Auftragsverarbeitungsvertrag (AVV)
Stand: Juni 2026 · Version 2.3
Dieser Auftragsverarbeitungsvertrag („AVV") ergänzt den zwischen Ihnen („Verantwortlicher") und der MaSa Tech und Betriebs GmbH, Rathenaustr. 58a, 14612 Falkensee („Auftragnehmer", „Anbieter") geschlossenen Nutzungsvertrag über die Plattform Smart Legal Pro und regelt die Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.
1. Gegenstand, Dauer, Art und Zweck
Gegenstand der Auftragsverarbeitung ist die Bereitstellung der Plattform Smart Legal Pro, insbesondere die Speicherung und Verarbeitung hochgeladener Dokumente, die KI-gestützte Vertragsanalyse, der dialogbasierte Schreib-Assistent (Intake vor Brief-Erzeugung), die Generierung von Antwortschreiben und die optionale Vermittlung an verifizierte Anwält:innen. Der AVV läuft mit der Vertragsdauer des Hauptvertrags und endet automatisch mit dessen Beendigung; nachvertragliche Pflichten (insb. Löschung/Rückgabe) bleiben unberührt.
2. Kategorien betroffener Personen und Datenkategorien
- Betroffene: Nutzer:innen des Verantwortlichen, dessen Mitarbeitende, Mandanten und sonstige in den hochgeladenen Dokumenten benannte Personen.
- Datenkategorien: Stammdaten (Name, E-Mail, Sprache), Inhaltsdaten (hochgeladene Dokumente, extrahierter Text, KI-Ergebnisse, Schreib-Assistent-Sitzungen inkl. Dialog und strukturierte Felder), Nutzungsdaten (Logins, Audit-Log), Abrechnungsdaten (ohne vollständige Kartendaten).
- Besondere Kategorien (Art. 9 DSGVO): nur soweit vom Verantwortlichen aktiv hochgeladen; Verarbeitung ausschließlich auf dessen Weisung.
- Berufsgeheimnisse (§ 203 StGB): möglich bei anwaltlich geprägten Inhalten; siehe Ziffer 7.
3. Pflichten des Auftragnehmers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Eine Weisung ist insbesondere die Nutzung der Plattform durch autorisierte Konten des Verantwortlichen. Der Auftragnehmer informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.
Der Auftragnehmer unterhält ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO im Rahmen der technischen Möglichkeiten.
4. Vertraulichkeit der Mitarbeitenden
Sämtliche zur Verarbeitung der Daten befugten Personen sind formal auf die Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO) oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht.
5. Technisch-organisatorische Maßnahmen (TOM)
- Vertraulichkeit: Zutritts-, Zugangs-, Zugriffs-, Trennungskontrolle; rollenbasierte Zugriffe (Least Privilege); MFA für Admin-Zugänge; Row-Level-Security in der Datenbank; Audit-Log aller administrativen Aktionen.
- Integrität: Eingabekontrolle, Weitergabekontrolle (TLS 1.3), signierte Webhooks, Prüfsummen für Backups.
- Verfügbarkeit / Belastbarkeit: tägliche automatisierte Backups (Aufbewahrung 30 Tage), Disaster-Recovery-Tests, redundante EU-Regionen, RTO ≤ 24 h, RPO ≤ 1 h.
- Pseudonymisierung & Verschlüsselung: AES-256 at-rest, TLS 1.3 in-transit, optionale PII-Maskierung vor LLM-Aufruf, sichere Schlüsselverwaltung (KMS).
- Verfahren zur regelmäßigen Überprüfung: jährliche Pentests, automatisierte Schwachstellen-Scans, Linter-Reports, Logging und Incident-Response-Plan.
- Schreib-Assistent: Scope-Gates gegen Vertrags-/Langdokument-Missbrauch; Rate-Limits; Billing-Felder nur service_role; RLS auf Intake-Sessions.
- Auftragskontrolle: dokumentierte Subprozessor-Verwaltung gemäß Ziffer 8.
Eine ausführliche Beschreibung der TOM stellt der Auftragnehmer auf Anfrage in Form eines aktuellen Sicherheitsdokuments zur Verfügung. Der Auftragnehmer ist berechtigt, die TOM jederzeit weiterzuentwickeln, sofern das Schutzniveau nicht reduziert wird.
Eine interne Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO liegt vor (Stand Mai 2026, Version 1.1) und wird Auftraggebern auf schriftliche Anfrage in Auszügen offengelegt. Sie wird jährlich oder bei wesentlichen Änderungen (neuer Subprozessor, neues KI-Modell, neue Datenkategorie) fortgeschrieben.
6. Datenschutzverletzungen (Art. 33 DSGVO)
Der Auftragnehmer unterrichtet den Verantwortlichen unverzüglich, spätestens jedoch binnen 24 Stunden nach Kenntnis, über jede Verletzung des Schutzes personenbezogener Daten. Die Mitteilung enthält, soweit verfügbar: Beschreibung des Vorfalls, Kategorien und ungefähre Zahl betroffener Personen und Datensätze, wahrscheinliche Folgen, getroffene und vorgeschlagene Abhilfemaßnahmen sowie einen Ansprechpartner. Der Auftragnehmer unterstützt den Verantwortlichen bei Meldungen an die Aufsichtsbehörde (Art. 33) und ggf. an die Betroffenen (Art. 34 DSGVO).
7. Berufsgeheimnis (§ 203 StGB) bei anwaltsbezogenen Inhalten
Soweit im Rahmen der Anwaltsvermittlung oder durch Self-Service-Nutzung Inhalte verarbeitet werden, die dem anwaltlichen Berufsgeheimnis nach § 203 StGB unterfallen, verpflichtet sich der Auftragnehmer und alle eingesetzten Subunternehmer ausdrücklich zur Wahrung der Verschwiegenheit nach § 203 Abs. 4 StGB und zur Beachtung der Mitwirkungspflichten gem. § 43e BRAO. Mitarbeitende mit Datenzugriff sind formal auf die Verschwiegenheit verpflichtet (§ 203 StGB-Verpflichtungserklärung); Sub- unternehmer ohne erforderliche Verpflichtungserklärung erhalten keinen Zugriff auf entsprechende Inhalte. Der Auftragnehmer dokumentiert sämtliche Verpflichtungen in revisionssicherer Form.
8. Subunternehmer (Subprozessoren)
Der Verantwortliche stimmt dem Einsatz folgender Subunternehmer zu (eine stets aktuelle Liste finden Sie unter Subprozessoren):
| Anbieter | Sitz / Verarbeitungsort | Zweck | Transfermechanismus |
|---|---|---|---|
| Lovable Tech AB | Schweden / EU (AWS Frankfurt, eu-central-1) | Deployment-Plattform, Hosting, Edge-Compute, Datenbank (PostgreSQL), Authentifizierung, Storage, Edge Functions | EU/EWR — kein Drittlandtransfer; AVV: lovable.dev/legal/dpa |
| Requesty Ltd (UK) | Verarbeitung EU (Frankfurt); Sitz UK | AI-Gateway zur Modell-Anbindung (EU-Routing, Zero-Retention, kein Training auf Kundendaten) | UK/EU-Angemessenheitsbeschluss Art. 45 DSGVO und/oder EU-SCCs (2021/914 Modul 3) zzgl. TIA |
| ElevenLabs, Inc. | USA | Sprachverarbeitung für optionales Live-Sprachgespräch — nur nach Einwilligung; kein Training, Audio-Löschung nach Transkription | EU-SCCs (2021/914) + Art. 49 Abs. 1 lit. a DSGVO |
| Brevo SAS | EU (Frankreich) | Versand transaktionaler E-Mails | EU/EWR — kein Drittlandtransfer |
| Stripe Payments Europe Ltd. | EU (Irland) | Zahlungsabwicklung | EU/EWR; nachgelagerte US-Verarbeitung über DPF/SCCs |
| Cloudflare, Inc. | USA (EU-PoPs) | CDN, DDoS, TLS; Turnstile-Bot-Schutz bei Registrierung | EU-US DPF und/oder EU-SCCs (2021/914) zzgl. TIA |
Nachgelagerte KI-Modellanbieter (über Requesty): Requesty leitet Verarbeitungsaufträge an führende US-/EU-LLM-Anbieter weiter. Diese sind Sub-Unternehmer von Requesty (nicht direkte Vertragspartner des Auftragnehmers). Die Weitergabe ist über Requestys AVV inkl. SCC Modul 3, Zero-Retention und vertraglichem Trainingsverbot abgesichert. Der Auftragnehmer prüft Requestys Subprozessor-Liste und TIA regelmäßig.
Der Auftragnehmer informiert den Verantwortlichen über beabsichtigte Änderungen mindestens 30 Tage vor Wirksamwerden in Textform; der Verantwortliche kann innerhalb dieser Frist begründet widersprechen. Im Fall eines berechtigten Widerspruchs sind beide Parteien zur außerordentlichen Kündigung des Hauptvertrags berechtigt. Sämtliche Subunternehmer unterliegen einem AVV mit dem Auftragnehmer auf mindestens vergleichbarem Schutzniveau dieses AVV.
9. Drittlandübermittlung
Drittlandübermittlungen erfolgen ausschließlich auf Grundlage geeigneter Garantien nach Kapitel V DSGVO, insbesondere des EU-US Data Privacy Frameworks (DPF) und/oder EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 (Modul 2 und/oder Modul 3 in der Kette bis zu nachgelagerten Modellanbietern), ergänzt um ein Transfer Impact Assessment (TIA) und – soweit möglich – zusätzliche technische Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, PII-Maskierung, Zero-Retention). Die jeweiligen SCCs/DPF-Bescheinigungen werden auf Anfrage zur Verfügung gestellt.
10. Unterstützung des Verantwortlichen
Der Auftragnehmer unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen Betroffener (Art. 12–22 DSGVO), bei Datenschutz-Folgenabschätzungen (Art. 35) und bei vorherigen Konsultationen (Art. 36). Anfragen Betroffener, die direkt an den Auftragnehmer gerichtet werden, leitet dieser unverzüglich an den Verantwortlichen weiter.
11. Kontroll- und Auditrechte
Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV zu überprüfen. Die Überprüfung erfolgt in der Regel durch Vorlage geeigneter Nachweise (Zertifikate, Pen-Test-Berichte, Sicherheitsdokumentation). Vor-Ort-Kontrollen sind unter Wahrung berechtigter Geheimhaltungsinteressen des Auftragnehmers, mit angemessener Vorlauffrist (mind. 4 Wochen), während üblicher Geschäftszeiten und höchstens einmal pro Kalenderjahr zulässig. Bei begründetem Verdacht auf eine schwerwiegende Verletzung dieses AVV ist eine zusätzliche Vor-Ort-Kontrolle auf Kosten des Verantwortlichen zulässig; bei nachgewiesener Verletzung trägt der Auftragnehmer die Kosten.
12. Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie ergänzend nach den Haftungsregeln des Hauptvertrags. Im Innenverhältnis tragen die Parteien die Haftung anteilig nach ihrem jeweiligen Verursachungsbeitrag.
13. Beendigung, Löschung, Rückgabe
Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer – nach Wahl des Verantwortlichen – sämtliche personenbezogene Daten innerhalb von 30 Tagenzurück. Backups werden im Rahmen der dokumentierten Aufbewahrungsfristen (max. 30 Tage) überschrieben. Eine darüber hinausgehende Aufbewahrung erfolgt nur, soweit dies nach Unionsrecht oder Recht der Mitgliedstaaten gefordert wird (z. B. handels- oder steuerrechtliche Aufbewahrungspflichten).
14. Schlussbestimmungen
Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht dieser AVV in Bezug auf die Datenverarbeitung vor. Änderungen oder Ergänzungen bedürfen der Textform. Eine vollständig unterzeichnete AVV-Urkunde stellt der Auftragnehmer auf Anfrage unter info@smartlegalpro.com bereit.