Auftragsverarbeitungsvertrag (AVV)
Stand: 6. Juli 2026. Vertrag zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO zwischen dem Kunden als Verantwortlichem und dem Anbieter als Auftragsverarbeiter. Einen ausgefüllten und unterzeichneten AVV erhalten Sie auf Anfrage unter info@tippel.ai.
Präambel — Rollenverteilung
Der Kunde nutzt den Dienst KomplAI (KI-gestützte Compliance-Analyse zu EU AI Act, DORA und DSGVO sowie Dokumenten-Generatoren) und lädt hierfür Unterlagen (Dokumente, Quellcode) hoch. Enthalten diese Unterlagen personenbezogene Daten, verarbeitet der Anbieter diese Analyse-Inhalte im Auftrag und nach Weisung des Kunden; der Kunde ist insoweit Verantwortlicher, der Anbieter Auftragsverarbeiter. Dieser AVV regelt ausschließlich diese Auftragsverarbeitung der Analyse-Inhalte.
Für die zum Betrieb des Kontos anfallenden Konto-, Nutzungs- und Abrechnungsdaten (Name, E-Mail, Zugangsdaten, Zahlungs- und Nutzungsvorgänge) ist der Anbieter selbst Verantwortlicher; diese Verarbeitung ist nicht Gegenstand dieses AVV, sondern der Datenschutzerklärung.
Parteien
Verantwortlicher (Kunde): [Name / Firma, Anschrift, vertreten durch] — nachfolgend „Verantwortlicher“. Der Dienst richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB.
Auftragsverarbeiter: Tippel — Lukas Friedrich (Einzelunternehmen), Kampweg 4, 34369 Hofgeismar, Deutschland, info@tippel.ai, Tel. +49 178 5879849 — nachfolgend „Auftragsverarbeiter“. Ein Datenschutzbeauftragter ist nicht bestellt (Bestellpflicht nach Art. 37 DSGVO / § 38 BDSG regelmäßig nicht einschlägig); datenschutzbezogene Anfragen an info@tippel.ai.
§ 1 Gegenstand, Art und Zweck der Verarbeitung
Gegenstand ist die Verarbeitung personenbezogener Daten, die in den vom Verantwortlichen über den Dienst KomplAI hochgeladenen oder eingegebenen Analyse-Inhalten enthalten sind, zum Zweck der beauftragten KI-gestützten Compliance-Analyse und Dokumentenerstellung (EU AI Act, DORA, DSGVO). Art der Verarbeitung: Erheben (Entgegennahme des Uploads), Speichern (Ablage der Inhalte und Ergebnisse auf dem Server, dem Konto des Verantwortlichen zugeordnet), Übermitteln an die in § 6 genannten Subunternehmer zur Ausführung der Analyse, Auswerten und Bereitstellen der Ergebnisse an den Verantwortlichen sowie Löschen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.
§ 2 Dauer
Die Verarbeitung erfolgt für die Dauer des Nutzungsverhältnisses (Bestehen des Kontos bzw. der beauftragten Analysen). Sie endet mit Beendigung des Nutzungsverhältnisses; die Rechtsfolgen für die Daten regelt § 10. Die Kündigung des Nutzungsverhältnisses richtet sich nach den Allgemeinen Geschäftsbedingungen (u. a. monatliche Kündbarkeit eines Abonnements); dieser AVV besteht, solange und soweit der Auftragsverarbeiter Daten im Auftrag verarbeitet.
§ 3 Art der Daten und Kategorien betroffener Personen (Anlage 1)
Art und Umfang der in den Analyse-Inhalten enthaltenen personenbezogenen Daten sowie die Kategorien betroffener Personen bestimmt der Verantwortliche, da er allein über den Inhalt der hochgeladenen Unterlagen entscheidet. Zur Konkretisierung dient die nachstehende Anlage 1; sie ist vom Verantwortlichen bei Bedarf zu ergänzen bzw. zu bestätigen.
| Gegenstand | Beschreibung |
|---|---|
| Art der personenbezogenen Daten | Personenbezogene Daten, die in den vom Verantwortlichen hochgeladenen Unterlagen enthalten sind — je nach Unterlage z. B. Namen, Kontakt- und Funktionsdaten, in Verträgen/Dokumentation genannte Personen, in Quellcode enthaltene personenbezogene Angaben. [zu bestätigen / bei Bedarf zu konkretisieren durch den Verantwortlichen] |
| Besondere Kategorien (Art. 9 DSGVO) | Sollen nicht hochgeladen werden, es sei denn, hierfür besteht eine Rechtsgrundlage und der Verantwortliche weist sie hier aus: [zu ergänzen: keine / falls ja, welche] |
| Kategorien betroffener Personen | Vom Verantwortlichen bestimmt, z. B. Beschäftigte, Bewerber, Kunden, Lieferanten, Nutzer, betroffene Dritte. [zu bestätigen / bei Bedarf zu konkretisieren] |
| Nicht Gegenstand dieses AVV | Konto-, Nutzungs- und Abrechnungsdaten des Verantwortlichen selbst (siehe Präambel — hierfür ist der Anbieter eigener Verantwortlicher). |
§ 4 Weisungsbindung (Art. 28 Abs. 3 lit. a, Art. 29)
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung in ein Drittland oder an eine internationale Organisation; dieser AVV, seine Anlagen und die Nutzung des Dienstes gelten als solche Weisung. Eine Verarbeitung zu eigenen Zwecken (insbesondere zu Werbe- oder KI-Trainingszwecken) findet nicht statt. Ist der Auftragsverarbeiter nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet, teilt er dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, informiert er den Verantwortlichen unverzüglich (Art. 28 Abs. 3 Satz 2 DSGVO).
§ 5 Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29)
Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass sie die personenbezogenen Daten nur auf Weisung des Verantwortlichen verarbeiten.
§ 6 Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c, Art. 32)
Der Auftragsverarbeiter trifft die in der Anlage Technische und organisatorische Maßnahmen (TOM) beschriebenen Maßnahmen (Art. 32 DSGVO) und hält sie unter Berücksichtigung des Stands der Technik aktuell. Diese Anlage ist Bestandteil dieses Vertrags.
§ 7 Subunternehmer (Art. 28 Abs. 2 und 4)
Der Verantwortliche erteilt die allgemeine Genehmigung zur Beauftragung der in der Anlage Subunternehmerliste genannten Unterauftragsverarbeiter. Beabsichtigt der Auftragsverarbeiter, einen weiteren Unterauftragsverarbeiter hinzuzuziehen oder einen bestehenden zu ersetzen, zeigt er dies dem Verantwortlichen vorab an. Der Verantwortliche kann der beabsichtigten Änderung aus berechtigtem, datenschutzbezogenem Grund innerhalb von 14 Tagen ab Zugang der Anzeige widersprechen (Einspruchsrecht).
Der Auftragsverarbeiter erlegt jedem Subunternehmer im Wege eines Vertrags im Wesentlichen dieselben Datenschutzpflichten auf wie in diesem Vertrag, insbesondere hinreichende Garantien für geeignete technische und organisatorische Maßnahmen (Art. 28 Abs. 1 und 4 DSGVO). Erfüllt ein Subunternehmer seine Datenschutzpflichten nicht, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Subunternehmers.
§ 8 Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e)
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte (Art. 15–22 DSGVO) nachzukommen. Wenden sich betroffene Personen unmittelbar an den Auftragsverarbeiter, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter.
§ 9 Unterstützung bei Sicherheit und Meldepflichten (Art. 28 Abs. 3 lit. f, Art. 32–36)
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 (Sicherheit der Verarbeitung), Art. 33 und 34 (Meldung bzw. Benachrichtigung bei Verletzungen des Schutzes personenbezogener Daten), Art. 35 (Datenschutz-Folgenabschätzung) und Art. 36 DSGVO (vorherige Konsultation). Verletzungen des Schutzes personenbezogener Daten, die die im Auftrag verarbeiteten Daten betreffen, teilt er dem Verantwortlichen unverzüglich nach Bekanntwerden mit (Art. 33 Abs. 2 DSGVO) und stellt die ihm verfügbaren Informationen zur Verfügung, die der Verantwortliche zur Erfüllung seiner Melde- und Benachrichtigungspflichten benötigt.
§ 10 Löschung oder Rückgabe (Art. 28 Abs. 3 lit. g)
Nach Beendigung der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen die im Auftrag verarbeiteten Daten oder gibt sie zurück und löscht vorhandene Kopien innerhalb von 30 Tagen, es sei denn, das Unionsrecht oder das Recht eines Mitgliedstaats schreibt eine weitergehende Speicherung vor. [zu bestätigen: konkrete Regellöschfrist im laufenden Betrieb]
§ 11 Nachweise, Kontrollen und Audits (Art. 28 Abs. 3 lit. h)
Der Auftragsverarbeiter stellt dem Verantwortlichen alle zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Der Auftragsverarbeiter kann verlangen, dass Prüfungen mit angemessener Vorankündigung, zu üblichen Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebs erfolgen und dass der Prüfer zur Vertraulichkeit verpflichtet wird. Auf die Hinweispflicht bei einer nach seiner Auffassung rechtswidrigen Weisung nach § 4 (Art. 28 Abs. 3 Satz 2 DSGVO) wird ergänzend verwiesen.
§ 12 Drittlandübermittlung (Kapitel V DSGVO)
Übermittlungen in ein Drittland erfolgen nur auf einer nach Kapitel V DSGVO zulässigen
Grundlage. Im Rahmen der KI-Analyse werden die Analyse-Inhalte an die US-Subunternehmer
OpenRouter Inc. (API-Gateway) und den eingesetzten Modellanbieter (derzeit Anthropic)
übermittelt. Grundlage sind die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c
DSGVO). Als zusätzliche Maßnahme kommt das Anbieter-Routing „keine Speicherung,
kein Training“ (data_collection: deny) zum Einsatz. Ob ein Subunternehmer
darüber hinaus nach dem EU-US Data Privacy Framework zertifiziert ist, ist gesondert zu
prüfen [zu prüfen, ob Anbieter zertifiziert]. Die eingesetzten Subunternehmer, Verarbeitungsorte
und Übermittlungsgrundlagen sind in der Subunternehmerliste
ausgewiesen; diese ist Bestandteil dieses Vertrags.
§ 13 Haftung (Art. 82 DSGVO)
Für die Haftung gegenüber betroffenen Personen gilt Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für Schäden, die durch eine ihr zurechenbare, gegen die DSGVO oder gegen diesen Vertrag verstoßende Verarbeitung verursacht werden. Der Auftragsverarbeiter haftet für Schäden nur, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung bzw. entgegen den rechtmäßigen Weisungen des Verantwortlichen gehandelt hat (Art. 82 Abs. 2 Satz 2 DSGVO). Im Übrigen gelten die Haftungsregelungen der Allgemeinen Geschäftsbedingungen und die §§ 280 ff. BGB; eine Haftung nach Art. 82 DSGVO gegenüber betroffenen Personen bleibt hiervon unberührt.
§ 14 Zuständige Aufsichtsbehörde
Für den Auftragsverarbeiter zuständige Aufsichtsbehörde ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Wiesbaden. Die für den Verantwortlichen zuständige Aufsichtsbehörde richtet sich nach dessen Sitz.
§ 15 Laufzeit und Schlussbestimmungen
Dieser AVV gilt, solange und soweit der Auftragsverarbeiter für den Verantwortlichen personenbezogene Daten im Auftrag verarbeitet; er endet mit Abschluss der Löschung bzw. Rückgabe nach § 10. Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Änderungen und Ergänzungen bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt der Vertrag im Übrigen wirksam. Bei Widersprüchen gehen die Regelungen dieses AVV den Regelungen der Allgemeinen Geschäftsbedingungen für den Bereich der Auftragsverarbeitung vor. Anlagen zu diesem Vertrag sind: die TOM-Beschreibung, die Subunternehmerliste sowie die vorstehende Anlage 1 (§ 3).