Auftragsverarbeitungsvertrag (DPA)
Zuletzt aktualisiert: 24. Februar 2026
In Übereinstimmung mit Artikel 28 der Verordnung (EU) 2016/679 (GDPR).
Wer benötigt diesen DPA? Dieser Auftragsverarbeitungsvertrag gilt für Geschäftskunden („Verantwortliche“), die Veluvanto nutzen, um personenbezogene Daten ihrer eigenen Kunden, Mitarbeiter oder anderer Personen im Rahmen ihrer Geschäftstätigkeit zu verarbeiten. Wenn Sie Veluvanto ausschließlich für den persönlichen Gebrauch nutzen, gilt die Standard-Datenschutzerklärungfindet Anwendung.
Durch die Nutzung von Veluvanto als Geschäftskunde erklären Sie sich mit den Bedingungen dieses DPA einverstanden. Für einen unterzeichneten DPA oder einen individuellen Enterprise-DPA kontaktieren Sie bitte legal@veluvanto.com.
1. Parteien und Definitionen
Dieser Auftragsverarbeitungsvertrag („DPA“) wird geschlossen zwischen:
- Verantwortlicher: Der Geschäftskunde oder die Organisation, die den Veluvanto-Nutzungsbedingungen zugestimmt hat und Veluvanto nutzt, um personenbezogene Daten im Auftrag ihres Unternehmens zu verarbeiten („Sie“).
- Auftragsverarbeiter: Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO: 249 15 122 („Veluvanto“, „wir“, „uns“).
Begriffe, die hier nicht definiert sind, haben die in der GDPR (Verordnung (EU) 2016/679) festgelegte Bedeutung.
2. Gegenstand und Art der Verarbeitung
Veluvanto verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bereitstellung von Dokumentenmanagement-Diensten, einschließlich:
- Speicherung und Indexierung der vom Verantwortlichen hochgeladenen Dokumente
- KI-gestützte Analyse, Kategorisierung und Metadaten-Extraktion von Dokumenten
- Volltext- und semantische Suche über Dokumente hinweg
- Antworten des KI-Chat-Assistenten basierend auf Dokumenteninhalten
- Übersetzung und Zusammenfassung von Dokumenten
- Automatisierte Erinnerungen basierend auf Dokumenteninhalten
- Alle weiteren in der Veluvanto-Servicedokumentation beschriebenen Funktionen
3. Kategorien verarbeiteter personenbezogener Daten
legal.dpa.section3.prose
Besondere Kategorien von Daten:Der Verantwortliche sollte keine Dokumente hochladen, die besondere Kategorien personenbezogener Daten (Gesundheitsdaten, rassische/ethnische Herkunft usw.) gemäß Artikel 9 DSGVO enthalten, es sei denn, er hat die vorherige schriftliche Zustimmung von Veluvanto eingeholt und verfügt über eine entsprechende Rechtsgrundlage für eine solche Verarbeitung. Kontaktieren Sielegal@veluvanto.com für spezifische Vereinbarungen.
4. Kategorien betroffener Personen
Zu den betroffenen Personen, deren personenbezogene Daten verarbeitet werden können, gehören: Kunden, Lieferanten, Geschäftspartner, Mitarbeiter, Auftragnehmer des Verantwortlichen oder alle anderen Personen, deren personenbezogene Daten in den zu Veluvanto hochgeladenen Dokumenten erscheinen.
5. Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer der Veluvanto-Servicevereinbarung. Nach Beendigung der Vereinbarung werden die Daten wie in Abschnitt 12 (Rückgabe und Löschung von Daten) beschrieben behandelt.
6. Pflichten des Auftragsverarbeiters (Veluvanto)
Veluvanto (als Auftragsverarbeiter) wird:
- personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (die Nutzungsbedingungen und dieser DPA stellen solche Weisungen dar)
- Sicherstellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind
- Geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren (Artikel 32 DSGVO)
- Keine Unterauftragsverarbeiter ohne vorherige spezifische oder allgemeine Genehmigung des Verantwortlichen beauftragen (siehe Abschnitt 9 für die aktuelle Liste der genehmigten Unterauftragsverarbeiter)
- Den Verantwortlichen bei der Erfüllung von Anfragen zu Betroffenenrechten unterstützen (Artikel 15–22 DSGVO)
- Den Verantwortlichen bei Sicherheitsverpflichtungen, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden unterstützen
- Nach Beendigung des Dienstes alle personenbezogenen Daten löschen oder zurückgeben (siehe Abschnitt 12)
- Dem Verantwortlichen alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung von Artikel 28 DSGVO erforderlich sind
- Den Verantwortlichen unverzüglich (innerhalb von 72 Stunden nach Bekanntwerden) über eine Verletzung des Schutzes personenbezogener Daten informieren
7. Pflichten des Verantwortlichen
Der Verantwortliche wird:
- Sicherstellen, dass eine gültige Rechtsgrundlage für die Verarbeitung der zu Veluvanto hochgeladenen personenbezogenen Daten besteht
- Betroffene Personen über die Verarbeitung informieren (einschließlich der Nutzung von Veluvanto als Auftragsverarbeiter)
- Sicherstellen, dass die Veluvanto zur Verfügung gestellten personenbezogenen Daten korrekt und relevant sind
- Veluvanto nicht anweisen, personenbezogene Daten in einer Weise zu verarbeiten, die gegen die DSGVO oder geltendes Recht verstößt
- Ihren eigenen Verpflichtungen als Verantwortlicher gemäß DSGVO nachkommen
8. Technische und organisatorische Sicherheitsmaßnahmen
Veluvanto implementiert die folgenden Sicherheitsmaßnahmen zum Schutz personenbezogener Daten:
8.1 Verschlüsselung
- Datenübertragung: TLS 1.2+ Verschlüsselung für alle Datentransfers
- Gespeicherte Daten: AES-256 Verschlüsselung für gespeicherte Daten und Dokumente
8.2 Zugriffskontrollen
- Rollenbasierte Zugriffskontrolle (RBAC) für alle Systemzugriffe
- Multi-Faktor-Authentifizierung für administrativen Zugriff erforderlich
- Prinzip der minimalen Rechtevergabe für das gesamte Personal
- Zugriffsprotokolle für alle Datenzugriffe
8.3 Infrastruktursicherheit
- Dokumente und Daten werden im Backblaze B2 Object Storage in EU-Rechenzentren (Amsterdam, Niederlande) gespeichert; Backblaze verfügt über eine SOC 2 Type II Zertifizierung
- Anwendungsserver werden auf der Infrastruktur der Hetzner Online GmbH in EU-Rechenzentren (Deutschland/Finnland) gehostet; Hetzner ist nach ISO/IEC 27001:2022 zertifiziert (SOCOTEC, gültig 2025–2028)
- Regelmäßige Sicherheitsbewertungen und Penetrationstests
- Verfahren zum Schwachstellen- und Patch-Management
- DDoS-Schutz und Überwachung der Netzwerksicherheit
8.4 Organisatorische Maßnahmen
- Vertraulichkeitsvereinbarungen für Mitarbeiter und Datenschutzschulungen
- Verfahren zur Reaktion auf Vorfälle und Plan zur Meldung von Datenschutzverletzungen
- Prinzipien der Datenminimierung im gesamten Dienst
9. Unterauftragsverarbeiter
Durch die Annahme dieses DPA erteilt der Verantwortliche Veluvanto die allgemeine Genehmigung, die folgenden Kategorien von Unterauftragsverarbeitern zu beauftragen:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Google LLC | Identitätsanbieter (OAuth-Authentifizierung) | USA (SCC) |
| Microsoft Corporation | Identitätsanbieter (OAuth-Authentifizierung) | EU/USA (Microsoft Data Protection Addendum gilt) |
| Paddle.com Market Ltd. | Zahlungsabwicklung (Merchant of Record) | UK (UK-Angemessenheitsbeschluss) |
| Google LLC (Vertex AI) | KI-Modell-Inferenz (Gemini-Modelle) für Dokumentenverarbeitung, semantische Suche und KI-Chat | EU (Google Cloud Region europe-west; kein Transfer außerhalb des EWR; Google Cloud Data Processing Addendum gilt; API-Daten werden standardmäßig nicht für das Modelltraining verwendet) |
| Backblaze, Inc. | Primärer Objektspeicher für Dokumente und Backups (B2 Cloud Storage) | EU (Amsterdam, Niederlande; SOC 2 Type II zertifiziert) |
| IDrive, Inc. | Objektspeicher für Disaster Recovery | EU (Frankfurt, Deutschland) |
| Hetzner Online GmbH | Cloud-Infrastruktur und Anwendungsserver | EU (Deutschland / Finnland; ISO/IEC 27001:2022 zertifiziert) |
| Cloudflare, Inc. | Content Delivery Network, DDoS-Schutz und Netzwerksicherheit (verarbeitet HTTP-Anfrage-Metadaten: IP-Adressen, User-Agent-Strings, Zeitstempel) | USA (SCC) |
Veluvanto wird den Verantwortlichen über beabsichtigte Änderungen an den Unterauftragsverarbeitern informieren, indem diese Liste mit einer Frist von mindestens 14 Tagen aktualisiert wird (per E-Mail oder Website-Update). Der Verantwortliche kann innerhalb von 14 Tagen nach der Benachrichtigung Widerspruch gegen neue Unterauftragsverarbeiter einlegen. Wenn Veluvanto dem Widerspruch nicht abhelfen kann, kann der Verantwortliche den Dienst kündigen.
Alle Unterauftragsverarbeiter sind durch Auftragsverarbeitungsverträge gebunden, die gleichwertige Datenschutzverpflichtungen wie dieser DPA enthalten.
10. Internationale Datentransfers
Soweit personenbezogene Daten an Unterauftragsverarbeiter außerhalb des EWR übertragen werden, sind diese Übertragungen durch von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs) (Durchführungsbeschluss (EU) 2021/914 der Kommission) oder andere angemessene Garantien gemäß Artikel 46 GDPR geschützt. Der Verantwortliche kann Kopien dieser Garantien anfordern bei legal@veluvanto.com.
11. Unterstützung bei Betroffenenrechten
Veluvanto unterstützt den Verantwortlichen bei der Erfüllung von Anträgen auf Betroffenenrechte gemäß den GDPR-Artikeln 15–22. Sofern technisch machbar, kann der Verantwortliche viele Rechte direkt über die Veluvanto-Anwendung erfüllen (z. B. Datenexport, Kontolöschung).
Für Anfragen, die eine direkte Beteiligung von Veluvanto erfordern, kontaktieren Sie bitte privacy@veluvanto.com. Veluvanto wird innerhalb von 5 Werktagen antworten und Unterstützung in einem Zeitrahmen leisten, der es dem Verantwortlichen ermöglicht, die GDPR-Antwortfristen einzuhalten.
12. Rückgabe und Löschung von Daten
Nach Beendigung des Dienstes oder auf Anfrage des Verantwortlichen:
- Datenexport: Der Verantwortliche kann alle Dokumente und Daten jederzeit während der Vertragslaufzeit über die Exportfunktion der Anwendung exportieren.
- Löschung nach Beendigung: Innerhalb von 30 Tagen nach der Kontolöschung oder Beendigung des Dienstes wird Veluvanto alle personenbezogenen Daten, einschließlich Dokumente, Metadaten und AI-generierter Inhalte, dauerhaft löschen, es sei denn, eine Aufbewahrung ist nach geltendem Recht erforderlich.
- Bestätigung: Auf Anfrage stellt Veluvanto eine schriftliche Bestätigung der Löschung zur Verfügung.
Abrechnungsunterlagen und gesetzlich vorgeschriebene Audit-Logs können gemäß dem tschechischen Rechnungslegungsgesetz (Gesetz Nr. 563/1991 Slg.) bis zu 10 Jahre lang aufbewahrt werden.
13. Audit-Rechte
Veluvanto stellt alle erforderlichen Informationen zum Nachweis der Einhaltung dieses DPA zur Verfügung. Der Verantwortliche kann eine Überprüfung der Datenverarbeitungsaktivitäten von Veluvanto anfordern durch:
- Anforderung von Dokumentationen über Sicherheitsmaßnahmen und Compliance-Berichte
- Anforderung von Audit-Berichten Dritter (ISO 27001-Zertifizierung, SOC 2 usw.), sofern verfügbar
- Durchführung von Audits oder Inspektionen nach Terminvereinbarung (mit einer Frist von mindestens 30 Tagen, auf Kosten des Verantwortlichen und vorbehaltlich angemessener Vertraulichkeitsverpflichtungen)
14. Benachrichtigung bei Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betrifft, wird Veluvanto den Verantwortlichen unverzüglich und innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen. Die Benachrichtigung enthält verfügbare Informationen über: die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen. Zusätzliche Informationen werden bereitgestellt, sobald sie verfügbar sind.
15. Anwendbares Recht
Dieser DPA unterliegt dem Recht der Tschechischen Republik und dem geltenden EU-Recht, einschließlich der DSGVO. Alle Streitigkeiten werden gemäß den Bestimmungen zum anwendbaren Recht in den Veluvanto-Nutzungsbedingungen beigelegt.
16. Unterzeichnetes DPA
Falls Ihre Organisation einen separat ausgefertigten, unterzeichneten DPA benötigt (z. B. für Compliance-Anforderungen in Unternehmen), kontaktieren Sie uns bitte unterlegal@veluvanto.com. Wir werden innerhalb einer angemessenen Frist ein unterzeichnetes Exemplar zur Verfügung stellen.
17. Kontakt
Für alle Anfragen im Zusammenhang mit dem DPA:
Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-Mail: legal@veluvanto.com
Datenschutz: privacy@veluvanto.com