Autopilot
// Auftragsverarbeitung

AVV nach Art. 28 DSGVO

Stand: 2026-05-28 · v1.0 · gültig für alle Autopilot-Mandate

Dies ist der Standardtext, mit dem AC alle Mandate startet. Auftraggeber können vor Vertragsunterzeichnung individuelle Anpassungen im Rahmen der DSGVO-Konformität verhandeln. Die Sub-Verarbeiter-Liste in Anhang D wird laufend gepflegt — Änderungen werden Mandanten mindestens 30 Tage vor Wirksamwerden mitgeteilt.

Status: Version 1.0 · Stand 2026-05-28 Diese Vereinbarung wurde nach aktuellen Best-Practice-Standards erstellt — auf Basis der BvD-/BfDI-/GDD-Empfehlungen, den EU-Standardvertragsklauseln 2021/914 (Modul 2: Verantwortlicher → Auftragsverarbeiter), den Anforderungen aus dem Schrems-II-Urteil (C-311/18) sowie der DSGVO Art. 28. Bei Mandaten mit Hochrisiko-KI-Anwendungen, besonderen Datenkategorien (Art. 9 DSGVO) oder besonders sensitiven Branchen (Gesundheit, Finanz, Behörden) empfiehlt sich eine zusätzliche anwaltliche Einzelprüfung.


Präambel

Diese Vereinbarung ergänzt den zwischen den Parteien geschlossenen Hauptvertrag (Retainer- oder Konzept-Vereinbarung mit Autopilot Consulting). Sie regelt die datenschutzrechtlichen Verpflichtungen der Parteien bei der Verarbeitung personenbezogener Daten im Rahmen der Leistungserbringung.


Vertragsparteien

Verantwortlicher (im Folgenden „Auftraggeber”): [Firma, Anschrift, Vertretung, USt-IdNr.]

Auftragsverarbeiter (im Folgenden „Auftragnehmer” oder „AC”): Noorder partners GmbH [Anschrift] Hamburg, Deutschland USt-IdNr.: […] Geschäftsführer: Martin Zielinski


§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Rahmen der KI-Operator-Tätigkeit gemäß Hauptvertrag. Dabei verarbeitet er personenbezogene Daten des Auftraggebers ausschließlich zur Erbringung dieser Leistungen.

1.2 Konkrete Verarbeitungstätigkeiten

1.3 Dauer

Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags. Bei Beendigung des Hauptvertrags endet auch diese Vereinbarung; die Pflichten zur Löschung bzw. Rückgabe der Daten (siehe § 10) bestehen darüber hinaus fort.


§ 2 Art und Zweck der Verarbeitung

2.1 Zweck

Erfüllung der vertraglich vereinbarten Leistungen aus dem Hauptvertrag; insbesondere die Konzeption, Bewertung und Begleitung von KI-Anwendungen sowie die Sicherstellung der Mensch-Final-Review.

2.2 Art der Verarbeitung

2.3 Keine zweckfremde Nutzung

Eine Verwendung der Daten zu eigenen Zwecken des Auftragnehmers — insbesondere zum Training, zur Modellverbesserung oder zur Weitergabe an Dritte außerhalb der vereinbarten Sub-Verarbeitung — ist ausgeschlossen.

2.4 Anonymisierte Pattern-Übertragung (Pattern-Bridge)

Der Auftragnehmer kann aus den Mandaten anonymisierte und vollständig de-personalisierte Erkenntnis-Muster ableiten (z. B. „Tool X reduziert Service-Bearbeitungszeit in Branche Y um Z%”). Diese werden ohne Namensnennung, ohne identifizierende Daten und ohne Branchen-/Größen-Kombinationen, die eine Re-Identifizierung erlauben würden, in zukünftigen Empfehlungen für andere Mandanten genutzt. Der Auftraggeber kann dieser Nutzung in Anhang B widersprechen (Opt-out).


§ 3 Art der Daten und Kategorien betroffener Personen

3.1 Datenarten

Im Rahmen der Auftragsverarbeitung werden insbesondere folgende Kategorien von Daten verarbeitet:

3.2 Kategorien betroffener Personen

3.3 Besondere Kategorien (Art. 9 DSGVO)

Eine Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Sexualleben, biometrische Daten zur eindeutigen Identifizierung) ist grundsätzlich ausgeschlossen. Sollte ein konkretes Vorhaben des Auftraggebers solche Daten betreffen, ist dies vorab schriftlich zu vereinbaren und löst zusätzliche TOM aus.


§ 4 Pflichten des Auftragnehmers (AC)

Der Auftragnehmer verpflichtet sich:

4.1 Weisungsgebundene Verarbeitung

Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten. Weisungen ergeben sich aus dem Hauptvertrag, aus dieser Vereinbarung sowie aus der laufenden Kommunikation (E-Mail, Portal-Tickets, Slack — schriftlich nachvollziehbar).

4.2 Vertraulichkeitsverpflichtung der Mitarbeiter

Alle mit der Auftragsverarbeitung befassten Personen — eigene Mitarbeiter, Reviewer, Specialists, Implementer aus dem AC-Pool — werden schriftlich zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO, § 53 BDSG). Die Verpflichtungserklärungen werden auf Anforderung des Auftraggebers vorgelegt.

4.3 Technische und organisatorische Maßnahmen (TOM)

Geeignete TOM zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus zu treffen (Art. 32 DSGVO). Die TOM sind in Anhang C dieser Vereinbarung dokumentiert.

4.4 Sub-Verarbeiter

Sub-Verarbeiter nur mit vorheriger allgemeiner oder schriftlicher Einwilligung des Auftraggebers einzusetzen (Art. 28 Abs. 2 DSGVO). Eine Liste der aktuell eingesetzten Sub-Verarbeiter findet sich in Anhang D. Bei Änderungen wird der Auftraggeber rechtzeitig informiert; er kann widersprechen.

4.5 Unterstützung des Auftraggebers

Den Auftraggeber unter Berücksichtigung der Art der Verarbeitung dabei zu unterstützen, seinen Pflichten aus den Art. 32 bis 36 DSGVO nachzukommen — insbesondere bei Datenschutz-Folgenabschätzungen, Sicherheitsvorfällen und Anfragen betroffener Personen.

4.6 Information bei Datenpannen

Den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten zu informieren (Art. 33 Abs. 2 DSGVO). Die Mitteilung enthält die in Art. 33 Abs. 3 DSGVO geforderten Angaben, soweit zum Zeitpunkt der Meldung verfügbar — fehlende Angaben werden unverzüglich nachgereicht, sobald sie ermittelt sind. Der Auftragnehmer dokumentiert jede Datenpanne und hält die Dokumentation für den Auftraggeber bereit.

4.7 Beauftragten für den Datenschutz (DSB)

Der Auftragnehmer hat einen Datenschutzbeauftragten benannt: [Name, Kontakt — falls bestellt; sonst Hinweis auf gesetzliche Schwelle des § 38 BDSG]. Bei Fragen kontaktierbar unter datenschutz@autopilot.consulting.

4.8 Mitwirkung an Audits

Dem Auftraggeber alle zur Erfüllung seiner Pflichten nach Art. 28 DSGVO erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen — einschließlich Inspektionen — zu ermöglichen oder dazu beizutragen. Audits können einmal jährlich nach 30 Tagen Vorankündigung erfolgen; Kosten für Audits über das gesetzliche Maß hinaus trägt der Auftraggeber.

4.9 Hinweispflicht bei rechtswidrigen Weisungen

Den Auftraggeber unverzüglich darauf hinzuweisen, wenn eine Weisung nach Auffassung des Auftragnehmers gegen Datenschutzrecht verstößt.

4.10 Berufsgeheimnisträger (§ 203 StGB, § 62 StBerG, vergleichbare Berufsordnungen)

Soweit der Auftraggeber einer berufsrechtlichen Verschwiegenheitspflicht unterliegt (insbesondere Steuerberater, Wirtschaftsprüfer, Rechtsanwälte, Notare, Ärzte, Apotheker, sowie sonstige in § 203 Abs. 1 StGB genannte Berufe), gelten folgende erweiterte Pflichten des Auftragnehmers:

Diese Klausel ergänzt — nicht ersetzt — die allgemeinen DSGVO-Pflichten dieser Vereinbarung.


§ 5 Pflichten des Auftraggebers (Verantwortlicher)

Der Auftraggeber:

5.1 Rechtmäßigkeit der Verarbeitung

Trägt die Verantwortung für die rechtmäßige Erhebung und Verarbeitung der personenbezogenen Daten, einschließlich der Information der betroffenen Personen und ggf. erforderlicher Einwilligungen.

5.2 Weisungsbefugnis

Erteilt Weisungen zur Verarbeitung schriftlich oder textförmlich (E-Mail, Portal-Ticket). Mündliche Weisungen werden vom Auftragnehmer dokumentiert.

5.3 Ansprechperson

Benennt eine Ansprechperson für datenschutzrechtliche Fragen (siehe Anhang A, „Ansprechpartner”).

5.4 Mitwirkung bei Betroffenenrechten

Bearbeitet Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, etc.) selbst — der Auftragnehmer unterstützt mit den ihm vorliegenden Informationen.

5.5 Mitteilung bei besonderen Kategorien

Informiert den Auftragnehmer rechtzeitig, falls ein Vorhaben besondere Kategorien personenbezogener Daten betrifft (siehe § 3.3).


§ 6 Drittland-Transfers

6.1 Grundsatz

Verarbeitungen außerhalb der EU/des EWR erfolgen nur, wenn die in Kapitel V der DSGVO genannten Voraussetzungen erfüllt sind (Angemessenheitsbeschluss, EU-Standardvertragsklauseln, Binding Corporate Rules, oder Ausnahme nach Art. 49 DSGVO).

6.2 Aktuell relevante Transfers

Soweit Sub-Verarbeiter aus den USA eingesetzt werden (z. B. Anthropic, OpenAI als Inferenz-Dienstleister), gelten:

6.3 Zusätzliche Schutzmaßnahmen (Schrems-II)

In Umsetzung der Anforderungen aus dem EuGH-Urteil C-311/18 („Schrems II”) wendet der Auftragnehmer folgende ergänzende Schutzmaßnahmen an:

6.4 Transfer-Folgenabschätzung

Der Auftragnehmer hat für jeden Drittland-Transfer eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) durchgeführt. Diese ist auf Anforderung einsehbar. Bei wesentlichen Änderungen der Rechtslage im Drittland (z. B. neuen behördlichen Zugriffsbefugnissen) wird die TIA neu bewertet und der Auftraggeber bei relevanten Risikoänderungen unverzüglich informiert.


§ 7 Löschung und Rückgabe nach Ende der Verarbeitung

7.1 Nach Beendigung

Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer — nach Wahl des Auftraggebers — alle personenbezogenen Daten zurück, einschließlich aller Kopien.

7.2 Frist

Die Rückgabe oder Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende.

7.3 Gesetzliche Aufbewahrungspflichten

Soweit gesetzliche Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO — Aufbewahrungsfristen für Rechnungen, Geschäftsbriefe und buchungsrelevante Dokumente von 6 bis 10 Jahren) der vollständigen Löschung entgegenstehen, werden die betroffenen Daten gesperrt, einer eingeschränkten Verarbeitung im Sinne von Art. 18 DSGVO unterzogen und nach Ablauf der gesetzlichen Frist unverzüglich gelöscht.

7.4 Bestätigung

Der Auftragnehmer bestätigt die Löschung in Textform und legt — auf Anforderung — die durchgeführten Löschungs-Maßnahmen dar.

7.5 Backups

Daten in turnusmäßigen Backups werden nach Ablauf der vereinbarten Backup-Retention (siehe Anhang C, TOM) gelöscht. Eine vorzeitige Backup-Löschung ist technisch nicht ohne erheblichen Aufwand möglich; sie ist auf gesonderten Antrag und gegen Aufwandserstattung möglich. Während der Restdauer der Backup-Retention werden die Daten nicht aktiv verarbeitet, sondern nur zur Wiederherstellbarkeit vorgehalten.


§ 8 Vergütung

Die Erfüllung dieser Vereinbarung ist mit der Vergütung aus dem Hauptvertrag abgegolten. Zusätzliche Aufwände aufgrund konkreter Weisungen, die über die gesetzlichen Pflichten hinausgehen (z. B. außerordentliche Audits, individuelle Sicherheitsanforderungen, einzelne Betroffenenrechte-Anfragen mit hohem Aufwand), werden nach tatsächlichem Aufwand zu marktüblichen Stundensätzen abgerechnet.


§ 9 Haftung

Es gelten die Haftungsregelungen des Hauptvertrags sowie Art. 82 DSGVO. Im Innenverhältnis tragen die Parteien Schäden anteilig nach ihrem Verschuldensbeitrag.


§ 10 Schlussbestimmungen

10.1 Schriftform

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Aufhebung der Schriftformklausel selbst.

10.2 Salvatorische Klausel

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Vereinbarung unberührt.

10.3 Anwendbares Recht

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

10.4 Gerichtsstand

Hamburg (soweit gesetzlich zulässig).

10.5 Inkonsistenzen

Bei Widersprüchen zwischen Hauptvertrag und dieser AVV geht diese AVV vor, soweit datenschutzrechtliche Pflichten betroffen sind.


Anhänge (Bestandteil dieser Vereinbarung)


Anhang A — Datenkategorien des Auftraggebers + Ansprechpartner

Spezifische Datenkategorien beim Auftraggeber (vom Auftraggeber zu ergänzen):

DatenartQuelleZugriffsweise (Read-Only / Voll)Hosting-Klasse
[z. B. Service-Tickets][System, z. B. Helpdesk]Read-Only via APIEU-Cloud
[…][…][…][…]

Ansprechpartner Auftraggeber (Datenschutz):

Ansprechpartner Auftragnehmer:


Anhang B — Pattern-Bridge Opt-out

Standard-Mechanik: Patterns aus diesem Mandat werden anonymisiert für vergleichbare andere Mandate aufbereitet. Anonymisierung schließt aus: Firmenname, identifizierende Branchen-/Größen-Kombinationen, identifizierbare Personen, geschäftsgeheimnis-relevante Details.

☐ Hiermit widerspreche ich der anonymisierten Pattern-Übertragung gemäß § 2.4 AVV. (Wenn nicht angekreuzt, ist die Mechanik aktiv. Widerspruch jederzeit per E-Mail an datenschutz@autopilot.consulting möglich.)


Anhang C — Technische und organisatorische Maßnahmen (TOM)

Stand: 2026-05-27. Wird mindestens jährlich überprüft.

C.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

C.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Eingabekontrolle

C.3 Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Backups

Wiederherstellung

C.4 Trennungskontrolle

C.5 Auftragskontrolle (Art. 28 DSGVO)

C.6 Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

C.7 Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

C.8 Datenträger-Vernichtung

C.9 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)


Anhang D — Sub-Verarbeiter-Liste

Stand: 2026-05-27. Änderungen werden dem Auftraggeber mindestens 30 Tage vor Wirksamwerden mitgeteilt; Widerspruchsrecht besteht.

#Sub-VerarbeiterZweckSitzDrittland-Hinweis
1Anthropic PBCKI-Inferenz (Claude-Modelle)USAEU-Standardvertragsklauseln 2021/914 + Zero-Retention-API-Modus aktiviert
2OpenAI Ireland Operations LimitedKI-Inferenz (GPT-Modelle, optional)Irland (Vertragspartner) / USA (Dienst)EU-Standardvertragsklauseln + Enterprise-DPA mit Zero-Retention
3HostingerVPS-Hosting (Frankfurt am Main)Litauen (Vertragspartner) / DE (Rechenzentrum)EU-EWR
4Cloudflare, Inc.CDN, DNS, Edge-Cache, PagesUSAEU-Standardvertragsklauseln, EU-Datenregion aktiviert
5Stripe Technology Europe LimitedZahlungsverarbeitungIrlandEU-EWR; Stripe verarbeitet keine Mandanten-Inhalte, nur Zahlungs- und Rechnungsdaten
6Resend, Inc.Transaktions-E-MailUSAEU-Standardvertragsklauseln
7Hetzner Online GmbHEU-Cloud-Inferenz (optional, falls vom Mandanten gewählt)DeutschlandEU-EWR
8Aleph Alpha GmbHEU-LLM-Inferenz (optional, falls vom Mandanten gewählt)DeutschlandEU-EWR

Hinweis zu Anthropic + OpenAI:

Bei Mandanten mit besonders hohen Souveränitäts-Anforderungen kann auf reine EU-Modelle (z. B. Aleph Alpha „Pharia” über Hetzner, Mistral über IONOS) ausgewichen werden — die Hosting-Klasse wird im Mandant-Memory dokumentiert und je Use-Case entschieden.

Hinweis zu Cloudflare: Cloudflare ist als CDN/Edge-Anbieter eingesetzt. Inhalte werden nicht persistent gespeichert; Routing-Metadaten (IP-Adressen, Request-Header) werden nach den jeweils geltenden Cloudflare-Retention-Policies verarbeitet. Cloudflare-DPA: https://www.cloudflare.com/cloudflare-customer-dpa/.


Ort, Datum

Auftraggeber:


[Name, Funktion]

Auftragnehmer:


Martin Zielinski (Geschäftsführer Noorder partners GmbH)