Auftragsverarbeitungs­vertrag (AVV)

Parteien

Verantwortlicher (Controller): der jeweilige Kunde gemäß Auftragsbestätigung („Kunde").

Auftragsverarbeiter (Processor): HEINI Operations UG (haftungsbeschränkt), Wierling 19, 48301 Nottuln, Geschäftsführer: Daniel Heinen („HEINI").

1. Gegenstand und Dauer

1.1 Gegenstand: Bereitstellung der SaaS-Plattform heini.app einschließlich des KI-Kollegen im Auftrag und nach Weisung des Kunden.

1.2 Dauer: Laufzeit des Hauptvertrags (AGB v2.1) zzgl. der Übergangsfrist nach Ziff. 9.

2. Art und Zweck der Verarbeitung

2.1 Art: Erheben, Speichern, Auslesen, Verändern, Anzeigen, Strukturieren, Verarbeiten in KI-Modellen (nur zur Leistungserbringung gegenüber dem Kunden, nicht für Training), Löschen.

2.2 Zweck: Bereitstellung der vertraglich geschuldeten SaaS-Leistung (§ 2 AGB); KI-gestützte Verarbeitung von Eingaben des Kunden zur Erzeugung des geschuldeten Outputs.

3. Art der personenbezogenen Daten

Soweit der Kunde die Plattform mit personenbezogenen Daten befüllt, insbesondere: Stammdaten (Name, Anschrift, E-Mail, Telefon); Kommunikationsinhalte (Texte, Nachrichten, Dokumente); berufliche/unternehmensbezogene Daten (Rolle, Funktion, Firmenzugehörigkeit); Nutzungs- und Telemetriedaten; sowie alle weiteren Daten, die der Kunde durch eigene Eingaben einbringt.

Besondere Kategorien (Art. 9 DSGVO) darf der Kunde nur eingeben, wenn er eine wirksame Rechtsgrundlage sicherstellt und HEINI vorher textförmlich informiert. HEINI kann ergänzende technische und organisatorische Maßnahmen verlangen.

4. Kategorien betroffener Personen

Mitarbeiter und Geschäftspartner des Kunden; Endkunden des Kunden; sonstige natürliche Personen, deren Daten der Kunde rechtmäßig einbringt.

5. Weisungsrecht und Pflichten von HEINI

5.1 HEINI verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden. Diese AGB v2.1 und der AVV sind die Standardweisung; abweichende Weisungen in Textform.

5.2 HEINI teilt unverzüglich mit, wenn eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

5.3 HEINI verpflichtet alle befassten Personen schriftlich auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).

5.4 HEINI unterstützt den Kunden bei Betroffenenrechten (Art. 12–22), Sicherheit (Art. 32), Meldung von Verletzungen (Art. 33, 34) und Datenschutz-Folgenabschätzungen (Art. 35, 36) in angemessenem Umfang.

6. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

6.1 Vertraulichkeit: Zutrittskontrolle (Hetzner-RZ mit Mehrfaktor-Zugang, Vereinzelung, Videoüberwachung); Zugangskontrolle (MFA für administrative Konten, Passwort-Policy nach BSI); Zugriffskontrolle (RBAC, Least-Privilege, Audit-Logs); Trennungskontrolle (Mandantentrennung, getrennte Schlüssel je Tenant, wo sinnvoll).

6.2 Integrität: revisionssichere Logging-Pipeline; TLS 1.3 im Transport; Verschlüsselung at-rest (AES-256).

6.3 Verfügbarkeit: tägliche verschlüsselte Backups; redundante Speicherung in einer zweiten deutschen Hetzner-Verfügbarkeitszone (Standard: Falkenstein/Nürnberg) — eine abweichende Backup-Region nur unter der Enterprise-Ausnahme nach Ziff. 7.2; RTO ≤ 24 h, RPO ≤ 24 h; DDoS-Schutz auf Provider-Ebene.

6.4 Überprüfung: Penetrationstests mindestens jährlich; Vulnerability-Scans monatlich; jährliche Datenschutz-/Sicherheitsschulungen; dokumentierter Incident-Response-Plan.

6.5 HEINI darf die TOMs weiterentwickeln, sofern das Schutzniveau nicht unterschritten wird; wesentliche Änderungen werden dokumentiert und auf Anforderung mitgeteilt.

7. Sub-Auftragsverarbeiter

7.1 Der Kunde stimmt der Beauftragung der nachfolgenden Sub-Auftragsverarbeiter zu. HEINI verpflichtet jeden auf ein Datenschutzniveau, das diesem AVV nicht nachsteht.

7.2 Liste (Stand 16.06.2026): Hetzner Online GmbH (Sitz Gunzenhausen, DE) — Hosting, Storage, Backup, DDoS-Schutz; Verarbeitungsort Deutschland, Rechenzentrum Falkenstein (FSN1) als Standard. Ferner ein KI-Anbieter für die LLM-Inference (EU-Region bevorzugt, siehe 7.3; entfällt bei BYOK), optional ein E-Mail-Versanddienst und ein Payment-Provider (jeweils EU/EWR).

Serverstandort (Standard + Enterprise-Ausnahme). Standard-Verarbeitungsort für Hosting, Storage und Backup ist Falkenstein (FSN1), Deutschland (Single-Tenant je Kunde, EU/EWR). Eine abweichende Hosting-Region wird ausschließlich auf ausdrücklichen Wunsch eines Enterprise-Kunden im Einzelvertrag (Anhang B/D) vereinbart; ohne solche Vereinbarung verbleibt die gesamte Verarbeitung in Falkenstein/Deutschland.

7.3 KI-Sub-Liste. HEINI setzt für die KI-Inference voraussichtlich einen oder mehrere der folgenden Anbieter ein: OpenAI Ireland Ltd. (Dublin, IE), Anthropic Ireland Ltd. (Dublin, IE), Google Cloud EMEA Ltd. (Dublin, IE), Mistral AI SAS (Paris, FR) sowie eigene HEINI-Inference auf Hetzner-GPU (offene Modelle, EU-only). Bei US-Mutterkonzern: EU-Standardvertragsklauseln 2021 (Modul C2P), ergänzt durch Transfer-Impact-Assessment und ggf. DPF-Zertifizierung. Die final eingesetzten Anbieter werden bei Vertragsschluss in der Auftragsbestätigung konkretisiert.

7.3a Eigenes Modell des Kunden (BYOK). Bringt der Kunde ein eigenes KI-Modell / einen eigenen Anbieter ein, erfolgt die Inferenz über den vom Kunden gewählten Anbieter; Auswahl, Vertragsbeziehung und datenschutzrechtliche Verantwortung (inkl. Drittland-Transfer, Trainings-/Aufbewahrungskonditionen) liegen beim Kunden. Der gewählte Anbieter ist insoweit kein von HEINI beauftragter Sub-Auftragsverarbeiter; die in 7.2/7.3 gelisteten Default-Anbieter gelten nur, soweit kein BYOK genutzt wird.

7.4 Änderungsverfahren. HEINI informiert mindestens 30 Tage vor einer Änderung der Sub-Liste in Textform. Der Kunde kann innerhalb von 30 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen; gelingt keine einvernehmliche Lösung, besteht ein außerordentliches Kündigungsrecht (§ 11.3 AGB).

7.5 Drittland-Transfer. Soweit ein Sub-Auftragsverarbeiter Daten in ein Drittland überträgt, sichert HEINI durch (i) Adäquanzbeschluss, (ii) EU-Standardvertragsklauseln 2021 (regelmäßig Modul C2P), (iii) Transfer-Impact-Assessment und ggf. (iv) DPF ein angemessenes Schutzniveau.

8. Meldung von Datenschutzverletzungen

8.1 HEINI meldet eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung in Textform an die hinterlegte DSGVO-Kontaktadresse des Kunden.

8.2 Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl Betroffener, voraussichtliche Folgen, ergriffene/vorgeschlagene Gegenmaßnahmen, Kontaktperson.

8.3 Diese Frist ist strenger als Art. 33 DSGVO (72 h gegenüber der Behörde) und soll dem Kunden eine fristgerechte eigene Meldung ermöglichen.

9. Beendigung, Löschung, Rückgabe

9.1 Nach Vertragsende stellt HEINI 30 Tage einen Export im branchenüblichen Format (CSV/JSON) bereit (§ 11.5 AGB; Anhang E Data Act).

9.2 Danach löscht HEINI die personenbezogenen Daten aus den produktiven Systemen unverzüglich, spätestens innerhalb von 30 Tagen; Backups werden im Rotationszyklus überschrieben (max. 90 Tage).

9.3 Gesetzliche Aufbewahrungspflichten (§ 257 HGB, § 147 AO) bleiben unberührt; insoweit aufbewahrte Daten werden zugriffsbeschränkt.

9.4 Auf Anforderung weist HEINI die Löschung in Textform nach.

10. Audit-Rechte

10.1 Der Kunde kann sich von der Einhaltung dieses AVV überzeugen — durch Zertifizierungen/Audit-Berichte (z. B. ISO 27001 von Hetzner), Beantwortung schriftlicher Fragenkataloge und, bei begründetem Anlass, ein Vor-Ort-Audit nach 14 Tagen Vorankündigung, höchstens einmal jährlich (außer in akuten Fällen).

10.2 Die Kosten eines Vor-Ort-Audits trägt der Kunde, soweit kein wesentlicher Verstoß bestätigt wird.

11. Haftung

11.1 Es gilt die Haftungsregelung nach § 8 AGB v2.1.

11.2 Im Außenverhältnis haftet der Kunde als Verantwortlicher; im Innenverhältnis gilt Art. 82 Abs. 5 DSGVO (gesamtschuldnerischer Innenausgleich).

12. Schlussbestimmungen

12.1 Bei Widersprüchen zwischen diesem AVV und der AGB v2.1 geht dieser AVV in Datenschutz-Fragen vor.

12.2 Änderungen bedürfen der Textform (§ 126b BGB).

12.3 Es gilt deutsches Recht; Gerichtsstand ist der Sitz von HEINI (§ 13 AGB). Version 2.1 — Stand 16.06.2026.