Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Stand: März 2025

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt den Nutzungsvertrag zwischen dem Nutzer des SaaS-Dienstes „OpenClaw Institut Hosting" (nachfolgend „Verantwortlicher") und der GO! Entrepreneur GmbH, Innere Wiener Strasse 13, 81667 München (nachfolgend „Auftragsverarbeiter").

(2) Gegenstand: Der Auftragsverarbeiter betreibt im Auftrag des Verantwortlichen einen KI-Assistenten und verarbeitet dabei personenbezogene Daten, die der Verantwortliche über den Dienst eingibt oder die im Rahmen der Nutzung anfallen.

(3) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrages.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Bereitstellung und des Betriebs des KI-Assistenten, insbesondere:

  • Speicherung und Verwaltung des Nutzer-Accounts
  • Verarbeitung von Chat-Nachrichten zwischen Nutzer und KI-Assistent
  • Speicherung von Konfigurationsdaten und Einstellungen
  • Weiterleitung von Anfragen an KI-Provider über den nutzereigenen API-Key
  • Bereitstellung von Messaging-Integrationen (Telegram, WhatsApp, Slack, Discord)

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Datenkategorien verarbeitet:

  • Stammdaten: E-Mail-Adresse
  • Nutzungsdaten: Chat-Nachrichten, Chat-Verläufe, Konfigurationseinstellungen
  • Technische Daten: Session-Daten, verschlüsselte API-Keys, Logdaten
  • Inhaltsdaten: Sämtliche vom Nutzer über den KI-Assistenten eingegebene oder generierte Inhalte

§ 4 Kategorien betroffener Personen

  • Registrierte Nutzer des SaaS-Dienstes
  • Personen, deren Daten der Nutzer über den KI-Assistenten verarbeitet (z. B. in Chat-Nachrichten erwähnte Personen)

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (der Nutzungsvertrag und diese AVV gelten als Weisung)
  2. Zu gewährleisten, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben
  3. Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe § 7)
  4. Unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen
  5. Nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten innerhalb von 30 Tagen zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht
  6. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen

§ 6 Pflichten des Verantwortlichen

Der Verantwortliche:

  1. Ist für die Rechtmäßigkeit der Datenverarbeitung gemäß den geltenden Datenschutzgesetzen verantwortlich
  2. Stellt sicher, dass er befugt ist, die betreffenden personenbezogenen Daten durch den Auftragsverarbeiter verarbeiten zu lassen
  3. Informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung feststellt

§ 7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

7.1 Vertraulichkeit

  • Zutrittskontrolle: Serverstandort bei Hetzner Online GmbH mit physischer Zutrittskontrolle (Rechenzentrum in Deutschland)
  • Zugangskontrolle: SSH-Zugang nur mit Key-Authentifizierung, kein Passwort-Login
  • Zugriffskontrolle: Docker-basierte Container-Isolation — kein Cross-Access zwischen Nutzerdaten
  • Trennungskontrolle: Logische Trennung der Nutzerdaten durch separate Datenbank-Einträge und Container

7.2 Integrität

  • Weitergabekontrolle: TLS/HTTPS-Verschlüsselung für alle Datenübertragungen
  • Eingabekontrolle: Protokollierung von Änderungen an Konfigurationen und Einstellungen

7.3 Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Regelmäßige, automatisierte Backups auf separaten Systemen
  • Wiederherstellbarkeit: Dokumentierte Wiederherstellungsprozesse, regelmäßige Tests

7.4 Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
  • Zeitnahe Einspielen von Sicherheitsupdates
  • Monitoring der Systeme auf Anomalien

7.5 Verschlüsselung

  • Transport: TLS 1.2+ für alle HTTP-Verbindungen
  • Passwörter: bcrypt-Hashing mit aktuellem Cost-Factor
  • API-Keys: Verschlüsselte Speicherung in der Datenbank

§ 8 Unterauftragnehmer

(1) Der Auftragsverarbeiter setzt zum Zeitpunkt des Vertragsschlusses folgenden Unterauftragnehmer ein:

  • Hetzner Online GmbH
    Industriestr. 25, 91710 Gunzenhausen, Deutschland
    Leistung: Server-Hosting und Infrastruktur
    Standort: Deutschland

(2) Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.

§ 9 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wurde.

(2) Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

§ 10 Kontrollrechte

(1) Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieses AVV zu überprüfen, einschließlich durch Inspektionen vor Ort nach vorheriger Ankündigung.

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zur Verfügung und unterstützt bei Überprüfungen.

§ 11 Schlussbestimmungen

(1) Dieser AVV tritt mit Registrierung des Nutzers in Kraft und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Beendigung des Nutzungsvertrages.

(2) Im Falle von Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag oder anderen Vereinbarungen geht dieser AVV in Bezug auf den Datenschutz vor.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

(4) Gerichtsstand ist München.

Kontakt für Datenschutzanfragen

GO! Entrepreneur GmbH
Innere Wiener Strasse 13
81667 München
E-Mail: agent@openclaw-institut.com
Telefon: +49 (0) 89 / 628 283 62