Skip to content
Zurück zur Startseite

Auftragsverarbeitungsvereinbarung (AVV)

Nach Art. 28 Abs. 3 DSGVO. Fassung / Stand: 24. April 2026. Version: 2026-04-24. Diese deutsche Fassung ist allein rechtlich verbindlich. Änderungen werden mit mindestens 30 Tagen Vorlauf angekündigt.

Die nachfolgende AVV wird bei der Erstellung einer Organisation im Dienst ausdrücklich durch die vertretungsberechtigte Person akzeptiert (Art. 28 Abs. 9 DSGVO). Eine unterschriftenreife PDF-Ausfertigung mit Organisationsname, Anschrift, Annahmezeitpunkt und Version kann nach der Anmeldung unter „Einstellungen → Datenschutz & Verträge“ heruntergeladen werden.

Parteien

Auftraggeber (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO): die jeweilige Organisation, vertreten durch die bei der Erstellung handelnde Person.

Auftragnehmer (Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO):
LearnSlice UG (haftungsbeschränkt)
Luisenstraße 66, 40215 Düsseldorf
Vertretungsberechtigt: Alesia Kunz
E-Mail: info@learnslice.com

Präambel

Der Auftragnehmer erbringt für den Auftraggeber den SaaS-Dienst „LearnSlice“ auf Grundlage eines gesonderten Hauptvertrags beziehungsweise der jeweils akzeptierten Nutzungsbedingungen. Der Dienst umfasst insbesondere einen KI-gestützten Chat-Assistenten, eine mandantenbezogene Dokumentenablage mit semantischer Suche, Lern- und Onboarding-Module sowie ein Berichtsheft-Modul. Im Rahmen dieser Leistungserbringung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers im Sinne des Art. 28 DSGVO. Die vorliegende Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien.

§ 1 Gegenstand und Dauer des Auftrags

  1. Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung und des Betriebs des Dienstes LearnSlice, wie in Anlage 1 näher beschrieben.
  2. Dauer: Die Vereinbarung gilt für die Laufzeit des Hauptvertrags und endet automatisch mit dessen Beendigung. Die nach § 10 fortbestehenden Pflichten bleiben unberührt.

§ 2 Konkretisierung des Auftragsinhalts

  1. Art und Zweck der Verarbeitung: Bereitstellung und Betrieb des SaaS-Dienstes LearnSlice einschließlich Authentifizierung, Chat-, Dokumenten- und Lernfunktionen sowie zugehöriger technischer Unterstützungsprozesse (Einzelheiten in Anlage 1).
  2. Art der personenbezogenen Daten: siehe Anlage 1.
  3. Kategorien betroffener Personen: siehe Anlage 1.
  4. Ort der Verarbeitung: grundsätzlich in der Europäischen Union bzw. im Europäischen Wirtschaftsraum. Drittlandübermittlungen erfolgen ausschließlich im Rahmen der in § 6 und Anlage 3 geregelten Unterauftragsverhältnisse und unter den Voraussetzungen des Kapitels V DSGVO, insbesondere auf Grundlage von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
  5. Keine Verarbeitung zu eigenen Zwecken: insbesondere werden Chat-Inhalte und hochgeladene Dokumente nicht für Modelltraining, Fine-Tuning oder Inhaltsanalyse durch den Auftragnehmer verwendet.

§ 3 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  1. Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.
  2. Die konkreten Maßnahmen sind in Anlage 2 sowie im ergänzend übergebenen Dokument „Technische und organisatorische Maßnahmen (TOM) der LearnSlice UG", Stand 24. April 2026, Version 1.0, beschrieben.
  3. Maßnahmen werden laufend an den Stand der Technik angepasst; das vereinbarte Schutzniveau darf nicht unterschritten werden. Wesentliche Änderungen werden mitgeteilt.

§ 4 Berichtigung, Einschränkung und Löschung von Daten

  1. Der Auftragnehmer handelt nur auf dokumentierte Weisung des Auftraggebers, ausgenommen die in dieser Vereinbarung und in den Nutzungsbedingungen allgemein geregelten Fälle (Selbstbedienung, automatisierte Retention, Konto-/Organisationslöschung).
  2. Der Auftragnehmer stellt Selbstbedienungsfunktionen für Datenexport (Art. 20) und Löschung (Art. 17) im Nutzerkonto bereit.
  3. Direkt an den Auftragnehmer gerichtete Betroffenenanfragen werden unverzüglich an den Auftraggeber weitergeleitet.

§ 5 Qualitätssicherung und sonstige Pflichten

  1. Vertraulichkeit: alle Beschäftigten, die mit der Auftragsverarbeitung befasst sind, werden auf die Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).
  2. Schulung: regelmäßige Sensibilisierung für Datenschutz und Informationssicherheit.
  3. Unterstützung: bei Pflichten nach Art. 32 bis 36 DSGVO, insbesondere bei einer DSFA nach Art. 35 DSGVO.
  4. Ansprechpartner: info@learnslice.com.
  5. Datenschutzbeauftragter: ist zum Zeitpunkt des Abschlusses nicht förmlich bestellt; die Bestellungspflicht wird fortlaufend geprüft.
  6. Kein Modelltraining: Chat-Inhalte und hochgeladene Dokumente werden nicht für Trainingszwecke verwendet (siehe Anlage 3 zur vertraglichen Zusage des KI-Unterauftragsverarbeiters Microsoft).

§ 6 Unterauftragsverhältnisse

  1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung nach Art. 28 Abs. 2 Satz 2 DSGVO zur Beauftragung der in Anlage 3 genannten Unterauftragsverarbeiter.
  2. Änderungen werden mit mindestens 30 Tagen Vorlauf angekündigt.
  3. Widerspruch ist innerhalb der Ankündigungsfrist begründet schriftlich oder per E-Mail einzulegen; ohne Widerspruch gilt die Änderung als genehmigt.
  4. Bei begründetem Widerspruch und technisch/wirtschaftlich nicht zumutbarer Leistung ohne den betreffenden Unterauftragsverarbeiter besteht ein Sonderkündigungsrecht von 30 Tagen zum Monatsende.
  5. Unterauftragsverarbeiter werden vertraglich zu gleichwertigen Datenschutzpflichten verpflichtet.
  6. Drittlandtransfer wird durch Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert (Einzelheiten in Anlage 3).
  7. Nicht als Unterauftragsverhältnisse gelten Nebenleistungen ohne inhaltlichen Datenzugriff (Telekommunikation, Post, Transport, Wartung, Reinigung).

§ 7 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber kann sich von der Einhaltung der Pflichten überzeugen.
  2. Der Auftragnehmer stellt hierzu vorrangig TOM-Dokumentation, externe Prüfberichte (z. B. TÜV-Rheinland-Bericht zu Hetzner), Auszüge aus AVV mit Unterauftragsverarbeitern (insbesondere das Microsoft DPA) sowie die Beantwortung schriftlicher Fragen zur Verfügung.
  3. Vor-Ort-Kontrollen sind subsidiär möglich, nach mindestens 14 Tagen Vorankündigung, während der üblichen Geschäftszeiten; ein zur Vertraulichkeit verpflichteter und nicht im Wettbewerb stehender Dritter kann beauftragt werden.
  4. Kosten einer Vor-Ort-Kontrolle trägt grundsätzlich der Auftraggeber; bei festgestellten erheblichen Verstößen trägt sie der Auftragnehmer.

§ 8 Mitteilung bei Datenschutzverletzungen

  1. Unverzügliche Mitteilung nach Kenntniserlangung, spätestens binnen 72 Stunden.
  2. Inhalt entsprechend Art. 33 Abs. 3 DSGVO, soweit bekannt.
  3. Unterstützung bei Meldepflichten nach Art. 33 und 34 DSGVO.
  4. Meldeweg: info@learnslice.com.

§ 9 Weisungsbefugnis des Auftraggebers

  1. Verarbeitung nur auf dokumentierte Weisung, einschließlich Drittlandübermittlungen, vorbehaltlich zwingender Rechtspflichten nach Unionsrecht oder mitgliedstaatlichem Recht.
  2. Weisungen erfolgen grundsätzlich über die Konfigurations- und Verwaltungsfunktionen im Dienst; Einzelweisungen schriftlich oder per E-Mail an info@learnslice.com.
  3. Bei Zweifeln an der Rechtmäßigkeit einer Weisung informiert der Auftragnehmer den Auftraggeber; die Ausführung kann bis zur Klärung ausgesetzt werden.

§ 10 Löschung und Rückgabe

  1. Mit Beendigung des Hauptvertrags hat der Auftraggeber die Wahl zwischen Rückgabe und Löschung.
  2. Ohne Wahl innerhalb von 30 Tagen wird gelöscht.
  3. Datenexport erfolgt über die im Dienst bereitgestellten Funktionen.
  4. Kopien in Backups werden nach Ablauf des regulären Backup-Zyklus automatisch überschrieben oder gelöscht; gesetzliche Aufbewahrungspflichten bleiben unberührt.
  5. Nachweisdokumentation wird entsprechend der jeweiligen Aufbewahrungsfristen gespeichert.

§ 11 Haftung und Schlussbestimmungen

  1. Haftung nach den Regelungen des Hauptvertrags; Art. 82 DSGVO bleibt unberührt.
  2. Bei Widersprüchen gehen die datenschutzrechtlichen Regelungen dieser Vereinbarung dem Hauptvertrag vor.
  3. Änderungen und Ergänzungen bedürfen mindestens der Textform (§ 126b BGB).
  4. Deutsches Recht unter Ausschluss des UN-Kaufrechts; Gerichtsstand Düsseldorf, soweit gesetzlich zulässig.
  5. Salvatorische Klausel.
  6. Abschluss in elektronischer Form nach Art. 28 Abs. 9 DSGVO durch Bestätigung der vertretungsberechtigten Person bei Erstellung der Organisation im Dienst; ein Stempelabzug steht als PDF-Download im Nutzerkonto bereit.

Anlage 1: Gegenstand, Daten, betroffene Personen

Art und Zweck: Registrierung und Authentifizierung; Verwaltung der Organisation; Bereitstellung der KI-gestützten Chat-Funktion; Dokumentenablage mit semantischer Suche (Retrieval-Augmented Generation); Lern-, Onboarding-, Quiz- und Berichtsheft-Funktionen; IT-Sicherheit; aggregierte Abrechnungs- und Kapazitätskennzahlen ohne Inhaltsbezug.

Art der personenbezogenen Daten: Stammdaten (Name, E-Mail, verschlüsselt gespeichertes Passwort, Rolle, Organisationszugehörigkeit); Nutzungsdaten (Chat-Nachrichten, hochgeladene Dokumente, Quiz- und Assessment-Ergebnisse, Lernfortschritt, Berichtsheft-Einträge); technische Daten (IP-Adresse, User-Agent, Zeitstempel, Protokolldaten); ggf. Abrechnungs-Metadaten.

Kategorien betroffener Personen: Mitarbeitende, Auszubildende, Studierende oder sonstige Nutzerinnen und Nutzer des Auftraggebers; administrative Kontaktpersonen; eingeladene Dritte (z. B. Ausbilder, Projektverantwortliche).

Anlage 2: Technische und organisatorische Maßnahmen

Die vollständige TOM-Dokumentation — „Technische und organisatorische Maßnahmen (TOM) der LearnSlice UG", Stand 24. April 2026, Version 1.0 — wird mit der AVV zur Verfügung gestellt und folgt der Struktur des Art. 32 DSGVO: Vertraulichkeit (Zutritts-, Zugangs-, Zugriffs-, Trennungskontrolle, Pseudonymisierung/Verschlüsselung); Integrität (Weitergabe- und Eingabekontrolle); Verfügbarkeit und Belastbarkeit; Verfahren zur regelmäßigen Überprüfung. Wesentliche Merkmale: EU-Hosting bei Hetzner (Deutschland), TLS für gesamten Datenverkehr, bcrypt-Passwort-Hash, HTTP-only/Secure/SameSite-Strict- Sitzungscookies, rollenbasierter Zugriff mit mandantenbezogener Isolation, regelmäßige automatisierte Backups, dokumentiertes Incident-Response-Verfahren (72-Stunden-Mitteilungsfrist), kein Modelltraining auf Kundeninhalten.

Anlage 3: Unterauftragsverarbeiter

  1. Microsoft Ireland Operations Ltd. (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland). Leistung: Azure OpenAI Service in der Region West Europa (Amsterdam, Niederlande). Rechtsgrundlage: Microsoft Products and Services Data Protection Addendum, abrufbar unter microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA. Kein Modelltraining auf Kundeninhalten; Missbrauchsprotokollierung bis zu 30 Tage in der Standardkonfiguration. Die Verarbeitung erfolgt primär innerhalb des EWR; soweit Microsoft Übermittlungen in die USA vornimmt (z. B. Support- und Diagnosezugriffe), erfolgen diese auf Grundlage der Microsoft-Zertifizierung unter dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023, Art. 45 Abs. 3 DSGVO) sowie ergänzend auf Grundlage der im Microsoft DPA enthaltenen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
  2. Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland). Leistung: Hosting der Anwendung, der Datenbank und der hochgeladenen Dateien; Verarbeitung ausschließlich in Deutschland. Nachweise: zwischen LearnSlice und Hetzner unterzeichneter AVV nach Art. 28 DSGVO, TOM-Dokument, TÜV-Rheinland-Prüfbericht (Stand 02/2025); auf Anfrage. Öffentlich abrufbar: hetzner.com/AV/DPA_de.pdf (Muster-AVV) sowie hetzner.com/AV/subunternehmer.pdf (Liste der Unterauftragsverarbeiter).
  3. Resend, Inc. (2261 Market Street #4493, San Francisco, CA 94114, USA). Leistung: Versand transaktionaler Einladungs-E-Mails. Resend ist unter dem EU-US Data Privacy Framework zertifiziert; Übermittlungen in die USA erfolgen primär auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission vom 10. Juli 2023 (Art. 45 Abs. 3 DSGVO) und ergänzend auf Grundlage von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie ergänzender Maßnahmen entsprechend den EDSA-Empfehlungen 01/2020. Öffentlich abrufbar: resend.com/legal/dpa (DPA) sowie resend.com/legal/subprocessors (Unterauftragsverarbeiter).

Anlage 4: Änderungshistorie

  • Version 2026-04-24 (24. April 2026): Erstfassung auf Grundlage des DSK-Muster-AVV, vorbehaltlich abschließender Prüfung durch externe Datenschutzberatung.