Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO · Stand: April 2026
Dieser AVV wird durch die Nutzung von KanzleiAssistent automatisch mit dem Hauptvertrag (AGB) vereinbart. Durch die Registrierung und Nutzung des Dienstes stimmen Sie diesem AVV zu. Sie erhalten auf Anfrage eine unterzeichnete Version per E-Mail: [email protected]
Präambel
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung von KanzleiAssistent und konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO.
§ 1 Vertragsparteien
Auftragsverarbeiter:
Nico Mario Schillings, The Lume Living
Sonderburgerstr. 18, 13357 Berlin
(nachfolgend „Auftragsverarbeiter")
Verantwortlicher:
Der Kunde gemäß Hauptvertrag (AGB)
(nachfolgend „Verantwortlicher")
§ 2 Gegenstand und Dauer
Gegenstand der Auftragsverarbeitung ist die Bereitstellung der SaaS-Anwendung KanzleiAssistent. Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten (insbesondere Mandantennamen und E-Mail-Adressen) ausschließlich im Auftrag und nach Weisung des Verantwortlichen.
Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags.
§ 3 Art und Zweck der Verarbeitung
| Merkmal | Beschreibung |
|---|---|
| Art der Verarbeitung | Speicherung, Abruf, Übermittlung (Massenversand), Löschung |
| Zweck | Verwaltung von Mandantenkontakten, Erstellung und Versand von Kanzleidokumenten |
| Kategorien betroffener Personen | Mandanten des Verantwortlichen |
| Kategorien personenbezogener Daten | Name, E-Mail-Adresse, ggf. Unternehmensname |
| Speicherort | Deutschland (EU) |
§ 4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
- Alle zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten
- Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
- Die Bedingungen für die Inanspruchnahme von Unterauftragnehmern (§ 5) einzuhalten
- Den Verantwortlichen bei der Erfüllung seiner Pflichten (Betroffenenrechte, Datenschutz-Folgenabschätzung) zu unterstützen
- Nach Vertragsende alle personenbezogenen Daten zu löschen oder zurückzugeben
- Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung gegen datenschutzrechtliche Vorschriften verstößt
§ 5 Unterauftragnehmer
Der Auftragsverarbeiter ist berechtigt, folgende Unterauftragnehmer einzusetzen:
| Dienstleister | Zweck | Sitz |
|---|---|---|
| Anthropic PBC | KI-Textgenerierung (nur eingegebene Prompt-Texte, keine Mandantendaten) | USA (angemessenes Schutzniveau per Standardvertragsklauseln) |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Irland (EU) |
| Resend Inc. | Transaktionaler E-Mail-Versand | USA (angemessenes Schutzniveau per Standardvertragsklauseln) |
| Vercel Inc. | Hosting der Webanwendung | EU-Region |
| Supabase Inc. | Datenbankhosting | EU-Region (Frankfurt) |
Über Änderungen an Unterauftragnehmern wird der Verantwortliche per E-Mail mit einer Frist von 14 Tagen vorab informiert. Der Verantwortliche kann Änderungen widersprechen.
§ 6 Technische und organisatorische Maßnahmen (TOM)
Zutrittskontrolle
Server befinden sich in zertifizierten Rechenzentren in Deutschland/EU mit Zugangsbeschränkungen.
Zugangskontrolle
Passwörter werden verschlüsselt (bcrypt) gespeichert. Zugriff auf Produktionssysteme nur über verschlüsselte Verbindungen (SSH).
Zugriffskontrolle
Nutzer können ausschließlich ihre eigenen Daten einsehen. Team-Pläne beschränken Zugriff auf die jeweilige Kanzlei. Rollenbasierte Zugriffskontrolle im Backend.
Trennungskontrolle
Daten verschiedener Kunden werden logisch getrennt in der Datenbank gespeichert.
Übertragungskontrolle
Alle Datenübertragungen erfolgen verschlüsselt über TLS 1.2 / 1.3 (HTTPS).
Eingabekontrolle
Alle Datenbankoperationen werden geloggt. Änderungen an Mandantendaten sind nachvollziehbar.
Verfügbarkeitskontrolle
Regelmäßige Backups, Monitoring der Systemverfügbarkeit, Incident-Response-Verfahren.
§ 7 Pflichten des Verantwortlichen
Der Verantwortliche verpflichtet sich:
- Die Verarbeitung von Mandantendaten auf einer geeigneten Rechtsgrundlage (z. B. berechtigtes Interesse, Vertragserfüllung) durchzuführen
- Beim Einsatz des Massenversands die erforderlichen Einwilligungen der Empfänger eingeholt zu haben
- Den Auftragsverarbeiter unverzüglich zu informieren, wenn Fehler in der Datenverarbeitung festgestellt werden
§ 8 Datenpannen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält alle gemäß Art. 33 Abs. 3 DSGVO erforderlichen Informationen.
§ 9 Löschung und Rückgabe
Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen unwiederbringlich gelöscht. Auf Wunsch stellt der Auftragsverarbeiter dem Verantwortlichen vorab einen Export der Mandantendaten (CSV) zur Verfügung.
§ 10 Anwendbares Recht
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin.
Bei Fragen zum AVV oder zur Anforderung einer unterzeichneten Version wenden Sie sich an: [email protected]