Auftragsverarbeitungsvertrag
Last Updated April 3, 2026
§ 1 Geltungsbereich und Begriffsbestimmungen
(1) Diese Allgemeinen Geschäftsbedingungen zur Auftragsverarbeitung („AVV-AGB“) regeln die Verarbeitung personenbezogener Daten, die dem Auftragnehmer im Rahmen der Leistungserbringung an den Auftraggeber als Verantwortlichen im Sinne der Datenschutzgesetze (insb. Art. 4 Nr. 7 DSGVO) anvertraut werden.
(2) Auftraggeber im Sinne dieser AVV-AGB ist jede natürliche oder juristische Person, die mit der Melious AI GmbH (Universität des Saarlandes, Campus Starterzentrum, Geb. A1.2, 66123 Saarbrücken, vertreten durch die Geschäftsführung) einen Vertrag über Leistungen schließt, in deren Rahmen personenbezogene Daten im Auftrag verarbeitet werden.
(3) Auftragnehmer im Sinne dieser AVV-AGB ist die Melious AI GmbH.
§ 2 Vertragsgegenstand und Umfang der Beauftragung
(1) Gegenstand der Auftragsverarbeitung ist die unter dem zwischen den Parteien geschlossenen Hauptvertrag vereinbarte Verarbeitung personenbezogener Daten.
(2) Die Verarbeitung erfolgt ausschließlich auf Anweisung des Auftraggebers und im Rahmen der im Hauptvertrag und diesen AVV-AGB beschriebenen Zwecke und Modalitäten.
(3) Der Auftragnehmer ist berechtigt, personenbezogene Daten zu anonymisieren und/oder zu aggregieren, sofern dadurch eine Identifizierung betroffener Personen ausgeschlossen ist. Solche Daten unterfallen nicht mehr diesen AVV-AGB.
(4) Eigene Verarbeitungen des Auftragnehmers für eigene Zwecke erfolgen nur, soweit sie gesetzlich zulässig oder durch Einwilligung des Betroffenen gedeckt sind; solche Verarbeitungen sind nicht Gegenstand dieser AVV-AGB.
(5) Die Datenverarbeitung erfolgt grundsätzlich in der EU oder im EWR. Eine Verarbeitung in Drittstaaten bedarf gesonderter Information an den Auftraggeber und Einhaltung der einschlägigen DSGVO-Vorgaben (Art. 44 ff., Art. 49 DSGVO).
§ 3 Weisungs- und Kontrollrechte des Auftraggebers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur gemäß dokumentierten Weisungen des Auftraggebers, sofern keine anderweitige gesetzliche Verpflichtung besteht, in deren Fall der Auftraggeber über die bestehenden Vorgaben informiert wird (sofern nicht gesetzlich untersagt).
(2) Weisungen, die über die vertraglich geregelten Pflichten dieser AVV-AGB hinausgehen, bedürfen der Zustimmung des Auftragnehmers und können nach den im Hauptvertrag vorgesehenen Verfahren vereinbart werden.
(3) Erkennt der Auftragnehmer Verstöße von Weisungen gegen geltendes Recht, informiert er den Auftraggeber und ist berechtigt, die Ausführung bis zur Klärung auszusetzen. Die Verantwortung für die Rechtmäßigkeit einer Weisung trägt ausschließlich der Auftraggeber.
§ 4 Verantwortlichkeiten des Auftraggebers
(1) Der Auftraggeber ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung, die Qualität der bereitgestellten Daten und die Wahrung der Betroffenenrechte im Verhältnis zur betroffenen Person.
(2) Er stellt dem Auftragnehmer alle zur Vertragserfüllung notwendigen Angaben rechtzeitig und korrekt zur Verfügung.
(3) Er informiert den Auftragnehmer unverzüglich bei Feststellung von Fehlern oder Unregelmäßigkeiten der Datenverarbeitung.
(4) Der Auftraggeber stellt den Auftragnehmer auf erstes Anfordern von etwaigen Ansprüchen Dritter sowie etwaigen Geldbußen frei, soweit diese auf Fehler des Auftraggebers oder dessen Pflichtverletzungen beruhen.
§ 5 Verpflichtung zur Vertraulichkeit
Der Auftragnehmer verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit hinsichtlich personenbezogener Daten.
§ 6 Datensicherheit
(1) Der Auftragnehmer setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, um den Schutz personenbezogener Daten sicherzustellen.
(2) Änderungen der technischen und organisatorischen Maßnahmen sind zulässig, solange ein angemessenes Schutzniveau erhalten bleibt.
§ 7 Einsatz weiterer Auftragsverarbeiter
(1) Der Auftragnehmer ist berechtigt, mit allgemeiner Zustimmung des Auftraggebers weitere Auftragsverarbeiter (Unterauftragsverarbeiter) mit der Verarbeitung personenbezogener Daten zu betrauen. Die jeweils aktuellen Unterauftragsverarbeiter sind in einer stets aktuellen Liste auf der Plattform von Melious AI einsehbar (https://melious.ai/legal/subprocessors). Der Auftragnehmer stellt dem Auftraggeber auf Anforderung den Zugang zu dieser Liste zur Verfügung und informiert über wesentliche Änderungen.
(2) Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern unter Verweis auf die aktuelle Liste. Widerspricht der Auftraggeber einer geplanten Änderung nicht binnen 14 Tagen ab Zugang der Information, gilt die Zustimmung als erteilt. Im Falle eines begründeten Widerspruchs kann der Auftragnehmer den Vertrag mit einer Frist von drei Monaten kündigen.
(3) Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder sonstige Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann, sofern der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeber-Daten trifft.
(4) Weitere Auftragsverarbeiter sind nach Maßgabe des Art. 28 Abs. 3 DSGVO zu verpflichten. Der Auftragnehmer trägt dafür Sorge, dass mit jedem Unterauftragsverarbeiter ein den Vorgaben dieser AVV-AGB entsprechendes Schutzniveau vereinbart wird.
(5) Im Falle einer Übertragung in Drittstaaten bevollmächtigt der Auftraggeber den Auftragnehmer, im Namen des Auftraggebers mit Unterauftragsverarbeitern die erforderlichen Vereinbarungen (insbesondere EU-Standardvertragsklauseln) zu schließen. Der Auftraggeber wirkt an der Erfüllung etwaiger Mitwirkungspflichten im Rahmen des Art. 49 DSGVO mit.
§ 8 Rechte der betroffenen Personen
(1) Der Auftragnehmer wird den Auftraggeber mit technischen und organisatorischen Maßnahmen im Rahmen des Zumutbaren dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.
(2) Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
(3) Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten Auftraggeber-Daten, die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.
(4) Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten, Auftraggeber-Daten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.
(5) Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten nach Art. 20 DSGVO besitzt, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei der Bereitstellung der Auftraggeber-Daten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.
§ 9 Mitteilungs- und Unterstützungspflichten des Auftragnehmers
(1) Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeber-Daten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah über etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten unterstützen.
(2) Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
§ 10 Datenlöschung nach Vertragsende
(1) Nach Vertragsende werden personenbezogene Daten nach Maßgabe der gesetzlichen Vorgaben gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten bestehen.
(2) Dokumentationen zum Nachweis einer ordnungsgemäßen Verarbeitung können über das Vertragsende hinaus aufbewahrt werden.
§ 11 Kontroll- und Nachweispflichten
(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der DSGVO-Pflichten zur Verfügung.
(2) Der Auftraggeber kann eine Prüfung der Verarbeitung sowie der IT-Sicherheitsmaßnahmen (einschließlich Inspektionen nach Vorankündigung und unter Wahrung der Geschäftsgeheimnisse) durchführen, maximal einmal jährlich oder darüber hinaus gegen Kostenerstattung.
(3) Prüfungen durch Dritte unterliegen strenger Geheimhaltung; ein Einsatz von Wettbewerbern ist ausgeschlossen.
(4) Alternativ kann der Auftragnehmer eine Zertifizierung oder einen unabhängigen Prüfbericht vorlegen, wenn damit die Einhaltung der Pflichten nachvollziehbar nachgewiesen werden kann.
§ 12 Vertragsdauer und Kündigung
(1) Die vorliegenden AVV-AGB gelten für die Dauer des Hauptvertrags. Eine isolierte Kündigung dieser AVV-AGB ist nicht zulässig; endet der Hauptvertrag, enden auch diese AVV-AGB entsprechend.
§ 13 Haftung
(1) Es gelten die Haftungsregelungen gemäß Hauptvertrag.
(2) Der Auftraggeber verpflichtet sich zur Freistellung des Auftragnehmers von Ansprüchen Dritter und behördlichen Sanktionen, soweit diese auf Pflichtverletzungen des Auftraggebers beruhen.
§ 14 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieser AVV-AGB unwirksam sein oder werden, bleibt der Vertrag im Übrigen wirksam. Die unwirksame Regelung ist durch eine rechtlich zulässige Regelung zu ersetzen, die dem wirtschaftlichen Zweck am nächsten kommt und den Vorgaben des Art. 28 DSGVO genügt.
(2) Abweichende Regelungen zwischen diesen AVV-AGB und dem Hauptvertrag gehen die hier getroffenen Vereinbarungen vor.