Rechtliches

Auftragsverarbeitungsvertrag (AVV) — „Ordnetta" (ordnetta.de)

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

zwischen

dem Betrieb, der diesem Vertrag in seinem Ordnetta-Kundenkonto zustimmt
(Firmierung und Anschrift ergeben sich aus den dort hinterlegten Angaben)

— im Folgenden „Verantwortlicher" oder „Kunde" —

und

Volker Wasmuth, handelnd unter der Geschäftsbezeichnung „Ordnetta"
Kölner Straße 89, 50859 Köln

— im Folgenden „Auftragsverarbeiter" oder „Ordnetta" —

— gemeinsam die „Parteien" —


1. Gegenstand und Dauer des Auftrags

(1) Gegenstand dieses Vertrags ist die Konkretisierung der datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung des Dienstes „Ordnetta" durch den Verantwortlichen, wie in der zwischen den Parteien bestehenden Hauptvereinbarung (Allgemeine Geschäftsbedingungen für „Ordnetta", Version 1.0, Stand 9. Juli 2026) beschrieben.

(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich im Rahmen der in Anlage 1 beschriebenen Verarbeitungstätigkeiten und nach den Weisungen des Verantwortlichen, soweit in diesem Vertrag nicht abweichend geregelt.

(3) Dieser Vertrag gilt für die Dauer der Hauptvereinbarung. Er endet automatisch mit deren Beendigung, unbeschadet der in Ziffer 10 geregelten Löschungs- und Rückgabepflichten sowie sonstiger Bestimmungen, die ihrem Sinn nach über das Vertragsende hinaus fortgelten (z. B. Vertraulichkeit).


2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Verantwortlichen zu folgenden Zwecken:

  • Bereitstellung einer digitalen Plattform zur Verwaltung von Kundendaten, Vorgängen und Terminen des Verantwortlichen
  • Bearbeitung eines digitalen Posteingangs für hochgeladene Dokumente (Briefe, PDFs, Fotos), einschließlich KI-gestützter Analyse (Zusammenfassung, Fristerkennung, Erstellung von Antwortentwürfen)
  • Bereitstellung von Funktionen zur Team-, Schicht- und Zeiterfassungsverwaltung für Beschäftigte des Verantwortlichen
  • soweit vom Verantwortlichen aktiviert: Weiterleitung und Verarbeitung von E-Mails an eine betriebsspezifische Eingangsadresse
  • technischer Betrieb, Hosting und Absicherung der vorgenannten Funktionen

Die Verarbeitungsarten umfassen insbesondere das Erheben, Speichern, Verändern, Auslesen, Übermitteln (an in Anlage 3 genannte Unterauftragsverarbeiter) sowie Löschen der in Ziffer 3 genannten Datenkategorien. Einzelheiten sind in Anlage 1 beschrieben.


3. Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind insbesondere folgende Kategorien personenbezogener Daten:

  • Kunden- und Interessentendaten des Verantwortlichen (z. B. Name, Kontaktdaten, Angaben zu Aufträgen)
  • Kommunikationsdaten (z. B. Inhalte hochgeladener Briefe, PDFs, Fotos, weitergeleitete E-Mails, Gesprächs-/Sprachaufnahmen sowie deren KI-Transkriptionen)
  • Termin- und Vorgangsdaten (z. B. Terminpläne, Vorgangsstatus, Notizen)
  • Beschäftigtendaten des Kunden (z. B. Name, Kontaktdaten, Schichtplanung, Arbeitszeiterfassung, Vorbereitung von Lohn-/Gehaltsdaten der Beschäftigten des Verantwortlichen)

Hinweis zu Beschäftigtendaten: Für die Verarbeitung von Beschäftigtendaten seiner eigenen Mitarbeitenden (insbesondere im Rahmen von § 26 BDSG) ist und bleibt allein der Verantwortliche verantwortlich. Der Auftragsverarbeiter stellt insoweit ausschließlich die technische Plattform zur Verfügung und verarbeitet diese Daten strikt weisungsgebunden im Rahmen dieses Vertrags. Der Verantwortliche stellt sicher, dass er zur Verarbeitung dieser Beschäftigtendaten (einschließlich etwaiger Mitbestimmungsrechte, z. B. nach § 87 Abs. 1 Nr. 6 BetrVG) berechtigt ist.


4. Kategorien betroffener Personen

  • Kundinnen und Kunden sowie Interessentinnen und Interessenten des Verantwortlichen
  • Beschäftigte des Verantwortlichen (einschließlich Aushilfen, Werkstudierende, sofern im System erfasst)
  • gegebenenfalls sonstige natürliche Personen, deren Daten im Rahmen von hochgeladenen Dokumenten oder weitergeleiteten E-Mails verarbeitet werden (z. B. Absender von Behördenschreiben)

5. Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Die Nutzung der vertraglich vereinbarten Funktionen der Plattform „Ordnetta" durch den Verantwortlichen gilt als Weisung im vorstehenden Sinne. Weitergehende Weisungen sind in Textform (z. B. E-Mail) zu erteilen.

(3) Hält der Auftragsverarbeiter eine Weisung für datenschutzwidrig, weist er den Verantwortlichen unverzüglich darauf hin und ist berechtigt, die Ausführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung auszusetzen.


6. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass diese Personen nur im erforderlichen Umfang Zugriff auf die verarbeiteten Daten erhalten (Kenntnis-nur-wenn-nötig-Prinzip).


7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft und unterhält die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO. Er ist berechtigt, diese Maßnahmen anzupassen, sofern das ursprüngliche Schutzniveau dabei nicht unterschritten wird. Wesentliche Änderungen teilt er dem Verantwortlichen auf Anfrage mit.


8. Unterauftragsverhältnisse

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Beauftragung der in Anlage 3 genannten Unterauftragsverarbeiter.

(2) Beabsichtigt der Auftragsverarbeiter, weitere Unterauftragsverarbeiter hinzuzuziehen oder bestehende auszutauschen, informiert er den Verantwortlichen hierüber mit einer Frist von mindestens 30 Tagen vor der beabsichtigten Änderung in Textform (z. B. E-Mail oder Mitteilung im Kundenkonto).

(3) Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigem, datenschutzrechtlich begründetem Grund widersprechen. Widerspricht der Verantwortliche nicht innerhalb der Frist, gilt die Änderung als genehmigt. Widerspricht der Verantwortliche wirksam, ist der Auftragsverarbeiter berechtigt, die betroffene Leistung nicht oder nur eingeschränkt zu erbringen; die Parteien werden in diesem Fall eine einvernehmliche Lösung anstreben, andernfalls kann der Verantwortliche die von der Änderung betroffene Leistung außerordentlich kündigen.

(4) Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter durch Vertrag zu im Wesentlichen denselben Datenschutzpflichten, wie sie in diesem Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter vereinbart sind, insbesondere im Hinblick auf hinreichende Garantien für geeignete technische und organisatorische Maßnahmen.

(5) Erfolgt die Verarbeitung durch einen Unterauftragsverarbeiter außerhalb der EU/des EWR, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien im Sinne von Art. 44 ff. DSGVO vorliegen (siehe Anlage 3).


9. KI-gestützte Verarbeitung

(1) Der Auftragsverarbeiter setzt zur Erbringung bestimmter Funktionen der Plattform (insbesondere Erstellung von Antwortentwürfen, Zusammenfassungen, Fristerkennung sowie inhaltliche Strukturierung von Transkripten) KI-Sprachmodelle des Unterauftragsverarbeiters Anthropic PBC (USA) ein, denen hierzu Inhalte aus dem Posteingang, dem Fragebogen sowie ggf. weitergeleitete E-Mails im erforderlichen Umfang übermittelt werden. Die Transkription von Sprachaufnahmen selbst erfolgt auf Systemen des Auftragsverarbeiters oder — sofern eingesetzt — über den in Absatz 4 genannten Unterauftragsverarbeiter.

(2) Über die API übermittelte Inhalte werden von Anthropic nach dessen Vertragsbedingungen standardmäßig nicht zum Training der eingesetzten Modelle verwendet und nach Anbieterangaben spätestens 30 Tage nach der Verarbeitung gelöscht.

(3) Die KI-gestützte Verarbeitung dient ausschließlich der Erstellung von Entwürfen und Zusammenfassungen. Diese werden dem Verantwortlichen bzw. dessen Mitarbeitenden zur Prüfung, Bearbeitung und finalen Entscheidung vorgelegt. Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt; eine Entscheidung mit rechtlicher Wirkung gegenüber betroffenen Personen trifft stets ein Mensch.

(4) Optional und perspektivisch kann der Auftragsverarbeiter zur automatischen Transkription von Audioaufnahmen zusätzlich Groq Inc. (USA, Whisper-Modell) einsetzen. Ziffer 8 (Unterauftragsverhältnisse) und die vorstehenden Absätze gelten insoweit entsprechend.


10. Unterstützungspflichten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer in Kapitel III der DSGVO genannten Rechte (Art. 12–23 DSGVO).

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung, vorherige Konsultation).


11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, die im Rahmen dieses Vertrags verarbeitete Daten betrifft, unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden. Die Meldung enthält, soweit zu diesem Zeitpunkt bekannt, die in Art. 33 Abs. 3 DSGVO genannten Angaben und wird, sobald weitere Informationen vorliegen, unverzüglich ergänzt.


12. Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, oder gibt sie nach Wahl des Verantwortlichen zurück, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(2) Der Verantwortliche teilt dem Auftragsverarbeiter innerhalb von 30 Tagen nach Vertragsende mit, ob eine Rückgabe der Daten gewünscht wird; andernfalls löscht der Auftragsverarbeiter die Daten nach Ablauf dieser Frist. Bestehende gesetzliche Aufbewahrungsfristen (z. B. handels- und steuerrechtlich) bleiben unberührt.


13. Nachweis- und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags durch den Auftragsverarbeiter im angemessenen Rahmen zu überprüfen, insbesondere durch Einholung von Auskünften und Vorlage geeigneter Nachweise (z. B. Zertifizierungen der eingesetzten Hosting-Anbieter). Vor-Ort-Kontrollen sind mit angemessener Vorlauffrist (mindestens 14 Tage) anzukündigen und finden während der üblichen Geschäftszeiten statt, ohne den Betrieb des Auftragsverarbeiters unangemessen zu beeinträchtigen.


14. Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO, sowie ergänzend nach den Haftungsregelungen der zwischen den Parteien bestehenden Hauptvereinbarung (Ziff. 8 der AGB).


15. Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(2) Bei Widersprüchen zwischen diesem Vertrag und Bestimmungen der Hauptvereinbarung oder sonstiger Vereinbarungen zwischen den Parteien gehen die Regelungen dieses Vertrags im Hinblick auf die Verarbeitung personenbezogener Daten vor.

(3) Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, Köln.


Dieser Vertrag wird elektronisch in Textform (§ 126b BGB) geschlossen: Der Inhaber des Kundenkontos stimmt ihm im Kundenkonto ausdrücklich zu. Zeitpunkt der Zustimmung, Dokumentversion und SHA-256-Prüfsumme des Vertragstextes werden protokolliert; einer Unterschrift bedarf es nicht.


Anlage 1 — Beschreibung der Verarbeitung

Gegenstand: Bereitstellung der Plattform „Ordnetta" zur digitalen Verwaltung von Kundendaten, Vorgängen, Terminen, Posteingang und Team-/Zeiterfassung des Verantwortlichen, einschließlich KI-gestützter Erstellung von Entwürfen und Zusammenfassungen.

Dauer der Verarbeitung: entspricht der Laufzeit der Hauptvereinbarung (siehe Ziffer 1).

Art und Zweck der Verarbeitung:

FunktionVerarbeitete DatenZweck
Kundenkonto / LoginZugangsdaten, FirmendatenAuthentifizierung, Vertragserfüllung
Kunden-/VorgangsverwaltungKunden- und Interessentendaten des Verantwortlichen, Termin-/VorgangsdatenVerwaltung des Tagesgeschäfts des Verantwortlichen
PosteingangHochgeladene Briefe, PDFs, Fotos; daraus erzeugte KI-Entwürfe/ZusammenfassungenFristerkennung, Zusammenfassung, Antwortentwürfe
Team-/Schichtplan/ZeiterfassungBeschäftigtendaten des Verantwortlichen (Name, Kontakt, Arbeitszeiten, Schichten, Lohnvorbereitung)Personaleinsatzplanung, Zeiterfassung
E-Mail-Weiterleitung (optional)Inhalte weitergeleiteter E-MailsZentralisierte Bearbeitung im Posteingang

Kategorien betroffener Personen: siehe Ziffer 4 dieses Vertrags.

Art der personenbezogenen Daten: siehe Ziffer 3 dieses Vertrags.


Anlage 2 — Technische und organisatorische Maßnahmen (TOM)

Die folgenden Maßnahmen beschreiben das technische Schutzniveau zum Stand 9. Juli 2026.

1. Vertraulichkeit

  • Transportverschlüsselung: Sämtliche Datenübertragung zwischen Client, Anwendung und den eingesetzten Diensten (Vercel, Neon, Anthropic u. a.) erfolgt TLS-verschlüsselt.
  • Verschlüsselung at rest: Daten werden bei den eingesetzten Infrastrukturanbietern (Neon für die Datenbank, Vercel für Datei-Anhänge über Vercel Blob) verschlüsselt gespeichert (nach Anbieterangaben jeweils AES-256 at rest).
  • Zugriffskontrolle (Authentifizierung): Passwörter von Nutzerkonten werden ausschließlich als Hash mittels scrypt gespeichert, nicht im Klartext. Sitzungen werden über ein httpOnly-, signiertes Session-Cookie verwaltet, das per JavaScript nicht auslesbar ist.
  • Rollen- und Berechtigungskonzept: Innerhalb eines Kundenkontos bestehen unterschiedliche Rollen (z. B. „Inhaber" und „Mitarbeiter"), die den Zugriff auf bestimmte Datenkategorien einschränken. Für Mitarbeitende ohne entsprechende Berechtigung werden sensible Felder (z. B. Vergütungsangaben) im Rahmen der Zeiterfassungs-/Schichtplanfunktion ausgeblendet.
  • Prinzip der geringsten Rechte (Least Privilege): Zugriff auf produktive Daten und Infrastruktur ist auf den für die jeweilige Aufgabe erforderlichen Personenkreis beschränkt; derzeit hat ausschließlich die mit dem technischen Betrieb betraute Person des Auftragsverarbeiters Zugriff auf produktive Daten und Infrastruktur.

2. Integrität

  • Änderungen an sicherheitsrelevanter Konfiguration und am Quellcode erfolgen über ein versioniertes Deployment (Git-basiert), sodass Änderungen nachvollziehbar sind; jede Änderung durchläuft vor dem Deployment automatisierte Build- und Typprüfungen.
  • Sicherheitsrelevante Ereignisse (z. B. Anmeldungen, Uploads, Zugriffe auf den Posteingang) werden in den Server-Logs der Hosting-Plattform protokolliert; die Aufbewahrung dort beträgt in der Regel wenige Tage, höchstens 30 Tage.

3. Verfügbarkeit und Belastbarkeit

  • Hosting über Vercel (Serverless-Infrastruktur mit anbieterseitiger Redundanz).
  • Fortlaufende Sicherung der Datenbank durch den Infrastrukturanbieter Neon: Wiederherstellung zu einem früheren Zeitpunkt (Point-in-Time-Restore) sowie verschlüsselte Backups mit 30-tägiger Aufbewahrung beim Anbieter.

4. Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Überprüfung der eingesetzten Abhängigkeiten (Software-Bibliotheken) auf bekannte Schwachstellen (npm-Audit).
  • Überprüfung dieses TOM-Dokuments bei wesentlichen Änderungen der Infrastruktur oder mindestens jährlich.

5. Standort der Datenverarbeitung

  • Die Datenbank wird in der EU-Region Frankfurt am Main bei Neon betrieben.
  • Datei-Anhänge werden über Vercel Blob in der Speicherregion Frankfurt am Main (fra1) gespeichert.
  • KI-gestützte Verarbeitung (Anthropic, ggf. Groq) erfolgt in Rechenzentren in den USA (siehe Ziffer 9 und Anlage 3).

Diese Anlage beschreibt den produktiven Stand und wird bei wesentlichen Änderungen der Infrastruktur aktualisiert.


Anlage 3 — Unterauftragsverarbeiter

UnternehmenSitzLeistungÜbermittlungsgrundlage
Vercel Inc.USAHosting, Serverless Functions, Datei-Speicherung (Vercel Blob, Region Frankfurt)DPF-Zertifizierung; zusätzlich SCC
Neon, LLC (Databricks-Gruppe)USA; Verarbeitung in EU-Region FrankfurtDatenbank-Hosting (Postgres)EU-Verarbeitung; DPF-Zertifizierung der Databricks-Gruppe; zusätzlich SCC
Anthropic PBCUSAKI-gestützte Text-/Dokumentenverarbeitung (Entwürfe, Zusammenfassungen, Strukturierung)SCC (EU-Standardvertragsklauseln)
Groq, LLC (geplant/optional)USAKI-gestützte Audio-Transkription (Whisper)SCC (EU-Standardvertragsklauseln)

Der E-Mail-Dienstleister für die geplante E-Mail-Funktion wird vor deren Aktivierung nach dem in Ziffer 8 beschriebenen Verfahren angekündigt und hier ergänzt. Änderungen dieser Anlage erfolgen nach dem in Ziffer 8 beschriebenen Verfahren (Informationsfrist 30 Tage, Widerspruchsrecht des Verantwortlichen).

Version 1.0