ZENTRE – Auftragsverarbeitungsvertrag (AVV / DPA)

Letzte Aktualisierung: 06. Jun 2026

1. Präambel, Parteien, Rangfolge

2. Rollen und Abgrenzung (Processor vs. Controller)

3. Definitionen

4. Gegenstand, Art, Zweck, Dauer

5. Weisungen und Weisungsmanagement

6. Pflichten des Verantwortlichen

7. Vertraulichkeit

8. Sicherheit der Verarbeitung (Art. 32 DSGVO)

9. Hosting und Datenstandort (Default)

10. Unterstützung bei Betroffenenrechten

11. Unterstützung bei Compliance (Art. 28 Abs. 3 lit. f DSGVO)

EZTO unterstützt den Verantwortlichen angemessen bei Art. 32–34, 35, 36 DSGVO. Zusätzlicher Aufwand kann nach Maßgabe des Hauptvertrags vergütet werden, soweit zulässig.

12. Subprozessoren

13. KI-Provider / KI-Routing

14. Drittlandübermittlungen

15. Löschung und Rückgabe

16. Datenschutzverletzungen

17. Behördenanfragen / Offenlegung

18. Nachweise und Audits

19. Dokumentation

EZTO führt – soweit erforderlich – ein Verzeichnis von Verarbeitungstätigkeiten als Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO) und stellt dem Verantwortlichen auf Anfrage angemessene Informationen/Auszüge daraus zur Verfügung, soweit zur Erfüllung der Rechenschaftspflicht erforderlich und keine berechtigten Geheimhaltungsinteressen oder Geschäftsgeheimnisse Dritter entgegenstehen.

20. Mitwirkung an Berufsgeheimnissen (§ 203 StGB; berufsrechtliche Vorgaben)

21. Schlussbestimmungen


Anlagen zum AVV

Anlage 1 — Beschreibung der Verarbeitung (Art. 28 Abs. 3 DSGVO)

Gegenstand der Verarbeitung: Bereitstellung und Betrieb der KI-Orchestrierungs- und Governance-Plattform „Zentre“ (Chat-Assistent, Agenten, RAG/Wissenstool) als SaaS.

Art der Verarbeitung: automatisiertes Erheben, Erfassen, Speichern, Anzeigen, Strukturieren, Übermitteln (an KI-Gateway/KI-Provider sowie – sofern aktiviert – an den Such-Provider), Einschränken und Löschen.

Zweck: Erbringung der vertraglich vereinbarten Leistungen, Nutzer-/Zugriffsverwaltung, Support/Fehleranalyse, Sicherheit/Missbrauchsprävention/Incident-Handling.

Kategorien personenbezogener Daten:

Kategorien betroffener Personen: Nutzer des Verantwortlichen (Beschäftigte); ggf. in Inhalts-/Suchdaten genannte Dritte (z. B. Mandanten, Patienten, Kunden, Geschäftspartner des Verantwortlichen) – abhängig von den Eingaben des Verantwortlichen.

Besondere Kategorien (Art. 9 DSGVO): nur, soweit der Verantwortliche solche Daten eingibt; dies liegt in der Verantwortung und auf Weisung des Verantwortlichen (vgl. Ziff. 6).

Dauer: für die Laufzeit des Hauptvertrags; Chat-/Workspace-Inhaltsdaten 90 Tage; anschließend Löschung/Rückgabe gemäß Ziff. 15 und Anlage 4.

Ort der Verarbeitung: EU/EWR – Hosting Scaleway (Frankreich, Paris fr-par); KI-Routing über Cortecs (EU); Websuche über Linkup (EU). Drittlandübermittlung nur nach Ziff. 14.

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

EZTO betreibt ein an ISO/IEC 27001 ausgerichtetes Informationssicherheits-Managementsystem (ISMS) und befindet sich derzeit im Zertifizierungsprozess nach ISO/IEC 27001. Bis zur Erteilung werden Nachweise (TOM-Dokumentation, Pentest-Berichte, Sicherheitsfragebögen) auf Anfrage bereitgestellt.

1. Vertraulichkeit

2. Integrität

3. Verfügbarkeit und Belastbarkeit

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

5. Schlüsselverwaltung: anbieterverwaltete Schlüssel; ein „Bring Your Own Key“ (BYOK) wird derzeit nicht angeboten.

Anlage 3 — Unterauftragsverarbeiter

Maßgeblich ist die jeweils aktuelle Subprozessorenliste (/legal/subprocessors). Eingesetzt werden insbesondere:

AnbieterZweckStandort/LandTransfers
Scaleway (Scaleway SAS)Hosting/InfrastrukturEU (Frankreich, Paris fr-par)n/a (EU)
Cortecs (Cortecs GmbH)KI-Gateway/Routing (EU-Routing, ZDR)EU (Österreich)i. d. R. keine; soweit erforderlich SCC
Linkup (Linkup Technologies SAS)Web-Suche (sofern aktiviert; ZDR)EU (Frankreich)n/a (EU)
Infomaniak (Infomaniak Network SA)Transaktionale E-MailsSchweiz/EUAngemessenheitsbeschluss (CH)
Stripe (Stripe Payments Europe Ltd.)Abrechnung/ZahlungEU (Irland)/USASCC, soweit erforderlich
Usercentrics (Usercentrics GmbH)Consent-Management (Website)EU (Deutschland)n/a (EU)
Plausible (Plausible Insights OÜ)Reichweitenmessung (Website)EUn/a (EU)

Die KI-Modellanbieter werden über das Gateway Cortecs als dessen Unterauftragsverarbeiter eingebunden (maßgeblich: Cortecs-Unterauftragsverarbeiterliste). Änderungen werden mind. 30 Tage vorher angekündigt (Ziff. 12).

Anlage 4 — Aufbewahrung und Löschung