Mustervertrag

Auftragsverarbeitungsvertrag

Stand

DPA-Klauseln nach Art. 28 Abs. 3 DSGVO

Dieser Auftragsverarbeitungsvertrag (DPA) regelt die Verarbeitung personenbezogener Daten durch Adjudon im Auftrag des Kunden (Verantwortlicher). Er folgt 1:1 der Struktur von Art. 28 Abs. 3 lit. a-h DSGVO und ergänzt die AGB. Die Verarbeitungsdetails (Annex I) und die technischen und organisatorischen Maßnahmen (Annex II) folgen in §03.

§ 1

Geltungsbereich, Gegenstand und Dauer

Art. 28 Abs. 3 Satz 1 DSGVO

Dieser DPA regelt die Verarbeitung personenbezogener Daten durch Adjudon (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der Adjudon-Plattform-Nutzung. Der DPA ergänzt die Allgemeinen Geschäftsbedingungen und gilt für die gesamte Vertragslaufzeit. Bei Widersprüchen zwischen DPA und AGB hat der DPA in datenschutzrechtlichen Fragen Vorrang. Einzelheiten zu Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie zu Datenkategorien und Betroffenenkategorien ergeben sich aus Annex I.

§ 2

Verarbeitung nur auf dokumentierte Weisung

Art. 28 Abs. 3 lit. a DSGVO

Adjudon verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, auch in Bezug auf eine etwaige Übermittlung in Drittländer (siehe Klausel 6). Die Erbringung der vertraglichen Leistung gemäß AGB und gemäß der vom Kunden im Dashboard vorgenommenen Plattform-Konfiguration gilt als dokumentierte Weisung. Über zusätzliche Weisungen hat der Kunde Adjudon in Textform zu informieren. Adjudon weist den Kunden unverzüglich darauf hin, wenn nach seiner Auffassung eine Weisung gegen geltendes Datenschutzrecht verstößt.

§ 3

Vertraulichkeit der zur Verarbeitung befugten Personen

Art. 28 Abs. 3 lit. b DSGVO

Adjudon stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Aktuell ist Adjudon ein Einzelunternehmen ohne weitere Mitarbeiter; bei zukünftiger Erweiterung des Personalbestands wird die Vertraulichkeitsverpflichtung entsprechend fortgeschrieben. Externe Dienstleister werden ausschließlich als weitere Auftragsverarbeiter gemäß Klausel 5 eingebunden.

§ 4

Sicherheit der Verarbeitung (TOMs)

Art. 28 Abs. 3 lit. c · Art. 32 DSGVO

Adjudon trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Die konkreten Maßnahmen sind in Annex II beschrieben und umfassen insbesondere Verschlüsselung at rest (AES-256) und in transit (TLS 1.2+), kryptographische Tamper-Evidenz (SHA-256 Decision Hash Chain), PII-Pre-Storage-Scrubbing, rollenbasierte Zugriffskontrollen mit per-org Isolation sowie Operations-Audit-Logging.

§ 5

Weitere Auftragsverarbeiter (Sub-Processors)

Art. 28 Abs. 3 lit. d · Art. 28 Abs. 2 DSGVO

Der Kunde erteilt Adjudon mit Vertragsschluss die allgemeine Genehmigung zur Inanspruchnahme weiterer Auftragsverarbeiter. Die aktuelle Liste ist in Annex III aufgeführt und auf docs.adjudon.com/compliance/data-residency öffentlich zugänglich. Adjudon informiert den Kunden in Textform mindestens 30 Tage vor jeder beabsichtigten Hinzuziehung oder Ersetzung eines Sub-Processors. Der Kunde ist berechtigt, einer solchen Änderung aus berechtigten Gründen innerhalb von 30 Tagen ab Zugang der Information in Textform zu widersprechen; in diesem Fall sind beide Parteien zur außerordentlichen Kündigung des Vertrags berechtigt.

§ 6

Keine Drittlandsübermittlung

Art. 44–49 DSGVO

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums findet im Rahmen der Plattform-Dienste nicht statt. Sämtliche Verarbeitung erfolgt in der EU — Primärdatenbank in Frankfurt eu-central-1, API-Server und der Embedding-Sidecar (Text Embeddings Inference, Modell all-MiniLM-L6-v2) in Frankfurt auf Fly.io, Billing über Stripe Payments Europe Ltd. (Dublin, Irland), Transaktions-E-Mails über Resend (EU).

Bis zum 10. Mai 2026 war OpenAI L.L.C. (USA) als Sub-Processor für die optionale Confidence-Engine-Pillar-3-Embedding-Funktion gelistet (Rechtsgrundlage: DPF gemäß Art. 45 DSGVO oder SCCs gemäß Beschluss (EU) 2021/914, Modul 2). Mit Wirkung zum 11. Mai 2026 wurde OpenAI aus der Sub-Processor-Liste entfernt und durch einen von Adjudon selbst betriebenen TEI- Sidecar im selben Fly.io-Rechenzentrum ersetzt. Soweit aus diesem Zeitraum aktive Vertragsverhältnisse bestehen, erfolgt die Sub-Processor-Wechsel-Information in Textform gemäß § 5 Abs. 2 (30-Tage-Frist).

§ 7

Unterstützung bei Betroffenenrechten

Art. 28 Abs. 3 lit. e · Art. 15–22 DSGVO

Adjudon unterstützt den Kunden im Rahmen des technisch Möglichen bei der Beantwortung von Anfragen zur Wahrnehmung der Betroffenenrechte nach Art. 15-22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Die Plattform stellt entsprechende Funktionen zum Datenexport, zur Löschung und zur Berichtigung im Dashboard bereit. Anfragen, die Adjudon direkt erreichen, werden unverzüglich an den Kunden weitergeleitet.

§ 8

Unterstützung bei Sicherheitspflichten

Art. 28 Abs. 3 lit. f · Art. 32–36 DSGVO

Adjudon unterstützt den Kunden bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Sicherheit der Verarbeitung, Datenschutzverletzungen, Datenschutz-Folgenabschätzung). Bei einer Datenschutzverletzung im Sinne des Art. 33 DSGVO informiert Adjudon den Kunden ohne unangemessene Verzögerung — in der Regel innerhalb von 24 Stunden nach Kenntnisnahme — und stellt die für die Meldung an die Aufsichtsbehörde erforderlichen Informationen zur Verfügung. Der Multi-Clock Incident Hub (Plan-Tier Governance+) automatisiert die Meldefristen-Kontrolle für GDPR Art. 33, DORA Art. 19, EU AI Act Art. 73, NIS2 und CRA.

§ 9

Löschung und Rückgabe nach Vertragsende

Art. 28 Abs. 3 lit. g DSGVO

Nach Beendigung des Vertragsverhältnisses wird Adjudon nach Wahl des Kunden alle personenbezogenen Daten zurückgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Rückgabe erfolgt im Hash-Chain-Export-Bundle-Format (replay-verifiable JSON), auf Wunsch zusätzlich als Audit-Log-PDF (Plan-Tier Enterprise+). Die Löschung wird Adjudon dem Kunden in Textform bestätigen. Backup-Daten werden im normalen Backup-Rotationsverfahren innerhalb von 30 Tagen überschrieben.

§ 10

Nachweis, Audit und Schlussbestimmungen

Art. 28 Abs. 3 lit. h DSGVO

Adjudon stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung dieser DPA-Pflichten zur Verfügung. Primärer Nachweis ist das replay-verifiable Hash-Chain-Export-Bundle, das ohne Adjudon-Login gegen den dokumentierten Algorithmus verifiziert werden kann. SOC 2 Type II- und ISO 27001-Berichte sind aktuell Roadmap (kein veröffentlichter Zeitplan); sobald verfügbar, werden sie zur Einsicht bereitgestellt. Vor-Ort-Audits sind nach vorheriger Ankündigung mit angemessener Frist und Vertraulichkeitsvereinbarung einmal jährlich möglich. Bei Widersprüchen zwischen DPA und AGB hat der DPA in datenschutzrechtlichen Fragen Vorrang. Es gilt deutsches Recht; Gerichtsstand ist Köln.

Anhänge zum DPA

Die folgenden Anhänge konkretisieren die DPA-Klauseln §1 (Verarbeitungsdetails — Anhang I) und §4 (TOMs — Anhang II). Anhang I ist vertragsspezifisch und beschreibt die Verarbeitung im Standard-Setup; abweichende Konfigurationen sind im gegengezeichneten DPA-Exemplar zu vermerken. Anhang II ist plattform-weit identisch.

Anhang I · Art. 28 Abs. 3 Satz 1 DSGVO

Verarbeitungsdetails

GegenstandBereitstellung der Adjudon-Plattform (Decision Audit Layer) zur Compliance-Dokumentation von AI-Entscheidungen.
DauerVertragslaufzeit gemäß AGB; nach Vertragsende gilt DPA § 9 (Löschung/Rückgabe).
Art der VerarbeitungErhebung, Speicherung, kryptografische Verkettung (SHA-256 Hash Chain), Auswertung, Audit-Protokollierung, Export.
ZweckCompliance-Dokumentation nach EU AI Act, DORA, MDR/IVDR, DSGVO; Audit-Trail-Nachweis; Risikoanalyse durch den Verantwortlichen.
Art der personenbezogenen DatenVom Verantwortlichen über die Plattform übermittelte Trace-Inhalte (inputContext, outputDecision); ggf. enthaltene Identifikationsdaten (vom Verantwortlichen zu pseudonymisieren); Konfigurations-Metadaten; Logfiles (IP, User-Agent, Zeitstempel).
Kategorien betroffener PersonenMitarbeiter, Endnutzer und Kunden des Verantwortlichen, soweit in den vom Verantwortlichen übermittelten Trace-Inhalten benannt.
Anhang II · Art. 32 DSGVO

Technische und organisatorische Maßnahmen

Adjudon trifft die nach Art. 32 DSGVO erforderlichen Maßnahmen, gegliedert nach den vier Kategorien der DSK-Orientierungshilfe.

1. VertraulichkeitArt. 32 Abs. 1 lit. a + b DSGVO
  • Verschlüsselung at rest: AES-256 (MongoDB Atlas, EU-managed keys, AWS Standard-Rotation).
  • Verschlüsselung in transit: TLS 1.2+ auf jedem Endpoint; HTTPS am Fly.io-Edge erzwungen, plain HTTP wird vor jedem Handler abgelehnt.
  • Zugriffskontrolle: rollenbasiert (RBAC) + JWT, MFA-fähig.
  • Trennungskontrolle: jede Datenbank-Query trägt organizationId als harten Filter (Cardinal Rule #1, codeseitig + Middleware-seitig erzwungen). Kein cross-org Read-Pfad existiert, auch nicht für Super-Admin-Endpoints.
  • Pseudonymisierung: PII-Scrubber entfernt generische Muster (E-Mail, Telefon — inkl. EU-/internationale Formate, IBAN — inkl. der gängigen 4er-Gruppen-Schreibweise mit Leerzeichen, Kreditkarte, SSN) vor Storage und nochmals vor jedem Output (Export, Webhook, Dashboard); der Default-Scrubber kann nicht deaktiviert werden.
2. IntegritätArt. 32 Abs. 1 lit. b DSGVO
  • Tamper-Evidenz: SHA-256 Decision Hash Chain — append-only, replay-verifiable offline gegen den dokumentierten Algorithmus.
  • Operations Audit Log: separater SHA-256-Chain über Admin-Events (Policy-Änderungen, User-Einladungen, API-Key-Operationen).
  • Daily Merkle Anchor: tägliche Roll-up der Hash-Chain-Leaves zu einem Merkle-Root um 00:05 UTC (Cron-gesteuert).
  • Cardinal Rule #5 (no Audit-Edits): Audit-Log-Einträge werden niemals geändert oder hard-deleted; bei DSGVO-Art.-17-Erasure-Anfragen wird der Payload nullifiziert, der Chain-Eintrag-Shell bleibt erhalten.
3. Verfügbarkeit und BelastbarkeitArt. 32 Abs. 1 lit. b + c DSGVO
  • Backup: MongoDB Atlas Continuous Backup mit Point-in-Time-Restore (georedundant innerhalb der EU).
  • Fail-open Architektur: das Adjudon-SDK fällt bei Adjudon-Ausfall auf Pass-Through zurück, sodass Kunden-Agenten nie durch Compliance-Infrastruktur blockiert werden.
  • SLA: 99,9 % Verfügbarkeit auf Plan-Tier Scale + Governance (Sandbox ohne SLA).
  • Idempotency-Store: MongoDB-backed mit 24-Stunden-TTL; race-condition-sicher über atomare findOneAndUpdate-Upserts.
4. Verfahren zur regelmäßigen ÜberprüfungArt. 32 Abs. 1 lit. d DSGVO
  • Hash-Chain Replay-Verification: jederzeit ohne Adjudon-Login möglich gegen den dokumentierten Algorithmus.
  • Multi-Clock Incident Hub: automatisierte Meldefristen-Kontrolle für GDPR Art. 33, DORA Art. 19, EU AI Act Art. 73, NIS2 und CRA bei Sicherheitsvorfällen.
  • Externe Zertifizierungen: SOC 2 Type II / ISO 27001 / Third-party-Pen-Test sind aktuell Roadmap (kein veröffentlichter Zeitplan); Status siehe docs.adjudon.com/compliance/data-residency.
  • Datenschutz-Folgenabschätzung-Unterstützung gemäß DPA §8.

Abschluss und Verweise

Vertragsabschluss · counter-signed PDF return

Den DPA in der jeweils aktuellen Fassung erhalten Sie auf Anfrage als gegenzeichnungsfähige PDF-Vorlage. Anfrage an [email protected] — Adjudon zeichnet gegen und retourniert das counter-signed PDF per E-Mail. Eine elektronische Signatur über DocuSign oder vergleichbare Tools wird derzeit nicht angeboten.

Anlage III · Sub-Processors

Die aktuelle Sub-Processor-Liste mit Sitz, Region und Verarbeitungs-Zweck wird auf docs.adjudon.com/compliance/data-residency öffentlich geführt und ist Bestandteil dieses DPA als Anlage III. Änderungen werden gemäß DPA § 5 mit 30-tägiger Vorankündigung in Textform mitgeteilt; das Widerspruchsrecht des Kunden bleibt unberührt.

Rechtsformwechsel · § 415 BGB / Umwandlungsgesetz

Adjudon plant die Umwandlung in eine UG (haftungsbeschränkt). Bei Vollzug wird der DPA entweder durch Vertragsübernahme nach § 415 BGB (Genehmigung des Kunden erforderlich) oder durch Eintragung Adjudons als eingetragener Kaufmann (e.K.) mit anschließender Ausgliederung nach dem Umwandlungsgesetz (partielle Gesamtrechtsnachfolge) auf die UG übertragen. Bestandskunden werden vor Vollzug in Textform informiert.

Zugehörige Rechtsdokumente

Impressum · Datenschutzerklärung · Allgemeine Geschäftsbedingungen · Cookie-Policy · Sub-Processor-Liste.