📋 Rechtliches

Auftragsverarbeitungsvereinbarung

gemäß Art. 28 DSGVO · Stand: April 2026

1. Gegenstand und Dauer

Der Auftragsverarbeiter (SBS Deutschland GmbH & Co. KG) verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Kunde) im Rahmen der Nutzung von KanzleiAI. Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst: Speicherung und Verwaltung von Nutzerdaten (Name, E-Mail, Rolle), Verarbeitung von Vertragsdokumenten durch KI-Analyse (Risikobewertung, Datenextraktion), Speicherung von Analyseergebnissen und Audit-Trail-Eintraegen, sowie technische Bereitstellung der Plattform.

3. Kategorien betroffener Personen

Nutzer der Plattform (Anwaelte, juristische Mitarbeiter, Administratoren), sowie in den verarbeiteten Vertragsdokumenten genannte Personen (Vertragsparteien, Kontaktpersonen).

4. Technische und organisatorische Maßnahmen

TLS 1.3 Verschlüsselung für alle Datenübertragungen

Row-Level Security (RLS) auf PostgreSQL für Mandantentrennung

RBAC-Zugriffskontrolle (Admin, Anwalt, Assistent)

JWT-basierte Authentifizierung mit 24h Session-Lifetime

Manipulationssicherer Audit Trail mit Tenant-Kontext

Security Headers: HSTS, X-Frame-Options DENY, CSP

Datenbank-Hosting in eu-central-1 (Frankfurt am Main)

Regelmäßige Sicherheitsupdates und Dependency-Audits

5. Unterauftragsverarbeiter

Vercel Inc.Hosting, Edge NetworkUSA (EU-Routing)
Neon Inc.PostgreSQL-DatenbankEU (Frankfurt)
Anthropic PBCKI-Analyse (Claude)USA (EU-Endpoint)
OpenAI Inc.KI-Analyse (GPT-4o)USA (EU-Endpoint)
Google LLCKI-Analyse (Gemini)USA (EU-Endpoint)
Resend Inc.E-Mail-VersandUSA
Stripe Inc.ZahlungsabwicklungUSA/EU

Mit allen Unterauftragsverarbeitern bestehen Standardvertragsklauseln (SCCs) oder gleichwertige Vereinbarungen.

6. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung verantwortlich. Er erteilt alle Weisungen schriftlich oder in dokumentierter elektronischer Form. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32-36 DSGVO.

7. Löschung und Rückgabe

Nach Beendigung des Auftrags werden alle personenbezogenen Daten gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird dokumentiert und auf Anfrage bestätigt.

8. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu überprüfen. Dies kann durch Audits, Inspektionen oder die Anforderung von Nachweisen erfolgen.

AVV als Dokument anfordern

Für eine unterschriftsreife AVV im PDF-Format kontaktieren Sie uns unter ki@sbsdeutschland.de. Enterprise-Kunden erhalten eine individuell angepasste AVV.