Vertrag zur Auftragsverarbeitung

gemäß Art. 28 Abs. 3 DSGVO

Vertragsparteien

Auftraggeber:

Der Kunde, der die SaaS-Dienste der covalana UG (haftungsbeschränkt) nutzt (nachfolgend „Auftraggeber")

Auftragnehmer:

covalana UG (haftungsbeschränkt)
Roßberg 16
22089 Hamburg
Deutschland

Handelsregister: HRB 194601, Amtsgericht Hamburg
Geschäftsführer: Benjamin Wardemann
E-Mail: contact@covalana.com

(nachfolgend „Auftragnehmer")

Präambel

Der Auftragnehmer stellt dem Auftraggeber eine webbasierte SaaS-Plattform zur KI-gestützten Textanalyse zur Verfügung. Im Rahmen der Nutzung dieser Plattform kann der Auftraggeber Texte hochladen und analysieren lassen, die personenbezogene Daten enthalten können.

Der Auftragnehmer verarbeitet diese Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers. Dieser Vertrag zur Auftragsverarbeitung (AVV) regelt die datenschutzrechtlichen Pflichten beider Parteien gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

1.1 Vertragsgegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich im Rahmen der Bereitstellung und Nutzung der SaaS-Plattform zur Textanalyse.

1.2 Vertragslaufzeit

Dieser AVV tritt mit Beginn der Nutzung der SaaS-Dienste in Kraft und endet automatisch mit Beendigung des Nutzungsverhältnisses (Hauptvertrag). Die Pflichten zur Löschung bzw. Rückgabe der Daten gemäß § 10 bleiben hiervon unberührt.

§ 2 Art und Zweck der Verarbeitung

2.1 Verarbeitete Daten

Der Auftragnehmer verarbeitet folgende Kategorien personenbezogener Daten:

a) Nutzerdaten (zur Bereitstellung der Plattform):

  • Name des Nutzers
  • Geschäftliche E-Mail-Adresse
  • Name und Sitz des Unternehmens des Auftraggebers
  • Passwort (ausschließlich in gehashter Form)
  • Benutzerrolle und Zugangsberechtigungen
  • Technische Metadaten (Zeitstempel der Registrierung, letzter Login, IP-Adresse bei Anmeldung)

b) Textdaten (zur Durchführung der Analyse):

  • Vom Auftraggeber eingereichte Textinhalte zur Analyse
  • Analyseergebnisse und generierte Berichte (PDF)
  • Metadaten der Verarbeitung (Zeitstempel, Verarbeitungsstatus)

2.2 Kategorien betroffener Personen

  • Mitarbeiter des Auftraggebers, die die Plattform nutzen
  • Kunden des Auftraggebers (soweit in analysierten Texten erwähnt)
  • Sonstige Personen, deren Daten in den vom Auftraggeber eingereichten Texten enthalten sind

2.3 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zu folgenden Zwecken:

  • Bereitstellung und Verwaltung von Benutzerkonten
  • Authentifizierung und Zugriffskontrolle
  • Durchführung der KI-gestützten Textanalyse
  • Erstellung und Bereitstellung von Analyseergebnissen (PDF-Berichte)
  • Technische Fehleranalyse und Systemsicherheit

2.4 Art der Verarbeitung

  • Speicherung von Nutzerdaten in verschlüsselten Datenbanken
  • Übermittlung von Textinhalten an KI-Schnittstellen zur Analyse
  • Generierung von PDF-Berichten
  • Vorübergehende Zwischenspeicherung während der Verarbeitungsprozesse
  • Protokollierung zu Sicherheits- und Fehlerbehebungszwecken

§ 3 Weisungsrecht und Weisungsgebundenheit

3.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers. Die Weisungen ergeben sich aus:

  • diesem Vertrag zur Auftragsverarbeitung
  • der Nutzung der Plattform durch den Auftraggeber (insbesondere durch Eingabe von Texten zur Analyse)
  • ergänzenden schriftlichen oder elektronischen Einzelweisungen

3.2 Dokumentierte Weisungen

Die folgenden Weisungen gelten als dokumentiert und vom Auftraggeber erteilt:

a) Speicherung von Nutzerdaten:

Der Auftragnehmer ist angewiesen, die zur Bereitstellung der Plattform erforderlichen Nutzerdaten (Name, E-Mail, Passwort-Hash, Rollen) für die Dauer des Nutzungsverhältnisses zu speichern.

b) Verarbeitung von Textdaten:

Der Auftragnehmer ist angewiesen, die vom Auftraggeber eingereichten Texte mittels KI-Schnittstellen zu analysieren und die Ergebnisse bereitzustellen.

c) Löschung nach Verarbeitung:

Der Auftragnehmer ist angewiesen, eingegebene Texte und generierte Analyseergebnisse unmittelbar nach Abschluss der jeweiligen Verarbeitung bzw. nach Download des Berichts zu löschen.

d) Einbindung von Unterauftragsverarbeitern:

Der Auftraggeber weist den Auftragnehmer an, die in § 5 genannten Unterauftragsverarbeiter einzubinden.

3.3 Erweiterte Weisungen

Der Auftraggeber kann jederzeit weitere Weisungen in Textform (E-Mail an contact@covalana.com) erteilen. Der Auftragnehmer wird solche Weisungen unverzüglich umsetzen, sofern sie technisch umsetzbar sind und nicht gegen geltendes Recht verstoßen.

3.4 Rechtswidrige Weisungen

Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen Datenschutzrecht verstößt, wird er den Auftraggeber unverzüglich darauf hinweisen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird.

§ 4 Pflichten des Auftragnehmers

4.1 Rechtmäßigkeit der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten nur im Rahmen der erteilten Weisungen und in Übereinstimmung mit der DSGVO sowie dem BDSG.

4.2 Vertraulichkeit

Der Auftragnehmer verpflichtet sich, alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten. Die Verpflichtung gilt auch nach Beendigung der Tätigkeit fort.

4.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer implementiert und unterhält angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO. Die aktuellen TOM sind in Anlage 1 zu diesem Vertrag beschrieben.

4.4 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) durch geeignete technische und organisatorische Maßnahmen.

Anfragen betroffener Personen, die direkt an den Auftragnehmer gerichtet werden, leitet der Auftragnehmer unverzüglich an den Auftraggeber weiter.

4.5 Unterstützung bei Datenschutz-Folgenabschätzung

Auf Anfrage des Auftraggebers unterstützt der Auftragnehmer diesen bei der Durchführung einer Datenschutz-Folgenabschätzung sowie bei der vorherigen Konsultation mit der Aufsichtsbehörde, soweit dies erforderlich ist.

4.6 Datenpannen-Meldung

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden per E-Mail an die vom Auftraggeber angegebene Kontaktadresse.

Die Meldung enthält mindestens:

  • Art und Umfang der Datenpanne
  • Betroffene Datenkategorien und (geschätzte) Anzahl betroffener Personen
  • Mögliche Folgen der Verletzung
  • Bereits ergriffene oder geplante Abhilfemaßnahmen

4.7 Löschung und Rückgabe von Daten

Nach Beendigung der Auftragsverarbeitung löscht der Auftragnehmer alle personenbezogenen Daten gemäß § 10 dieses Vertrages.

§ 5 Unterauftragsverarbeiter

5.1 Generelle Genehmigung

Der Auftraggeber erteilt dem Auftragnehmer hiermit die generelle Genehmigung zur Beauftragung der in Anlage 2 (Unterauftragsverarbeiter-Liste) genannten Unterauftragsverarbeiter.

5.2 Aktuell genehmigte Unterauftragsverarbeiter

UnternehmenLeistungStandortRechtsgrundlage
Hetzner Online GmbHCloud-Infrastruktur, Hosting (Server, Datenbanken, Message Queue)DeutschlandAVV gem. Art. 28 DSGVO
OpenAI, L.L.C.KI-Textanalyse via APIUSAData Processing Addendum (DPA) inkl. Standardvertragsklauseln (SCC)

5.3 Pflichten bei Unterauftragsverhältnissen

Der Auftragnehmer verpflichtet sich:

  • Mit jedem Unterauftragsverarbeiter einen Vertrag zur Auftragsverarbeitung abzuschließen, der die gleichen Datenschutzpflichten enthält wie dieser Vertrag
  • Die Einhaltung der datenschutzrechtlichen Pflichten durch den Unterauftragsverarbeiter zu überwachen
  • Dem Auftraggeber auf Anfrage Nachweise über die Einhaltung der Pflichten durch Unterauftragsverarbeiter vorzulegen

5.4 Änderung der Unterauftragsverarbeiter

Beabsichtigt der Auftragnehmer, einen neuen Unterauftragsverarbeiter hinzuzuziehen oder einen bestehenden auszutauschen, informiert er den Auftraggeber mindestens 30 Tage im Voraus per E-Mail.

Der Auftraggeber kann der beabsichtigten Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn:

  • Der neue Unterauftragsverarbeiter kein angemessenes Datenschutzniveau gewährleistet
  • Der Auftraggeber aufgrund eigener vertraglicher oder gesetzlicher Verpflichtungen die Einbindung nicht akzeptieren kann

Erfolgt ein wirksamer Widerspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag außerordentlich zu kündigen.

§ 6 Drittlandübermittlung

6.1 Übermittlung in die USA (OpenAI)

Der Auftraggeber nimmt zur Kenntnis und genehmigt, dass im Rahmen der Textanalyse Daten an OpenAI, L.L.C. in die USA übermittelt werden.

6.2 Rechtsgrundlage

Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Standard Contractual Clauses - SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Der Auftragnehmer hat mit OpenAI ein Data Processing Addendum abgeschlossen, das die EU-Standardvertragsklauseln einbindet.

6.3 Zusätzliche Garantien

  • OpenAI nutzt über die API übermittelte Daten nicht für das Training von KI-Modellen (Zero Data Retention Policy)
  • Die Übertragung erfolgt verschlüsselt via TLS
  • Es werden keine Nutzerkontodaten an OpenAI übermittelt, sondern ausschließlich die Textinhalte zur Analyse

6.4 Transfer Impact Assessment

Der Auftragnehmer hat eine Bewertung der Drittlandübermittlung durchgeführt und ist zu dem Ergebnis gekommen, dass durch die Kombination aus Standardvertragsklauseln, Zero Data Retention Policy und technischen Schutzmaßnahmen ein angemessenes Schutzniveau gewährleistet ist.

§ 7 Kontrollrechte des Auftraggebers

7.1 Auskunftsrecht

Der Auftraggeber hat das Recht, vom Auftragnehmer Auskünfte über die Verarbeitung der personenbezogenen Daten zu verlangen, insbesondere über:

  • Die Einhaltung der TOM gemäß Anlage 1
  • Die Einhaltung der Weisungen
  • Den Einsatz von Unterauftragsverarbeitern

7.2 Inspektionsrecht

Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrages zu prüfen durch:

  • Einholung von Auskünften in Textform
  • Einsichtnahme in relevante Unterlagen und Nachweise (z.B. Zertifikate, Auditberichte)
  • Inspektionen vor Ort nach vorheriger Ankündigung während der üblichen Geschäftszeiten

7.3 Nachweis durch Zertifizierung

Der Auftragnehmer kann die Einhaltung seiner Pflichten auch durch anerkannte Zertifizierungen, Testate oder Berichte nachweisen.

7.4 Kosten

Sofern Inspektionen nicht aufgrund eines begründeten Verdachts auf Vertragsverletzung erfolgen, trägt der Auftraggeber die Kosten der Inspektion. Bei einem begründeten Verdacht trägt der Auftragnehmer die Kosten.

§ 8 Pflichten des Auftraggebers

8.1 Rechtmäßigkeit der Verarbeitung

Der Auftraggeber ist allein verantwortlich für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Er stellt insbesondere sicher, dass:

  • Eine Rechtsgrundlage für die Verarbeitung vorliegt
  • Betroffene Personen ordnungsgemäß informiert werden
  • Erforderliche Einwilligungen eingeholt werden

8.2 Angemessenheit der Weisungen

Der Auftraggeber gewährleistet, dass seine Weisungen rechtmäßig sind und nicht gegen die DSGVO oder andere Datenschutzvorschriften verstoßen.

8.3 Prüfung des Auftragnehmers

Der Auftraggeber hat vor Vertragsschluss die Eignung des Auftragnehmers zur Gewährleistung des Datenschutzes geprüft, insbesondere durch Einsichtnahme in die TOM (Anlage 1).

§ 9 Haftung und Schadensersatz

9.1 Haftung gemäß DSGVO

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Der Auftragnehmer haftet nur für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurden, für die er verantwortlich ist.

9.2 Haftungsbeschränkung

Im Übrigen gelten die Haftungsregelungen des Hauptvertrages (Nutzungsbedingungen/AGB).

9.3 Freistellung

Der Auftragnehmer stellt den Auftraggeber von Ansprüchen betroffener Personen oder Dritter frei, die aufgrund einer Verletzung der Pflichten des Auftragnehmers aus diesem AVV entstehen, soweit der Auftragnehmer die Pflichtverletzung zu vertreten hat.

§ 10 Löschung und Rückgabe von Daten

10.1 Löschung nach Vertragsende

Nach Beendigung der Auftragsverarbeitung (Kündigung des Hauptvertrages) löscht der Auftragnehmer alle personenbezogenen Daten, die im Auftrag des Auftraggebers verarbeitet wurden, unverzüglich, spätestens jedoch innerhalb von 30 Tagen.

10.2 Ausnahme: Gesetzliche Aufbewahrungspflichten

Ausgenommen von der Löschpflicht sind Daten, die der Auftragnehmer aufgrund gesetzlicher Aufbewahrungspflichten (z.B. §§ 147 AO, 257 HGB) speichern muss. Diese Daten werden gesperrt und nur noch für die gesetzlich vorgeschriebenen Zwecke verwendet.

10.3 Rückgabe von Daten

Der Auftraggeber kann vor der Löschung die Rückgabe oder Übermittlung der Daten verlangen. Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format (z.B. JSON, CSV, PDF). Der Auftraggeber trägt die Kosten für die Rückgabe, sofern diese einen angemessenen Aufwand übersteigt.

10.4 Bestätigung der Löschung

Auf Verlangen des Auftraggebers bestätigt der Auftragnehmer die vollständige Löschung schriftlich.

10.5 Sofortige Löschung während der Nutzung

Unabhängig von Vertragsende werden folgende Daten bereits während der Nutzung unverzüglich nach Abschluss der Verarbeitung gelöscht:

  • Eingegebene Textinhalte: unmittelbar nach Abschluss der Analyse
  • Generierte PDF-Berichte: unmittelbar nach Download oder spätestens nach 24 Stunden
  • Fehlerprotokolle: spätestens nach 30 Tagen

§ 11 Vertragsbeginn und Inkrafttreten

11.1 Inkrafttreten

Dieser Vertrag zur Auftragsverarbeitung tritt mit der Registrierung des Auftraggebers und Beginn der Nutzung der SaaS-Plattform in Kraft.

11.2 Akzeptanz

Durch die Nutzung der Plattform und das Hochladen von Daten zur Analyse bestätigt der Auftraggeber seine Kenntnis und Akzeptanz dieses AVV sowie der in den Anlagen beschriebenen TOM und Unterauftragsverarbeiter.

11.3 Änderungen

Änderungen dieses AVV bedürfen der Textform. Der Auftragnehmer informiert den Auftraggeber rechtzeitig über wesentliche Änderungen. Widerspricht der Auftraggeber nicht innerhalb von 30 Tagen, gelten die Änderungen als akzeptiert.

§ 12 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

§ 13 Anwendbares Recht und Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, Hamburg.

Anlagen

  • Anlage 1: Technische und organisatorische Maßnahmen (TOM)
  • Anlage 2: Liste der Unterauftragsverarbeiter

Die Anlagen können auf Anfrage unter contact@covalana.com angefordert werden.

Stand: Februar 2026

Version: 1.0

covalana UG (haftungsbeschränkt)
Roßberg 16
22089 Hamburg
Deutschland

E-Mail: contact@covalana.com
Internet: https://www.covalana.com