sgsg.platform
Rechtliches

Vereinbarung zur Auftragsverarbeitung (AVV)

Stand: 02.05.2026. Dieses Dokument dient als Vorlage und ersetzt keine individuelle Rechtsberatung. Dieses AVV-Template orientiert sich am BfDI-Muster v2.1. Für Enterprise-Kunden ist es auf Anfrage individuell verhandelbar.

Präambel

Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragsparteien aus Art. 28 DSGVO im Rahmen der Erbringung der SaaS-Leistungen gemäß den Allgemeinen Geschäftsbedingungen. Auftraggeber ist der Kunde, Auftragsverarbeiter ist die cc-consulting GmbH (nachfolgend „Anbieter").

§ 1 Gegenstand und Dauer des Auftrags

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Anbieter im Rahmen der Bereitstellung der Plattform sg.platform. Die Vereinbarung läuft auf unbestimmte Zeit und endet automatisch mit Beendigung des zugrundeliegenden Hauptvertrags.

§ 2 Konkretisierung des Auftrags

Art und Zweck der Verarbeitung

Empfang, Speicherung, Anzeige, Weiterleitung und ggf. KI-gestützte Bearbeitung von Kommunikationsinhalten der Endkunden des Auftraggebers über die Kanäle WhatsApp, E-Mail und Webchat.

Kategorien betroffener Personen

  • Endkunden, Interessenten und Geschäftspartner des Auftraggebers
  • Mitarbeitende des Auftraggebers (Workspace-Mitglieder)

Kategorien personenbezogener Daten

  • Stammdaten (Name, Telefonnummer, E-Mail-Adresse)
  • Kommunikationsinhalte (Nachrichten, Anhänge)
  • Metadaten (Zeitstempel, Kanal, Status)
  • Authentifizierungsdaten (Login, Sessions)

§ 3 Pflichten des Auftragsverarbeiters

  • Verarbeitung ausschließlich nach dokumentierter Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO).
  • Umsetzung der in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO.
  • Verpflichtung der mit der Verarbeitung befassten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
  • Unterstützung des Auftraggebers bei der Erfüllung von Betroffenenrechten (Art. 12 ff. DSGVO) sowie bei Datenschutz-Folgenabschätzungen (Art. 35-36 DSGVO).
  • Bereitstellung aller zum Nachweis der Einhaltung erforderlichen Informationen sowie Ermöglichung von Audits (Art. 28 Abs. 3 lit. h DSGVO).

§ 4 Pflichten des Auftraggebers

  • Der Auftraggeber bleibt allein verantwortlich für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen.
  • Weisungen erfolgen schriftlich oder über die Konfigurationsoberfläche der Plattform.
  • Der Auftraggeber benennt eine zuständige Kontaktperson für Datenschutzfragen.

§ 5 Subunternehmer

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

NameSitzZweck
Hetzner Online GmbHFrankfurt am Main, DeutschlandHosting, Datenbank, Object-Storage
Anthropic PBCSan Francisco, USAKI-Inferenz für Antwortvorschläge (DPF-zertifiziert + SCCs)
Mistral AIParis, FrankreichKI-Inferenz für Antwortvorschläge

Änderungen oder Ergänzungen der Subunternehmerliste werden dem Auftraggeber mindestens 30 Tage im Voraus angekündigt. Der Auftraggeber hat das Recht, der Änderung aus wichtigem Grund zu widersprechen; in diesem Fall steht beiden Parteien ein Sonderkündigungsrecht zu.

§ 6 Meldung von Datenschutzvorfällen

Der Anbieter informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO. Die Meldung enthält die nach Art. 33 Abs. 3 DSGVO geforderten Informationen.

§ 7 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten nach Wahl des Auftraggebers entweder zurückgegeben oder gelöscht. Der Anbieter stellt für 30 Tage einen Datenexport bereit; danach erfolgt die endgültige Löschung gemäß Löschkonzept (inkl. Backups innerhalb der Backup-Rotation von max. 35 Tagen). Gesetzliche Aufbewahrungspflichten bleiben unberührt.

§ 8 Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Im Übrigen gelten die Regelungen des Hauptvertrags entsprechend; bei Widersprüchen gehen die Regelungen dieser Vereinbarung vor, soweit es um die Auftragsverarbeitung geht.

Anlage 1: Technische und organisatorische Maßnahmen (Auszug)

Verschlüsselung

  • Transportverschlüsselung TLS 1.2+ für alle Endpunkte.
  • Anwendungsseitige Envelope-Verschlüsselung (AES-256-GCM) sensibler Felder mit Schlüsselverwaltung über Vault-KMS.
  • Verschlüsselung der Backups at rest.

Zugriffskontrolle

  • Rollenbasiertes Berechtigungsmodell mit mandantenscharfer Row-Level-Security.
  • Pflicht-MFA für administrative Zugänge, Magic-Link-Login für Endnutzer.
  • Least-Privilege für Datenbank-Rollen (sg_app, sg_audit_writer, sg_migrator).

Backups und Wiederherstellung

  • Tägliche verschlüsselte Backups, Aufbewahrung bis 35 Tage.
  • Quartalsweise Restore-Tests gemäß Runbook.

Audit-Log und Nachvollziehbarkeit

  • Manipulationssicheres Audit-Log mit Hash-Chain für sicherheitsrelevante Ereignisse.
  • Aufbewahrung 12 Monate, optional verlängerbar (Enterprise).

Trennung und Pseudonymisierung

  • Mandantentrennung auf Datenbankebene (RLS) und Applikationsebene (TenantContext).
  • PII-Redaction vor Übermittlung an externe KI-Modelle.