Auftragsverarbeitungsvertrag (AVV)
Referenzdokument
Dies ist der standardmäßige, EU-first Auftragsverarbeitungsvertrag von niil (Art. 28 DSGVO), bereitgestellt zu Ihrer Prüfung. Für den gehosteten niil-Dienst (niil.ai / app.niil.ai) ist der Auftragnehmer die Gradient Zero Deutschland GmbH (gzero.ai), die die verbindliche Fassung bereitstellt. Bei einer selbst gehosteten Installation ist die Organisation, die die Instanz betreibt, der Auftragnehmer und stellt die verbindliche Fassung bereit — mit ihrer betreibenden Rechtseinheit, Kontaktangaben und etwaigen einsatzspezifischen Werten, geprüft durch qualifizierte Rechtsberatung. Diese Seite ist keine Rechtsberatung.
Art. 28 DSGVO · Version 1.0
Dieser AVV regelt die Verarbeitung personenbezogener Daten durch den Auftrag nehmer (beim gehosteten niil-Dienst die Gradient Zero Deutschland GmbH, gzero.ai; bei einer selbst gehosteten Installation die Einheit, die Ihre niil-Instanz betreibt) im Auftrag des Kunden (Sie) bei der Nutzung von niil (die „Dienste"). Er ergänzt den Hauptvertrag und geht ihm in Fragen der Verarbeitung personenbezogener Daten vor.
1. Gegenstand & Rollen
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Kunden ausschließlich zur Erbringung der Dienste und nur auf dokumentierte Weisung des Kunden (einschließlich über die Funktionalität des Dienstes). Ist der Kunde selbst Auftragsverarbeiter, handelt der Auftragnehmer als Unterauftragsverarbeiter.
2. Art, Zweck & Dauer
- Zweck — Bereitstellung eines modellübergreifenden Secure-Chat- und Dokumenten-Chat-Dienstes.
- Art der Verarbeitung — Speicherung, Abruf, Übermittlung an KI-Unterauftragsverarbeiter zur Inferenz sowie Löschung.
- Dauer — die Laufzeit des Hauptvertrags; die Verarbeitung endet mit der Beendigung gemäß §8.
3. Kategorien betroffener Personen & Daten (Anlage 1)
- Betroffene Personen — die autorisierten Nutzer des Kunden und Personen, auf die in den übermittelten Inhalten Bezug genommen wird.
- Datenarten — Namen und E-Mail-Adressen; der Inhalt von Chats und hochgeladenen Dokumenten; Nutzungs- und Abrechnungsmetadaten.
- Besondere Kategorien — nur, sofern von den Nutzern des Kunden übermittelt; der Kunde ist für die Rechtsgrundlage verantwortlich.
4. Weisungen des Kunden
Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung und informiert den Kunden, wenn eine Weisung gegen Datenschutzrecht zu verstoßen scheint. Der Auftragnehmer verwendet Kundendaten nicht zum Training von KI-Modellen und vereinbart, soweit unterstützt, Zero Data Retention mit KI-Unterauftragsverarbeitern (siehe Zero Data Retention).
5. Unterauftragsverarbeiter
Der Kunde erteilt eine allgemeine Genehmigung zur Einbindung der in der Anlage Unterauftragsverarbeiter aufgeführten Parteien. Der Auftragnehmer erlegt jeder von ihnen gleichwertige Datenschutzpflichten auf, kündigt beabsichtigte Änderungen mindestens 15 Tage im Voraus an und ermöglicht einen begründeten Widerspruch.
6. Internationale Übermittlungen
Die Verarbeitung erfolgt innerhalb der EU/des EWR. Jede Übermittlung in ein Drittland stützt sich auf einen Angemessenheitsbeschluss, die EU-Standardvertrags klauseln oder eine andere Garantie nach Kapitel V. Inferenz-Endpunkte sind regional an die EU gebunden — siehe EU-Souveränität & Datenresidenz.
7. Technische & organisatorische Maßnahmen
Der Auftragnehmer unterhält die Maßnahmen in den Technischen & organisatorischen Maßnahmen, einschließlich AES-256-GCM-Verschlüsselung im Ruhezustand, TLS bei der Übertragung, Mandantentrennung, Zugriff nach dem Prinzip der geringsten Rechte sowie Audit-Protokollierung. Maßnahmen können durch gleichwertige oder stärkere ersetzt werden.
8. Unterstützung, Meldung von Verletzungen, Audit
- Der Auftragnehmer unterstützt den Kunden bei Betroffenenanfragen — der Dienst bietet Self-Service-Zugriffsexport und -Löschung — sowie bei den Pflichten nach Art. 32–36.
- Der Auftragnehmer benachrichtigt den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
- Der Auftragnehmer stellt die zum Nachweis der Einhaltung erforderlichen Informationen bereit und ermöglicht Audits (höchstens einmal jährlich mit angemessener Ankündigung oder über Zertifikate und Berichte, sofern verfügbar).
9. Löschung & Rückgabe
Bei Beendigung löscht oder gibt der Auftragnehmer die Kundendaten nach Wahl des Kunden innerhalb von 30 Tagen zurück, vorbehaltlich gesetzlicher Aufbewahrungspflichten. Die Löschung umfasst die Krypto-Löschung verschlüsselter Inhalte — siehe Verschlüsselung.
10. Haftung & Laufzeit
Die Haftung richtet sich nach dem Hauptvertrag. Dieser AVV tritt mit dem Hauptvertrag in Kraft und endet mit dem Abschluss der Verarbeitung.
Anlagen: Anlage 1 (Verarbeitungsdetails — §3 oben), Anlage 2 (Unterauftragsverarbeiter), Anlage 3 (Technische & organisatorische Maßnahmen — TOM).