📋 Rechtliches

Auftragsverarbeitungsvereinbarung

gemaess Art. 28 DSGVO · Stand: April 2026

1. Gegenstand und Dauer

Der Auftragsverarbeiter (SBS Deutschland GmbH & Co. KG) verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Kunde) im Rahmen der Nutzung von KanzleiAI. Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst: Speicherung und Verwaltung von Nutzerdaten (Name, E-Mail, Rolle), Verarbeitung von Vertragsdokumenten durch KI-Analyse (Risikobewertung, Datenextraktion), Speicherung von Analyseergebnissen und Audit-Trail-Eintraegen, sowie technische Bereitstellung der Plattform.

3. Kategorien betroffener Personen

Nutzer der Plattform (Anwaelte, juristische Mitarbeiter, Administratoren), sowie in den verarbeiteten Vertragsdokumenten genannte Personen (Vertragsparteien, Kontaktpersonen).

4. Technische und organisatorische Massnahmen

TLS 1.3 Verschluesselung fuer alle Datenuebertragungen

Row-Level Security (RLS) auf PostgreSQL fuer Mandantentrennung

RBAC-Zugriffskontrolle (Admin, Anwalt, Assistent)

JWT-basierte Authentifizierung mit 24h Session-Lifetime

Manipulationssicherer Audit Trail mit Tenant-Kontext

Security Headers: HSTS, X-Frame-Options DENY, CSP

Datenbank-Hosting in eu-central-1 (Frankfurt am Main)

Regelmaessige Sicherheitsupdates und Dependency-Audits

5. Unterauftragsverarbeiter

Vercel Inc.Hosting, Edge NetworkUSA (EU-Routing)
Neon Inc.PostgreSQL-DatenbankEU (Frankfurt)
Anthropic PBCKI-Analyse (Claude)USA (EU-Endpoint)
OpenAI Inc.KI-Analyse (GPT-4o)USA (EU-Endpoint)
Google LLCKI-Analyse (Gemini)USA (EU-Endpoint)
Resend Inc.E-Mail-VersandUSA
Stripe Inc.ZahlungsabwicklungUSA/EU

Mit allen Unterauftragsverarbeitern bestehen Standardvertragsklauseln (SCCs) oder gleichwertige Vereinbarungen.

6. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist fuer die Rechtmaessigkeit der Verarbeitung verantwortlich. Er erteilt alle Weisungen schriftlich oder in dokumentierter elektronischer Form. Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Erfuellung seiner Pflichten nach Art. 32-36 DSGVO.

7. Loeschung und Rueckgabe

Nach Beendigung des Auftrags werden alle personenbezogenen Daten geloescht oder zurueckgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Loeschung wird dokumentiert und auf Anfrage bestaeligt.

8. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu ueberpruefen. Dies kann durch Audits, Inspektionen oder die Anforderung von Nachweisen erfolgen.

AVV als Dokument anfordern

Fuer eine unterschriftsreife AVV im PDF-Format kontaktieren Sie uns unter ki@sbsdeutschland.de. Enterprise-Kunden erhalten eine individuell angepasste AVV.