Skip to main content

Auftragsverarbeitungsvertrag (DPA)

Zuletzt aktualisiert: 24. Februar 2026

In Übereinstimmung mit Artikel 28 der Verordnung (EU) 2016/679 (GDPR).

Wer benötigt diesen DPA? Dieser Auftragsverarbeitungsvertrag gilt für Geschäftskunden („Verantwortliche“), die Veluvanto nutzen, um personenbezogene Daten ihrer eigenen Kunden, Mitarbeiter oder anderer Personen im Rahmen ihrer Geschäftstätigkeit zu verarbeiten. Wenn Sie Veluvanto ausschließlich für den persönlichen Gebrauch nutzen, gilt die Standard-Datenschutzerklärung.

Durch die Nutzung von Veluvanto als Geschäftskunde erklären Sie sich mit den Bedingungen dieses DPA einverstanden. Für einen unterzeichneten DPA oder einen individuellen Enterprise-DPA kontaktieren Sie bitte legal@veluvanto.com.

1. Parteien und Definitionen

Dieser Auftragsverarbeitungsvertrag („DPA“) wird geschlossen zwischen:

  • Verantwortlicher: Der Geschäftskunde oder die Organisation, die den Veluvanto-Nutzungsbedingungen zugestimmt hat und Veluvanto nutzt, um personenbezogene Daten im Auftrag ihres Unternehmens zu verarbeiten („Sie“).
  • Auftragsverarbeiter: Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO: 249 15 122 („Veluvanto“, „wir“, „uns“).

Begriffe, die hier nicht definiert sind, haben die in der GDPR (Verordnung (EU) 2016/679) festgelegte Bedeutung.

2. Gegenstand und Art der Verarbeitung

Veluvanto verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bereitstellung von Dokumentenmanagement-Diensten, einschließlich:

  • Speicherung und Indexierung der vom Verantwortlichen hochgeladenen Dokumente
  • KI-gestützte Analyse, Kategorisierung und Metadaten-Extraktion von Dokumenten
  • Volltext- und semantische Suche über Dokumente hinweg
  • Antworten des KI-Chat-Assistenten basierend auf Dokumenteninhalten
  • Übersetzung und Zusammenfassung von Dokumenten
  • Automatisierte Erinnerungen basierend auf Dokumenteninhalten
  • Alle weiteren in der Veluvanto-Servicedokumentation beschriebenen Funktionen

3. Kategorien verarbeiteter personenbezogener Daten

Diese Vereinbarung zur Auftragsverarbeitung (AVV) legt die Bedingungen fest, unter denen Veluvanto personenbezogene Daten im Auftrag des Kunden verarbeitet, um die Einhaltung von Art. 28 DSGVO zu gewährleisten.

Besondere Kategorien von Daten: Der Verantwortliche sollte keine Dokumente hochladen, die besondere Kategorien personenbezogener Daten (Gesundheitsdaten, rassische/ethnische Herkunft usw.) gemäß Artikel 9 GDPR enthalten, es sei denn, er hat die vorherige schriftliche Zustimmung von Veluvanto eingeholt und verfügt über eine entsprechende Rechtsgrundlage für eine solche Verarbeitung. Kontaktieren Sie legal@veluvanto.com für spezifische Vereinbarungen.

4. Kategorien betroffener Personen

Zu den betroffenen Personen, deren personenbezogene Daten verarbeitet werden können, gehören: Kunden, Lieferanten, Geschäftspartner, Mitarbeiter, Auftragnehmer des Verantwortlichen oder alle anderen Personen, deren personenbezogene Daten in den zu Veluvanto hochgeladenen Dokumenten erscheinen.

5. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer der Veluvanto-Servicevereinbarung. Nach Beendigung der Vereinbarung werden die Daten wie in Abschnitt 12 (Rückgabe und Löschung von Daten) beschrieben behandelt.

6. Pflichten des Auftragsverarbeiters (Veluvanto)

Veluvanto (als Auftragsverarbeiter) wird:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten (die Nutzungsbedingungen und dieser DPA stellen solche Weisungen dar)
  • Sicherstellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind
  • Geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren (Artikel 32 GDPR)
  • Keine Unterauftragsverarbeiter ohne vorherige spezifische oder allgemeine Genehmigung des Verantwortlichen beauftragen (siehe Abschnitt 9 für die aktuelle Liste der genehmigten Unterauftragsverarbeiter)
  • Den Verantwortlichen bei der Erfüllung von Anfragen zu Betroffenenrechten unterstützen (Artikel 15–22 GDPR)
  • Den Verantwortlichen bei Sicherheitsverpflichtungen, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden unterstützen
  • Nach Beendigung des Dienstes alle personenbezogenen Daten löschen oder zurückgeben (siehe Abschnitt 12)
  • Dem Verantwortlichen alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 GDPR erforderlich sind
  • Den Verantwortlichen unverzüglich (innerhalb von 72 Stunden nach Bekanntwerden) über eine Verletzung des Schutzes personenbezogener Daten informieren

7. Pflichten des Verantwortlichen

Der Verantwortliche wird:

  • Sicherstellen, dass eine gültige Rechtsgrundlage für die Verarbeitung der zu Veluvanto hochgeladenen personenbezogenen Daten besteht
  • Betroffene Personen über die Verarbeitung informieren (einschließlich der Nutzung von Veluvanto als Auftragsverarbeiter)
  • Sicherstellen, dass die Veluvanto zur Verfügung gestellten personenbezogenen Daten korrekt und relevant sind
  • Veluvanto nicht anweisen, personenbezogene Daten in einer Weise zu verarbeiten, die gegen die GDPR oder geltendes Recht verstößt
  • Seine eigenen Pflichten als Verantwortlicher gemäß GDPR erfüllen

8. Technische und organisatorische Sicherheitsmaßnahmen

Veluvanto implementiert die folgenden Sicherheitsmaßnahmen zum Schutz personenbezogener Daten:

8.1 Verschlüsselung

  • Datenübertragung: TLS 1.2+ Verschlüsselung für alle Datentransfers
  • Gespeicherte Daten: AES-256 Verschlüsselung für gespeicherte Daten und Dokumente

8.2 Zugriffskontrollen

  • Rollenbasierte Zugriffskontrolle (RBAC) für alle Systemzugriffe
  • Multi-Faktor-Authentifizierung für administrativen Zugriff erforderlich
  • Prinzip der minimalen Rechtevergabe für das gesamte Personal
  • Zugriffsprotokolle für alle Datenzugriffe

8.3 Infrastruktursicherheit

  • Dokumente und Daten werden im Backblaze B2 Object Storage in EU-Rechenzentren (Amsterdam, Niederlande) gespeichert; Backblaze verfügt über eine SOC 2 Type II Zertifizierung
  • Anwendungsserver werden auf der Infrastruktur der Hetzner Online GmbH in EU-Rechenzentren (Deutschland/Finnland) gehostet; Hetzner ist nach ISO/IEC 27001:2022 zertifiziert (SOCOTEC, gültig 2025–2028)
  • Regelmäßige Sicherheitsbewertungen und Penetrationstests
  • Verfahren zum Schwachstellen- und Patch-Management
  • DDoS-Schutz und Überwachung der Netzwerksicherheit

8.4 Organisatorische Maßnahmen

  • Vertraulichkeitsvereinbarungen für Mitarbeiter und Datenschutzschulungen
  • Verfahren zur Reaktion auf Vorfälle und Plan zur Meldung von Datenschutzverletzungen
  • Prinzipien der Datenminimierung im gesamten Dienst

9. Unterauftragsverarbeiter

Durch die Annahme dieses DPA erteilt der Verantwortliche Veluvanto die allgemeine Genehmigung, die folgenden Kategorien von Unterauftragsverarbeitern zu beauftragen:

Unterauftragsverarbeiter Zweck Standort
Google LLC Identitätsanbieter (OAuth-Authentifizierung) USA (SCC)
Microsoft Corporation Identitätsanbieter (OAuth-Authentifizierung) EU/USA (Microsoft Data Protection Addendum gilt)
Paddle.com Market Ltd. Zahlungsabwicklung (Merchant of Record) UK (UK-Angemessenheitsbeschluss)
Google LLC (Vertex AI) KI-Modell-Inferenz (Gemini-Modelle) für Dokumentenverarbeitung, semantische Suche und KI-Chat EU (Google Cloud Region europe-west; kein Transfer außerhalb des EWR; Google Cloud Data Processing Addendum gilt; API-Daten werden standardmäßig nicht für das Modelltraining verwendet)
Backblaze, Inc. Primärer Objektspeicher für Dokumente und Backups (B2 Cloud Storage) EU (Amsterdam, Niederlande; SOC 2 Type II zertifiziert)
IDrive, Inc. Objektspeicher für Disaster Recovery EU (Frankfurt, Deutschland)
Hetzner Online GmbH Cloud-Infrastruktur und Anwendungsserver EU (Deutschland / Finnland; ISO/IEC 27001:2022 zertifiziert)
Cloudflare, Inc. Content Delivery Network, DDoS-Schutz und Netzwerksicherheit (verarbeitet HTTP-Anfrage-Metadaten: IP-Adressen, User-Agent-Strings, Zeitstempel) USA (SCC)

Veluvanto wird den Verantwortlichen über beabsichtigte Änderungen an den Unterauftragsverarbeitern informieren, indem diese Liste mit einer Frist von mindestens 14 Tagen aktualisiert wird (per E-Mail oder Website-Update). Der Verantwortliche kann innerhalb von 14 Tagen nach der Benachrichtigung Widerspruch gegen neue Unterauftragsverarbeiter einlegen. Wenn Veluvanto dem Widerspruch nicht abhelfen kann, kann der Verantwortliche den Dienst kündigen.

Alle Unterauftragsverarbeiter sind durch Auftragsverarbeitungsverträge gebunden, die gleichwertige Datenschutzverpflichtungen wie dieser DPA enthalten.

10. Internationale Datentransfers

Soweit personenbezogene Daten an Unterauftragsverarbeiter außerhalb des EWR übertragen werden, sind diese Übertragungen durch von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs) (Durchführungsbeschluss (EU) 2021/914 der Kommission) oder andere angemessene Garantien gemäß Artikel 46 GDPR geschützt. Der Verantwortliche kann Kopien dieser Garantien anfordern bei legal@veluvanto.com.

11. Unterstützung bei Betroffenenrechten

Veluvanto unterstützt den Verantwortlichen bei der Erfüllung von Anträgen auf Betroffenenrechte gemäß den GDPR-Artikeln 15–22. Sofern technisch machbar, kann der Verantwortliche viele Rechte direkt über die Veluvanto-Anwendung erfüllen (z. B. Datenexport, Kontolöschung).

Für Anfragen, die eine direkte Beteiligung von Veluvanto erfordern, kontaktieren Sie bitte privacy@veluvanto.com. Veluvanto wird innerhalb von 5 Werktagen antworten und Unterstützung in einem Zeitrahmen leisten, der es dem Verantwortlichen ermöglicht, die GDPR-Antwortfristen einzuhalten.

12. Rückgabe und Löschung von Daten

Nach Beendigung des Dienstes oder auf Anfrage des Verantwortlichen:

  • Datenexport: Der Verantwortliche kann alle Dokumente und Daten jederzeit während der Vertragslaufzeit über die Exportfunktion der Anwendung exportieren.
  • Löschung nach Beendigung: Innerhalb von 30 Tagen nach der Kontolöschung oder Beendigung des Dienstes wird Veluvanto alle personenbezogenen Daten, einschließlich Dokumente, Metadaten und AI-generierter Inhalte, dauerhaft löschen, es sei denn, eine Aufbewahrung ist nach geltendem Recht erforderlich.
  • Bestätigung: Auf Anfrage stellt Veluvanto eine schriftliche Bestätigung der Löschung zur Verfügung.

Abrechnungsunterlagen und gesetzlich vorgeschriebene Audit-Logs können gemäß dem tschechischen Rechnungslegungsgesetz (Gesetz Nr. 563/1991 Slg.) bis zu 10 Jahre lang aufbewahrt werden.

13. Audit-Rechte

Veluvanto stellt alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses DPA nachzuweisen. Der Verantwortliche kann eine Überprüfung der Datenverarbeitungsaktivitäten von Veluvanto verlangen durch:

  • Anforderung von Dokumentationen über Sicherheitsmaßnahmen und Compliance-Berichte
  • Anforderung von Audit-Berichten Dritter (ISO 27001-Zertifizierung, SOC 2 usw.), sofern verfügbar
  • Durchführung von Audits oder Inspektionen nach Terminvereinbarung (mit einer Frist von mindestens 30 Tagen, auf Kosten des Verantwortlichen und vorbehaltlich angemessener Vertraulichkeitsverpflichtungen)

14. Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betrifft, wird Veluvanto den Verantwortlichen unverzüglich und innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen. Die Benachrichtigung enthält verfügbare Informationen über: die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen. Zusätzliche Informationen werden bereitgestellt, sobald sie verfügbar sind.

15. Anwendbares Recht

Dieses DPA unterliegt dem Recht der Tschechischen Republik und dem geltenden EU-Recht, einschließlich der GDPR. Alle Streitigkeiten werden in Übereinstimmung mit den Bestimmungen zum anwendbaren Recht der Veluvanto-Nutzungsbedingungen beizulegen.

16. Unterzeichnetes DPA

Wenn Ihre Organisation ein separat ausgeführtes, unterzeichnetes DPA benötigt (z. B. für Enterprise-Compliance-Anforderungen), kontaktieren Sie uns bitte unter legal@veluvanto.com. Wir werden innerhalb einer angemessenen Frist ein unterzeichnetes Exemplar zur Verfügung stellen.

17. Kontakt

Für alle Anfragen im Zusammenhang mit dem DPA:

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-Mail: legal@veluvanto.com
Datenschutz: privacy@veluvanto.com