Kostenlos starten

Auftragsverarbeitungsvertrag (AVV)

Version 1.0 · gültig ab 26. April 2026

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwischen dem Verantwortlichen und der TWWIM UG (haftungsbeschränkt) als Auftragsverarbeiter.

Gegenstand und Dauer

Der Auftragsverarbeiter stellt dem Verantwortlichen die SaaS-Plattform TWWIM AI bereit – einen sprach- und textgesteuerten KI-Assistenten, der über ein Plugin oder ein JavaScript-Snippet in die Plattform des Verantwortlichen (z. B. Online-Shop, Website oder Anwendung) eingebunden wird. Im Rahmen dieses Dienstes verarbeitet der Auftragsverarbeiter im Auftrag des Verantwortlichen personenbezogene Daten von dessen Endkunden.

  1. Der Gegenstand der Verarbeitung ergibt sich aus dem zwischen den Parteien geschlossenen Hauptvertrag und dieser Vereinbarung; Einzelheiten zu den verarbeiteten Datenkategorien und betroffenen Personengruppen sind in Anlage 1 aufgeführt.
  2. Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags und endet mit dessen Beendigung; § Löschung bei Vertragsende bleibt unberührt.

Art und Zweck der Verarbeitung

Zweck der Verarbeitung ist es, Endkunden des Verantwortlichen die Interaktion mit dem KI-Assistenten zu ermöglichen – insbesondere die Beantwortung von Fragen auf Basis der vom Verantwortlichen freigegebenen Inhalte sowie die Ausführung von Aktionen unmittelbar auf der vom Endkunden aufgerufenen Seite. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich, soweit dies zur Erbringung der vereinbarten Leistung erforderlich ist.

  1. Die Verarbeitung umfasst zwei Datenkategorien: Betriebsdaten, die für die Dauer des Vertragsverhältnisses gespeichert werden (etwa der vom Verantwortlichen freigegebene Produktkatalog, hochgeladene Wissensdokumente, FAQ-Einträge), sowie Sitzungs- und Interaktionsdaten, die nur so lange verarbeitet werden, wie es für die jeweilige Interaktion und eine technisch erforderliche Nachlaufzeit notwendig ist. Diese Nachlaufzeit beträgt in der Regel maximal 30 Minuten ab Sitzungsende; danach werden die Daten automatisch und unwiederbringlich gelöscht.
  2. Eine darüberhinausgehende Verarbeitung – insbesondere zu Trainings- oder Profilbildungszwecken – findet nicht statt.

Betroffene Personengruppen und Datenkategorien

Eine konkretisierende Beschreibung der betroffenen Personengruppen und der dabei verarbeiteten Datenkategorien ergibt sich aus Anlage 1. Soweit der Verantwortliche selbst Inhalte zur Verfügung stellt (z. B. Wissensdokumente, Produktbeschreibungen), liegt die Verantwortung für deren rechtmäßige Bereitstellung in seinem Verantwortungsbereich.

Ort der Verarbeitung

Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich auf Servern, die innerhalb der Europäischen Union betrieben werden. Eine Übermittlung in Drittstaaten findet nicht statt; soweit der Verantwortliche eine solche Übermittlung wünschen sollte, bedarf dies einer gesonderten schriftlichen Vereinbarung und erfordert die Einhaltung der Voraussetzungen des Kapitels V DSGVO.

Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen und im Einklang mit den Anforderungen der DSGVO. Er unterstützt den Verantwortlichen, soweit dies erforderlich und ihm möglich ist, bei der Erfüllung der ihm obliegenden Pflichten.

  1. Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten; die wesentlichen Maßnahmen sind in Anlage 2 beschrieben und werden bei Bedarf an den Stand der Technik angepasst.
  2. Alle mit der Verarbeitung der Daten befassten Personen werden zur Vertraulichkeit verpflichtet, soweit sie nicht bereits einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 12 bis 22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.
  4. Im Falle einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, in der Regel innerhalb von 24 Stunden nach Kenntnisnahme, und stellt die für eine Meldung nach Art. 33, 34 DSGVO erforderlichen Informationen zur Verfügung. Damit ist sichergestellt, dass der Verantwortliche seiner eigenen 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde rechtzeitig nachkommen kann.
  5. Nach Beendigung der Auftragsverarbeitung werden alle personenbezogenen Daten gemäß den Regelungen unter Löschung bei Vertragsende gelöscht oder zurückgegeben.

Unterauftragsverarbeiter

Der Auftragsverarbeiter darf zur Erbringung der Leistung weitere Auftragsverarbeiter einsetzen. Hierdurch entbindet er sich nicht von seiner Verantwortung gegenüber dem Verantwortlichen.

  1. Eine Liste der derzeit eingesetzten Unterauftragsverarbeiter ist in Anlage 3 enthalten. Mit Abschluss dieser Vereinbarung erteilt der Verantwortliche seine Zustimmung zur Beauftragung dieser Unterauftragsverarbeiter.
  2. Beabsichtigte Änderungen – insbesondere die Hinzunahme weiterer Unterauftragsverarbeiter – werden dem Verantwortlichen mit angemessener Vorlauffrist (in der Regel 30 Tage) in Textform mitgeteilt. Der Verantwortliche kann der Änderung aus wichtigem Grund widersprechen; in diesem Fall sind die Parteien verpflichtet, eine einvernehmliche Lösung zu suchen.
  3. Der Auftragsverarbeiter verpflichtet seine Unterauftragsverarbeiter vertraglich auf ein angemessenes, der DSGVO entsprechendes Datenschutzniveau.

Rechte des Verantwortlichen

Der Verantwortliche hat die ihm nach Art. 28 DSGVO zustehenden Kontroll- und Weisungsrechte. Diese werden in der praktischen Umsetzung wie folgt konkretisiert.

  1. Der Verantwortliche kann jederzeit Auskunft über die Einhaltung der vereinbarten Pflichten verlangen, insbesondere über die getroffenen technischen und organisatorischen Maßnahmen.
  2. Der Verantwortliche ist berechtigt, sich nach vorheriger Ankündigung mit angemessener Frist (in der Regel 14 Tage) während der üblichen Geschäftszeiten von der Einhaltung dieser Vereinbarung zu überzeugen. Vor-Ort-Kontrollen werden auf das erforderliche Maß beschränkt; alternativ können aktuelle Testate, Zertifizierungen oder Berichte unabhängiger Prüfer akzeptiert werden.
  3. Weisungen des Verantwortlichen sind in Textform zu erteilen; mündliche Weisungen werden vom Auftragsverarbeiter unverzüglich dokumentiert. Verstößt eine Weisung nach Auffassung des Auftragsverarbeiters gegen geltendes Datenschutzrecht, weist er den Verantwortlichen unverzüglich darauf hin.

Löschung bei Vertragsende

Nach Beendigung der Erbringung der Verarbeitungsleistungen werden alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, nach Wahl des Verantwortlichen gelöscht oder zurückgegeben. Bestehende gesetzliche Aufbewahrungspflichten bleiben hiervon unberührt.

  1. Die Löschung der Betriebsdaten erfolgt grundsätzlich innerhalb von 30 Tagen nach Beendigung des Hauptvertrags.
  2. Sitzungs- und Interaktionsdaten werden bereits im laufenden Betrieb durch automatische Lösch- bzw. Verfallmechanismen entfernt; nach Vertragsende verbleiben keine derartigen Daten.
  3. Auf Anfrage bestätigt der Auftragsverarbeiter dem Verantwortlichen die ordnungsgemäße Löschung in Textform.

Haftung

Für die Haftung der Parteien gegenüber betroffenen Personen gilt Art. 82 DSGVO. Im Verhältnis der Parteien untereinander gelten ergänzend die Haftungsregelungen des Hauptvertrags.

Aktualisierung dieser Vereinbarung

Diese Vereinbarung gilt in der Version 1.0 vom 2026-04-26. Die jeweils aktuelle Fassung ist abrufbar unter twwim.ai/avv.

  1. Der Auftragsverarbeiter ist berechtigt, diese Vereinbarung an geänderte rechtliche Anforderungen, technische Entwicklungen oder Änderungen seiner Leistungserbringung anzupassen.
  2. Änderungen werden dem Verantwortlichen mindestens 30 Tage vor Wirksamkeit in Textform mitgeteilt. Die Mitteilung enthält eine Zusammenfassung der wesentlichen Änderungen, das Wirksamkeitsdatum, einen Link zur neuen Fassung sowie einen Hinweis auf das Widerspruchsrecht.
  3. Wesentliche Änderungen, insbesondere die Hinzunahme neuer Drittland-Transfers, eine Verringerung des Schutzniveaus der technischen und organisatorischen Maßnahmen oder die Aufnahme neuer Datenkategorien, bedürfen der ausdrücklichen Zustimmung des Verantwortlichen.
  4. Bei nicht-wesentlichen Änderungen (insbesondere redaktionelle Anpassungen, aktualisierte Gesetzesverweise, Konkretisierungen der TOMs bei gleichbleibendem Schutzniveau) gilt die Änderung als akzeptiert, wenn der Verantwortliche nicht binnen 30 Tagen ab Zugang der Änderungsmitteilung in Textform widerspricht.
  5. Bei Widerspruch des Verantwortlichen gegen eine Änderung kann jede Partei diese Vereinbarung zum Wirksamkeitsdatum der Änderung kündigen.
  6. Aktualisierungen der Liste der Unterauftragsverarbeiter (Anlage 3) erfolgen nach den dort und im Abschnitt Unterauftragsverarbeiter geregelten Verfahren.

Schlussbestimmungen

Diese Vereinbarung unterliegt deutschem Recht. Soweit gesetzlich zulässig, ist Gerichtsstand für alle Streitigkeiten aus dieser Vereinbarung Aachen. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; an die Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlich Gewollten möglichst nahe kommt.

Anlage 1 — Betroffene Personengruppen und Datenkategorien

Diese Anlage konkretisiert Gegenstand und Umfang der Verarbeitung im Sinne von Art. 28 Abs. 3 DSGVO.

Betroffene Personengruppen

Endkunden des Verantwortlichen
Besucher und Nutzer der Plattform des Verantwortlichen, die mit dem TWWIM-Assistenten interagieren.
Sonstige in den Inhalten genannte Personen
Natürliche Personen, deren Daten in den vom Verantwortlichen freigegebenen Inhalten enthalten sein können (z. B. Ansprechpartner in Wissensdokumenten, Verfasser von Produktbewertungen).

Datenkategorien

Vom Endkunden bereitgestellte Inhalte
Im Zuge der Interaktion eingegebene oder gesprochene Texte sowie hieraus abgeleitete Transkriptionen; freiwillig durch den Endkunden mitgeteilte Angaben (z. B. Anliegen, Adressen, Namen, Kontaktdaten).
Technische und Sitzungsdaten
IP-Adresse, Zeitstempel, Browser- und Geräteinformationen, Sitzungs-Identifikatoren, aufgerufene URL und vergleichbare Telemetriedaten, soweit für den sicheren Betrieb erforderlich.
Mittelbar in Inhalten enthaltene Daten
Personenbezogene Daten, die in den vom Verantwortlichen für die Wissensbasis bereitgestellten Inhalten enthalten sind.

Anlage 2 — Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in dieser Anlage zusammengefassten technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Er passt diese Maßnahmen an den Stand der Technik, die Eintrittswahrscheinlichkeit und Schwere der Risiken sowie die Implementierungskosten an. Eine Änderung der Maßnahmen ist zulässig, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle
Die Server werden in zertifizierten Rechenzentren innerhalb der Europäischen Union betrieben, deren physischer Zugang nur autorisiertem Personal des Rechenzentrumsbetreibers offensteht.
Zugangs- und Zugriffskontrolle
Der Zugang zu produktiven Systemen ist auf einen begrenzten Kreis benannter Administratoren beschränkt. Die Authentifizierung erfolgt mittels starker, dem Stand der Technik entsprechender Authentifizierungsverfahren (z. B. Mehr-Faktor-Authentifizierung, kryptographischer Schlüssel). Es besteht ein dokumentiertes Rollen- und Berechtigungskonzept.
Trennungskontrolle
Daten unterschiedlicher Verantwortlicher werden logisch voneinander getrennt verarbeitet (Mandantentrennung).

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle
Die Übertragung personenbezogener Daten erfolgt verschlüsselt nach dem Stand der Technik.
Eingabekontrolle
Wesentliche Änderungen an Betriebsdaten werden so protokolliert, dass nachträglich überprüft werden kann, ob, wann und durch wen sie erfolgt sind.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle
Es bestehen ein dokumentiertes Backup-Konzept für Betriebsdaten, eine kontinuierliche Überwachung der Systemverfügbarkeit sowie ein Verfahren zur Wiederherstellung der Daten im Störfall.

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Die Wirksamkeit der getroffenen Maßnahmen wird in regelmäßigen Abständen sowie anlassbezogen überprüft. Sicherheitsrelevante Aktualisierungen werden zeitnah eingespielt.

Anlage 3 — Genehmigte Unterauftragsverarbeiter

Mit Abschluss dieser Vereinbarung erteilt der Verantwortliche seine Zustimmung zur Beauftragung der nachfolgend genannten Unterauftragsverarbeiter. Sämtliche Unterauftragsverarbeiter haben ihren Sitz in der Europäischen Union; eine Übermittlung in Drittstaaten findet nicht statt.

UnterauftragsverarbeiterSitzLeistung
STRATO AGPascalstraße 10, 10587 Berlin, DeutschlandHosting der Anwendungs-, Datenbank- und E-Mail-Server (mail.twwim.com; Versand transaktionaler E-Mails) sowie der Website twwim.ai
Media Trooper GmbH (trooper.ai)Am Güterbahnhof 4, 65510 Idstein, DeutschlandBereitstellung dedizierter GPU-Bare-Metal-Server in EU-Rechenzentren (Tier 3 / ISO 27001) für die KI-Inferenz (Ausführung der Sprachmodelle); keine persistente Speicherung personenbezogener Daten beim Anbieter
Stripe Payments Europe Ltd.1 Grand Canal Street Lower, Dublin 2, IrlandZahlungsabwicklung im Verhältnis TWWIM ↔ Vertragspartner (verarbeitet ausschließlich Daten der TWWIM-Vertragspartner, keine Endkundendaten)

Die eigentliche KI-Verarbeitung (Sprach- und Texterkennung, Sprachmodell, Wissens-Suche) findet ausschließlich auf den oben genannten EU-Servern statt; US-Cloud-KI-Anbieter (etwa OpenAI, Google, Anthropic, AWS Bedrock o. ä.) werden nicht eingesetzt. Eine darüber hinausgehende Einbindung weiterer Drittanbieter für die Verarbeitung der Endkundendaten erfolgt nicht.

Ihre Privatsphäre

Wir setzen technisch notwendige Cookies, um die Seite zu betreiben. Mit Ihrer Einwilligung nutzen wir zusätzlich Analyse- und Marketing-Cookies. Sie können das jederzeit ändern. Datenschutzerklärung und Cookie-Richtlinie.