Vertrauen
Auftragsverarbeitungsvertrag (AVV)
Muster / Entwurf
Version 2026-07 · Stand Juni 2026
Hinweis
Das nachfolgende Dokument ist ein Muster-Entwurf zur rechtlichen Prüfung durch den Auftraggeber. Die Angaben des Auftraggebers (AG) sind Platzhalter und im Einzelfall zu ergänzen.
Vertragspartner
Auftraggeber (AG, Verantwortlicher):
[Name der Kanzlei / des Unternehmens]
[Anschrift]
[vertreten durch]
Auftragsverarbeiter (AN):
Mokka Agentur GbR
vertreten durch die Gesellschafter Youssef Ouhaghi Ahmian und Jasid Khalaf
Wiesenstraße 32, 57271 Hilchenbach, Deutschland
Betreiberin des Dienstes datenmaske.de
Präambel
Dieser Auftragsverarbeitungsvertrag („AVV“) ergänzt und konkretisiert die vertraglichen Beziehungen zwischen dem Auftraggeber („AG“) und Mokka Agentur GbR als Anbieterin des Dienstes datenmaske.de („AN“) hinsichtlich der Verarbeitung personenbezogener Daten gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO). Er findet Anwendung auf alle Tätigkeiten, bei denen der AN im Auftrag des AG personenbezogene Daten verarbeitet.
§ 1 Gegenstand und Dauer
(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den AN im Auftrag des AG im Zusammenhang mit der Nutzung des Dienstes datenmaske.de zur Erkennung und Schwärzung personenbezogener Daten in PDF-Dokumenten.
(2) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des zugrunde liegenden Nutzungsvertrags. Er endet spätestens mit dessen Beendigung, sobald keine personenbezogenen Daten des AG mehr im Einflussbereich des AN verarbeitet werden.
§ 2 Zweck, Art der Verarbeitung, Datenkategorien, betroffene Personen
(1) Zweck: teilautomatisierte Erkennung personenbezogener Daten in vom AG bereitgestellten PDF-Dokumenten sowie irreversible Schwärzung gemäß Weisung des AG.
(2) Art der Verarbeitung: Upload über eine verschlüsselte Verbindung (TLS); Textextraktion; OCR für eingescannte Seiten (ausschließlich über Microsoft Azure Document Intelligence, Region Deutschland (Germany West Central)); Erkennung mittels regelbasierter Muster und selbst gehosteter Named Entity Recognition; Konfidenzbewertung je erkannter Entität; Bereitstellung zur Prüfung durch den AG (Human-in-the-Loop); irreversible Content-Stream-Schwärzung mit Verifikation; Export; anschließende Löschung.
(3) Ort der Verarbeitung: ausschließlich innerhalb der Europäischen Union, vorwiegend Deutschland (Hosting: Rechenzentrum Nürnberg; OCR: Deutschland (Germany West Central)). Eine Übermittlung in Drittstaaten findet nicht statt.
(4) Kategorien betroffener Personen: Mandanten, Mitarbeiter, Bewerber, Geschäftspartner, Zeugen, Beschuldigte sowie weitere in den Dokumenten genannte Dritte.
(5) Kategorien personenbezogener Daten: Namen, Kontaktdaten, Geburtsdaten, IBAN und weitere Finanzdaten, Versicherten- und Steuernummern, Ausweis- und Kennzeichendaten sowie die in den Dokumenten enthaltenen sonstigen personenbezogenen Daten.
(6) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Sofern die verarbeiteten Dokumente solche Daten enthalten (z. B. Gesundheitsdaten oder strafrechtsbezogene Daten), werden diese ausschließlich nach den hier geregelten Maßnahmen und den Weisungen des AG verarbeitet.
§ 3 Weisungsrecht
(1) Der AN verarbeitet personenbezogene Daten des AG ausschließlich im Rahmen der vertraglichen Vereinbarungen und nach Weisung des AG. Eine Verarbeitung über den vereinbarten Zweck hinaus ist ausgeschlossen.
(2) Weisungen können durch den Hauptvertrag, diesen AVV oder einzeln in Textform erteilt werden. Der AN dokumentiert Weisungen nach Art und Zeitpunkt.
(3) Hält der AN eine Weisung für datenschutzrechtlich unrechtmäßig, teilt er dies dem AG unverzüglich mit. Der AN ist berechtigt, die Durchführung der Weisung bis zur Bestätigung durch den AG auszusetzen.
§ 4 Pflichten des Auftragsverarbeiters
(1) Der AN ergreift die in der Anlage (TOM) aufgeführten technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen werden dem Stand der Technik entsprechend weiterentwickelt, ohne das vereinbarte Schutzniveau zu unterschreiten.
(2) Der AN verpflichtet die bei der Verarbeitung tätigen Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der AN unterstützt den AG bei der Gewährleistung der Rechte betroffener Personen (Kapitel III DSGVO) sowie bei der Erfüllung der Pflichten nach Art. 32 bis 36 DSGVO, soweit erforderlich.
(4) Der AN informiert den AG unverzüglich über Verletzungen des Schutzes personenbezogener Daten (Art. 33 DSGVO) sowie über Kontroll- oder Maßnahmeverlangen Aufsichtsbehörden.
§ 5 Pflichten des Auftraggebers
(1) Der AG ist für die Rechtmäßigkeit der Verarbeitung sowie für die Einhaltung der gesetzlichen Vorgaben verantwortlich, insbesondere für die Rechtmäßigkeit der Überlassung der Dokumente an den AN.
(2) Der AG prüft und freigibt die vom AN erzeugten Schwärzungsvorschläge. Die Verantwortung für die inhaltliche Richtigkeit und Vollständigkeit der Schwärzung verbleibt beim AG (Human-in-the-Loop-Prinzip).
§ 6 Unterauftragsverarbeiter (Sub-Auftragnehmer)
(1) Der AG erteilt seine Zustimmung zur Einschaltung folgender Unterauftragsverarbeiter. Diese werden im Rahmen bestehender Auftragsverarbeitungsverträge (Art. 28 DSGVO) eingebunden:
- netcup GmbH, Karlsruhe — Hosting-Infrastruktur (Anwendung, Datenbank, NER, Dokumentverarbeitung), Rechenzentrum Nürnberg. netcup ist für sein Rechenzentrum nach ISO/IEC 27001, ISO 9001 und ISO 27701 zertifiziert (Data-Center-only; keine ISO-Zertifizierung der Datenmaske-Anwendung). Ein eigenes ISO/IEC 27001-zertifiziertes ISMS für die Datenmaske-Anwendung befindet sich in Vorbereitung (Ziel 2027).
- Microsoft Ireland Operations Ltd. — Azure Document Intelligence, ausschließlich OCR für eingescannte Seiten, Region Deutschland (Germany West Central).
- Stripe Payments Europe Ltd., Dublin — Zahlungsabwicklung (ohne Zugriff auf Dokumentinhalte).
(2) Die KI-Erkennung (NER) wird auf eigener Infrastruktur bei netcup (Deutschland) betrieben; es erfolgt kein Versand an externe KI-Dienste außerhalb der EU.
(3) Die Einbindung weiterer oder ersetzender Unterauftragsverarbeiter wird dem AG mindestens 30 Tage im Voraus in Textform mitgeteilt. Innerhalb dieser Frist kann der AG aus wichtigem Grund widersprechen. Bleibt der Widerspruch bestehen und ist er vom AN nicht durch zumutbare Maßnahmen auszuräumen, ist der AG zur außerordentlichen Kündigung berechtigt.
(4) Der AN bleibt dem AG für die Einhaltung der Pflichten durch die Unterauftragsverarbeiter verantwortlich (Art. 28 Abs. 4 DSGVO) und überbindet die sich aus diesem Vertrag ergebenden Pflichten — insbesondere Vertraulichkeit und TOM — vertraglich auf diese.
§ 7 Kontrollrechte des Auftraggebers
(1) Der AN stellt dem AG die erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten nach Art. 28 DSGVO nachzuweisen. Dies umfasst insbesondere die Vorlage der Zertifizierungen der eingesetzten Rechenzentrums- und Infrastruktur-Dienstleister.
(2) Überprüfungen werden nach angemessener Vorlaufzeit durchgeführt und so organisiert, dass der Geschäftsbetrieb des AN nicht unzumutbar beeinträchtigt wird. Der AG kann die Überprüfung selbst oder durch einen beauftragten, zum Stillschweigen verpflichteten Prüfer durchführen; Zertifikate und Gutachten des AN bzw. seiner Dienstleister sind vorab vorzulegen.
(3) Die Kosten einer Überprüfung trägt der AG, es sei denn, die Überprüfung ergibt eine wesentliche Pflichtverletzung des AN.
§ 8 Verschwiegenheit
(1) Der AN verpflichtet sich, alle im Rahmen dieses Vertrages bekannt werdenden Daten des AG und der betroffenen Personen gemäß Art. 28 Abs. 3 lit. b DSGVO vertraulich zu behandeln. Die zur Verarbeitung befugten Personen des AN sind schriftlich auf das Datengeheimnis (§ 53 BDSG) bzw. eine gleichwertige Verschwiegenheitspflicht zu verpflichten; diese Verpflichtung besteht über das Ende der Tätigkeit hinaus fort.
(2) Der AN stellt sicher, dass nur die zur Verarbeitung befugten Personen Zugang zu den Daten erhalten (Need-to-know), und dass die Daten ausschließlich zur Erfüllung der vereinbarten Verarbeitung (§ 2) verwendet werden. Eine zweckentfremdete Nutzung (insbesondere Marketing, Ausbildung oder Benchmarking) ist ausgeschlossen. Eine Weitergabe an Dritte erfolgt ausschließlich im Rahmen zulässiger Sub-Auftragsverhältnisse (§ 6) unter Überbindung dieser Pflichten.
(3) Eine Übermittlung der Daten in Drittstaaten (außerhalb der EU/des EWR) ist ausgeschlossen. Der AN meldet dem AG jede festgestellte oder ernsthaft vermutete Verletzung der Verschwiegenheitspflicht unverzüglich.
(4) Die Verpflichtungen nach dieser Vorschrift gelten über das Ende dieses Vertrages hinaus fort (Art. 28 Abs. 3 lit. b DSGVO). Der AN sichert die Vertraulichkeit ergänzend durch die in der Anlage (TOM) zu § 4 genannten Maßnahmen.
§ 9 Löschung und Rückgabe
(1) Nach Beendigung der Verarbeitungsleistungen löscht der AN alle personenbezogenen Daten des AG nach Wahl des AG oder gibt diese in einem gängigen maschinenlesbaren Format zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
(2) Hochgeladene Dokumente werden nach Ablauf der vereinbarten Aufbewahrungsfrist (standardmäßig 30 Tage, konfigurierbar) automatisch gelöscht. Audit-Logs bleiben ohne Dokumentinhalte erhalten.
(3) Bestehende Datensicherungen werden spätestens nach 30 Tagen überschrieben.
§ 10 Haftung und Schlussbestimmungen
(1) Es gilt deutsches Recht. Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags und Art. 82 DSGVO.
(2) Der AN weist darauf hin, dass die automatisierte Erkennung ein Unterstützungsverfahren ist. Die rechtliche Verantwortung für die vollständige und korrekte Schwärzung verbleibt beim AG, der jeden Vorschlag prüft und freigibt.
(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Änderungen bedürfen der Textform.
Anlage: Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO
Die Maßnahmen setzen sich zusammen aus den anwendungsbezogenen TOM von Datenmaske (ein eigenes ISO/IEC 27001-zertifiziertes ISMS ist in Vorbereitung, Ziel 2027) sowie den infrastrukturbezogenen TOM des Hosting-Dienstleisters netcup (Rechenzentrum Nürnberg; das Rechenzentrum ist nach ISO/IEC 27001 zertifiziert — Data-Center-only).
1. Vertraulichkeit (Zutritts-, Zugangs-, Zugriffskontrolle)
- Physische Zutritts- und Zugangskontrollen im Rechenzentrum durch den Hosting-Partner (Rechenzertifizierung netcup nach ISO/IEC 27001 — Data-Center-only).
- Passwortgeschützte Nutzerkonten mit rollenbasiertem Zugriff (RBAC); mindestens rollenbasierte Administrationskonten.
- Administration über rollenbasierte, lokal begrenzte Zugänge (Admin-Rolle; nur vor Ort aktivierbar).
- Protokollierung von Zugriffen, Eingaben, Änderungen und Löschungen (Audit-Log).
2. Integrität und Übertragung
- TLS-verschlüsselte Datenübertragung (HTTPS).
- Speicherung auf EU-Servern; Verschlüsselung durch die Infrastruktur des Hosting-Partners (netcup).
- Trennung von Produktiv- und Entwicklungsumgebung.
3. Verfügbarkeit und Belastbarkeit
- Redundante Infrastruktur und Backup-Konzept des Hosting-Partners.
- Notstrom- und Klimatisierungskonzepte im Rechenzentrum.
- Malware-Schutz und regelmäßige Aktualisierung der Systeme.
4. Verfahrensgerechte Verarbeitung (Privacy by Design / by Default)
- Standardmäßige, konfigurierbare Löschfrist (30 Tage) für hochgeladene Dokumente.
- Verarbeitung personenbezogener Daten nur nach Weisung des AG.
- Prozessbegleitende Audit-Logs und Schwärzungsprotokoll je Vorgang.
5. Schwärzungsspezifische Maßnahmen
- Irreversible Schwärzung durch physische Entfernung des Textes aus dem PDF (Content-Stream-Entfernung), kein bloßes Overlay.
- Automatische Verifikation, dass der geschwärzte Text nicht mehr extrahierbar ist.
- Strippung aller Metadaten (Titel, Autor, Erstelldatum u. a.) beim Export.
- Bei OCR-basierten Seiten Kennzeichnung als manuell zu prüfen.
6. Auftragskontrolle und Incident Response
- Vertragliche Bindung aller Unterauftragsverarbeiter (Art. 28 DSGVO).
- Dokumentiertes Incident-Response-Verfahren (siehe Runbook) inkl. zentraler Vorfallerfassung; Information des AG gemäß Art. 33 DSGVO.
Kontakt & Abschluss
Für den Abschluss dieses AVV sowie für Sicherheits-Fragebögen wenden Sie sich an info@datenmaske.de. Weitere Informationen finden Sie auf der Seite Sicherheit & Datenschutz.