Vertragsmuster. Dieser AVV ist eine Vorlage für Kunden, die Reva einsetzen. Felder mit [Kundenname] müssen vor der Unterzeichnung ausgefüllt werden. Die herunterladbare Markdown-Version enthält Unterschriftsblöcke.
Vertragsparteien
[PLZ, Ort]
Vertreten durch: [Name, Funktion]
[PLZ, Ort]
Vertreten durch: [Name, Geschäftsführer]
- Präambel
- Gegenstand und Dauer
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten des Auftragsverarbeiters
- Unterauftragsverarbeiter
- Technische und organisatorische Maßnahmen
- Rechte der betroffenen Personen
- Meldung von Datenschutzverletzungen
- Prüfrechte
- Löschung und Rückgabe
- Anlage 1: Technische und organisatorische Maßnahmen
Präambel
Der Verantwortliche setzt die Software Reva ein, einen KI-gestützten Release-Management-Assistenten für Microsoft Teams, der vom Auftragsverarbeiter entwickelt und als On-Premise-Lösung auf der Infrastruktur des Verantwortlichen bereitgestellt wird. Im Rahmen dieses Einsatzes verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Diese Vereinbarung regelt die Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung, Wartung und des Supports der Software Reva.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des zugrunde liegenden Lizenz- bzw. Dienstleistungsvertrags zwischen den Parteien. Der Vertrag beginnt am ________________ und läuft auf unbestimmte Zeit, bis er von einer der Parteien gemäß den Bestimmungen des Hauptvertrags gekündigt wird.
(3) Die Verarbeitung erfolgt ausschließlich auf der Infrastruktur des Verantwortlichen (On-Premise-Betrieb). Der Auftragsverarbeiter erhält nur im Rahmen von Support- und Wartungsleistungen sowie bei ausdrücklicher Genehmigung durch den Verantwortlichen Zugang zu personenbezogenen Daten.
§ 2 Art und Zweck der Verarbeitung
(1) Die Verarbeitung umfasst folgende Tätigkeiten:
- Konversationsverarbeitung: Entgegennahme, Verarbeitung und Beantwortung von Benutzeranfragen über Microsoft Teams mittels lokaler KI-Inferenz (Ollama/LLM auf der Infrastruktur des Verantwortlichen).
- Release-Management: Abfrage und Darstellung von Release-Informationen aus Digital.ai Release über das Model Context Protocol (MCP).
- Jira-Integration: Abfrage und Darstellung von Jira-Vorgangsdaten über MCP.
- Gedächtnisfunktion: Optionale sitzungsübergreifende Speicherung von Benutzer-Erinnerungen mittels PostgreSQL und pgvector-Einbettungen.
- Benachrichtigungen: Verwaltung von Benachrichtigungsabonnements für Release- und Jira-Ereignisse.
- Protokollierung: Anonymisierte Aktivitätsprotokollierung zur Systemüberwachung und Fehlerdiagnose.
(2) Zweck der Verarbeitung ist die Bereitstellung eines natürlichsprachigen Zugangs zu Release- und Issue-Management-Funktionen für die Mitarbeiter des Verantwortlichen.
(3) Die KI-Inferenz erfolgt ausschließlich lokal auf der GPU-Hardware des Verantwortlichen. Es werden keine Daten an externe KI-Dienste oder Cloud-LLM-Anbieter übermittelt.
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
| Datenkategorie | Beschreibung | Speicherort |
|---|---|---|
| Anzeigenamen aus Microsoft Teams | Benutzernamen aus der Bot Framework Activity | PostgreSQL |
| Konversationsinhalte | Benutzernachrichten und Bot-Antworten | PostgreSQL |
| Release-Management-Metadaten | Release-Namen, Status, Daten, Teamzuordnungen | Laufzeitspeicher (MCP) |
| Jira-Vorgangsmetadaten | Vorgangsnummern, Zusammenfassungen, Status, Bearbeiter | Laufzeitspeicher (MCP) |
| Benutzer-Erinnerungen | Optionale sitzungsübergreifende Merkinhalte mit Vektor-Einbettungen | PostgreSQL (pgvector) |
| Benachrichtigungsabonnements | Zuordnungen von Benutzern zu Releases/Jira-Vorgängen | PostgreSQL |
| Aktivitätsprotokolle | Anonymisierte Nutzungsprotokolle (ohne individuelle Zuordnung) | Dateisystem / PostgreSQL |
§ 4 Kategorien betroffener Personen
Betroffene Personen sind die Mitarbeiter und Beauftragten des Verantwortlichen, die Microsoft Teams nutzen und mit dem Reva-Assistenten interagieren.
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragsverarbeiter ergreift die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 7 und Anlage 1).
(4) Keine Auswertung individueller Benutzeraktivitäten. Aktivitätsprotokolle werden stets anonymisiert geführt; eine Zuordnung einzelner Aktionen zu identifizierten Personen findet nicht statt. Dies entspricht den Anforderungen des Betriebsverfassungsgesetzes (BetrVG) zur Vermeidung individueller Leistungsüberwachung.
(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO, soweit dies den Verantwortlichen und die Art der Verarbeitung betrifft.
§ 6 Unterauftragsverarbeiter
(1) Folgende Unterauftragsverarbeiter sind zum Zeitpunkt des Vertragsschlusses genehmigt:
| Unterauftragsverarbeiter | Verarbeitungstätigkeit | Standort |
|---|---|---|
| Microsoft Corporation (Azure Bot Framework) | Weiterleitung von Teams-Nachrichten zwischen Microsoft Teams und der Reva-Instanz des Verantwortlichen | EU/EWR (gemäß Microsoft DPA) |
(2) Keine Cloud-LLM-Anbieter. Sämtliche KI-Inferenz erfolgt lokal auf der Infrastruktur des Verantwortlichen mittels Ollama.
(3) Der Auftragsverarbeiter darf weitere Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen beauftragen. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen mindestens 30 Tage im Voraus. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.
(4) Der Auftragsverarbeiter stellt sicher, dass jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt werden, die in diesem Vertrag festgelegt sind (Art. 28 Abs. 4 DSGVO).
§ 7 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert (Details siehe Anlage 1):
Verschlüsselung
- HTTPS/TLS für sämtliche externe Kommunikation
- Bot Framework JWT-Validierung (Azure AD Signaturprüfung)
- PostgreSQL-SSL (selbstsignierte CA) für Datenbankkommunikation
- Optionale Festplattenverschlüsselung durch den Verantwortlichen
Zugriffskontrolle
- Netzwerkbasierte Isolation (nur Microsoft Teams und autorisierte Reverse Proxies erreichen den Bot-Endpunkt)
- Optionale benutzerbasierte Autorisierung (
REVA_AUTH_ENABLED) - Webhook-Authentifizierung über Shared Secrets
- Kubernetes NetworkPolicies (Default-Deny-Ingress)
Datensicherung
- Tägliche automatisierte Datenbanksicherungen
- 30 Tage Aufbewahrungsfrist für Backups
- Wiederherstellungsverfahren dokumentiert
Datensparsamkeit und Privacy by Design
- Aktivitätsprotokolle stets anonymisiert (keine individuelle Zuordnung)
- Individuelle Leistungsüberwachung technisch unterbunden (BetrVG-Konformität)
- Sämtliche LLM-Inferenz auf der GPU des Verantwortlichen — keine Daten verlassen das Netzwerk des Verantwortlichen
- Konversationshistorie mit konfigurierbarer Aufbewahrungsdauer
- Erinnerungen werden bei Löschung mit Prüfpfad als gelöscht markiert (Soft-Delete)
§ 8 Rechte der betroffenen Personen
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anträgen betroffener Personen gemäß Art. 15–22 DSGVO.
(2) Reva bietet folgende Selbstbedienungsfunktionen für betroffene Personen:
- Auskunftsrecht (Art. 15): Benutzer können ihre gespeicherten Erinnerungen über den Befehl „zeige Erinnerungen“ einsehen.
- Recht auf Löschung (Art. 17): Benutzer können ihre Erinnerungen über „vergiss Erinnerungen“ selbständig löschen.
- Konversationshistorie: Kann auf Antrag pro Benutzer gelöscht werden.
(3) Der Auftragsverarbeiter leitet Anfragen betroffener Personen, die direkt an ihn gerichtet werden, unverzüglich an den Verantwortlichen weiter.
§ 9 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, damit der Verantwortliche seiner Meldepflicht gemäß Art. 33 DSGVO (72-Stunden-Frist) nachkommen kann.
(2) Die Meldung umfasst mindestens:
- Art der Verletzung
- Betroffene Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Schadensbegrenzung
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Dokumentations- und Meldepflichten.
§ 10 Prüfrechte
(1) Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags und der geltenden Datenschutzvorschriften zu überprüfen. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).
(2) Prüfungen sind mit einer Frist von mindestens 14 Tagen anzukündigen und unter Berücksichtigung der berechtigten Geschäftsinteressen des Auftragsverarbeiters durchzuführen.
(3) Der Auftragsverarbeiter stellt ein Support-Bundle-Werkzeug (/api/support-bundle) zur Verfügung, das DSGVO-konforme Diagnosedaten liefert (Geheimnisse maskiert, keine personenbezogenen Daten in der Ausgabe). Dieses kann als Unterstützung bei Fernprüfungen herangezogen werden.
§ 11 Löschung und Rückgabe
(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, die im Rahmen dieser Vereinbarung verarbeitet wurden, es sei denn, eine Aufbewahrungspflicht nach Unionsrecht oder nationalem Recht besteht.
(2) Da Reva als On-Premise-Lösung betrieben wird, verbleiben die Daten physisch auf der Infrastruktur des Verantwortlichen. Der Auftragsverarbeiter:
- Löscht alle bei ihm im Rahmen von Supportleistungen vorgehaltenen Kopien personenbezogener Daten
- Stellt dem Verantwortlichen auf Wunsch eine Anleitung zur vollständigen Datenlöschung aus der PostgreSQL-Datenbank zur Verfügung
- Bestätigt die Löschung schriftlich
(3) Der Verantwortliche kann vor der Löschung die Herausgabe der Daten in einem gängigen, maschinenlesbaren Format verlangen.
Anlage 1: Technische und organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Umsetzung |
|---|---|
| Zutrittskontrolle | On-Premise-Betrieb — physische Sicherheit obliegt dem Verantwortlichen |
| Zugangskontrolle | Bot Framework JWT-Validierung, optionale Benutzerautorisierung, Webhook-Authentifizierung über Shared Secrets |
| Zugriffskontrolle | Eingeschränkter PostgreSQL-Benutzer (nur CONNECT, CREATE, DML), Netzwerkisolation, Kubernetes NetworkPolicies |
| Trennungskontrolle | Mandantentrennung durch separate Datenbankinstanzen je Deployment |
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Umsetzung |
|---|---|
| Weitergabekontrolle | TLS/HTTPS für alle Verbindungen, PostgreSQL-SSL |
| Eingabekontrolle | Audit-Trail bei Löschung von Erinnerungen (Soft-Delete), Konversationshistorie mit Zeitstempeln |
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)
| Maßnahme | Umsetzung |
|---|---|
| Verfügbarkeitskontrolle | Tägliche automatisierte Backups (30 Tage Aufbewahrung), Health-Check-Endpunkt (/api/health), Docker Log-Rotation |
| Wiederherstellbarkeit | Dokumentiertes Backup-Restore-Verfahren, Support-Bundle für Ferndiagnose |
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
| Maßnahme | Umsetzung |
|---|---|
| Datenschutz-Management | Anonymisierte Aktivitätsprotokolle, Verbot individueller Leistungsüberwachung (BetrVG) |
| Auftragskontrolle | Dieser AVV, keine Verarbeitung ohne Weisung |
| Privacy by Design | Lokale LLM-Inferenz, keine Cloud-KI-Dienste, konfigurierbare Datenaufbewahrung |
Unterschriftsblöcke sind in der herunterladbaren Markdown-Version dieses Dokuments enthalten.