Auftragsverarbeitungsvertrag (AVV) — DokuParse
Stand: 2026-06-08 | Doku-Version: v2.4-2026-06-08 (finalisiert)
Diese Fassung finalisiert sowohl die vertraglich-zivilrechtliche Ebene (Durchsetzbarkeit, Kohärenz zur AGB, RDG-Abgrenzung, salvatorische Klausel — § 9.6, § 12.2) als auch die datenschutzrechtliche Substanz nach Art. 28 DSGVO (Verarbeitungsgegenstand/-art/-zweck/-dauer, Kategorien Betroffener und Daten inkl. Abgrenzung besonderer Kategorien nach Art. 9, Weisungsrecht, Vertraulichkeit, TOMs, Subunternehmer, Unterstützung Betroffenenrechte, Breach-Meldung Art. 33/34, Löschung/Rückgabe Art. 28 Abs. 3 lit. g, Audit/Nachweis, Drittland-/Transfer-Bewertung). Es bestehen keine offenen
→ DSGVO/DPO-Verweise mehr.
Auftragsverarbeitungsvertrag
gemäß Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO)
1. Vertragsparteien
Verantwortlicher (im Sinne von Art. 4 Nr. 7 DSGVO)
[KUNDE-UNTERNEHMEN] [KUNDE-RECHTSFORM] [KUNDE-STRASSE], [KUNDE-PLZ] [KUNDE-ORT] vertreten durch: [KUNDE-GF-NAME] E-Mail: [KUNDE-EMAIL] Tel.: [KUNDE-TEL]
— nachfolgend „Verantwortlicher" oder „Kunde" —
Auftragsverarbeiter (im Sinne von Art. 4 Nr. 8 DSGVO)
easytect UG (haftungsbeschränkt) Marktplatz 10a, 56457 Westerburg Handelsregister: Amtsgericht Montabaur, HRB 28807 USt-IdNr.: DE356696570 Vertreten durch den Geschäftsführer: Usman Ahmad E-Mail (Datenschutz): datenschutz@dokuparse.de Tel.: +49 2663 9790191
— nachfolgend „Auftragsverarbeiter" oder „easytect" —
Der Verantwortliche und der Auftragsverarbeiter werden gemeinsam als „Parteien" bezeichnet.
2. Vertragsgegenstand
2.1 Bezug zum Hauptvertrag
Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt und ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags über die Nutzung der SaaS-Lösung „DokuParse" (im Folgenden: „Hauptvertrag"), abgeschlossen am [DATUM-HAUPTVERTRAG], Vertragsnummer [VERTRAGS-NR].
2.2 Gegenstand der Auftragsverarbeitung
Der Auftragsverarbeiter erbringt für den Verantwortlichen KI-gestützte Dokumentenextraktionsdienste. Konkret verarbeitet der Auftragsverarbeiter personenbezogene Daten auf dokumentierte Weisung des Verantwortlichen im Rahmen folgender Aktivitäten:
- Entgegennahme und Eingangsprüfung von PDF-Dokumenten (Upload, E-Mail-Intake, API-Intake)
- Automatische KI-Klassifikation von Dokumenttypen (Microsoft Azure OpenAI GPT-4o-mini, Region West Europe)
- Strukturierte Extraktion von Dokumentfeldern mittels KI (Microsoft Azure OpenAI GPT-4o, Region West Europe)
- Speicherung von Dokumenten und extrahierten Daten in einer mandantenisolierten Cloud-Datenbank
- Erstellung von Vektor-Embeddings für semantische Suche (RAG-System, text-embedding-3-large)
- Bereitstellung einer Human-Review-Oberfläche (Side-by-Side-Ansicht Original + KI-Extrakt)
- Export freigegebener Daten in konfigurierbare Formate (CSV, XML) zur Übergabe an Zielsysteme des Verantwortlichen
Die zulässigen Dokumenttypen sind je nach vertikalem Einsatzbereich (Vertical) des Verantwortlichen begrenzt; siehe Abschnitt 4.3. Die vollständige Beschreibung der Verarbeitungsaktivitäten ergibt sich aus dem Verzeichnis von Verarbeitungstätigkeiten (Anlage 3, ROPA).
2.3 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, es sei denn, er ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).
3. Art und Zweck der Verarbeitung
3.1 Art der Verarbeitung
| Verarbeitungsart | Beschreibung |
|---|---|
| Erhebung | Upload, E-Mail-Intake oder API-Intake von Dokumenten durch bzw. im Auftrag des Verantwortlichen |
| Speicherung | Cloud-Speicherung in Microsoft Azure (Region West Europe, Niederlande) |
| Strukturierung | KI-Extraktion definierter Datenfelder aus Dokumenten |
| Verwendung | Bereitstellung extrahierter Daten für menschliche Prüfung und Export |
| Übermittlung | Export an das Zielsystem des Verantwortlichen (nach menschlicher Freigabe) |
| Löschung | Hard-Delete auf Weisung des Verantwortlichen sowie nach Vertragsende (Abschnitt 6, 7.8) |
3.2 Zweck der Verarbeitung
Der alleinige Zweck der Auftragsverarbeitung besteht in der KI-gestützten Extraktion und strukturierten Aufbereitung von Dokumentdaten aus den vom Verantwortlichen hochgeladenen Geschäftsdokumenten, um die manuelle Dateneingabe in das Zielsystem des Verantwortlichen zu ersetzen oder zu unterstützen (Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO).
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt im Rahmen der Vertragserfüllung gegenüber dem Verantwortlichen; die datenschutzrechtliche Rechtsgrundlage gegenüber den betroffenen Personen liegt beim Verantwortlichen (Art. 6 DSGVO, siehe Abschnitt 9.1). Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sind kein Verarbeitungszweck, sondern ein abzuwehrendes Risiko (siehe Abschnitt 4.2).
Eine Verarbeitung zu anderen Zwecken — insbesondere zu eigenen Profiling-, Scoring-, Trainings- oder Werbezwecken des Auftragsverarbeiters — ist ausgeschlossen. Insbesondere werden Dokumentinhalte des Verantwortlichen nicht zum Training von KI-Modellen verwendet (vgl. Azure-OpenAI-DPA, Anlage 2).
3.3 Geographischer Verarbeitungsort
Die Verarbeitung der Dokument- und Endkundendaten findet in der Europäischen Union statt:
- Microsoft Azure Region West Europe (Rechenzentrum Amsterdam, Niederlande) für Datenspeicherung, Nachrichtenverarbeitung und KI-Verarbeitung (Azure Functions, Blob Storage, PostgreSQL, Service Bus, Azure OpenAI, Azure Communication Services).
- E-Mail-Intake (ab Plan PROFESSIONAL): eingehende Nachrichten und Anhänge über Microsoft Exchange Online / Microsoft Graph in der EU-Geo-Region des Microsoft-365-Tenants (DE/DACH i. d. R. Frankfurt/Amsterdam).
- Azure EU Data Boundary: Microsoft hat die Einhaltung der EU Data Boundary für die relevanten Azure-Dienste zugesichert; Speicherort und Support-Zugriff sind auf die EU/den EWR begrenzt.
- Billing (Stripe): Abrechnungsdaten des Verantwortlichen (Name, E-Mail, Rechnungsanschrift, Zahlungsdaten, USt-ID) werden über die Stripe Payments Europe, Ltd. (Dublin, Irland) verarbeitet; ein konzerninterner Zugriff durch die Stripe, Inc. (USA) ist möglich (siehe Abschnitt 10.4). Endkundendaten des Verantwortlichen (Dokumentinhalte) werden nicht an Stripe übermittelt.
Transparenzhinweis Drittland-Restrisiko (Art. 44 ff. DSGVO): Microsoft und Stripe sind US-domizilierte Konzerne; ein behördlicher Zugriff nach US-Recht (CLOUD Act / FISA 702) lässt sich auch bei EU-Speicherung nicht vollständig ausschließen. Eine Absolut-Garantie, dass Daten die EU niemals erreichen oder kein US-Behördenzugriff erfolgt, wird ausdrücklich nicht gegeben. Die Daten werden in der EU (West Europe) gespeichert und verarbeitet; ein aktiver Drittland-Transfer durch den Auftragsverarbeiter findet — abgesehen vom oben genannten Stripe-Konzern-Restzugriff — nicht statt. Mitigation: EU-Region, DPA/SCC, EU-US Data Privacy Framework (soweit zertifiziert), Verschlüsselung, Datenminimierung (Abschnitt 10.4, Anlage 2).
4. Art der personenbezogenen Daten
4.1 Reguläre personenbezogene Daten (Art. 4 Nr. 1 DSGVO)
Welche Datenkategorien konkret verarbeitet werden, hängt vom Vertical des Verantwortlichen und dem von ihm konfigurierten Extraktionsschema ab. Typischerweise:
| Datenkategorie | Beschreibung | Typische Felder |
|---|---|---|
| Identifikations-/Stammdaten | Identifikationsdaten natürlicher Personen in den Dokumenten | Name, Vorname, Anschrift, ggf. Geburtsdatum |
| Vertrags-/Geschäftsdaten | Inhaltliche Daten aus den verarbeiteten Geschäftsdokumenten | Vertrags-/Vorgangsnummern, Beträge, Laufzeiten, Konditionen |
| Kontaktdaten | Kommunikationsinformationen (soweit im Dokument enthalten) | E-Mail-Adresse, Telefonnummer |
| Finanz-/Zahlungsdaten | In bestimmten Dokumenttypen (z. B. WEG-Abrechnungen) | Kontoverbindungen, Salden, Abrechnungsbeträge |
| Nutzerdaten der Mitarbeiter des Verantwortlichen | Identifikation der handelnden Personen | E-Mail-Adresse, Name (in Authentifizierungssystem und Audit-Log) |
4.2 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) — Abwehr, nicht Verarbeitungszweck
Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (insbesondere Gesundheitsdaten) ist ausdrücklich kein Gegenstand und kein Zweck dieses Vertrags. Der Dienst ist auf Geschäftsdokumente der Verticals esg/weg/logistics ausgelegt, die regelmäßig keine besonderen Kategorien enthalten (siehe Abschnitt 4.3).
Technische und organisatorische Abwehr (Eingangs-Gate): Der Auftragsverarbeiter betreibt am Dokumenteneingang eine Eingangsprüfung (Document-Type-Gate), die Dokumente mit erhöhtem Art.-9-Risiko anhand einer Doktyp-Allowlist je Vertical und einer Mustererkennung identifiziert und solche Dokumente zurückweist (Status QUARANTINE, Audit-Ereignis DOC_REJECTED_PRECHECK; keine Blob-Speicherung der Extraktion, kein GPT-Call auf den Inhalt). Diese Abwehr gilt einheitlich für Upload-, E-Mail- und API-Intake.
Verantwortung des Verantwortlichen: Der Verantwortliche stellt sicher, dass er keine Dokumente mit besonderen Kategorien personenbezogener Daten in die Plattform einbringt, für die keine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO besteht. Gelangen entgegen der Zweckbestimmung dennoch besondere Kategorien in die Verarbeitung, trägt der Verantwortliche die Verantwortung für das Vorliegen einer Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO; der Auftragsverarbeiter verarbeitet auch solche Daten ausschließlich weisungsgebunden (Art. 28 Abs. 3 lit. a DSGVO) und ist berechtigt, die Verarbeitung nach § 9.6 auszusetzen.
Ausnahmefall besondere Datenkategorien: Sollten entgegen der Zweckbestimmung in einzelnen Dokumenten dennoch besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO, insbesondere Gesundheitsdaten) auftreten, so gilt: Der Verantwortliche hat das Vorliegen einer Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO (typisch lit. b — arbeits-/sozialrechtliche Verpflichtungen — oder lit. f — Rechtsansprüche) eigenverantwortlich sicherzustellen. Im Regelbetrieb der Verticals esg/weg/logistics ist dieser Fall nicht vorgesehen; das Eingangs-Gate (oben) wehrt entsprechende Dokumente ab.
Verarbeitungsbeschränkung: Der Auftragsverarbeiter extrahiert nur diejenigen Felder, die im durch den Verantwortlichen konfigurierten Extraktionsschema (ExtractionSchema) definiert sind. Nicht konfigurierte Felder werden nicht gesondert strukturiert gespeichert.
4.3 Vertical-spezifische Dokumenttypen (Allowlist-Basis)
| Vertical | Typische Dokumenttypen | Überwiegende Datenkategorien |
|---|---|---|
| ESG / Lieferketten | Lieferanten-Code-of-Conduct, ISO-14001-Nachweise, Sedex/SMETA-Audits | überwiegend Unternehmens-/Lieferantendaten; ggf. Kontakt-/Unterschriftsdaten natürlicher Personen |
| WEG / Immobilienverwaltung | ETV-Protokolle, Hausgeldabrechnungen, Energieausweise, Notarverträge | Eigentümer-/Mieter-Personendaten, Finanz-/Abrechnungsdaten |
| Logistik / Zoll | Handelsrechnungen, EUR.1-Warenverkehrsbescheinigungen, CMR-Frachtbriefe | Geschäfts-/Handelsdaten, Kontaktpersonen |
Dokumenttypen außerhalb der für den jeweiligen Tenant freigeschalteten Allowlist werden vom Eingangs-Gate (Abschnitt 4.2) zurückgewiesen.
5. Kategorien betroffener Personen
| Kategorie | Beschreibung |
|---|---|
| Endkunden / Dritte des Verantwortlichen | Natürliche Personen, deren Daten in den verarbeiteten Dokumenten enthalten sind (z. B. Wohnungseigentümer/Mieter im WEG-Vertical, Kontaktpersonen von Lieferanten im ESG-Vertical, Vertrags-/Frachtpersonen im Logistik-Vertical) |
| Mitarbeiter des Verantwortlichen | Personen, die die Plattform bedienen (Upload, Review, Freigabe); ihre Nutzerdaten (E-Mail, Name) werden im Authentifizierungssystem und Audit-Log gespeichert |
| Weitere Vertragspartner (soweit enthalten) | Natürliche Personen, die als weitere Parteien in Dokumenten erscheinen (z. B. Bevollmächtigte, Mitunterzeichner) |
6. Dauer und Beendigung der Verarbeitung
6.1 Laufzeit
Dieser AVV gilt ab Unterzeichnung für die Dauer des Hauptvertrags. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags zuzüglich der in Abschnitt 6.2 geregelten Rückgabe-/Löschfristen.
6.2 Beendigung (Art. 28 Abs. 3 lit. g DSGVO)
Bei Beendigung des Hauptvertrags aus beliebigem Grund ist der Auftragsverarbeiter verpflichtet, nach Wahl des Verantwortlichen:
(a) Rückgabe der Daten: Export aller verarbeiteten Daten (Dokumente + extrahierte Felder) in einem standardisierten Format (JSON, CSV oder ZIP-Archiv mit PDFs) innerhalb von 30 Tagen nach Beendigung; oder
(b) Löschung der Daten: Unwiderrufliche Löschung (Hard-Delete) aller personenbezogenen Daten des Verantwortlichen aus der Produktivdatenbank und dem Cloud-Speicher (Document-, DocumentChunk-, StagingExtraction-Datensätze und zugehörige Blobs) innerhalb von 30 Tagen nach Beendigung sowie Bestätigung der Löschung in Textform.
Der Auftragsverarbeiter darf die Daten nach Rückgabe oder Löschung nicht weiter aufbewahren, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Speicherung vor (z. B. handels- und steuerrechtliche Aufbewahrungspflichten für Rechnungs-/Belegdaten). In diesem Fall beschränkt der Auftragsverarbeiter die Verarbeitung auf die Erfüllung dieser Aufbewahrungspflicht und sperrt die Daten im Übrigen.
Vertical-spezifische gesetzliche Aufbewahrung beim Verantwortlichen: Etwaige gesetzliche Aufbewahrungspflichten des Verantwortlichen (z. B. ESG/LkSG ca. 7 Jahre nach HGB, Logistik/Zoll ca. 10 Jahre nach UZK/AO, dauerhafte Aufbewahrungspflichten des WEG-Verwalters) liegen in der Verantwortung des Verantwortlichen und sind nicht Gegenstand der Aufbewahrung durch den Auftragsverarbeiter. Der Verantwortliche stellt vor der Löschung sicher, dass er seine eigenen Aufbewahrungspflichten durch die Datenrückgabe nach lit. (a) erfüllt hat.
6.3 Audit-Log-Erhalt
Das technisch unveränderliche Audit-Log (ohne personenbezogene Klardaten — nur IDs und pseudonymisierte Referenzen) darf der Auftragsverarbeiter für interne Compliance-Nachweise über das Vertragsende hinaus aufbewahren, sofern keine PII-Identifizierung der betroffenen Personen möglich ist.
7. Pflichten des Auftragsverarbeiters
7.1 Verarbeitung nur auf dokumentierte Weisung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen erfolgen primär durch:
- Die im Hauptvertrag und diesem AVV festgelegte Verarbeitungsbeschreibung (Abschnitt 2, 3)
- Die im System konfigurierten Extraktionsschemata (ExtractionSchema), die der Verantwortliche selbst definiert
- Schriftliche Sonderweisungen per E-Mail an datenschutz@dokuparse.de
Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, teilt er dies dem Verantwortlichen unverzüglich mit und darf die Ausführung der Weisung aussetzen, bis der Verantwortliche die Weisung bestätigt oder abgeändert hat.
7.2 Vertraulichkeitsverpflichtung
Der Auftragsverarbeiter stellt sicher, dass alle Personen, die mit der Verarbeitung der Daten des Verantwortlichen betraut sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Diese Verpflichtung besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.
7.3 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO zum Schutz der verarbeiteten personenbezogenen Daten. Die aktuell implementierten TOMs sind in Anlage 1 beschrieben.
Zu den zentralen Maßnahmen gehören insbesondere:
| TOM | Maßnahme |
|---|---|
| Zugangskontrolle | MFA (TOTP), Account-Lockout (5 Fehlversuche → 15 Min.), Session-Timeout (30 Min.) |
| Zugriffskontrolle | RBAC (ADMIN/MANAGER/OPERATOR), Tenant-Isolation via Row-Level-Security (tenantId in allen Queries) |
| Verschlüsselung at rest | AES-256 via Azure Transparent Data Encryption (TDE) und Azure Storage Service Encryption (SSE); zusätzliche AES-256-GCM-Spaltenverschlüsselung sensibler Felder |
| Verschlüsselung in transit | TLS 1.2+ für alle Verbindungen, HSTS |
| Art.-9-Eingangsabwehr | Document-Type-Gate (Doktyp-Allowlist je Vertical + Mustererkennung) → QUARANTINE statt Verarbeitung |
| Prompt-Injection-Schutz | 3-Ebenen-Schutz (Regex-Scan, Sandwich-Prompting, Output-Validierung gegen Schema) |
| Human-in-the-Loop | Keine Datenübergabe an Zielsysteme ohne explizite menschliche Freigabe (Approval-Token JWT, 15 Min.) |
| Audit-Log | Unveränderliches, transaktionales Audit-Log aller Lifecycle-Events (kein PII im Log — nur IDs) |
| Eingabevalidierung | Zod-Schema-Validierung aller Inputs; Magic-Bytes-Prüfung bei Upload |
Der Verantwortliche erkennt an, dass die TOMs dem aktuellen Stand der Technik entsprechen und ein angemessenes Schutzniveau bieten. Der Auftragsverarbeiter ist berechtigt, die TOMs weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird; wesentliche Änderungen teilt er dem Verantwortlichen vorab mit.
7.4 Unterauftragsverhältnisse (Subunternehmer)
Der Auftragsverarbeiter ist berechtigt, Subunternehmer (Unterauftragsverarbeiter) einzusetzen. Die aktuell eingesetzten Subunternehmer sind in Anlage 2 (Subprozessor-Liste, https://dokuparse.de/legal/subprocessors) aufgeführt.
Allgemeingenehmigungs-Modell mit Widerspruchsrecht (Art. 28 Abs. 2, 4 DSGVO):
- Der Verantwortliche erteilt hiermit die allgemeine Genehmigung für den Einsatz der in Anlage 2 aufgeführten Subunternehmer.
- Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung oder Ersetzung von Subunternehmern) per E-Mail mit einer Ankündigungsfrist von mindestens 14 Tagen informieren.
- Der Verantwortliche hat das Recht, innerhalb dieser Frist schriftlich Widerspruch einzulegen, wenn objektive datenschutzrechtliche Gründe bestehen. Wird kein Widerspruch eingelegt, gilt die Änderung als genehmigt.
- Im Fall eines begründeten Widerspruchs werden die Parteien eine Lösung verhandeln. Kommt keine Einigung zustande, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht des Hauptvertrags zu.
Der Auftragsverarbeiter verpflichtet Subunternehmer vertraglich auf dieselben Datenschutzpflichten, die in diesem AVV geregelt sind (Art. 28 Abs. 4 DSGVO), und haftet gegenüber dem Verantwortlichen für deren Pflichtverletzungen.
7.5 Unterstützung bei Betroffenenanfragen (Art. 15–22 DSGVO)
Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Betroffenenanfragen (Art. 28 Abs. 3 lit. e DSGVO):
| Betroffenenrecht | Unterstützungsleistung des Auftragsverarbeiters |
|---|---|
| Art. 15 — Auskunft | Export aller zu einer Person im System vorhandenen Daten auf Anfrage des Verantwortlichen (Tenant-Admin-Interface) |
| Art. 16 — Berichtigung | Korrekturfunktion im Human-Review-Interface vor Export; nach Integration: Unterstützung bei Identifikation der betroffenen Datensätze |
| Art. 17 — Löschung | Hard-Delete aller Dokumente, extrahierten Daten und Blobs zu einer betroffenen Person auf dokumentierte Weisung |
| Art. 18 — Einschränkung | Setzen eines Quarantäne-/Sperrstatus auf Weisung |
| Art. 20 — Portabilität | Export aller extrahierten Daten zu einer Person als JSON oder CSV auf Anfrage |
| Art. 21 — Widerspruch | Weiterleitung an den Verantwortlichen; Umsetzung auf Weisung |
Anfragen des Verantwortlichen zu Betroffenenrechten werden vom Auftragsverarbeiter innerhalb von 5 Werktagen bearbeitet. Die datenschutzrechtliche Beantwortung gegenüber der betroffenen Person obliegt dem Verantwortlichen.
7.6 Unterstützung bei Pflichten nach Art. 32–36 DSGVO
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung von (Art. 28 Abs. 3 lit. f DSGVO):
(a) Art. 32 — Sicherheit der Verarbeitung: Bereitstellung der TOM-Dokumentation (Anlage 1); Auskunft über aktuelle Sicherheitsmaßnahmen auf Anfrage.
(b) Art. 33 — Meldepflicht bei Datenschutzverletzungen: Der Auftragsverarbeiter meldet Datenschutzverletzungen, die die Daten des Verantwortlichen betreffen, unverzüglich und spätestens binnen 24 Stunden nach Kenntnisnahme an den Verantwortlichen (per E-Mail an den im Hauptvertrag hinterlegten Datenschutzkontakt). Der Verantwortliche ist seinerseits gemäß Art. 33 DSGVO verpflichtet, meldepflichtige Verletzungen binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden.
Die Meldung des Auftragsverarbeiters enthält mindestens: (1) Beschreibung der Art der Verletzung, (2) betroffene Datenkategorien und geschätzte Anzahl betroffener Personen/Datensätze, (3) wahrscheinliche Folgen, (4) ergriffene oder geplante Abhilfemaßnahmen.
(c) Art. 34 — Benachrichtigung betroffener Personen: Der Auftragsverarbeiter stellt dem Verantwortlichen die für eine etwaige Benachrichtigung betroffener Personen erforderlichen Informationen zur Verfügung. Die Entscheidung über und Durchführung der Benachrichtigung obliegt dem Verantwortlichen.
(d) Art. 35 — Datenschutz-Folgenabschätzung (DSFA): Bereitstellung aller für eine DSFA des Verantwortlichen erforderlichen Informationen über die Verarbeitungsvorgänge des Auftragsverarbeiters.
(e) Art. 36 — Vorabkonsultation: Unterstützung bei der Vorbereitung einer Vorabkonsultation bei der Aufsichtsbehörde, sofern erforderlich.
7.7 Datenschutzverletzungen — Meldewege
| Schritt | Verantwortlich | Frist |
|---|---|---|
| Entdeckung einer Datenschutzverletzung | Auftragsverarbeiter | — |
| Meldung an Verantwortlichen | Auftragsverarbeiter | 24 Stunden nach Kenntnis |
| Meldung an Aufsichtsbehörde (Art. 33 DSGVO) | Verantwortlicher | 72 Stunden nach Kenntnis |
| Ggf. Benachrichtigung betroffener Personen (Art. 34 DSGVO) | Verantwortlicher | Unverzüglich (bei hohem Risiko) |
| Incident-Follow-Up und Lessons-Learned | Auftragsverarbeiter | Innerhalb von 14 Tagen |
Meldekontakt Auftragsverarbeiter: datenschutz@dokuparse.de
7.8 Datenlöschung und -rückgabe nach Vertragsende
Auf Weisung oder bei Vertragsbeendigung gemäß Abschnitt 6.2. Frist: 30 Tage. Format: JSON-Export + PDF-Archiv-ZIP oder datenschutzkonforme Löschung (Hard-Delete) mit schriftlicher Bestätigung.
7.9 Mitwirkung an Audits (Art. 28 Abs. 3 lit. h DSGVO)
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen durch den Verantwortlichen oder von ihm beauftragte Prüfer:
(a) Dokumentationsaudit (Fernprüfung): Bereitstellung der TOM-Dokumentation, des ROPA und des DSGVO-Audit-Berichts auf Anfrage (bevorzugte Audit-Form).
(b) On-Site-Audit: On-Site-Prüfungen sind mit einem Vorlauf von mindestens 4 Wochen schriftlich anzukündigen, auf die übliche Geschäftszeit (Mo–Fr, 09:00–17:00 Uhr) zu beschränken und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen. Kosten von On-Site-Audits trägt der Verantwortliche.
(c) Zertifizierung: Der Auftragsverarbeiter kann alternativ Nachweise durch Vorlage von Zertifizierungen anerkannter Stellen (z. B. ISO 27001, SOC 2 eines Subunternehmers) erbringen.
7.10 Datenschutzbeauftragter
Der Auftragsverarbeiter (easytect UG) ist im aktuellen Verarbeitungskontext nicht zur Benennung eines Datenschutzbeauftragten verpflichtet (Art. 37 DSGVO; insbesondere keine Kerntätigkeit der umfangreichen Verarbeitung besonderer Kategorien — Art. 9-Daten sind ausdrücklich abzuwehrendes Risiko, nicht Verarbeitungszweck, siehe Abschnitt 4.2) und hat keinen Datenschutzbeauftragten benannt. Datenschutzkontakt des Auftragsverarbeiters: datenschutz@dokuparse.de.
8. Weisungsrechte des Verantwortlichen
8.1 Form der Weisungen
Weisungen des Verantwortlichen sollen in Textform (E-Mail an datenschutz@dokuparse.de) erteilt werden. In dringenden Fällen kann eine Weisung mündlich erteilt und anschließend unverzüglich in Textform bestätigt werden.
8.2 Inhalt der Weisungen
Der Verantwortliche kann insbesondere Weisungen erteilen zu:
- Konfigurierten Extraktionsschemata (welche Felder aus welchen Dokumenttypen extrahiert werden)
- Aufbewahrungsfristen und Löschung bestimmter Datensätze
- Einschränkung der Verarbeitung bestimmter Dokumente oder Datenkategorien
- Änderungen der Export-Konfiguration
8.3 Grenzen der Weisungen
Der Auftragsverarbeiter ist nicht verpflichtet, Weisungen auszuführen, die gegen Datenschutzrecht oder sonstige anwendbare Rechtsvorschriften verstoßen. Er informiert den Verantwortlichen über solche Bedenken unverzüglich.
9. Pflichten des Verantwortlichen
Der Verantwortliche ist für die Einhaltung der Datenschutzpflichten auf seiner Seite verantwortlich, insbesondere:
9.1 Sicherstellung der Rechtsgrundlage
Der Verantwortliche stellt sicher, dass für alle personenbezogenen Daten, die er in das System des Auftragsverarbeiters eingibt, eine gültige Rechtsgrundlage nach Art. 6 DSGVO (und — sollten entgegen der Zweckbestimmung besondere Kategorien betroffen sein — zusätzlich nach Art. 9 Abs. 2 DSGVO) vorliegt.
9.2 Beschränkung auf zulässige Daten
Der Verantwortliche gibt ausschließlich Daten in das System ein, zu deren Verarbeitung er rechtlich befugt ist, und beschränkt die Eingabe auf die für den jeweiligen Vertical zulässigen Dokumenttypen (Abschnitt 4.3). Die Eingabe von Daten ohne Rechtsgrundlage stellt einen Verstoß gegen diesen AVV dar.
9.3 Informationspflichten gegenüber betroffenen Personen
Der Verantwortliche stellt sicher, dass die betroffenen Personen (insbesondere seine Endkunden) gemäß Art. 13 / 14 DSGVO darüber informiert werden, dass ihre Daten durch einen Auftragsverarbeiter (easytect UG) mittels KI verarbeitet werden — einschließlich Zweck, Rechtsgrundlage, Empfänger und Betroffenenrechten. Etwaige zusätzliche KI-Transparenzpflichten (Art. 50 KI-VO) bleiben unberührt.
9.4 Sicherstellung der Systemzugänge
Der Verantwortliche trägt die Verantwortung für die ordnungsgemäße Verwaltung der ihm zugewiesenen Benutzerkonten (Passwörter, MFA, Zugriffsrechte) und meldet Kompromittierungen von Zugangsdaten unverzüglich an den Auftragsverarbeiter.
9.5 Weisungserteilung nur durch Berechtigte
Weisungen an den Auftragsverarbeiter dürfen nur von autorisierten Vertretern des Verantwortlichen erteilt werden, die dem Auftragsverarbeiter namentlich und per E-Mail-Adresse mitgeteilt wurden.
9.6 Gewährleistung der Rechtmäßigkeit; Muster-Vorlagen (Spiegelklausel zu AGB § 3.7)
(1) Rechtmäßigkeit der Verarbeitung. Der Verantwortliche sichert hiermit ausdrücklich zu, dass er für alle personenbezogenen Daten, die er in die Plattform eingibt, vor dem Upload über eine gültige Rechtsgrundlage nach Art. 6 DSGVO verfügt und — soweit entgegen der Zweckbestimmung besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO, insbesondere Gesundheitsdaten) betroffen sein sollten — zusätzlich über eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO verfügt (Art. 28 Abs. 3 lit. a DSGVO). Diese Verpflichtung besteht unabhängig davon, ob der Auftragsverarbeiter Muster-Vorlagen bereitstellt.
(2) Kein gemeinsamer Verantwortlicher; keine Rechtsdienstleistung. Soweit der Auftragsverarbeiter dem Verantwortlichen unverbindliche Muster-Vorlagen für datenschutzrechtliche Dokumente (Einwilligungserklärungen, Datenschutzinformationen, Widerrufsformulare) bereitstellt, begründet dies keine gemeinsame Verantwortlichkeit (Art. 26 DSGVO); der Verantwortliche bleibt alleiniger datenschutzrechtlicher Verantwortlicher. Die Bereitstellung der Muster erfolgt rein schematisch und generisch, ohne Prüfung des Einzelfalls des Verantwortlichen, und stellt keine Rechtsberatung und keine Rechtsdienstleistung im Sinne des § 2 Abs. 1 RDG dar. Der Verantwortliche ist verpflichtet, die Muster vor Verwendung gegenüber seinen Endkunden durch eine Rechtsanwältin oder einen Rechtsanwalt auf seine spezifische Situation prüfen zu lassen.
(3) Verhältnis zu AGB § 3.7 (Spiegelklausel, keine Doppel-Inanspruchnahme). Diese Klausel ist die datenschutzrechtliche Spiegelung von AGB § 3.7. Die in AGB § 3.6/§ 3.7 geregelten Freistellungsansprüche des Auftragsverarbeiters gegen den Verantwortlichen richten sich ausschließlich nach jenen Klauseln; eine kumulative Inanspruchnahme für denselben Schaden ist ausgeschlossen (AGB § 3.6 Abs. 4, § 3.7 Abs. 5). Dieser AVV begründet keine über die AGB hinausgehende Freistellung.
(4) Folgen einer Pflichtverletzung. Die Eingabe von personenbezogenen Daten ohne die nach Absatz (1) erforderliche Rechtsgrundlage stellt eine wesentliche Vertragspflichtverletzung dar und berechtigt den Auftragsverarbeiter, die Verarbeitung unverzüglich einzustellen und den Hauptvertrag fristlos zu kündigen. Schadensersatzansprüche des Auftragsverarbeiters bleiben vorbehalten.
10. Subunternehmer
10.1 Genehmigte Subunternehmer
Die zum Zeitpunkt des Abschlusses dieses AVV eingesetzten Subunternehmer (Unterauftragsverarbeiter) sind in Anlage 2 (Datei: https://dokuparse.de/legal/subprocessors) aufgeführt. Der Verantwortliche genehmigt den Einsatz dieser Subunternehmer mit Unterzeichnung dieses AVV.
10.2 Änderungen der Subunternehmer-Liste
- Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 14 Tage vor dem beabsichtigten Einsatz per E-Mail.
- Die Information enthält: Name, Anschrift und Kontaktdaten des neuen Subunternehmers; Art der übertragenen Daten; Zweck der Beauftragung; Drittlandstransfer und Transfer-Grundlage falls zutreffend.
- Der Verantwortliche kann innerhalb von 14 Tagen schriftlich Widerspruch einlegen, wenn er datenschutzrechtliche Gründe nachweisen kann.
- Nach Ablauf der Frist ohne Widerspruch gilt die Änderung als genehmigt; Anlage 2 wird aktualisiert.
10.3 Pflichten der Subunternehmer
Der Auftragsverarbeiter verpflichtet alle Subunternehmer vertraglich zur Einhaltung derselben Datenschutzpflichten, die in diesem AVV geregelt sind (Art. 28 Abs. 4 DSGVO).
10.4 Drittlandtransfer und Transfer-Grundlagen (Art. 44 ff. DSGVO)
Microsoft Azure / Microsoft 365 (Exchange Online/Graph): Speicherung und Verarbeitung in der EU (West Europe bzw. EU-Geo-Region des M365-Tenants) unter der Azure EU Data Boundary; DPA im Rahmen der Microsoft Online Services Terms (OST). Restrisiko CLOUD Act / FISA 702 wie in Abschnitt 3.3 beschrieben; Mitigation durch EU-Region, DPA, Verschlüsselung, Datenminimierung. Azure OpenAI verarbeitet keine Dokumentinhalte zu Trainingszwecken.
Stripe (Billing): Vertragspartner für EWR-Kunden ist die Stripe Payments Europe, Ltd. (Dublin, Irland); EU-Hauptverarbeitung in Irland/Frankfurt. Ein konzerninterner Zugriff durch die Stripe, Inc. (USA) ist möglich und wird über das EU-US Data Privacy Framework (DPF, soweit zertifiziert) sowie ergänzend EU-Standardvertragsklauseln (SCC) im Stripe-DPA abgesichert. An Stripe werden ausschließlich Billing-Daten des Verantwortlichen übermittelt — keine Endkunden-/Dokumentdaten. Der DPF-Zertifizierungsstatus ist regelmäßig zu überprüfen; Fallback-SCC sind aktivierbar (siehe Anlage 2).
11. Datenschutzverletzungen
11.1 Interne Meldung und Reaktion
Bei Kenntnisnahme einer (mutmaßlichen) Datenschutzverletzung, die die Daten des Verantwortlichen betrifft:
- Sofortmaßnahmen: Der Auftragsverarbeiter ergreift unverzüglich Maßnahmen zur Eindämmung (Containment) und zur Verhinderung weiterer Schäden.
- Meldung an Verantwortlichen: Innerhalb von 24 Stunden nach Kenntnisnahme, auch wenn noch nicht alle Details bekannt sind.
- Vollständiger Vorfallbericht: Innerhalb von 72 Stunden nach erster Meldung mit allen verfügbaren Details.
11.2 Inhalt der Meldung (Art. 33 Abs. 3 DSGVO)
Die Meldung enthält soweit möglich:
- Beschreibung der Art der Datenschutzverletzung (Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzung)
- Kategorien und ungefähre Anzahl der betroffenen Personen
- Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Datensätze
- Namen und Kontaktdaten des Ansprechpartners beim Auftragsverarbeiter
- Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung, einschließlich gegebenenfalls Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen
11.3 Pflichten des Verantwortlichen nach Meldung
Der Verantwortliche entscheidet eigenständig über die Meldung an die Aufsichtsbehörde (Art. 33 DSGVO, 72h-Frist) und die Benachrichtigung betroffener Personen (Art. 34 DSGVO). Der Auftragsverarbeiter unterstützt bei der Bereitstellung aller benötigten Informationen.
12. Schlussbestimmungen
12.1 Vorrang des AVV
Soweit dieser AVV von Regelungen des Hauptvertrags abweicht, gehen die Regelungen dieses AVV vor, soweit es datenschutzrechtliche Fragen betrifft.
12.2 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, berührt dies die Gültigkeit der übrigen Bestimmungen nicht. Anstelle der unwirksamen Bestimmung gilt die gesetzliche Regelung (§ 306 Abs. 2 BGB; analog AGB § 15.2).
12.3 Anwendbares Recht und Gerichtsstand
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Als Gerichtsstand wird Westerburg vereinbart.
Österreich: Für Verträge mit österreichischen Verantwortlichen gelten ergänzend das österreichische Datenschutzgesetz (DSG) sowie das TKG 2021; als Gerichtsstand kann Westerburg oder der Sitz des Verantwortlichen vereinbart werden.
Schweiz: Für Verträge mit Schweizer Verantwortlichen gilt ergänzend das revidierte Schweizer Datenschutzgesetz (nDSG, in Kraft seit 01.09.2023); Gerichtsstand und anwendbares Recht sind individuell zu vereinbaren.
12.4 Änderungen
Änderungen dieses AVV bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.
Unterschriften
Für den Verantwortlichen:
Ort, Datum: ___________________________
Name: ___________________________
Funktion: ___________________________
Unterschrift: ___________________________
Für den Auftragsverarbeiter:
Ort, Datum: Westerburg, ___________________________
Name: Usman Ahmad
Funktion: Geschäftsführer, easytect UG (haftungsbeschränkt)
Unterschrift: ___________________________
Anlagen
Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)
Die vollständige, aktuelle TOM-Dokumentation wird dem Verantwortlichen auf Anfrage in Textform bereitgestellt (siehe auch Hinweis unten). Sie beschreibt 16 TOM-Kategorien (TOM-01 bis TOM-16) von Zutrittskontrolle über Verschlüsselung, Audit-Log, Art.-9-Eingangsabwehr und Prompt-Injection-Schutz bis zu Incident-Response-Prozessen.
Hinweis: Die TOMs werden regelmäßig überprüft und weiterentwickelt. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die jeweils aktuelle Version zur Verfügung. Wesentliche Änderungen, die das Schutzniveau beeinflussen, werden dem Verantwortlichen vorab mitgeteilt.
Anlage 2: Liste der eingesetzten Subprozessoren (Unterauftragsverarbeiter)
Die aktuelle, vollständige Subprozessor-Liste einschließlich Angaben zu Dienst, Datenkategorien, Region, Transfer-Basis und Vertragsdokumentation ist unter folgendem Pfad hinterlegt:
https://dokuparse.de/legal/subprocessors
Hinweis: Die Liste wird bei Änderungen (Hinzufügung/Austausch von Subprozessoren) aktualisiert. Kunden werden mit 14 Tagen Widerspruchsfrist vorab informiert (Abschnitt 10.2).
Anlage 3: Datenflussbeschreibung und Verarbeitungsaktivitäten (ROPA)
Die detaillierte Beschreibung aller Verarbeitungsaktivitäten (Datenflussbeschreibung, Rechtsgrundlagen, betroffene Datenkategorien, Empfänger, Löschfristen) ist im (intern geführten) Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters dokumentiert und dem Verantwortlichen auf Anfrage einsehbar. Das ROPA umfasst die Verarbeitungsaktivitäten VA-01 (Dokumenten-Intake) bis VA-08 (Audit-Log-Führung) sowie die Subprozessor-Übersicht.
Stand: 2026-06-08 | Doku-Version: v2.4-2026-06-08 (finalisiert) | Status: Art.-28-DSGVO-Substanz und zivilrechtliche Ebene final ausgearbeitet. Die [KUNDE-*]-Felder sowie [DATUM-HAUPTVERTRAG]/[VERTRAGS-NR] werden bei Vertragsschluss vom Verantwortlichen (Kunden) ausgefüllt.