Zum Inhalt springen

Auftragsverarbeitungsvertrag (AVV)

Mustervertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien gemäß Art. 28 DSGVO im Rahmen der Nutzung des Dienstes Baugutachten KI.

Verantwortlicher (Auftraggeber): Der Pilot-Partner / Kunde, der den Dienst zur Erstellung von Gutachten nutzt.
Auftragsverarbeiter: Toni Czyrnik – TC Software, Von-Schlegel-Straße 9, 08056 Zwickau

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen, soweit dies für den Betrieb des Dienstes erforderlich ist.

§ 1 Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist der Betrieb des KI-gestützten Recherche- und Schreibassistenten „Baugutachten KI" auf selbst gehosteter Infrastruktur des Auftraggebers oder auf vom Auftragsverarbeiter bereitgestellter Infrastruktur (Hetzner-Rechenzentrum, Deutschland).

Die Dauer richtet sich nach der zugrundeliegenden Nutzungsvereinbarung.

§ 2 Art und Zweck der Verarbeitung

Im Rahmen des Dienstes können folgende Kategorien personenbezogener Daten verarbeitet werden, sofern sie in hochgeladenen Dokumenten enthalten sind:

  • Namen und Anschriften von Verfahrensbeteiligten (Auftraggeber, Parteien, Zeugen)
  • Schadensbeschreibungen und Gutachteninhalte mit Personenbezug
  • Georeferenzierte Objektdaten (Adressen, Grundstücksdaten)
  • Gesundheitsdaten, soweit in Schadensgutachten enthalten (besondere Kategorie gem. Art. 9 DSGVO)

Zweck: Unterstützung des Verantwortlichen bei der Erstellung von Sachverständigengutachten durch KI-gestützte Dokumentenrecherche und Textvorschläge.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
  2. Zur Vertraulichkeit verpflichtete Personen einzusetzen (Art. 28 Abs. 3 lit. b DSGVO).
  3. Alle erforderlichen technisch-organisatorischen Maßnahmen gemäß Art. 32 DSGVO umzusetzen (insbesondere: TLS-Verschlüsselung, Zugriffskontrolle, Audit-Logging, Datenisolierung pro Auftrag).
  4. Keine KI-Modelle in der Cloud (OpenAI, Anthropic, Google u. a.) zur Verarbeitung echter Gutachtendaten einzusetzen. Alle Inferenz erfolgt ausschließlich auf selbst gehosteten Ollama-Modellen.
  5. Keine Feinabstimmung (Fine-tuning) auf personenbezogenen Daten des Verantwortlichen vorzunehmen.
  6. Den Verantwortlichen unverzüglich zu informieren, wenn nach Einschätzung des Auftragsverarbeiters eine erteilte Weisung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 lit. h DSGVO).
  7. Datenpannen gemäß Art. 33 DSGVO unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, zu melden.

§ 4 Technische und organisatorische Maßnahmen (TOM)

Die folgenden TOM sind implementiert:

MaßnahmeUmsetzung
Verschlüsselung der ÜbertragungTLS 1.3 (Caddy mit ACME-Zertifikat)
ZugangskontrolleAuthentifizierung pro Nutzer, separate Datenbank pro Auftrag (Qdrant-Collection)
DatenisolierungEine Qdrant-Collection pro Gutachtenfall; keine mandantenübergreifende Suche
ProtokollierungAudit-Log aller KI-Interaktionen (Zeitstempel, Modell, Prompt-Hash, Nutzer-ID)
LöschkonzeptFallbezogene Löschung auf Anfrage; Server-Logfiles nach 7 Tagen
ServerstandortHetzner Online GmbH, Falkenstein (DE) / Helsinki (FI), ISO/IEC 27001
KI-InfrastrukturKein Cloud-LLM; ausschließlich self-hosted Ollama auf dedizierten GPU-Servern

§ 5 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen — Hosting, Serverinfrastruktur (AVV mit Hetzner liegt vor)

Die Beauftragung weiterer Unterauftragsverarbeiter bedarf der vorherigen schriftlichen Genehmigung des Verantwortlichen.

§ 6 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung von Betroffenenrechten (Art. 15–21 DSGVO) durch geeignete technische und organisatorische Maßnahmen. Die Verantwortung gegenüber der betroffenen Person verbleibt beim Verantwortlichen.

§ 7 Löschung und Rückgabe

Nach Beendigung der Auftragsverarbeitung löscht oder gibt der Auftragsverarbeiter — nach Wahl des Verantwortlichen — alle personenbezogenen Daten zurück und löscht bestehende Kopien, sofern keine gesetzliche Aufbewahrungspflicht dem entgegensteht (Art. 28 Abs. 3 lit. g DSGVO).

§ 8 Nachweise und Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Audits (Art. 28 Abs. 3 lit. h DSGVO). Anfragen zur Nachweiserbringung sind an info@baugutachten-ki.de zu richten.

Kontakt & Abschluss

Dieser Muster-AVV dient als Grundlage für die Vertragsgestaltung mit Pilot-Partnern. Der individuelle AVV wird vor Pilotbeginn zwischen den Parteien schriftlich vereinbart.

Für Anfragen und zur Vereinbarung eines individuellen AVV wenden Sie sich bitte an:
info@baugutachten-ki.de