Auftragsverarbeitungsvertrag
Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Verordnung (EU) 2016/679) zwischen Bennovate sp. z o.o. als Auftragsverarbeiter und der abonnierenden Kanzlei als Verantwortlichem. Dieser Vertrag gilt automatisch als Teil des Abonnementvertrags; er bedarf keiner gesonderten Unterzeichnung.
Vorab: Was dieser AVV nicht erfasst — und warum
Mandatsinhalte verlassen nie den Kanzleirechner. Avantwerk Legal AI ist als Local-First-Dienst konzipiert: Schriftsätze, Akten, Mandantendaten und sonstige verschwiegenheitspflichtige Unterlagen verbleiben ausschließlich auf dem Endgerät und dem lokalen Datenträger der Kanzlei. Bennovate empfängt, speichert oder verarbeitet diese Inhalte zu keinem Zeitpunkt.
Weil Mandatsinhalte Bennovate gegenüber nie offenbart werden, fehlt es insoweit an einem Auftragsverarbeitungsverhältnis im Sinne des Art. 28 Abs. 1 DSGVO. Dieser AVV erfasst ausschließlich diejenigen personenbezogenen Daten, die Bennovate im Rahmen des Betriebs des Dienstes tatsächlich verarbeitet: Kontodaten, Kontaktdaten und Nutzungsmetadaten der Kanzlei und ihrer Sachbearbeiter (wie in der Datenschutzerklärung Ziffer 4 beschrieben).
Für Kanzleien, die die BYOK-Funktion (eigener KI-Anbieter-Schlüssel) nutzen: Ihr KI-Anbieter ist Ihr eigener Auftragsverarbeiter. Dieser AVV begründet kein Verhältnis zwischen Bennovate und dem KI-Anbieter. Näheres im KI-Addendum der Datenschutzerklärung.
1. Parteien und Gegenstand
1.1 Auftragsverarbeiter
Bennovate spółka z ograniczoną odpowiedzialnością
ul. Christiana Andersena 25, 94-118 Łódź, Polen
KRS: 0000597272 · NIP: 7272799328
E-Mail: legal@avantwerk.com
(im Folgenden: „Auftragsverarbeiter")
1.2 Verantwortlicher
Die im Abonnementvertrag bezeichnete Rechtsanwaltskanzlei, Rechtsanwaltsgesellschaft oder sonstige juristische oder natürliche Person, die den Dienst abonniert (im Folgenden: „Verantwortlicher" oder „Kanzlei").
1.3 Gegenstand der Verarbeitung
Gegenstand dieses AVV ist die Verarbeitung der folgenden Kategorien personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung des Dienstes Avantwerk Legal AI:
| Datenkategorie | Betroffene Personen | Verarbeitungszweck |
|---|---|---|
| Kontodaten (Name, E-Mail, Berufsbezeichnung, Kanzleiname) | Sachbearbeiter und Kanzleikontakte | Kontoeinrichtung, Zugangssteuerung, Support |
| Nutzungsmetadaten (Anmeldezeitpunkte, Funktionsinteraktionen, Audit-Protokolle) | Sachbearbeiter | Dienststabilität, Sicherheit, Abrechnung |
| Technische Daten (IP-Adresse, Browser, Endgerätekennung) | Sachbearbeiter | Sicherheit, Betrugsverhinderung |
Ausdrücklich ausgenommen sind Akteninhalte, Mandantendaten, verschwiegenheitspflichtige Unterlagen und sonstige durch den Dienst verarbeitete Fachinhalte — diese verbleiben ausschließlich beim Verantwortlichen.
2. Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, eine rechtliche Verpflichtung schreibt eine Verarbeitung vor (Art. 28 Abs. 3 lit. a DSGVO). Dieser AVV und der Abonnementvertrag bilden die maßgeblichen dokumentierten Weisungen. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er der Ansicht ist, eine Weisung verstoße gegen die DSGVO oder sonstige datenschutzrechtliche Bestimmungen der Union oder der Mitgliedstaaten (Art. 28 Abs. 3 letzter Satz DSGVO).
3. Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
4. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere:
- TLS 1.2/1.3-Verschlüsselung für alle Datenübertragungen;
- Verschlüsselung gespeicherter Kontodaten und Protokolldaten;
- rollenbasierte Zugriffskontrollen (Least-Privilege-Prinzip);
- Pseudonymisierung von Protokolldaten, soweit zweckmäßig;
- regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs;
- Verfahren zur Sicherstellung der Belastbarkeit der Systeme und Dienste;
- Verfahren zur raschen Wiederherstellung nach physischen oder technischen Zwischenfällen.
Auf begründete schriftliche Anfrage des Verantwortlichen stellt der Auftragsverarbeiter Nachweise über die implementierten TOMs zur Verfügung.
5. Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt die nachfolgend aufgeführten Unterauftragsverarbeiter ein. Der Verantwortliche erteilt seine allgemeine schriftliche Genehmigung für diese Unterauftragsverarbeiter durch Abschluss des Abonnementvertrags (Art. 28 Abs. 2 DSGVO).
| Unterauftragsverarbeiter | Funktion | Sitz | Übermittlungsgrundlage |
|---|---|---|---|
| Hetzner Online GmbH | VPS-Hosting (Infrastruktur, Datenresidenz EU/DE) | Deutschland | Keine Drittlandübermittlung |
| Unser CRM-Anbieter | Kundenbeziehungsmanagement (Kontakt- und Kontodaten) | USA | SCC gemäß Art. 46 Abs. 2 lit. c DSGVO |
| E-Mail-Versanddienstleister | Transaktionelle E-Mails (Konto, Rechnungen) | USA | SCC gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Zahlungsdienstleister | Abonnementzahlungen | USA | SCC gemäß Art. 46 Abs. 2 lit. c DSGVO |
Der Auftragsverarbeiter unterrichtet den Verantwortlichen über beabsichtigte Änderungen des Unterauftragsverarbeiter-Kreises mit angemessener Vorankündigungsfrist; der Verantwortliche kann Einwände erheben. Der Auftragsverarbeiter legt Unterauftragsverarbeitern die gleichen datenschutzrechtlichen Pflichten auf (Art. 28 Abs. 4 DSGVO).
KI-Anbieter sind keine Unterauftragsverarbeiter von Bennovate. Da Mandatsinhalte nie über die Infrastruktur des Auftragsverarbeiters übertragen werden, ist der vom Kunden gewählte KI-Anbieter nicht Unterauftragsverarbeiter des Auftragsverarbeiters. Die Vertragsbeziehung mit dem KI-Anbieter besteht ausschließlich beim Verantwortlichen.
6. Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen auf Ausübung der Betroffenenrechte gemäß Kapitel III DSGVO (Art. 15–22 DSGVO), soweit sich diese Rechte auf Daten beziehen, die der Auftragsverarbeiter im Rahmen dieses AVV verarbeitet (Art. 28 Abs. 3 lit. e DSGVO).
7. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wurde (Art. 33 Abs. 2 DSGVO). Die Benachrichtigung erfolgt an dpo@avantwerk.com (sofern nicht eine andere Kontaktadresse vereinbart wurde) und enthält mindestens: (a) eine Beschreibung der Verletzung; (b) die Kategorien und die ungefähre Anzahl betroffener Personen und Datensätze; (c) bisher ergriffene oder vorgeschlagene Abhilfemaßnahmen.
8. Datenschutz-Folgenabschätzung und vorherige Konsultation
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO sowie bei einer vorherigen Konsultation gemäß Art. 36 DSGVO, soweit diese Unterstützung Informationen aus dem Verarbeitungsbereich des Auftragsverarbeiters betrifft (Art. 28 Abs. 3 lit. f DSGVO).
9. Löschung und Rückgabe
Nach Beendigung des Abonnementvertrags löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern keine unionsrechtliche oder mitgliedstaatliche Vorschrift eine weitere Speicherung vorschreibt (Art. 28 Abs. 3 lit. g DSGVO). Für Kontodaten und Protokolldaten gelten die gesetzlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB); diese Daten werden nach Ablauf der Aufbewahrungsfristen gelöscht.
10. Nachweispflicht und Audits
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung dieses AVV nachzuweisen, und ermöglicht und unterstützt Audits einschließlich Inspektionen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer (Art. 28 Abs. 3 lit. h DSGVO). Audits werden mit angemessener Vorankündigungsfrist (mindestens 14 Tage) schriftlich angekündigt und dürfen den Betrieb des Dienstes nicht unverhältnismäßig beeinträchtigen.
11. Anwendbares Recht und Gerichtsstand
Dieser AVV unterliegt dem Recht der Europäischen Union, insbesondere der DSGVO, sowie ergänzend dem deutschen Recht. Für Streitigkeiten aus oder im Zusammenhang mit diesem AVV sind die deutschen Gerichte zuständig, sofern nicht zwingende Verbraucherschutzvorschriften etwas anderes vorsehen.
12. Rangfolge
Im Fall eines Widerspruchs zwischen diesem AVV und dem Abonnementvertrag geht dieser AVV vor, soweit datenschutzrechtliche Pflichten betroffen sind.