ZaluKostenlos starten

Auftragsverarbeitungsvertrag (AVV)

Stand: Juni 2026 · Anlage zu den AGB · Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag („AVV") konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien für die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung von zalu.ai durchführt. Er wird mit Abschluss des Hauptvertrags (AGB) verbindlicher Bestandteil des Vertrags.

Verantwortlicher (Auftraggeber) ist der Kunde. Auftragsverarbeiter (Auftragnehmer) ist Silas Gehring, zalu.ai, Unterer Sägerweg 104, 75305 Neuenbürg, info@zalu.ai.

§ 1 Gegenstand und Dauer

(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zur Erbringung der in den AGB beschriebenen Leistungen (Betrieb des KI-Assistenten).
(2) Die Laufzeit entspricht der Laufzeit des Hauptvertrags. Die Kündigung des Hauptvertrags gilt zugleich als Kündigung dieses AVV.

§ 2 Art, Umfang und Zweck; Datenarten; betroffene Personen

(1) Art & Zweck: Speicherung und Verarbeitung von Inhalten, die Endnutzer:innen des Verantwortlichen über den Assistenten eingeben, zur Generierung von Antworten auf Basis der vom Verantwortlichen bereitgestellten Inhalte sowie zur Erfassung von Formular-Einsendungen.
(2) Art der Daten: Chat- und Anfrageinhalte, Formulardaten (z. B. Name, E-Mail, Nachricht), pseudonyme Besucher-Kennung, technische Verbindungsdaten (z. B. Zeitstempel, Sprache).
(3) Kategorien betroffener Personen: Besucher:innen und Endnutzer:innen der Website(s) des Verantwortlichen.

§ 3 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
(2) Weisungen werden grundsätzlich durch Nutzung und Konfiguration der Software erteilt; ergänzende Einzelweisungen erfolgen in Textform.
(3) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich und darf deren Ausführung bis zur Bestätigung aussetzen.

§ 4 Pflichten des Auftragsverarbeiters

(1) Vertraulichkeit: Zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet.
(2) Sicherheit: Es werden die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 2 umgesetzt.
(3) Unterstützung: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Betroffenenrechten (§ 7), Meldepflichten (§ 9) und ggf. Datenschutz-Folgenabschätzungen.
(4) Rückgabe/Löschung nach Vertragsende gemäß § 10.

§ 5 Technisch-organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) und passt sie fortlaufend dem Stand der Technik an.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche genehmigt den Einsatz der in Anlage 1 genannten Unterauftragsverarbeiter.
(2) Über beabsichtigte Änderungen (Hinzunahme/Austausch) informiert der Auftragsverarbeiter rechtzeitig; der Verantwortliche kann aus wichtigem datenschutz­ rechtlichem Grund widersprechen.
(3) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter zu gleichwertigen Datenschutzpflichten.
(4) Bei Übermittlungen in Drittländer werden geeignete Garantien (EU-Standardvertrags­ klauseln, Art. 46 DSGVO) vereinbart.

§ 7 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit etc.). Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet er die Anfrage unverzüglich an den Verantwortlichen weiter.

§ 8 Nachweise und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung dieser Pflichten erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen (auch durch beauftragte Prüfer) mit angemessener Vorankündigung und ohne unverhältnismäßige Störung des Betriebs.

§ 9 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei dessen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).

§ 10 Löschung und Rückgabe

Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter die personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann Daten zudem jederzeit über die Funktionen der Software exportieren und löschen.

§ 11 Haftung

Es gelten die Haftungsregelungen der AGB. Im Verhältnis zu betroffenen Personen gilt Art. 82 DSGVO.

§ 12 Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und den AGB gehen in datenschutzrechtlicher Hinsicht die Regelungen dieses AVV vor. Es gilt das Recht der Bundesrepublik Deutschland. Sollte eine Bestimmung unwirksam sein, bleibt der Vertrag im Übrigen wirksam.

Anlage 1 — Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz der folgenden Unterauftragsverarbeiter:

  • STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland — Hosting/Webserver (Serverstandort Deutschland).
  • Supabase, Inc. — Datenbank- und Backend-Infrastruktur (Serverregion EU – Frankfurt, Deutschland).
  • Google Ireland Limited (Google Gemini), Gordon House, Barrow Street, Dublin 4, Irland; ggf. Google LLC, USA — KI-gestützte Antwortgenerierung. Bei Drittlandbezug auf Basis von EU-Standardvertragsklauseln.

Anlage 2 — Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Vertraulichkeit

  • Zutrittskontrolle: Betrieb in zertifizierten Rechenzentren der Infrastruktur-Dienstleister (Zutritt nur für autorisiertes Personal).
  • Zugangskontrolle: individuelle Logins, Authentifizierung, keine geteilten Konten.
  • Zugriffskontrolle: rollenbasierte Berechtigungen; strikte Mandantentrennung über Row Level Security (jeder Kunde sieht ausschließlich seine eigenen Daten).
  • Trennungskontrolle: logische Trennung der Kundendaten in der Datenbank.

Integrität

  • Weitergabekontrolle: Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen.
  • Eingabekontrolle: Protokollierung sicherheitsrelevanter Vorgänge.

Verfügbarkeit und Belastbarkeit

  • Regelmäßige, automatisierte Backups durch den Datenbank-Dienstleister.
  • Wiederherstellbarkeit nach Zwischenfällen; Monitoring der Verfügbarkeit.
  • Verschlüsselung gespeicherter Daten beim Infrastruktur-Dienstleister.

Pseudonymisierung & Überprüfung

  • Besucher werden nur über pseudonyme Kennungen verarbeitet.
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Anpassung der Maßnahmen.