← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Version 4.0 · Stand 14.04.2026 · gemäß Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die Verpflichtungen der Parteien nach Art. 28 DSGVO. Er wird mit Abschluss des Hauptvertrages (Allgemeine Geschäftsbedingungen der RiskSentinel SaaS-Plattform) automatisch Vertragsbestandteil und bedarf keiner separaten Unterzeichnung.

§ 1 Parteien

(1) Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Kunde der Plattform (nachfolgend „Verantwortlicher").

(2) Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO ist RiskSentinel, Inhaber Marc Tanke, Friedrich-Lau-Straße 40, 40474 Düsseldorf (nachfolgend „Auftragsverarbeiter").

§ 2 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb der SaaS-Plattform RiskSentinel zur Risikofrüherkennung und zum Monitoring unternehmerischer Risiken.

(2) Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrages.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten umfasst die nachfolgend genannten Tätigkeiten, soweit sie zur Erbringung der vertraglich vereinbarten Leistungen erforderlich sind:

  • Erhebung und Speicherung der vom Verantwortlichen eingestellten Daten
  • Durchführung KI-gestützter Auswertungen zur Risikoanalyse
  • Durchführung und Auswertung von Interviews mit vom Verantwortlichen benannten Teilnehmern
  • Bereitstellung von Exports, Berichten und Analyseergebnissen
  • Versand transaktionaler E-Mails (Einladungen, Benachrichtigungen)

Zweck ist ausschließlich die Erfüllung der vertraglichen Leistungspflichten.

§ 4 Kategorien betroffener Personen und Datenarten

Kategorien betroffener Personen:

  • Nutzer (Mitarbeiter des Verantwortlichen mit Plattform-Zugang)
  • Interview-Teilnehmer (vom Verantwortlichen benannte Personen)
  • Ansprechpartner und Kontaktpersonen, die der Verantwortliche in die Plattform einstellt

Kategorien personenbezogener Daten:

  • Stammdaten (Name, Funktion, Unternehmenszugehörigkeit)
  • Kontaktdaten (E-Mail-Adresse)
  • Inhaltsdaten (Interview-Antworten, hochgeladene Dokumente, Freitexteingaben)
  • Nutzungsdaten (Login-Zeitpunkte, Session-Metadaten)
  • Technische Daten (IP-Adresse, User-Agent)

§ 5 Weisungsrecht

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Plattform durch den Verantwortlichen stellt in ihrer Gesamtheit eine solche Weisung dar.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter

  1. verpflichtet seine Mitarbeiter und weitere mit der Verarbeitung betraute Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO);
  2. unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO (Datensicherheit, Meldepflichten, Folgenabschätzungen, vorherige Konsultation);
  3. unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zur Wahrnehmung ihrer Rechte nach Art. 15 bis 22 DSGVO;
  4. stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung;
  5. führt ein Verzeichnis der im Auftrag durchgeführten Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO.

§ 7 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft die erforderlichen technisch-organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

  • Vertraulichkeit: Zugriffskontrolle über rollenbasiertes Berechtigungssystem, Mandantentrennung auf Anwendungsebene, verschlüsselte Übertragung (TLS 1.2+) und verschlüsselte Speicherung (AES-256 at rest);
  • Integrität: Audit-Logging aller datenverändernden Vorgänge, Eingabekontrollen, Schutz vor unbefugter Veränderung durch Zugriffsbeschränkungen;
  • Verfügbarkeit und Belastbarkeit: Regelmäßige verschlüsselte Sicherungen, Schutz vor unbefugtem Zugriff durch Firewall und Netzwerksegmentierung, Schutz vor Datenverlust durch redundante Speicherung;
  • Wiederherstellbarkeit: Dokumentierte Wiederherstellungsverfahren, regelmäßige Überprüfung der Sicherungen;
  • Überprüfungsverfahren: Periodische Überprüfung und Bewertung der Wirksamkeit der Maßnahmen.

Die Maßnahmen werden regelmäßig an den Stand der Technik angepasst. Ein detailliertes TOM-Dokument stellt der Auftragsverarbeiter auf Anfrage zur Verfügung.

§ 8 Sub-Auftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zum Einsatz der nachfolgend aufgeführten Sub-Auftragsverarbeiter.

Sub-Auftragsverarbeiter Dienst Ort Rechtsgrundlage
Amazon Web Services EMEA SARL KI-Inference (LLM) Frankfurt, EU AWS DPA (EU-intern)
Hostinger Operations UAB VPS-Hosting Frankfurt, EU Hostinger DPA (EU-intern)
Hostinger Operations UAB SMTP-Versand EU Hostinger DPA (EU-intern)
Functional Software, Inc. (Sentry) Fehler-Monitoring Frankfurt, EU Sentry DPA + SCCs
Hetzner Online GmbH Verschlüsselte Backup-Speicherung Falkenstein, DE Hetzner DPA (EU-intern)
Stripe Payments Europe, Limited Zahlungsabwicklung Irland (Konzern USA) Stripe DPA + Standardvertragsklauseln + EU-US Data Privacy Framework

(2) Der Auftragsverarbeiter stellt sicher, dass mit jedem Sub-Auftragsverarbeiter vertragliche Regelungen nach Art. 28 Abs. 4 DSGVO bestehen, die den Anforderungen dieses Vertrages entsprechen.

(3) Beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern kündigt der Auftragsverarbeiter dem Verantwortlichen mit einer Frist von dreißig (30) Tagen vor Wirksamwerden in Textform an. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb der Frist widersprechen.

(4) Stripe tritt bezüglich Zahlungsverkehrsdaten zugleich als eigenständiger Verantwortlicher im Sinne der DSGVO auf, soweit Stripe diese Daten zu eigenen Zwecken (insbesondere Betrugsprävention und regulatorische Pflichten) verarbeitet.

§ 9 Ort der Verarbeitung

(1) Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der Europäischen Union.

(2) Eine Übermittlung in Drittländer findet ausschließlich im Rahmen der unter § 8 aufgeführten Sub-Auftragsverarbeiter auf Basis der dort genannten Rechtsgrundlagen statt.

§ 10 Meldung von Verletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO unverzüglich nach Bekanntwerden, spätestens jedoch innerhalb von 24 Stunden. Die Meldung umfasst alle nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit sie dem Auftragsverarbeiter zu diesem Zeitpunkt bekannt sind.

§ 11 Kontrollrechte

(1) Der Verantwortliche ist berechtigt, die Einhaltung der Pflichten aus diesem Vertrag und aus Art. 28 DSGVO zu kontrollieren. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei solchen Kontrollen.

(2) Kontrollen werden mit angemessener Vorankündigung während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchgeführt. Der Nachweis kann auch durch Vorlage geeigneter Zertifizierungen oder aktueller Testate eines unabhängigen Prüfers erbracht werden.

§ 12 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen zur Wahrnehmung von Rechten der betroffenen Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) durch geeignete technische und organisatorische Maßnahmen. Ersuchen betroffener Personen, die beim Auftragsverarbeiter unmittelbar eingehen, leitet dieser unverzüglich an den Verantwortlichen weiter.

§ 13 Rückgabe und Löschung nach Vertragsende

(1) Nach Beendigung der Hauptvertragsbeziehung stellt der Auftragsverarbeiter dem Verantwortlichen für einen Zeitraum von dreißig (30) Tagen eine Exportmöglichkeit der vom Verantwortlichen eingestellten Daten zur Verfügung.

(2) Nach Ablauf dieser Frist löscht der Auftragsverarbeiter sämtliche in seinem Herrschaftsbereich befindlichen personenbezogenen Daten des Verantwortlichen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(3) Verschlüsselte Sicherungskopien werden spätestens nach Ablauf der rollierenden Aufbewahrungsfrist der Backups automatisch überschrieben.

§ 14 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Die Haftungsregelungen des Hauptvertrages (AGB) gelten ergänzend, soweit sie den zwingenden Vorgaben der DSGVO nicht widersprechen.

§ 15 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie den Schutz personenbezogener Daten betreffen.

(2) Änderungen dieses AVV bedürfen der Textform.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Auftragsverarbeiter: RiskSentinel, Inhaber Marc Tanke, Friedrich-Lau-Straße 40, 40474 Düsseldorf
Kontakt Datenschutz: info@risksentinel.de
Version 4.0 · Stand 14.04.2026