Zum Inhalt springenZum Footer springen
  1. Home
  2. AI Hub
  3. AVV
Auftragsdaten­verarbeitungs­vertrag (AVV)

AVV des Dextinity® AI Hub

Stand Mai 2026

Auftrags­daten­verarbeitungs­vertrag (AVV)

zwischen

Vivid Planet Software GmbH Hopfgartenstraße 10 5302 Henndorf am Wallersee, Österreich

– nachfolgend „Auftragsverarbeiter“ –

und

dem Kunden der Softwarelösung Dextinity® AI Hub

– nachfolgend „Verantwortlicher“ –

§1 Gegenstand und Dauer des Vertrags

  1. Der Auftragsverarbeiter erbringt für den Verantwortlichen cloudbasierte Softwaredienstleistungen im Zusammenhang mit der Softwarelösung Dextinity® AI Hub.
  2. Dextinity® AI Hub ist eine Software-as-a-Service Plattform für sichere KI Nutzung in und durch Unternehmen. Die Lösung dient insbesondere dazu, Prozesse teilweise oder gänzlich durch KI Workflows zu automatisieren.
  3. Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien im Rahmen der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.
  4. Der Vertrag beginnt mit der Nutzung der Dextinity®-AI-Hub-Dienste durch den Verantwortlichen und endet mit Beendigung der Kundenbeziehung, soweit keine gesetzlichen oder vertraglichen Aufbewahrungspflichten entgegenstehen.
  5. Dextinity® ist eine eingetragene Marke von Vivid Planet Software.

§2 Art und Zweck der Datenverarbeitung

Verarbeitungsarten: Erheben, Erfassen, Organisation, Speicherung, Änderung, Auslesen, Abfrage, Verwendung, Offenlegung durch Übermittlung, Abgleich, Löschung, Einschränkung und Vernichtung personenbezogener Daten.

Zweck der Verarbeitung: Betrieb und Bereitstellung der Softwarelösung Dextinity® AI Hub als KI- und Workflow-Plattform, insbesondere zur:

  • Nutzung generativer KI in Unternehmensprozessen
  • Automatisierung von Prozessen,
  • Skalierung von KI-Anwendungen,
  • Bereitstellung von KI-Assistenten und KI-basierten Anwendungsfällen.

Mögliche Anwendungsfälle umfassen zum Beispiel:

  • Interner Wissenschat
  • Recruiting-Assistent
  • IT-Support-Assistent
  • Onboarding-Assistent
  • Dokumentenanalyse,
  • Richtlinien-Assistent,
  • Steuerberater-Assistent,
  • KI-Produktberater
  • Uvm.

Für Organisationen mit erhöhten Anforderungen an Datenschutz, Sicherheit und Compliance kann nach den vorliegenden Informationen auch ein Betrieb in der eigenen Cloud vorgesehen sein.

Betroffene Daten: Je nach Nutzung durch den Verantwortlichen können insbesondere solche personenbezogenen Daten verarbeitet werden, die der Verantwortliche in Dextinity® AI Hub eingibt, hochlädt, analysieren lässt oder über Workflows verarbeitet.

Nicht bekannt ist, welche Datenkategorien im konkreten Produktbetrieb verbindlich vorgesehen sind. Diese sind vom Auftragsverarbeiter zu ergänzen oder kundenspezifisch festzulegen.

Datenschutzfolgeabschätzung:

Falls durch den Verantwortlichen kritische Daten (z.B. Gesundheitsdaten, biometrische Daten, GPS-Tracking von Nutzern, Videoüberwachung, Profiling von Personen, Kreditwürdigkeitsberechnung, Bewerbungsdaten, Daten von Minderjährigen, oder ähnliches) im AI Hub verarbeitet werden sollen, ist gegebenenfalls eine Datenschutzfolgeabschätzung (DSFA) erforderlich.

Betroffene Personen: Je nach Nutzung durch den Verantwortlichen können insbesondere betroffen sein:

  • Mitarbeiter des Verantwortlichen,
  • Nutzer der Plattform,
  • Kunden des Verantwortlichen,
  • Geschäftspartner des Verantwortlichen,
  • Bewerber oder Onboarding-Beteiligte, sofern entsprechende HR- oder Onboarding-Anwendungsfälle genutzt werden,
  • sonstige Personen, deren personenbezogene Daten in Dokumenten, Workflows oder KI-Assistenten verarbeitet werden.

§3 Weisungsrecht des Verantwortlichen

  1. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern der Auftragsverarbeiter nicht durch Unionsrecht oder das Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung verpflichtet ist.
  2. Mündliche Weisungen sind schriftlich oder in Textform zu bestätigen.
  3. Der Verantwortliche ist berechtigt, Weisungen hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Änderungen oder Ergänzungen von Weisungen sind ebenfalls zu dokumentieren.
  4. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§4 Rechte und Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere zu Folgendem:

  • Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen,
  • Einsatz nur solcher Mitarbeiter, die zur Vertraulichkeit verpflichtet wurden,
  • Unterstützung des Verantwortlichen bei der Wahrung der Rechte betroffener Personen, insbesondere bei Auskunfts-, Berichtigungs-, Löschungs- und Einschränkungsersuchen,
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO,
  • Unterstützung des Verantwortlichen bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit dies für die vom Auftragsverarbeiter erbrachten Leistungen erforderlich ist,
  • Unterstützung bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO,
  • Löschung oder Rückgabe personenbezogener Daten nach Ende der Verarbeitung nach Wahl des Verantwortlichen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§5 Subunternehmer

  1. Der Auftragsverarbeiter darf Subunternehmer einsetzen, sofern diese vertraglich zur Einhaltung der datenschutzrechtlichen Anforderungen, insbesondere der DSGVO, verpflichtet wurden.
  2. Der Auftragsverarbeiter stellt sicher, dass mit Subunternehmern Vereinbarungen geschlossen werden, die den Anforderungen des Art. 28 DSGVO entsprechen.
  3. Aktuell eingesetzte Subunternehmer:
  • Microsoft Ireland / Applikations-Hosting und LLMs (Data Residency in der EU), Microsoft Ireland Operations Ltd, South County Business Park, One , Microsoft Place, Carmanhall and Leopardstown, Dublin 18, Irland
  • BunnyCDN / Content Delivery Network (Ljubljana, Slowenien, EU), BunnyWay d.o.o., Dunajska cesta 165, 1000 Ljubljana, Slovenia
  • Internex GmbH / Error-Analyse Tool Sentry (Österreich, EU), Alserbachstraße 30, 1090 Wien, Österreich
  • Brevo GmbH / Newsletter-Mail (Berlin, Deutschland, EU), Köpenicker Str. 126, 10179 Berlin
  • Optional) AlphaAI Technologies Inc. / Tavily Websuche (New York, USA), 1350 Broadway, 24th Floor, New York, NY 10018, USA

Der Verantwortliche wird über Änderungen bei Subunternehmern rechtzeitig informiert. Dem Verantwortlichen steht ein Widerspruchsrecht aus wichtigem datenschutzrechtlichem Grund zu.

§6 Kontrollrechte des Verantwortlichen

  1. Der Verantwortliche ist berechtigt, nach vorheriger Ankündigung und in angemessenem Umfang Prüfungen und Inspektionen beim Auftragsverarbeiter durchzuführen oder durch fachkundige Dritte durchführen zu lassen.
  2. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle erforderlichen Auskünfte zu erteilen, geeignete Nachweise bereitzustellen und Einsicht in relevante Dokumente zu gewähren, soweit dies zur Prüfung der Einhaltung der Pflichten aus diesem Vertrag und Art. 28 DSGVO erforderlich ist.
  3. Als Nachweise können insbesondere Auditberichte, Zertifikate, Sicherheitsdokumentationen oder gleichwertige Prüfberichte dienen.

§7 Technische und organisatorische Maßnahmen (TOM)

  1. Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
  2. Dazu zählen insbesondere Maßnahmen in folgenden Bereichen:
  • Zutrittskontrolle Maßnahmen zur Verhinderung unbefugten Zutritts zu Datenverarbeitungsanlagen.
  • Zugangskontrolle Maßnahmen zur Verhinderung unbefugter Nutzung von Systemen, beispielsweise durch Authentifizierungsverfahren.
  • Zugriffskontrolle Maßnahmen zur Sicherstellung, dass Berechtigte nur auf jene Daten zugreifen können, für die sie autorisiert sind.
  • Weitergabekontrolle Maßnahmen zur Sicherstellung, dass personenbezogene Daten bei Übertragung, Transport oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Eingabekontrolle Maßnahmen zur Nachvollziehbarkeit, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht wurden.
  • Auftragskontrolle Maßnahmen zur Sicherstellung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden.
  • Verfügbarkeitskontrolle Maßnahmen zum Schutz personenbezogener Daten gegen zufällige Zerstörung oder Verlust.
  • Trennungskontrolle Maßnahmen zur getrennten Verarbeitung von Daten unterschiedlicher Verantwortlicher oder Zwecke.

Dextinity® AI Hub richtet sich auch an Organisationen mit hohen Anforderungen an Datenschutz, Sicherheit und Compliance. Für bestimmte Enterprise-Szenarien ein Betrieb in der eigenen Cloud empfehlenswert.

§8 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO, soweit diese personenbezogene Daten betreffen, die im Auftrag des Verantwortlichen verarbeitet werden.

(2) Die Meldung enthält, soweit verfügbar, mindestens folgende Informationen:

  • Art der Verletzung,
  • Kategorien und Umfang der betroffenen Daten,
  • Kategorien und Umfang der betroffenen Personen,
  • voraussichtliche Folgen der Verletzung,
  • bereits getroffene oder vorgeschlagene Gegenmaßnahmen.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörden und betroffenen Personen.

§9 Datenlöschung und Rückgabe

(1) Nach Beendigung des Vertragsverhältnisses oder nach Wegfall des Verarbeitungszwecks wird der Auftragsverarbeiter sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder dem Verantwortlichen zurückgeben.

(2) Davon ausgenommen sind Daten, deren weitere Speicherung aufgrund gesetzlicher Aufbewahrungspflichten erforderlich ist.

(3) Die Löschung oder Rückgabe erfolgt in angemessener Frist nach Beendigung des Vertragsverhältnisses, sofern keine anderslautende Weisung oder gesetzliche Verpflichtung besteht.

§10 Geheimhaltung

(1) Der Auftragsverarbeiter verpflichtet sich zur Vertraulichkeit hinsichtlich aller personenbezogenen Daten und sonstigen vertraulichen Informationen, die ihm im Rahmen dieses Vertrags bekannt werden.

(2) Diese Verpflichtung gilt auch über das Vertragsende hinaus.

(3) Der Auftragsverarbeiter stellt sicher, dass auch eingesetzte Mitarbeiter und Subunternehmer entsprechend zur Vertraulichkeit verpflichtet werden.

§11 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere nach Art. 82 DSGVO.

Die Parteien haften jeweils im Rahmen ihrer Verantwortlichkeit für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung personenbezogener Daten verursacht werden.

§12 Drittländer

(1) Eine Verarbeitung personenbezogener Daten in Drittländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt ausschließlich unter Einhaltung der gesetzlichen Vorgaben nach Kapitel V DSGVO.

(2) Soweit erforderlich, sind geeignete Garantien vorzusehen, insbesondere Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere zulässige Schutzmechanismen nach der DSGVO.

(3) Aktuell genutzte Dienste mit Drittlandübertragung:

  • Die Nutzung des WebSearch-Tools im AI Hub ist optional möglich und erfordert einen US Dienst: AlphaAI Technologies Inc. / Tavily Websuche (New York, USA) 1350 Broadway, 24th Floor, New York, NY 10018, USA

§13 Schlussbestimmungen

(1) Mündliche Nebenabreden bestehen nicht. Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform oder Textform, soweit nicht gesetzlich eine strengere Form vorgeschrieben ist.

(2) Sollten einzelne Regelungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Regelungen unberührt.

(3) Dieser AVV gilt ergänzend zu den vertraglichen Vereinbarungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter über die Nutzung von Dextinity® AI Hub. Im Zweifel gehen die Bestimmungen dieses AVV hinsichtlich der Auftragsverarbeitung personenbezogener Daten vor.

(4) Soweit eine Verarbeitung im Rahmen eines Enterprise-Betriebs in der eigenen Cloud des Verantwortlichen erfolgt, sind die Verantwortlichkeiten, Betriebsumgebung, Zugriffsmöglichkeiten und etwaige Administrationsrechte gesondert zu dokumentieren.