Auftragsverarbeitungsvertrag (AVV) — snori
Gültig ab: 2026-07-02
Dieser Vertrag ergänzt die Allgemeinen Geschäftsbedingungen (AGB) von snori, insbesondere § 12 (Datenschutz, Auftragsverarbeitung). Er gilt für die Verarbeitung personenbezogener Daten, die der Kunde in seinem Workspace speichert (Workspace-Inhalte). Für Account-, Vertrags-, Zahlungs- und Supportdaten ist snori selbst Verantwortlicher; insoweit gilt die gesonderte Datenschutzerklärung, nicht dieser Vertrag.
zwischen
dem Nutzer der Plattform snori (nachfolgend „Auftraggeber" oder „Verantwortlicher")
und
INREMA Unternehmensberatung GmbH Rentmeister-Wilthelm-Weg 16, 33181 Bad Wünnenberg vertreten durch die Geschäftsführerin Tanja Rüdiger HRB 14352, Amtsgericht Paderborn · USt-IdNr. DE328873726 (nachfolgend „Auftragnehmer" oder „snori")
— gemeinsam „die Parteien" —
wird folgende Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen.
§ 1 Gegenstand und Dauer der Auftragsverarbeitung
(1) Gegenstand: Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Software-as-a-Service-Plattform „snori" — konkret die Speicherung, Verarbeitung und Bereitstellung der vom Auftraggeber in seinem Workspace abgelegten Inhalte, einschließlich des Zugriffs über die vom Auftraggeber selbst angebundene App-Verbindung zu einem externen KI-System (siehe § 7 Abs. 3).
(2) Dauer: Dieser Vertrag gilt für die Dauer des Nutzungsvertrags (AGB) zwischen den Parteien. Er endet automatisch mit dessen Ende, frühestens jedoch nach Erfüllung aller nachvertraglichen Pflichten (insbesondere Löschung bzw. Rückgabe nach § 5 Abs. 6).
§ 2 Art und Zweck der Verarbeitung
Art der Verarbeitung: Erheben, Speichern, Abrufen, Verändern, Übermitteln, Löschen von personenbezogenen Daten im Rahmen des Systembetriebs, einschließlich Volltext- und semantischer Indizierung zur Such- und Ablagefunktion.
Zweck: Bereitstellung der Funktionalitäten der Plattform snori gemäß Leistungsbeschreibung im Hauptvertrag (AGB § 2) — Speicherung und Organisation von Dokumenten, Notizen und strukturierten Tabellen sowie deren lesender und/oder schreibender Zugriff durch ein vom Auftraggeber selbst angebundenes externes KI-System.
§ 3 Art der personenbezogenen Daten
Im Rahmen der Auftragsverarbeitung können insbesondere folgende Datenkategorien verarbeitet werden, soweit der Auftraggeber sie in seinem Workspace ablegt:
- Vom Auftraggeber eingestellte Dokumente, Notizen und Tabelleninhalte (Freitext, beliebiger Inhalt nach Wahl des Auftraggebers)
- Metadaten zu diesen Inhalten (Zeitstempel, Versionshistorie, Struktur des Seitenbaums)
- Zugriffs- und Audit-Logs zur App-Verbindung (welches angebundene KI-System wann welchen Inhalt gelesen oder geschrieben hat)
Der Auftraggeber ist dafür verantwortlich, keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) oder anderweitig besonders schutzbedürftige Daten einzustellen, ohne selbst die hierfür erforderliche Rechtsgrundlage und ggf. Datenschutz-Folgenabschätzung sicherzustellen (vgl. AGB § 12 Abs. 3, 11-produktkonzept.md §2.2).
§ 4 Kreis der betroffenen Personen
Der Auftraggeber selbst sowie Personen, über die der Auftraggeber Daten in seinem Workspace einträgt (z. B. Kontakte, Kunden, Mitarbeitende des Auftraggebers), sowie eingeladene Mitglieder eines geteilten Workspace (vgl. 11-produktkonzept.md §2.4).
§ 5 Pflichten des Auftragnehmers
5.1 Weisungsgebundenheit Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Dieser Vertrag sowie die Nutzung der Plattform gemäß den vom Auftraggeber vorgenommenen Konto- und Berechtigungseinstellungen gelten als dokumentierte Weisung. Zusätzliche Weisungen bedürfen der Textform. Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, teilt er dies dem Auftraggeber unverzüglich mit.
5.2 Vertraulichkeit Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Technische und organisatorische Maßnahmen Der Auftragnehmer trifft die gemäß Art. 32 DSGVO erforderlichen Maßnahmen (siehe Anlage 1 — TOM) und überprüft sowie aktualisiert diese regelmäßig.
5.4 Unterauftragsverarbeiter Der Auftragnehmer setzt Unterauftragsverarbeiter nur gemäß der in Anlage 2 (Subprocessor-Liste) genannten Liste ein. Änderungen dieser Liste kündigt der Auftragnehmer mindestens 30 Tage im Voraus an; der Auftraggeber kann der Änderung innerhalb dieser Frist widersprechen und ist bei Widerspruch berechtigt, den Hauptvertrag außerordentlich zu kündigen. Extern vom Auftraggeber selbst angebundene KI-Systeme sind keine Unterauftragsverarbeiter des Auftragnehmers — siehe § 7 Abs. 3.
5.5 Unterstützung des Auftraggebers Der Auftragnehmer unterstützt den Auftraggeber, soweit technisch möglich und zumutbar, bei der Erfüllung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit) sowie bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO.
5.6 Löschung und Rückgabe Nach Beendigung der Auftragsverarbeitung löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers oder gibt sie zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht entgegensteht. Konkret gilt die in AGB § 13 Abs. 4 geregelte Mechanik: Workspace-Inhalte sowie sämtliche Chats, Konversationsverläufe und sonstige Dokumentationen (einschließlich der Interaktion mit dem in § 7 Abs. 4 genannten Support-Chatbot) werden mit Löschung des Kontos aus dem aktiven System unverzüglich gelöscht; Sicherungskopien werden für 30 Tage aufbewahrt und danach unwiderruflich gelöscht; für Rechnungs- und Buchhaltungsdaten gilt die gesetzliche Aufbewahrungsfrist von 10 Jahren (§ 147 AO, § 257 HGB) — darüber hinausgehende personenbezogene Daten werden nicht mit diesen Unterlagen mitgespeichert. Der Auftraggeber kann seine Inhalte jederzeit vor Löschung exportieren (AGB § 13 Abs. 3).
5.7 Kontrollen und Nachweise Der Auftragnehmer stellt dem Auftraggeber die zum Nachweis der Einhaltung dieses Vertrags erforderlichen Informationen zur Verfügung und ermöglicht angemessene Prüfungen durch den Auftraggeber oder einen von ihm beauftragten Prüfer. Prüfungen sind mit einer Vorlaufzeit von mindestens 14 Tagen anzukündigen und dürfen den Betrieb nicht unzumutbar beeinträchtigen.
§ 6 Pflichten des Auftraggebers
- Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO für die von ihm im Workspace eingestellten Inhalte und trägt die Verantwortung für die Rechtmäßigkeit der Verarbeitung, einschließlich der Entscheidung, welchem externen KI-System er Zugriff gewährt (vgl. AGB § 8, § 9).
- Er erteilt Weisungen ausschließlich in Textform.
- Er informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
- Er ist für die Einhaltung datenschutzrechtlicher Bestimmungen auf seiner Seite verantwortlich, insbesondere für die Legitimation der Verarbeitung besonderer Kategorien personenbezogener Daten, sofern er solche einstellt.
§ 7 Unterauftragsverhältnisse und Drittlandtransfers
(1) Folgende Unterauftragsverarbeiter sind mit Vertragsabschluss genehmigt (vollständige Angaben in Anlage 2):
| Anbieter | Zweck | Standort |
|---|---|---|
| IONOS SE | Hosting (Webserver2), Infrastruktur, einschließlich Backup-Speicherung ausschließlich auf eigener Infrastruktur | Deutschland (Frankfurt) |
| Cloudflare, Inc. | Reiner Netzwerk-Proxy für DDoS-/WAF-Schutz — keine persistente Speicherung oder Zwischenspeicherung von Workspace-Inhalten | USA (Standardvertragsklauseln) |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland (EU); US-Mutter Stripe, Inc. für ggf. anfallende Drittlandverarbeitung (Standardvertragsklauseln) |
| OpenAI Ireland Limited | KI-Modell (GPT, über die kommerzielle OpenAI-API) für den Support-Chatbot im Hilfebereich (siehe Abs. 4) | Irland (EU); verbundenes US-Unternehmen (OpenAI OpCo, LLC) für ggf. anfallende Verarbeitung (Standardvertragsklauseln) |
(2) Transfers in Drittländer (USA) erfolgen für Cloudflare, soweit betroffen Stripe, sowie für die dem Support-Chatbot zugrundeliegende OpenAI-API-Verarbeitung auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
(3) Extern angebundene KI-Systeme sind keine Unterauftragsverarbeiter des Auftragnehmers. Der Auftraggeber verbindet ein von ihm selbst gewähltes externes KI-System (z. B. ChatGPT, Claude, Gemini, Perplexity oder vergleichbare Dienste Dritter) eigenständig über die App mit seinem Workspace. Der Auftragnehmer wählt dieses KI-System nicht aus, schließt hierzu keinen eigenen Auftragsverarbeitungsvertrag mit dessen Anbieter und hat keinen Einfluss auf dessen Verarbeitung. Insoweit ist der Auftraggeber selbst dafür verantwortlich, mit dem von ihm gewählten KI-Anbieter die erforderliche datenschutzrechtliche Grundlage zu klären (eigener Vertrag des Auftraggebers mit diesem Anbieter, ggf. eigener AVV zwischen Auftraggeber und KI-Anbieter). Diese Regelung entspricht AGB § 8 und § 9.
(4) Der KI-gestützte Support-Chatbot im Hilfebereich (AGB § 16 Abs. 3) ist demgegenüber ein eigener Unterauftragsverarbeiter des Auftragnehmers, da der Auftragnehmer diesen selbst auswählt, einsetzt und dafür verantwortlich ist — anders als die vom Auftraggeber selbst angebundene KI nach Abs. 3. Eingesetzt wird OpenAI, ausschließlich über die kommerzielle OpenAI-API (nicht die Consumer-ChatGPT-Oberfläche) im Rahmen eines gewerblichen API-Vertrags. Nach den hierfür geltenden OpenAI-API-Nutzungsbedingungen werden Ein- und Ausgaben nicht zum Training von OpenAI-Modellen verwendet; die Verarbeitung erfolgt ausschließlich zur Beantwortung der jeweiligen Anfrage (stateless, je Konversation).
§ 8 Datenschutzverletzungen
Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, über eine Verletzung des Schutzes personenbezogener Daten, die Workspace-Inhalte des Auftraggebers betrifft (vgl. AGB § 12 Abs. 5). Die Mitteilung enthält, soweit bekannt: Art der Verletzung, betroffene Datenkategorien und Personen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen. Die Meldung an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) sowie die Benachrichtigung betroffener Personen (Art. 34 DSGVO) obliegt dem Auftraggeber als Verantwortlichem; der Auftragnehmer unterstützt ihn hierbei, soweit erforderlich.
§ 9 Haftung
Es gilt die Haftungsregelung nach Art. 82 DSGVO in Verbindung mit § 11 der AGB von snori.
§ 10 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(2) Es gilt deutsches Recht. Für den Gerichtsstand gilt § 17 der AGB von snori entsprechend.
Anlage 1: Technische und organisatorische Maßnahmen (TOM)
Nach Art. 32 DSGVO, konkretisiert gemäß 13-sicherheitsarchitektur.md:
- Hosting-Isolation: eigener isolierter Container und eigene Datenbank auf Webserver2 (IONOS Frankfurt), kein geteilter Container/keine geteilte Datenbank mit anderen dort betriebenen Projekten.
- Mandantentrennung: Row-Level-Security (RLS) als primäre, datenbankseitig erzwungene Mandantengrenze (
tenant_id/workspace_id), durch eine dedizierte Test-Suite gegen Isolationsverletzungen abgesichert. - Verschlüsselung: Festplattenverschlüsselung (Disk Encryption) sowie TLS für sämtliche Datenübertragung; Feldverschlüsselung für einzelne, besonders sensible Attribute bei konkretem Bedarf.
- Backup-Speicherung: Sicherungskopien werden ausschließlich auf eigener Infrastruktur (Webserver2/IONOS) gespeichert; es wird kein Backup-Speicher eines weiteren Drittanbieters eingesetzt. Aufbewahrungsdauer: 30 Tage, danach unwiderrufliche Löschung.
- Netzwerk-Härtung: Origin-Server ausschließlich über Cloudflare erreichbar (IP-Range-Firewall), Cloudflare „Full (Strict)"-Modus mit eigenem Origin-Zertifikat. Cloudflare fungiert dabei ausschließlich als Netzwerk-Proxy (DDoS-/WAF-Schutz); eine persistente Speicherung oder inhaltliche Zwischenspeicherung von Workspace-Inhalten durch Cloudflare findet nicht statt.
- Server-Zugang: SSH ausschließlich per Schlüssel, kein Passwort-Login, kein direkter Root-Login, Fail2ban/Rate-Limiting.
- Datenbank: nicht öffentlich erreichbar, nur aus dem privaten Netz vom App-/Gateway-Container.
- Interner Zugriffsschutz: Zugriff von Mitarbeitenden des Auftragnehmers auf gespeicherte Inhalte ist technisch und organisatorisch auf das für Betrieb und Support notwendige Minimum beschränkt (Need-to-know-Prinzip, personalisierte Zugänge, Protokollierung sensibler Zugriffe).
- App-/Konto-Sicherheit: optionale/erzwingbare Zwei-Faktor-Authentifizierung, Login-Benachrichtigungen bei neuem Gerät/neuer IP, Übersicht und Einzel-Widerruf aktiver App-Verbindungen (Connector-Sessions) durch den Auftraggeber selbst.
- Zertifizierung: Hosting in einem nach ISO/IEC 27001 zertifizierten Rechenzentrum in Deutschland.
Anlage 2: Subprocessor-Liste
| Anbieter | Zweck | Standort | Rechtsgrundlage Drittlandtransfer |
|---|---|---|---|
| IONOS SE | Hosting (Webserver2), Infrastruktur, Backup-Speicherung (ausschließlich eigene Infrastruktur) | Deutschland (Frankfurt) | entfällt (EU/Deutschland) |
| Cloudflare, Inc. | Netzwerk-Proxy für DDoS-/WAF-Schutz — keine persistente Inhaltsspeicherung | USA | Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland (EU) | ggf. Standardvertragsklauseln für Verarbeitung durch US-Mutter Stripe, Inc. |
| OpenAI Ireland Limited | KI-Modell (GPT, kommerzielle API) für den Support-Chatbot im Hilfebereich, ausschließlich zur Beantwortung einzelner Nutzeranfragen (kein Training, keine Speicherung über die Beantwortung hinaus) | Irland (EU) | ggf. Standardvertragsklauseln für Verarbeitung durch verbundenes US-Unternehmen (OpenAI OpCo, LLC) |
Änderungen dieser Liste werden mindestens 30 Tage im Voraus angekündigt (§ 5 Abs. 4).
Hinweis: vom Auftraggeber selbst angebundene externe KI-Systeme stehen nicht auf dieser Liste — siehe § 7 Abs. 3. Der Support-Chatbot-Anbieter ist demgegenüber ein eigener Unterauftragsverarbeiter des Auftragnehmers (§ 7 Abs. 4).