Informationspflichten gegenüber der Aufsichtsbehörde bzw. den von einer Verletzung betroffenen Personen.
  5. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.
  6. Der Auftraggeber stellt sicher, dass er über eine gültige Rechtsgrundlage (Art. 6, ggf. Art. 9 DSGVO) für die in die Plattform eingegebenen personenbezogenen Daten verfügt.
  7. Der Auftraggeber ist für die Sicherheit seiner Zugangsdaten (Passwörter, MFA-Token) zur Plattform verantwortlich und stellt sicher, dass nur autorisierte Personen Zugang erhalten.

§ 11 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Hierfür kann er insbesondere heranziehen: datenschutzspezifische Zertifizierungen (z. B. ISO 27001), schriftliche Selbstauskünfte des Auftragnehmers, Testate eines Sachverständigen oder Vor-Ort-Überprüfungen nach rechtzeitiger Anmeldung zu den üblichen Geschäftszeiten.
  2. Überprüfungen sind in der Regel mindestens 14 Tage vorher anzumelden, sofern nicht eine Kontrolle ohne vorherige Anmeldung erforderlich erscheint.
  3. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb von 10 Werktagen alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind.
  4. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.
  5. Der Auftragnehmer stellt dem Auftraggeber jährlich einen zusammenfassenden Bericht über die getroffenen technischen und organisatorischen Maßnahmen (TOM-Report) zur Verfügung.

§ 12 Löschung und Rückgabe von Daten

  1. Während der laufenden Beauftragung berichtigt, löscht oder sperrt der Auftragnehmer die vertragsgegenständlichen Daten nur auf Anweisung des Auftraggebers.
  2. Der Auftraggeber kann jederzeit über die Plattform einen vollständigen Datenexport seiner Daten in maschinenlesbarem Format (JSON, CSV, PDF) durchführen.
  3. Nach Beendigung des Hauptvertrages hat der Auftraggeber eine Frist von 30 Tagen, um sämtliche Daten zu exportieren. Der Auftragnehmer unterstützt bei Bedarf beim Export.
  4. Nach Ablauf der 30-Tage-Exportfrist werden sämtliche personenbezogenen Daten des Auftraggebers unwiderruflich gelöscht, einschließlich aller Sicherungskopien und Replikate. Das Löschprotokoll wird dem Auftraggeber auf Anforderung vorgelegt.
  5. Gesetzliche Aufbewahrungspflichten bleiben unberührt (z. B. § 147 AO, § 257 HGB). Der Auftragnehmer informiert den Auftraggeber über alle anwendbaren Aufbewahrungsfristen.
  6. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer über das Vertragsende hinaus mindestens 3 Jahre aufzubewahren.

§ 13 Unterauftragnehmer

  1. Der Auftragnehmer setzt die in Anlage 1 aufgeführten Unterauftragnehmer ein. Der Auftraggeber stimmt der Nutzung dieser Unterauftragnehmer mit Abschluss dieses AVV zu (Allgemeingenehmigung gemäß Art. 28 Abs. 2 DSGVO).
  2. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung (Hinzuziehung oder Austausch von Unterauftragnehmern) mit einer Vorankündigungsfrist von mindestens 30 Tagen. Der Auftraggeber hat das Recht, die beabsichtigte Änderung innerhalb dieser Frist zu beanstanden.
  3. Der Auftragnehmer muss Unterauftragnehmer unter besonderer Berücksichtigung der Eignung hinsichtlich der Erfüllung der vereinbarten technischen und organisatorischen Maßnahmen gewissenhaft auswählen.
  4. Ist der Auftragnehmer befugt, Unterauftragnehmer in Anspruch zu nehmen, werden diesem im Wege eines Vertrages dieselben Pflichten auferlegt, die in dieser Vereinbarung festgelegt sind, insbesondere hinsichtlich Vertraulichkeit, Datenschutz und Datensicherheit (Art. 28 Abs. 4 DSGVO).
  5. Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.
  6. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.

§ 14 Haftung

  1. Auftraggeber und Auftragnehmer haften für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, gemeinsam im Außenverhältnis gegenüber der jeweiligen betroffenen Person (Art. 82 Abs. 2 DSGVO).
  2. Der Auftragnehmer haftet ausschließlich für Schäden, die auf einer von ihm durchgeführten Verarbeitung beruhen, bei der er den aus der DSGVO resultierenden und speziell für Auftragsverarbeiter auferlegten Pflichten nicht nachgekommen ist oder er unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt hat.
  3. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff auf den Auftragnehmer vorbehalten (Art. 82 Abs. 5 DSGVO).
  4. Im Innenverhältnis zwischen Auftraggeber und Auftragnehmer haftet der Auftragnehmer für den durch eine Verarbeitung verursachten Schaden nur, wenn er seinen ihm speziell durch die DSGVO auferlegten Pflichten nicht nachgekommen ist oder gegen die rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt hat.
  5. Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.

§ 15 Schlussbestimmungen

  1. Schriftformklausel: Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung. Das Schriftformerfordernis gilt auch für den Verzicht auf dieses Formerfordernis. E-Mail genügt der Schriftform.
  2. Salvatorische Klausel: Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen, bleiben die übrigen Vertragsbestimmungen und die Wirksamkeit des Vertrages im Ganzen hiervon unberührt. An die Stelle der unwirksamen Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt und dabei den Schutz der personenbezogenen Daten im Sinne dieses Vertrages am besten gewährleistet.
  3. Rechtswahl: Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts (CISG).
  4. Gerichtsstand: Gerichtsstand ist Berlin, sofern gesetzlich zulässig.
  5. Vorrang: Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV in datenschutzrechtlichen Fragen Vorrang.
  6. Ausfertigungen: Dieser Vertrag wird in zwei Ausfertigungen unterzeichnet; jede Partei erhält ein Original. Eine elektronische Unterzeichnung ist zulässig.

Auftraggeber
[Name des Kunden]
[Adresse]
(Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO)

Ort, Datum, Unterschrift

Name in Druckbuchstaben: _____________________

Auftragnehmer
NordPrax GmbH
Rudower Chaussee 29, 12489 Berlin
(Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO)

Ort, Datum, Unterschrift

Name in Druckbuchstaben: _____________________

Anlage 1: Genehmigte Unterauftragnehmer (Sub-Auftragsverarbeiter)

Gemäß § 13 dieses Vertrages sind folgende Unterauftragnehmer bereits genehmigt. Jede Hinzuziehung weiterer Unterauftragnehmer bedarf der vorherigen Information des Auftraggebers mit mindestens 30 Tagen Vorlauffrist. Der Auftragnehmer bleibt dem Auftraggeber gegenüber für die Einhaltung der Datenschutzanforderungen durch Unterauftragnehmer voll verantwortlich (Art. 28 Abs. 4 DSGVO).

Stand: Mai 2026 · Version: 1.0

Unterauftragnehmer Sitz / Land Leistung / Zweck Datenkategorien Drittland­transfer AVV / DPA
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen		 Deutschland Server-Hosting, Infrastruktur (Dedicated Server, Cloud), Backup-Storage für die Plattform Custodio Alle in § 2 genannten Datenkategorien (verschlüsselt gespeichert) Nein
RZ in DE		 DPA vorhanden
Redis Ltd.
(optional, falls Redis Cloud genutzt)		 EU-Rechenzentrum In-Memory-Caching, Session-Management, Warteschlangen (optional; primär self-hosted Redis auf Hetzner) Session-Daten, Cache-Daten (temporär, keine Gesundheitsdaten) Nein
EU-RZ oder self-hosted		 DPA vorhanden
(falls Cloud)
SMTP-Provider
z. B. Mailgun / Postmark / eigener SMTP		 EU / USA
(ggf. Drittland – SCC)		 Versand transaktionaler E-Mails (Registrierung, Passwort-Reset, Benachrichtigungen) E-Mail-Adresse, Name des Empfängers. Keine Compliance- oder Gesundheitsdaten in E-Mail-Inhalten. Ggf. SCC
Verschlüsselung TLS 1.2+		 DPA + SCC
vorhanden
Stripe, Inc.
354 Oyster Point Blvd, South San Francisco, CA, USA		 USA / EU-RZ
Drittland – SCC		 Zahlungsabwicklung (Kreditkarte, SEPA-Lastschrift), Rechnungsstellung, Abonnementverwaltung Name, E-Mail, Rechnungsadresse, Zahlungsmittel (Kreditkartendaten bei Stripe tokenisiert; kein Zugriff durch Auftragnehmer auf volle Kartendaten). Keine Compliance- oder Gesundheitsdaten. SCC + TIA
PCI DSS Level 1		 DPA + SCC
vorhanden

Der Auftragnehmer verpflichtet sich, Unterauftragnehmer mindestens denselben Datenschutzpflichten aufzuerlegen wie in diesem Vertrag vereinbart (Art. 28 Abs. 4 DSGVO). Kopien der mit Unterauftragnehmern geschlossenen AVV-/DPA-Vereinbarungen werden dem Auftraggeber auf Anfrage innerhalb von 5 Werktagen übermittelt. Bei Unterauftragnehmern mit Drittlandtransfer (USA) sind Standarddatenschutzklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO sowie ggf. ergänzende Schutzmaßnahmen (Transfer Impact Assessment, TIA) implementiert.

Hinweis KI-Verarbeitung: Die KI-Modelle (Ollama) werden self-hosted auf der eigenen Infrastruktur des Auftragnehmers bei Hetzner in Deutschland betrieben. Ollama ist kein Unterauftragnehmer, sondern eine lokal installierte Open-Source-Software. Es findet keine Datenübermittlung an Dritte statt.

Anlage 2: Technische und Organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO

Maßnahmen des Auftragnehmers (NordPrax GmbH) zur Gewährleistung der Sicherheit der Datenverarbeitung für die Plattform Custodio.

Normative Grundlagen: Diese TOM-Anlage orientiert sich an ISO/IEC 27001:2022 (Annex A Controls), BSI IT-Grundschutz Kompendium 2023 (ORP, SYS, APP, NET, CON, OPS, DER-Bausteine), Art. 32 DSGVO sowie den ENISA-Empfehlungen für Cloud-Sicherheit (2023). Bausteinreferenzen: ORP.4 (Identitäts- und Berechtigungsmanagement), SYS.1.1 (Allgemeiner Server), APP.3.1 (Webanwendungen), NET.1.1 (Netzarchitektur und -design), CON.3 (Datensicherungskonzept), OPS.1.1.3 (Patch-Management), DER.1 (Detektion sicherheitsrelevanter Ereignisse), DER.2.1 (Behandlung von Sicherheitsvorfällen).

Stand: Mai 2026. Der Auftragnehmer ist verpflichtet, diese Maßnahmen aktuell zu halten und wesentliche Änderungen unverzüglich mitzuteilen.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahme Beschreibung / Umsetzung Nachweis / Prüfpunkt
Zugangskontrolle
(physisch)		 Die Plattform wird auf dedizierten Servern bei Hetzner Online GmbH in zertifizierten Rechenzentren in Deutschland betrieben (ISO 27001, SOC 2). Physische Zutrittskontrolle durch Hetzner: biometrische Zugangssysteme, Videoüberwachung 24/7, Security-Personal, manipulationssichere Serverräume. Hetzner ISO 27001-Zertifikat, RZ-Sicherheitskonzept
Zutrittskontrolle
(logisch/System)		 Zugang zur Plattform nur für authentifizierte Benutzer: Passwortrichtlinie (mind. 12 Zeichen, Komplexitätsregel), Multi-Faktor-Authentifizierung (MFA/TOTP) für alle administrativen Zugänge, automatische Session-Timeouts, individuelle Benutzerkonten (keine Gruppenaccounts), SSH-Key-Authentifizierung für Serverzugang (kein Passwort-Login), fail2ban gegen Brute-Force-Angriffe. Passwort-Policy, MFA-Konfiguration, SSH-Config, fail2ban-Regeln
Zugriffskontrolle
(Datenzugriff)		 Rollenbasiertes Berechtigungskonzept (RBAC) mit Rollen: Admin, Nutzer, Nur-Lesen. Need-to-Know-Prinzip, Least-Privilege-Prinzip. Mandantentrennung: jeder Kunde sieht ausschließlich eigene Daten (Row-Level-Security in der Datenbank). Protokollierung aller Datenzugriffe im Audit-Trail. Regelmäßige Überprüfung der Berechtigungen (mindestens halbjährlich). RBAC-Dokumentation, Audit-Trail-Beispiel, Mandantentrennungs-Architektur
Trennungskontrolle Strikte Mandantentrennung in der Datenbank (separate Schemata oder Row-Level-Security). Getrennte Test- und Produktivumgebungen. Keine Verwendung echter Kundendaten in Testumgebungen. KI-Modelle (Ollama) verarbeiten Anfragen isoliert pro Mandant – kein mandantenübergreifendes Lernen oder Caching. Datenbankarchitektur, Netzwerkplan, KI-Isolationskonzept
Pseudonymisierung / Verschlüsselung Verschlüsselung at rest: AES-256 für Datenbanken und Dateispeicher. Verschlüsselung in transit: TLS 1.3 (Fallback TLS 1.2) für alle Verbindungen. Passwörter werden ausschließlich als salted Hashes gespeichert (bcrypt/argon2). API-Keys und Secrets in verschlüsseltem Vault. KI-Eingaben werden nach Verarbeitung nicht persistent gespeichert. SSL-Labs-Test, Verschlüsselungskonzept, Vault-Konfiguration

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahme Beschreibung / Umsetzung Nachweis / Prüfpunkt
Weitergabekontrolle Unbefugte Weitergabe wird verhindert durch: TLS 1.3/AES-256 für alle Datenübertragungen, HSTS (HTTP Strict Transport Security) erzwungen, keine unverschlüsselte E-Mail-Übermittlung von personenbezogenen Daten, API-Zugriffe nur über authentifizierte und verschlüsselte Verbindungen, Rate-Limiting für alle API-Endpunkte. SSL-Zertifikat, HSTS-Header-Nachweis, API-Sicherheitskonfiguration
Eingabekontrolle Nachvollziehbarkeit von Dateneingabe, -änderung und -löschung: vollständiger Audit-Trail mit Zeitstempel, Benutzer-ID und Aktion für alle datenverändernden Operationen. Unveränderliche Protokolldateien. Aufbewahrung der Protokolle mindestens 3 Jahre. Input-Validierung und Output-Encoding gegen XSS/SQL-Injection. Audit-Trail-Beispiel, Log-Management-Konzept, OWASP-Test-Bericht
Transportverschlüsselung Alle Datenübertragungen erfolgen verschlüsselt (TLS 1.3 bevorzugt, TLS 1.2 minimum). HSTS mit min. 1 Jahr max-age. OCSP Stapling aktiviert. Forward Secrecy (ECDHE) für alle Cipher-Suites. SSL-Labs-Rating: A+ angestrebt. SSL-Labs-Test-Ergebnis, TLS-Konfiguration

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Maßnahme Beschreibung / Umsetzung Nachweis / Prüfpunkt
Verfügbarkeitskontrolle Hetzner-Rechenzentren mit redundanter Stromversorgung (USV + Dieselgenerator), redundanter Klimatisierung und Brandmeldeanlage. Angestrebte Plattform-Verfügbarkeit: ≥ 99,5 %. Monitoring mit automatischem Alerting bei Ausfällen (Uptime-Monitoring 24/7). Definierte Recovery-Ziele: RTO ≤ 4h, RPO ≤ 24h. SLA-Dokument, Monitoring-Dashboard, Hetzner-SLA
Datensicherung (Backup) Tägliche automatisierte Datensicherung (inkrementell), wöchentliche Vollsicherung. Backup-Verschlüsselung (AES-256). Backups auf separatem Storage bei Hetzner (georedundant innerhalb Deutschlands). Regelmäßige Wiederherstellungstests (mindestens quartalsweise). Aufbewahrung: 30 Tage Rolling Window + 1 Jahresbackup. Backup-Protokoll, Restore-Test-Nachweis, Backup-Konfiguration
Patch-Management Kritische Sicherheitsupdates: Installation binnen 72 Stunden nach Verfügbarkeit. Regelmäßige Updates des Betriebssystems, der Anwendung und aller Abhängigkeiten. Automatisierte Schwachstellenscans (Dependabot/Trivy). CI/CD-Pipeline mit 18 Quality-Gates (Linting, Tests, Security-Checks). Patch-Log, CI/CD-Pipeline-Status, Schwachstellen-Report
Firewall / Netzwerksicherheit Server-Firewall (iptables/nftables) mit Whitelist-Ansatz. Nur benötigte Ports geöffnet (443/HTTPS, 22/SSH mit Key-Only). DDoS-Schutz über Hetzner. Fail2ban gegen Brute-Force-Angriffe. Netzwerksegmentierung: Datenbank nicht direkt aus dem Internet erreichbar. Regelmäßige Sicherheits-Audits. Firewall-Konfiguration, Netzwerkplan, Audit-Bericht
Malware-Schutz Server-basierter Malware-Schutz. Regelmäßige Scans der hochgeladenen Dateien. Container-Scanning für Abhängigkeiten. Automatische Signaturen-Updates. Scan-Berichte, Konfigurationsnachweis

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Maßnahme Beschreibung / Umsetzung Nachweis / Prüfpunkt
Datenschutz-Management Datenschutz-Managementsystem implementiert. Bestellter Datenschutzbeauftragter. Jährliche Datenschutz-Schulungen für alle Mitarbeitenden (mit Teilnahmenachweis). Verpflichtung zur Vertraulichkeit (§ 53 BDSG / § 203 StGB). DSB-Bestellungsdokument, Schulungsnachweise, Verpflichtungserklärungen
Incident-Response Dokumentierter Prozess zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen (24h-Erstmeldung intern, 72h-Frist Art. 33 DSGVO an Aufsichtsbehörde). Kontaktperson für Sicherheitsvorfälle benannt. Eskalationsmatrix definiert. Post-Incident-Review obligatorisch. Incident-Response-Plan, Kontaktliste, Meldeprozess-Diagramm
Auftragskontrolle Verarbeitung ausschließlich nach dokumentierten Weisungen des Verantwortlichen. Kein eigenständiges Handeln. Weisungsänderungen werden vor Ausführung schriftlich bestätigt. Weisungsregister wird geführt. Weisungsregister, E-Mail-Bestätigungen, Verarbeitungsprotokoll
Datenschutz durch Technikgestaltung Privacy-by-Design und Privacy-by-Default (Art. 25 DSGVO): Datenminimierung bei der Systementwicklung, datenschutzfreundliche Standardeinstellungen, keine unnötigen Tracking-Cookies oder Analytics. Opt-in statt Opt-out. Minimale Datenerhebung in Formularen. Automatische Löschroutinen für temporäre Daten. Privacy-by-Design-Konzept, Konfigurationsnachweis
Penetrationstests / Security-Audits Regelmäßige Sicherheits-Audits der Plattform. Automatisierte Security-Scans in der CI/CD-Pipeline (18 Quality-Gates). OWASP Top 10 Prüfung. Dependency-Scanning für bekannte Schwachstellen (CVE). Ergebnisse werden dokumentiert und Findings zeitnah behoben. Audit-Bericht, CI/CD-Security-Gate-Ergebnisse, CVE-Report

5. Datenschutzfreundliche Voreinstellungen / Privacy by Design & Default (Art. 25 DSGVO)

Art. 25 DSGVO verpflichtet zur Umsetzung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bereits bei der Entwicklung und Konfiguration der Plattform.

Grundsatz Konkrete Umsetzungsmaßnahmen Nachweis / Prüfpunkt
Datenminimierung
(Art. 5 Abs. 1 lit. c DSGVO)		 Es werden ausschließlich Daten erhoben und verarbeitet, die für den jeweiligen Zweck zwingend erforderlich sind. Pflichtfelder beschränken sich auf das Minimum. KI-Analyse verarbeitet nur die vom Nutzer explizit bereitgestellten Daten – kein automatisches Scraping oder Anreicherung. Pflichtfeld-Analyse, Datenflussdiagramm, KI-Verarbeitungsdoku
Zweckbindung
(Art. 5 Abs. 1 lit. b DSGVO)		 Daten werden ausschließlich für den im AVV definierten Zweck genutzt. Keine zweckfremde Nutzung. Kundendaten werden nicht für KI-Modelltraining verwendet. Keine Weitergabe an Dritte ohne Rechtsgrundlage oder Weisung. Verarbeitungsverzeichnis, KI-Trainingsausschluss-Policy
Datensparsamkeit (Default)
(Art. 25 Abs. 2 DSGVO)		 Standardmäßig werden nur die für den Verarbeitungszweck notwendigen Daten verarbeitet. Keine unnötigen Tracking-Cookies oder Analytics als Default. Keine automatische Datenerhebung im Hintergrund. KI-Kontext wird nach Verarbeitung verworfen (kein Session-Übertrag). System-Konfigurationsnachweis, Cookie-Policy
Speicherbegrenzung
(Art. 5 Abs. 1 lit. e DSGVO)		 Personenbezogene Daten werden nicht länger als notwendig gespeichert. Löschkonzept dokumentiert. Automatisierte Löschroutinen für temporäre Daten, abgelaufene Sessions und gelöschte Accounts (30 Tage nach Vertragsende). Löschprotokoll wird geführt. Löschkonzept, Löschroutinen-Nachweis
Transparenz Betroffene Personen werden verständlich über die Datenverarbeitung informiert (Art. 13/14 DSGVO). Datenschutzerklärung ist aktuell, verständlich und leicht auffindbar. Betroffenenrechte können einfach ausgeübt werden. Aktuelle Datenschutzerklärung, Betroffenenrechte-Prozess

6. Besondere Maßnahmen für KI-Verarbeitung (Ollama, self-hosted)

Die Plattform Custodio setzt KI-Modelle (Ollama) für Compliance-Analysen, Textgenerierung und Risikobewertungen ein. Folgende zusätzliche Maßnahmen gelten:

Maßnahme Beschreibung / Umsetzung Nachweis / Prüfpunkt
Self-Hosting Ollama wird ausschließlich auf eigener Infrastruktur des Auftragnehmers in Deutschland (Hetzner) betrieben. Keine Cloud-KI-APIs. Keine Datenübermittlung an OpenAI, Google, Anthropic oder sonstige Dritte. Kein „Phone Home“ – Ollama läuft vollständig offline/lokal. Server-Konfiguration, Netzwerk-Traffic-Analyse, Firewall-Regeln
Kein Modelltraining mit Kundendaten Kundendaten werden nicht für das Training, Fine-Tuning oder die Verbesserung von KI-Modellen verwendet. Die eingesetzten Modelle sind vortrainierte Open-Source-Modelle. Eingaben werden nur für die aktuelle Anfrage verarbeitet und anschließend verworfen. KI-Policy-Dokument, Modellversionierung
Datenminimierung bei KI-Eingaben An die KI-Modelle werden nur die für die jeweilige Analyse zwingend erforderlichen Daten übergeben. Personenbezogene Daten werden, soweit technisch möglich, vor der KI-Verarbeitung pseudonymisiert oder abstrahiert. Prompt-Design-Dokumentation, Pseudonymisierungskonzept
Keine persistente Speicherung von KI-Kontexten KI-Konversationen und -Kontexte werden nach Abschluss der Anfrage nicht persistent gespeichert. Kein mandantenübergreifendes Caching von KI-Antworten. RAM-basierte Verarbeitung ohne dauerhafte Protokollierung der KI-Eingaben. Speicherkonzept KI, Caching-Policy

Der Auftragnehmer bestätigt mit Bereitstellung dieses AVV, dass die oben aufgeführten Maßnahmen implementiert sind. Änderungen an den TOM, die das vereinbarte Schutzniveau beeinflussen, sind dem Auftraggeber unverzüglich (mind. 4 Wochen vorab, bei kritischen Änderungen sofort) mitzuteilen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die unter „Nachweis/Prüfpunkt“ genannten Dokumente innerhalb von 10 Werktagen zur Verfügung.

Auftragsverarbeitungsvertrag (AVV) – Custodio | NordPrax GmbH, Rudower Chaussee 29, 12489 Berlin | HRB 239739 B (AG Charlottenburg) | info@custodio-compliance.de | Version 1.0, Stand: Mai 2026 | Dieser Vertrag ist Bestandteil der Nutzungsvereinbarung für die Plattform Custodio.