Datenverarbeitungsvereinbarung
Gültig ab: 9. September 2025
Präambel
Dieser Vertrag konkretisiert die Verpflichtungen der Vertragsparteien zwischen dem Kunden (nachfolgend „Auftraggeber“ genannt) und Novathes (nachfolgend „Auftragsverarbeiter“ genannt) zum Datenschutz, die sich aus der Nutzung der Novathes Software und Services auf Grundlage der vereinbarten End User License Agreement (EULA) und Allgemeinen Geschäftsbedingungen („Hauptvertrag“) ergeben.
Sie gilt für alle Aktivitäten des Auftragsverarbeiters im Zusammenhang mit den Leistungen gemäß dem Hauptvertrag, in deren Rahmen Mitarbeiter des Auftragsverarbeiters oder ein im Auftrag des Auftragsverarbeiters handelnder Dritter mit den personenbezogenen Daten des Auftraggebers in Kontakt kommen können.
1 Definitionen
Die Begriffe „personenbezogene Daten“ (oder „Daten“), „Verarbeitung“, „Aufsichtsbehörde“, „betroffene Person“, „Mitgliedstaat“ und „Übermittlung“ haben dieselbe Bedeutung wie in der Datenschutz-Grundverordnung (DSGVO), und ihre verwandten Begriffe sind entsprechend auszulegen.
2 Geltungsbereich und Verantwortung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach den Anweisungen des Auftraggebers. Dies umfasst die im Hauptvertrag aufgeführten und beschriebenen Tätigkeiten.
Im Rahmen des Hauptvertrags ist der Auftraggeber allein verantwortlich für die Einhaltung der DSGVO und/oder anderer Datenschutzbestimmungen der EU oder der einzelnen Mitgliedstaaten (der Auftraggeber ist die „verantwortliche Stelle“ im Sinne von Artikel 4 Absatz 7 der DSGVO).
Die Anweisungen werden zunächst im Hauptvertrag festgelegt und können danach vom Auftraggeber durch schriftliche oder elektronische Anweisungen (Textform) geändert, ergänzt oder ersetzt werden. Mündliche Anweisungen müssen unverzüglich schriftlich oder in Textform bestätigt werden.
Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, informiert er den Auftraggeber unverzüglich über diese rechtlichen Bedenken.
3 Gegenstand, Dauer und Spezifikation der Auftragsverarbeitung
Gegenstand: Die Verarbeitung personenbezogener Daten erfolgt im Rahmen der Bereitstellung der Novathes Software und Services.
Dauer: Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieses Vertrages nicht darüber hinausgehende Verpflichtungen ergeben.
Art der Verarbeitung: Erhebung, Speicherung, Nutzung, Übermittlung und Löschung personenbezogener Daten mittels automatisierter Verfahren.
Zweck der Verarbeitung: Bereitstellung und Nutzung der vertraglich vereinbarten Softwarefunktionen gemäß Hauptvertrag und EULA.
| Art der Daten | Art und Zweck der Datenverarbeitung | Kategorien betroffener Personen |
|---|---|---|
| Stammdaten (z.B. Name, Kontaktdaten) | Verwaltung und Bereitstellung der vertraglich vereinbarten Softwarefunktionen | Kunden, Nutzer, Mitarbeiter, Ansprechpartner |
| Besondere Kategorien personenbezogener Daten (Gesundheitsdaten) | Terminorganisation, Patientenkommunikation, Notizen (nur sofern eingegeben), Gesundheitsversorgung | Patienten, Endkunden des Auftraggebers |
| Vertrags- und Abrechnungsdaten (z.B. Kundennummer, Rechnungsinformationen) | Vertragsdurchführung, Abrechnung, Verwaltung | Kunden, Ansprechpartner |
| Nutzungs- und Kommunikationsdaten (z.B. Logfiles, IP-Adressen, Chat- oder Videodaten) | Technische Bereitstellung, Support, Fehleranalyse, Kommunikation | Nutzer der Software, Kunden, Mitarbeiter |
| Technische Metadaten (z.B. Zeitstempel, Geräteinformationen) | Systemsicherheit, Stabilität, Monitoring, Protokollierung | Nutzer der Software |
| Kommunikations- und Inhaltsdaten (z.B. Sprachaufzeichnungen, Transkripte, Gesprächsdaten) | Kommunikation, Support, Qualitätssicherung, ggf. Bereitstellung an Auftraggeber | Nutzer der Software, Kunden, Mitarbeiter, Ansprechpartner |
| Nutzer- und Beschäftigtendaten (z.B. Login-Informationen, Rollen, Berechtigungen) | Nutzer-Identifikation, Zugangsverwaltung, Rollenverwaltung | Beschäftigte des Auftraggebers |
Besondere Verarbeitungsvorgänge
Neben der Erbringung der vertraglich vereinbarten Leistungen kann der Auftragnehmer Kommunikations- und Inhaltsdaten (z.B. Sprachaufzeichnungen, Transkripte, Gesprächsdaten) zu Zwecken der Analyse, Produktverbesserung und Weiterentwicklung von Sprach- und KI-Modulen verarbeiten.
Vor einer solchen Nutzung erfolgt stets eine Anonymisierung im Sinne der DSGVO, sodass ein Rückschluss auf betroffene Personen ausgeschlossen ist.
Übermittlungen in Drittländer
Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb des Europäischen Wirtschaftsraums (EWR) oder in Ländern mit einem von der EU-Kommission anerkannten angemessenen Datenschutzniveau.
Soweit eine Übermittlung in ein Drittland erforderlich ist, erfolgt diese ausschließlich unter den Voraussetzungen der Artikel 44 ff. DSGVO, insbesondere auf Grundlage der EU-Standardvertragsklauseln (SCC).
4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter darf die Daten nur im Rahmen des Auftrags und der Anweisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikels 28 Abs. 3 lit. a) DSGVO vor.
Der Auftragsverarbeiter trifft technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Diese Maßnahmen werden im Anhang 1 festgelegt.
Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden.
Der Auftragsverarbeiter berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist.
Ansprechpartner Datenschutz: privacy@novathes.com
5 Pflichten des Auftraggebers
Der Auftraggeber hat den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
5.1 Rechtmäßigkeit der Verarbeitung
- Die Datenübermittlung auf rechtmäßiger Grundlage nach Art. 6 DSGVO erfolgt
- Die Zweckbindung der verarbeiteten Daten eingehalten wird
- Alle erforderlichen Einwilligungen der betroffenen Personen vorliegen
- Die Betroffenen gemäß Art. 13/14 DSGVO informiert wurden
- Bei Nutzung von KI-Diensten die jeweiligen Nutzungsbedingungen der Unterauftragnehmer eingehalten werden
5.2 Freistellung bei Missbrauch
Der Auftraggeber verpflichtet sich, den Auftragsverarbeiter im Innenverhältnis von allen Ansprüchen Dritter sowie behördlichen Bußgeldern freizustellen, soweit diese zurückzuführen sind auf:
- eine nicht bestimmungsgemäße Nutzung der Novathes Software durch den Auftraggeber,
- Verstöße des Auftraggebers gegen datenschutzrechtliche Pflichten,
- rechtswidrige oder weisungswidrige Anordnungen des Auftraggebers.
Diese Freistellung gilt ausschließlich zwischen Auftraggeber und Auftragsverarbeiter. Rechte betroffener Personen nach Art. 82 DSGVO bleiben hiervon unberührt.
Der Auftraggeber benennt dem Auftragsverarbeiter einen Ansprechpartner für Datenschutzfragen.
5.3 Verantwortung bei modularer Datenverarbeitung
Nutzt der Auftraggeber optionale Module, ist er verantwortlich für:
- Die rechtskonforme Aktivierung/Deaktivierung der Module
- Die Implementierung erforderlicher Einwilligungen
- Die Einhaltung branchenspezifischer Vorschriften
6 Anfragen betroffener Personen
Der Auftragsverarbeiter verweist betroffene Personen an den Auftraggeber und leitet deren Anliegen unverzüglich weiter. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Beantwortung im Rahmen seiner Möglichkeiten.
7 Nachweismöglichkeiten
Der Auftragsverarbeiter weist die Einhaltung dieser Pflichten mit geeigneten Mitteln nach und ermöglicht Überprüfungen durch den Auftraggeber oder beauftragte Prüfer.
Inspektionen werden zu üblichen Geschäftszeiten nach angemessener Ankündigung durchgeführt. Der Auftragsverarbeiter kann die Unterzeichnung einer Verschwiegenheitserklärung verlangen.
8 Unterauftragnehmer
Der Auftraggeber genehmigt hiermit, dass Novathes zur Erfüllung seiner vertraglichen Pflichten Unterauftragnehmer einsetzt. Eine aktuelle Liste der von Novathes eingesetzten Unterauftragnehmer ist diesem Vertrag als Anlage beigefügt.
Novathes wird den Auftraggeber vorab in Textform (z. B. per E-Mail) informieren, wenn ein Wechsel eines Unterauftragnehmers ansteht oder ein neuer Unterauftragnehmer beauftragt werden soll. Der Auftraggeber kann einer Änderung innerhalb von 14 Tagen nach Zugang der Information aus wichtigem datenschutzbezogenen Grund widersprechen.
Novathes wird mit jedem Unterauftragnehmer einen dem vorliegenden Vertrag inhaltlich entsprechenden Datenschutzvertrag abschließen und dessen Einhaltung überwachen. Novathes bleibt verantwortlich dafür, dass auch die Unterauftragnehmer die gesetzlichen und vertraglichen Datenschutzpflichten einhalten.
9 Laufzeit und Beendigung
Dieser AVV tritt mit Unterzeichnung in Kraft und läuft für die Dauer des Hauptvertrags. Mit Beendigung des Hauptvertrags endet auch dieser AVV.
Nach Vertragsende wird Novathes alle personenbezogenen Daten nach Wahl des Auftraggebers herausgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
10 Informationspflichten, Schriftformerfordernis, Rechtswahl
Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich über behördliche Maßnahmen bezüglich der verarbeiteten Daten.
Änderungen dieses AVV bedürfen der Schriftform oder Textform.
Bei Widersprüchen gehen die Bestimmungen dieses AVV dem Hauptvertrag vor.
Anwendbares Recht: Deutsches Recht. Gerichtstand: Hamburg.
11 Haftungsregelung
Die Haftung richtet sich nach den Regelungen des Hauptvertrags. Die Haftung von Novathes ist entsprechend beschränkt.
Jede Partei trägt die Verantwortung für eigene Verstöße und stellt die andere Partei von daraus resultierenden Ansprüchen Dritter frei.
Anhang 1 – Technische und Organisatorische Maßnahmen (TOM) i.S.d. Art. 32 DSGVO
Ungeachtet aller im Hauptvertrag vereinbarten zusätzlichen Maßnahmen stellt der Auftragsverarbeiter sicher, dass mindestens die folgenden technischen und organisatorischen Maßnahmen gewährleistet sind:
Vertraulichkeit
- Zutrittskontrolle: Kein unbefugter Zugriff auf Verarbeitungseinrichtungen
- Zugangskontrolle: Keine unbefugte Nutzung der Systeme (Passwörter, 2FA, Verschlüsselung)
- Interne Zugriffskontrolle: Kein unbefugtes Lesen/Kopieren/Ändern von Daten
- Isolationskontrolle: Getrennte Verarbeitung für unterschiedliche Zwecke
- Pseudonymisierung: Personenbezogene Daten werden getrennt gespeichert
Integrität
- Datenübertragungssteuerung: Schutz beim elektronischen Transport
- Dateneingabesteuerung: Protokollierung von Änderungen und Löschungen
Verfügbarkeit & Stabilität
- Verfügbarkeitskontrolle: Schutz vor Verlust/Zerstörung (Backups, Firewalls, Notfallpläne)
- Schnelle Wiederherstellung: Notfall- und Wiederanlaufpläne
Weitere Maßnahmen
- Datenschutzmanagement
- Incident Response Management
- Auftrags- oder Vertragskontrolle
- Datenschutz durch Design & Standard
- Keine Verarbeitung durch Dritte ohne Weisung
- Kontrollen bei Auswahl von Dienstleistern
Anhang 2 – Weitere Unterauftragnehmer
Novathes setzt die folgenden Subunternehmer ein. Verarbeitung erfolgt innerhalb des EWR oder in Ländern mit Angemessenheitsbeschluss der EU.
| Unternehmen | Einsatzbereich | Standort |
|---|---|---|
| Amazon Web Services (AWS) | Cloud-Infrastruktur (Compute, Storage, Netzwerk) | EU-Rechenzentren (Frankfurt), Luxemburg |
| Microsoft (Azure) | Cloud-Infrastruktur (Compute, Storage, Netzwerk) | EU-Rechenzentren (Frankfurt), Niederlande |
| Google Cloud | Cloud-Infrastruktur (Compute, Storage, Netzwerk) | EU-Rechenzentren (Frankfurt), Irland |
| Unternehmen | Einsatzbereich | Standort |
|---|---|---|
| OpenAI | KI-gestützte Sprachverarbeitung und Textgenerierung für erweiterte Dialogfunktionen | OpenAI Ireland Ltd. 1st Floor, The Liffey Trust Centre 117–126 Sheriff Street Upper Dublin 1, Ireland |
| Zoho | Cloudlösung genutzt für die Akquise von Neukunden, die Pflege von Bestandskunden und Kundensupport | Zoho Corporation GMBH Trinkaustr. 7 40213 Düsseldorf, Deutschland |
| Stripe | Abwicklung von Kreditkartenzahlungen und bargeldlosen Zahlungen | Stripe Payments Europe, Limited 1 Grand Canal Street Lower Grand Canal Dock Dublin 2, Ireland |
| PayPal | Abwicklung von Kartenzahlungen und bargeldlosen Zahlungen | PayPal (Europe) S.à.r.l. et Cie 22–24 Boulevard Royal 2449 Luxemburg, Luxemburg |
| Telnyx | Sprach-, Messaging- und Netzwerk-APIs (inkl. Telefonie, SMS, VoIP) | Telnyx UK Limited 71–75 Shelton Street Cov Garden London, WC2H 9JQ, United Kingdom |
| LiveKit | Echtzeit-Audio- und Video-API-Plattform (WebRTC), ideal für Livestreaming, AI-Interaktionen | LiveKit Incorporated 4285 Payne Avenue, Suite 9154 San Jose, CA 95157, United States |
| Twilio | Cloud-Kommunikations-APIs (SMS, VoIP, WebRTC, 2-Faktor-Authentifizierung) | Twilio Ireland Limited 25–28 North Wall Quay Dublin 1, Ireland |
| Langfuse | Monitoring- und Observability-Lösung für KI-gestützte Anwendungen (Tracing, Logging, Analyse von LLM-Outputs) | Langfuse GmbH Chausseestraße 8 10115 Berlin, Deutschland |
| n8n | Automatisierungs- und Integrationsplattform (Workflow Automation, Datenverarbeitung zwischen Systemen) | n8n GmbH Novalisstraße 10 10115 Berlin, Deutschland |