Rechtliches · Art. 28 DSGVO
Auftragsverarbeitungsvertrag
Vertrag zur Auftragsverarbeitung personenbezogener Daten gemäß Art. 28 DSGVO zwischen BescheidRecht und beauftragenden Einrichtungen.
Präambel
Die nachstehende Vereinbarung zur Auftragsverarbeitung (im Folgenden „AVV”) regelt die Verarbeitung personenbezogener Daten durch BescheidRecht (Auftragsverarbeiter) im Auftrag der jeweiligen Einrichtung (Verantwortlicher), die den Dienst BescheidRecht im Rahmen eines B2B-Abonnements nutzt.
Diese AVV gilt als Bestandteil des zwischen den Parteien geschlossenen Nutzungsvertrags und tritt mit der Aktivierung des B2B-Zugangs in Kraft. Sie gilt für alle Tätigkeiten, bei denen Mitarbeiter der Einrichtung personenbezogene Daten von Klienten in die BescheidRecht-Plattform eingeben oder hochladen.
§ 1 — Vertragsgegenstand und Laufzeit
1.1 BescheidRecht verarbeitet im Auftrag der Einrichtung personenbezogene Daten im Rahmen der Bereitstellung der KI-gestützten Bescheidanalyse-Plattform.
1.2 Die Laufzeit dieser AVV entspricht der Laufzeit des zugrunde liegenden B2B-Nutzungsvertrags. Sie endet automatisch mit der Beendigung des Nutzungsvertrags.
1.3 Die Pflichten aus dieser AVV, die über das Vertragsende hinausgehen (insbesondere Löschung oder Rückgabe von Daten), bleiben bis zu ihrer vollständigen Erfüllung bestehen.
§ 2 — Art, Zweck und Umfang der Verarbeitung
2.1 Art der Verarbeitung: Erheben, Speichern, Strukturieren, Auslesen, Abfragen, Pseudonymisieren, Analysieren, Löschen.
2.2 Zweck der Verarbeitung: Prüfung von Behördenbescheiden auf formale und inhaltliche Fehler mittels KI-gestützter Analyse; Generierung von Musterschreiben-Vorlagen; Verwaltung von Fristen; Bereitstellung einer Einrichtungs-Übersicht über Analysevorgänge.
2.3 Kategorien personenbezogener Daten: Name, Anschrift, Geburtsdatum, Aktenzeichen, Bescheiddaten, IBAN, Steuer-ID sowie sonstige im Bescheid enthaltene personenbezogene Angaben der Klienten der Einrichtung. Mitarbeiterdaten (E-Mail, Nutzungsstatistiken) der Einrichtung.
2.4 Kategorien betroffener Personen: Klienten der Einrichtung (Bescheidinhaber); Mitarbeiter der Einrichtung (Berater, Admins).
§ 3 — Weisungsgebundenheit
3.1 BescheidRecht verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der Einrichtung, es sei denn, eine gesetzliche Pflicht erfordert eine andere Verarbeitung.
3.2 Die Nutzung der Plattform gemäß Nutzungsvertrag und Produktdokumentation gilt als dokumentierte Weisung.
3.3 BescheidRecht teilt der Einrichtung unverzüglich mit, wenn eine Weisung nach Einschätzung von BescheidRecht gegen datenschutzrechtliche Vorschriften verstößt.
§ 4 — Pflichten von BescheidRecht (Auftragsverarbeiter)
BescheidRecht verpflichtet sich:
- Personenbezogene Daten ausschließlich zum vereinbarten Zweck zu verarbeiten
- Geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO zu treffen und aufrechtzuerhalten
- Sicherzustellen, dass alle Personen mit Zugang zu den Daten der Verschwiegenheitspflicht unterliegen
- Die Einrichtung unverzüglich (innerhalb von 72 Stunden) über Datenpannen nach Art. 33 DSGVO zu informieren
- Die Einrichtung bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) zu unterstützen
- Die Einrichtung bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) zu unterstützen, soweit erforderlich
- Alle erforderlichen Informationen zum Nachweis der Einhaltung dieser AVV zur Verfügung zu stellen
§ 5 — Pflichten der Einrichtung (Verantwortlicher)
Die Einrichtung verpflichtet sich:
- Klienten über die Datenverarbeitung durch BescheidRecht gemäß Art. 13/14 DSGVO zu informieren
- Nur Daten einzureichen, für deren Verarbeitung eine Rechtsgrundlage besteht
- Zugangsdaten (Passwörter, Session-Tokens) sicher zu verwahren
- Datenpannen, die im Einflussbereich der Einrichtung entstanden sind, unverzüglich zu melden
- BescheidRecht über Änderungen im Nutzungsumfang zu informieren, die Datenschutzrelevanz haben könnten
§ 6 — Technische und organisatorische Maßnahmen (TOMs)
BescheidRecht trifft folgende technischen und organisatorischen Schutzmaßnahmen:
Pseudonymisierung
Vor der KI-Analyse werden personenbezogene Daten (Name, IBAN, Geburtsdatum, Adresse, Steuer-ID etc.) automatisch durch Platzhalter ersetzt. Der KI-Anbieter erhält keine Klardaten.
Verschlüsselung
Alle Daten werden bei der Übertragung via TLS 1.2/1.3 verschlüsselt. Datenbankzugriffe erfolgen ausschließlich verschlüsselt.
Zugriffskontrolle
Authentifizierung über Supabase Auth (bcrypt-Passwort-Hashing). Row Level Security (RLS) stellt sicher, dass Nutzer nur ihre eigenen Daten sehen. B2B-Org-Mitglieder sehen nur die Daten ihrer Einrichtung.
Datensparsamkeit
Bescheid-Dokumente werden nach der Analyse nicht dauerhaft gespeichert. Der KI-Anbieter (Anthropic) hat eine Zero-Data-Retention-Policy für API-Anfragen.
Audit-Protokollierung
Analysevorgänge werden mit Zeitstempel und Nutzer-ID protokolliert. Kein Zugriff auf Protokolle durch unbefugte Personen.
Verfügbarkeit
Hosting auf Vercel (EU-Region) mit automatischer Skalierung und 99,9 % SLA. Datenbankhosting via Supabase (EU-Region).
Incident-Response
Datenpannen werden innerhalb von 72 Stunden gemäß Art. 33 DSGVO an die zuständige Aufsichtsbehörde gemeldet. Betroffene Einrichtungen werden unverzüglich informiert.
§ 7 — Unterauftragnehmer
BescheidRecht setzt folgende Unterauftragnehmer ein, die im Rahmen der Leistungserbringung personenbezogene Daten verarbeiten können. Die Einrichtung erteilt hiermit ihre allgemeine Genehmigung zur Beauftragung dieser Unterauftragnehmer:
| Anbieter | Zweck | Sitz / Rechtsgrundlage |
|---|---|---|
| Vercel Inc. | Hosting, CDN, Serverless Functions | USA (Serverstandort: EU/Frankfurt) — DPA + SCCs |
| Supabase Inc. | Datenbank, Authentifizierung | EU-Region — DPA + SCCs |
| Anthropic, PBC | KI-Verarbeitung (pseudonymisiert) | USA — DPA + SCCs, Zero-Retention |
| OpenAI LLC | Technischer Fallback (OCR/Analyse bei Nichtverfügbarkeit von Anthropic) | USA — DPA + SCCs, Zero-Retention (API) |
| Mollie B.V. | Zahlungsabwicklung | NL (EU) — PCI-DSS, DSGVO |
| Functional Software Inc. (Sentry) | Fehlerüberwachung und Stabilitätsmonitoring | USA — DPA + SCCs |
| Resend Inc. | E-Mail-Versand (Fristen-Erinnerungen) | USA — DPA + SCCs |
| Tavily Inc. | Web-Recherche für Rechtsgrundlagen (nur pseudonymisierte Daten) | USA — DPA + SCCs |
| Upstash Inc. | Rate-Limiting (Redis, keine personenbezogenen Daten) | USA — DPA + SCCs, EU-Region |
BescheidRecht informiert die Einrichtung rechtzeitig über geplante Änderungen bei Unterauftragnehmern. Die Einrichtung hat das Recht, gegen beabsichtigte Änderungen Einspruch zu erheben.
§ 8 — Betroffenenrechte
8.1 BescheidRecht unterstützt die Einrichtung, soweit möglich, bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch gem. Art. 15–22 DSGVO).
8.2 Anfragen betroffener Personen, die direkt an BescheidRecht gerichtet werden, leitet BescheidRecht unverzüglich an die zuständige Einrichtung weiter.
8.3 Die Einrichtung bleibt Verantwortlicher im Sinne der DSGVO und ist für die Beantwortung von Betroffenenanfragen zuständig.
§ 9 — Datenpannen
9.1 BescheidRecht benachrichtigt die Einrichtung unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.
9.2 Die Benachrichtigung enthält mindestens: Art der Verletzung, betroffene Datenkategorien und -mengen, voraussichtliche Folgen und getroffene Abhilfemaßnahmen.
9.3 Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen verbleiben beim Verantwortlichen (Einrichtung).
§ 10 — Löschung und Rückgabe von Daten
10.1 Nach Beendigung des Nutzungsvertrags löscht BescheidRecht alle personenbezogenen Daten der Einrichtung und ihrer Klienten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
10.2 Auf ausdrücklichen Wunsch der Einrichtung können Daten vor der Löschung in einem maschinenlesbaren Format (JSON/CSV) exportiert werden. Der Exportantrag ist vor Vertragsende zu stellen.
10.3 Bescheid-Dokumente (Uploads) werden unmittelbar nach der Analyse gelöscht und nicht dauerhaft gespeichert.
§ 11 — Kontrollrechte der Einrichtung
11.1 Die Einrichtung ist berechtigt, die Einhaltung dieser AVV durch BescheidRecht zu überprüfen. Dazu kann sie:
- Auskünfte und Nachweise in Textform anfordern
- Anerkannte Prüfberichte (Auditberichte, Zertifikate) anfordern
- Mit angemessener Vorankündigung (14 Tage) eigene Inspektionen durchführen oder durch Dritte durchführen lassen
11.2 Die Einrichtung trägt die Kosten derartiger Kontrollen, es sei denn, BescheidRecht hat eine Datenpanne verursacht.
§ 12 — Haftung
12.1 BescheidRecht haftet der Einrichtung für Schäden aus Datenschutzverstößen nach Art. 82 DSGVO.
12.2 BescheidRecht ist von der Haftung befreit, wenn nachgewiesen wird, dass BescheidRecht in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
12.3 Im Übrigen gilt die Haftungsbegrenzung gemäß dem zugrunde liegenden Nutzungsvertrag.
§ 13 — Schlussbestimmungen
13.1 Diese AVV unterliegt deutschem Recht.
13.2 Gerichtsstand ist Vechta (Niedersachsen), soweit gesetzlich zulässig.
13.3 Änderungen dieser AVV bedürfen der Textform (E-Mail genügt). BescheidRecht informiert Einrichtungen über wesentliche Änderungen mit einer Vorlaufzeit von 30 Tagen.
13.4 Sollte eine Bestimmung dieser AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
Verantwortlicher / Auftragsverarbeiter
Auftragsverarbeiter
Hendrik Berkensträter
BescheidRecht
Antoniusstraße 47
49377 Vechta
kontakt@bescheidrecht.de
Verantwortlicher
Die jeweilige Einrichtung (Verantwortlicher im Sinne Art. 4 Nr. 7 DSGVO), wie im B2B-Nutzungsvertrag angegeben.