Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
Vorlage für die Verarbeitung personenbezogener Daten durch Seven Layers im Auftrag der Kanzlei
Dies ist die Standardvorlage von Seven Layers. Wir empfehlen, sie vor Unterzeichnung durch Ihren Datenschutzbeauftragten und/oder Ihre Rechtsberatung prüfen zu lassen; kundenspezifische Anpassungen sind gerne möglich. Wir veröffentlichen sie hier transparent, damit Ihre Evaluation keinen formularbasierten Zugriffsantrag voraussetzt.
1. Parteien
Auftraggeber (Verantwortlicher):
[Kanzlei-Name], [Anschrift], vertreten durch [Name/Funktion] — nachfolgend „Kanzlei“.
Auftragsverarbeiter:
Seven Layers GmbH (vormals VOUND BRAND UG, Umfirmierung läuft), [Anschrift], vertreten durch den Geschäftsführer — nachfolgend „Seven Layers“.
2. Gegenstand und Dauer der Verarbeitung
Gegenstand: Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung von Clara, einer KI-gestützten Telefonassistenz zur Entgegennahme eingehender Anrufe, Mandanten-Erstqualifizierung und Terminbuchung.
Dauer: Laufzeit des Hauptvertrags. Bei Beendigung gilt Ziffer 10.
3. Art, Zweck und Betroffenenkreise
| Kategorie | Inhalt |
|---|---|
| Art der Verarbeitung | Erhebung (Audio & Transkript), Verarbeitung in Echtzeit, strukturierte Speicherung des Fallprotokolls, Übermittlung an die Kanzlei, Löschung nach Fristablauf. |
| Zweck | Entgegennahme von Anrufen im Auftrag der Kanzlei, Vorqualifizierung von Mandaten, Terminbuchung, Übergabe strukturierter Fallprotokolle. |
| Betroffenenkreise | Anrufende Personen (Bestandsmandanten, potentielle Mandanten, Gegner, Gerichte, Dritte); Mitarbeiter/Partner der Kanzlei. |
| Datenkategorien | Name, Kontaktdaten, Gesprächsinhalt, Zeitstempel, zugeordnetes Rechtsgebiet, ggf. Gesundheits- und Strafrechtsangaben nach Art. 9 DSGVO, ggf. Berufsgeheimnisse nach § 203 StGB. |
| Ort der Verarbeitung | TÜV-auditiertes Tier-1-Rechenzentrum in Deutschland (EU-Anbieter). LLM-Inference ausschließlich über einen EU-begrenzten Enterprise-Gateway. Namentliche Anbieter mit Vertragsstatus in Anlage 3. |
4. Rechte und Pflichten der Kanzlei
Die Kanzlei bleibt „Verantwortliche“ im Sinne der DSGVO und trägt die Verantwortung für die Zulässigkeit der Datenverarbeitung, die Wahrung der Rechte der Betroffenen (Art. 12-22 DSGVO) sowie die Erfüllung der Dokumentationspflichten (Art. 30 DSGVO).
5. Pflichten von Seven Layers
- Verarbeitung ausschließlich auf dokumentierte Weisung der Kanzlei. Eine Verarbeitung zu eigenen Zwecken — insbesondere zu Trainings- oder Produktverbesserungszwecken — findet nicht statt.
- Umsetzung der in Anlage 1 (TOMs) beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO.
- Verpflichtung aller mit der Verarbeitung betrauten Personen auf Vertraulichkeit; für Berufsgeheimnisträger-Mandate zusätzlich Vertraulichkeitsvereinbarung nach § 203 Abs. 4 StGB (Anlage 2).
- Unterstützung der Kanzlei bei Anfragen Betroffener (Art. 15-22 DSGVO) sowie bei Meldepflichten nach Art. 33/34 DSGVO. Meldung einer Datenpanne an die Kanzlei unverzüglich, spätestens innerhalb von 24 Stunden.
- Keine Übermittlung personenbezogener Daten in Drittländer außerhalb EU/EWR ohne Vorliegen gültiger Standardvertragsklauseln und einer dokumentierten Transfer Impact Assessment.
6. Unterauftragsverarbeiter
Die Kanzlei stimmt der Einschaltung der in Anlage 3 genannten Unterauftragsverarbeiter zu. Seven Layers wird die Kanzlei über jede beabsichtigte Änderung mindestens 30 Tage im Voraus schriftlich informieren (siehe Sub-Processor Change Notification Policy). Die Kanzlei kann innerhalb von 14 Tagen aus wichtigem Grund widersprechen.
7. Kontrollrechte
Die Kanzlei ist berechtigt, sich von der Einhaltung der technischen und organisatorischen Maßnahmen vor Ort oder durch einen von ihr beauftragten Prüfer zu überzeugen. Alternative Nachweise: aktuelle ISO-27001-Zertifikate, SOC-2-Berichte, TÜV-Audits, Pentest-Berichte. Seven Layers stellt diese auf Anforderung zur Verfügung.
8. Haftung
Die Parteien haften gegenüber Betroffenen gesamtschuldnerisch nach Art. 82 DSGVO. Seven Layers unterhält eine Vermögensschaden-Haftpflicht mit einer Deckungssumme von 1.000.000 EUR je Schadenfall und 2.000.000 EUR aggregiert pro Jahr, mit affirmativer KI-Deckung im Bedingungswerk (Abschluss in Bindung, Zielstart Q2 2026).
9. Vergütung
Dieser AVV ist nicht separat zu vergüten; die Vergütung ist im Hauptvertrag geregelt.
10. Beendigung, Löschung und Rückgabe
Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten nach Wahl der Kanzlei entweder gelöscht oder zurückgegeben, spätestens innerhalb von 30 Tagen. Die Löschung ist der Kanzlei schriftlich zu bestätigen.
11. Schlussbestimmungen
Änderungen und Ergänzungen bedürfen der Schriftform. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gilt dieser AVV in Bezug auf die Auftragsverarbeitung vorrangig. Es gilt deutsches Recht; Gerichtsstand ist [Sitz der Kanzlei / Sitz von Seven Layers].
Anlagen
- Anlage 1: Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO — zugänglich über das Trust Center auf Anfrage.
- Anlage 2: Vertraulichkeitsvereinbarung nach § 203 Abs. 4 StGB.
- Anlage 3: Unterauftragsverarbeiter-Übersicht (rollenbasiert) — aktuelle rollenbasierte Übersicht im Trust Center; die namentliche Anbieterliste mit Vertragsdetails ist auf Anfrage erhältlich.