Sapericus

Gültig ab 29.04.2026

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag ("AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen, die sich aus der Nutzung der Dienste der Sapericus GmbH, Roßhaldeweg 8, 79100 Freiburg ("Sapericus"), durch [[Auftraggeber]], [[Auftraggeber Anschrift]] ("Auftraggeber"), ergeben. Der AVV wird mit Akzeptanz durch den Auftraggeber unmittelbar wirksam und gilt für die gesamte Dauer der Nutzung der Sapericus-Dienste durch den Auftraggeber.

1. Definitionen

(a) "Anwendbares Datenschutzrecht" bezeichnet alle anwendbaren Gesetze zum Schutz personenbezogener Daten, insbesondere die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 ("DSGVO") sowie das Bundesdatenschutzgesetz ("BDSG").

(b) "Beschreibung der Verarbeitung" bezeichnet die in Anlage A niedergelegte Beschreibung des Gegenstands, der Art und des Zwecks der Verarbeitung, der Datenkategorien und der Kategorien betroffener Personen.

(c) "Drittland" bezeichnet jeden Staat außerhalb des Europäischen Wirtschaftsraums (EWR), der nicht über einen Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 Abs. 3 DSGVO verfügt.

(d) "Drittlandtransfer" bezeichnet jede Übermittlung personenbezogener Daten in ein Drittland.

(e) "Personenbezogene Daten" bezeichnet im Rahmen dieses AVV die Organisations- und Kontodaten gemäß Anlage A, die Sapericus als Auftragsverarbeiter im Auftrag des Auftraggebers verarbeitet.

(f) "SCC" bezeichnet die Standardvertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der DSGVO.

(g) "Unterauftragsverarbeiter" bezeichnet jeden Dritten, den Sapericus mit der Durchführung von Teilen der Verarbeitung im Auftrag des Auftraggebers beauftragt.

(h) "Verletzung des Schutzes personenbezogener Daten" bezeichnet eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO).

(i) "Sapericus-Dienste" bezeichnet die von Sapericus dem Auftraggeber bereitgestellten Produkte und Dienstleistungen, einschließlich des KI-gestützten Coaching- und Dialogdienstes.

Die Begriffe "Verantwortlicher", "Auftragsverarbeiter", "betroffene Person" und "Verarbeitung" haben die Bedeutung des Anwendbaren Datenschutzrechts.

2. Rolle der Parteien und Gegenstand der Verarbeitung

2.1 Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Abs. 7 DSGVO. Sapericus verarbeitet die personenbezogenen Daten als Auftragsverarbeiter im Sinne von Art. 4 Nr. 2 DSGVO ausschließlich im Auftrag des Auftraggebers.

2.2 Der Umfang, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus der Beschreibung der Verarbeitung (Anlage A).

2.3 Sapericus verwendet weder die von diesem AVV erfassten personenbezogenen Daten noch die Inhaltsdaten der Nutzer zum Training, Fine-Tuning oder zur sonstigen Weiterentwicklung eigener oder fremder KI-Modelle. Diese Zusage gilt unabhängig von der datenschutzrechtlichen Rollenverteilung.

2.4 Verarbeitungen in eigener Verantwortung von Sapericus. Der Auftraggeber nimmt zur Kenntnis, dass Sapericus bestimmte Verarbeitungen als eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO durchführt. Diese Verarbeitungen sind nicht Gegenstand dieses AVV und unterliegen nicht den Weisungen des Auftraggebers. Hierzu gehören insbesondere:

  • die Verarbeitung der Inhaltsdaten der Nutzer (Coaching-Dialoge, Text-, Sprach- und Audio-Eingaben) – Sapericus bestimmt eigenständig Zwecke und Mittel dieser Verarbeitung und hat eine direkte Rechtsbeziehung zum Endnutzer über eigene Nutzungsbedingungen und Datenschutzhinweise (nähere Erläuterung in der Rollenabgrenzung),
  • Debugging und Produktsicherheit – Überwachung, Fehlerbehebung und Sicherstellung der Funktionsfähigkeit und Sicherheit der Sapericus-Dienste, einschließlich Missbrauchserkennung,
  • Eigene Betriebsprozesse – Kontoverwaltung, Abrechnung, Sicherheitsprotokollierung, Telemetrie sowie die Erstellung aggregierter oder anonymisierter Statistiken für die Weiterentwicklung der Sapericus-Dienste.

Die Rechtsgrundlage für diese Verarbeitungen ergibt sich unmittelbar aus dem Anwendbaren Datenschutzrecht (insbesondere Art. 6 Abs. 1 lit. b und f DSGVO) sowie, im Hinblick auf die Inhaltsdaten, aus den zwischen Sapericus und dem jeweiligen Endnutzer geschlossenen Vereinbarungen. Einer gesonderten Autorisierung durch den Auftraggeber bedarf es hierfür nicht.

2.5 Dieser AVV gilt für die gesamte Dauer der Nutzung der Sapericus-Dienste durch den Auftraggeber. Die Beendigung der Nutzung der Sapericus-Dienste beendet gleichzeitig diesen AVV. Das Recht zur außerordentlichen Kündigung dieses AVV bleibt hierdurch unberührt.

3. Weisungsbefugnis des Auftraggebers

3.1 Sapericus verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (einschließlich der Weisungen in diesem AVV und seinen Anlagen), sofern nicht Unionsrecht oder das Recht eines Mitgliedstaates, dem Sapericus unterliegt, eine abweichende Verarbeitung erfordert. In einem solchen Fall informiert Sapericus den Auftraggeber vorab über diese rechtliche Anforderung, soweit dies rechtlich zulässig ist.

3.2 Die Weisungen des Auftraggebers werden anfänglich durch diesen AVV festgelegt und können anschließend vom Auftraggeber schriftlich oder in Textform (z. B. E-Mail) durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Mündliche Weisungen sind vom Auftraggeber unverzüglich in Textform zu bestätigen. Weisungen, die im AVV nicht vorgesehen sind, werden als gesonderter Änderungsantrag behandelt.

3.3 Ist Sapericus der Auffassung, dass eine Weisung des Auftraggebers gegen die DSGVO oder sonstige Datenschutzbestimmungen der EU oder eines Mitgliedstaates verstößt, informiert Sapericus den Auftraggeber unverzüglich (Remonstrationspflicht). Sapericus ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wird.

3.4 Sapericus informiert den Auftraggeber unverzüglich, wenn Sapericus feststellt, dass es seinen Pflichten aus diesem AVV nicht mehr nachkommen kann, und ermöglicht dem Auftraggeber, angemessene Maßnahmen zu ergreifen.

4. Pflichten der Parteien

Pflichten von Sapericus

4.1 Sapericus stellt sicher, dass die zur Verarbeitung befugten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet wurden und mit den für sie relevanten Bestimmungen des Datenschutzes vertraut gemacht worden sind. Diese Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Auftragsverhältnisses fort.

4.2 Sapericus beschränkt den Zugriff auf personenbezogene Daten auf das zur Leistungserbringung erforderliche Minimum (Prinzip der geringsten Berechtigung).

4.3 Sapericus gewährleistet den gleichen Grad an Datenschutz, wie er vom Anwendbaren Datenschutzrecht gefordert wird, und kommt sämtlichen Pflichten nach, die ihm als Auftragsverarbeiter nach dem Anwendbaren Datenschutzrecht obliegen.

4.4 Datenschutzrelevante Anfragen und Koordinierungsaufgaben werden bei Sapericus zentral unter privacy@sapericus.ai entgegengenommen und bearbeitet. Sofern Sapericus nach Art. 37 DSGVO oder § 38 BDSG zur Benennung eines Datenschutzbeauftragten verpflichtet ist, werden dessen Kontaktdaten dort auf Anfrage mitgeteilt.

Pflichten des Auftraggebers

4.5 Der Auftraggeber kommt seinen Pflichten als Verantwortlicher nach dem Anwendbaren Datenschutzrecht nach. Dem Auftraggeber obliegt insbesondere die alleinige Verantwortung für die Rechtmäßigkeit der Datenübermittlung an Sapericus und deren Verarbeitung, einschließlich der Sicherstellung einer gültigen Rechtsgrundlage.

4.6 Der Auftraggeber informiert Sapericus unverzüglich und vollständig, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellt.

4.7 Der Auftraggeber stellt die Information der betroffenen Personen gemäß Art. 13 und 14 DSGVO sicher und holt, soweit erforderlich, die notwendigen Einwilligungen ein. Zur Klarstellung: Einwilligungen für die Verarbeitung der Inhaltsdaten der Nutzer (insbesondere besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO) werden von Sapericus als eigenständigem Verantwortlichen direkt beim Endnutzer eingeholt und sind nicht vom Auftraggeber zu veranlassen; die entsprechenden Informationen und Einwilligungsmechanismen sind in den Nutzungsbedingungen und der Datenschutzerklärung von Sapericus dokumentiert.

5. Betroffenenrechte

5.1 Der Auftraggeber ist dafür verantwortlich, (a) betroffenen Personen die nach dem Anwendbaren Datenschutzrecht erforderlichen Informationen bereitzustellen und (b) Anfragen betroffener Personen zur Ausübung ihrer Rechte im Zusammenhang mit der Verarbeitung zu beantworten.

5.2 Unter Berücksichtigung der Art der Verarbeitung unterstützt Sapericus den Auftraggeber auf dessen Anfrage in angemessenem Umfang bei der Erfüllung von Anfragen betroffener Personen, die ihre Rechte gemäß Kapitel III der DSGVO ausüben möchten ("Betroffenenanfragen").

5.3 Sollte eine Betroffenenanfrage unmittelbar an Sapericus gerichtet werden, wird Sapericus diese Anfrage ohne vorherige Zustimmung des Auftraggebers nicht direkt beantworten, es sei denn, Sapericus ist hierzu rechtlich verpflichtet. Sapericus wird die Anfrage unverzüglich an den Auftraggeber weiterleiten, der allein für deren Beantwortung verantwortlich ist. Soweit Sapericus rechtlich zur Beantwortung verpflichtet ist, informiert Sapericus den Auftraggeber hierüber unverzüglich, sofern dies rechtlich zulässig ist.

6. Sicherheit der Verarbeitung

6.1 Sapericus implementiert und unterhält unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Sapericus stellt durch geeignete Maßnahmen sicher, dass Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft gewährleistet sind.

6.2 Die aktuell getroffenen technischen und organisatorischen Maßnahmen sind in Anlage B beschrieben. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Sapericus kann alternative adäquate Maßnahmen umsetzen, sofern das Sicherheitsniveau der in Anlage B festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind vom Auftraggeber zu dokumentieren und dem Auftraggeber auf Anfrage mitzuteilen.

6.3 Sapericus kontrolliert regelmäßig die internen Prozesse sowie die Wirksamkeit der technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des Anwendbaren Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

7. Verletzung des Schutzes personenbezogener Daten

7.1 Sapericus informiert den Auftraggeber unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die die von diesem AVV erfasste Verarbeitung betrifft. Die Meldung von Sapericus stellt keine Anerkennung eines Verschuldens oder einer Haftung von Sapericus hinsichtlich der Verletzung dar.

7.2 Diese Meldung enthält, soweit die Informationen zum Zeitpunkt der Meldung verfügbar sind, mindestens:

  • den Namen und die Kontaktdaten der Anlaufstelle bei Sapericus, bei der weitere Informationen eingeholt werden können,
  • eine Beschreibung der Art der Verletzung, einschließlich – soweit möglich – der Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der betroffenen Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
  • eine Beschreibung der von Sapericus ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Nicht sofort verfügbare Informationen werden schrittweise nachgereicht, sobald sie vorliegen.

7.3 Auf schriftliche Anfrage des Auftraggebers unterstützt Sapericus den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der Sapericus verfügbaren Informationen in angemessenem Umfang bei der Erfüllung seiner Pflicht zur Benachrichtigung betroffener Personen (Art. 34 DSGVO) sowie bei der Abmilderung oder Behebung der Verletzung.

8. Unterauftragsverarbeiter

8.1 Der Auftraggeber erteilt Sapericus eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern im Sinne von Art. 28 Abs. 2 DSGVO. Als Unterauftragsverhältnisse im Sinne dieses AVV sind Dienstleistungen zu verstehen, die sich unmittelbar auf die Verarbeitung personenbezogener Daten beziehen. Nicht hierzu gehören Nebenleistungen wie etwa Telekommunikation, Post, Transportdienste, Wartung und Benutzerservice, soweit der Dienstleister nicht auf personenbezogene Daten des Auftraggebers zugreift. Die aktuelle Liste der genehmigten Unterauftragsverarbeiter ergibt sich aus Anlage C.

8.2 Sapericus informiert den Auftraggeber mindestens 30 Kalendertage vor Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters in Textform. Der Auftraggeber kann innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund in Textform widersprechen. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung zur Änderung als erteilt. Besteht ein wichtiger datenschutzrechtlicher Grund und können die Parteien keine einvernehmliche Lösung finden, ist jede Partei berechtigt, die betroffenen Leistungen mit einer Frist von 30 Tagen zu kündigen.

8.3 Die Frist von 30 Tagen verkürzt sich auf eine angemessene Frist, sofern außergewöhnliche Umstände eintreten, die ein Zuwarten für Sapericus unzumutbar machen. In diesem Fall steht es dem Auftraggeber frei, die durch den neuen Unterauftragsverarbeiter betroffene Verarbeitung für den Zeitraum auszusetzen, bis Sapericus seiner Informationspflicht nach Abschnitt 8.2 nachkommt. Die Informationspflicht gilt mit Versand der Mitteilung in Textform an die vom Auftraggeber zuletzt benannte Kontaktadresse als erfüllt. Der Versand ist auf Verlangen durch Sapericus nachzuweisen.

8.4 Sapericus schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der diesem datenschutzrechtliche Pflichten auferlegt, die den Pflichten dieses AVV im Wesentlichen entsprechen, und insbesondere hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten. Das Datenschutzniveau dieser Vereinbarung darf dabei nicht unterschritten werden.

8.5 Sapericus bleibt dem Auftraggeber gegenüber für die Einhaltung der datenschutzrechtlichen Pflichten durch den Unterauftragsverarbeiter nach Maßgabe von Art. 28 Abs. 4 DSGVO verantwortlich. Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet Sapericus dem Auftraggeber gegenüber für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

8.6 Die zum Zeitpunkt des Vertragsschlusses in Anlage C aufgeführten Unterauftragsverarbeiter gelten als genehmigt. Spätere Hinzufügungen oder Ersetzungen gelten nach Ablauf der Frist gemäß Abschnitt 8.2 ohne Widerspruch ebenfalls als genehmigt und werden in Anlage C nachgeführt.

9. Drittlandtransfers

9.1 Die Verarbeitung findet grundsätzlich ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

9.2 Jede Übermittlung personenbezogener Daten in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

9.3 Sapericus teilt dem Auftraggeber vorab mit, um welche(n) Drittstaat(en) es sich handelt und auf welche Weise das angemessene Schutzniveau im Sinne von Art. 44 ff. DSGVO für die Verarbeitung dort sichergestellt ist. Sapericus verpflichtet sich, dem Auftraggeber auf Anfrage Nachweise über die implementierten Garantien zur Verfügung zu stellen.

9.4 Das angemessene Schutzniveau für die Verarbeitung in einem Drittland wird durch eine der folgenden Maßnahmen sichergestellt:

  • Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO),
  • Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, gegebenenfalls einschließlich zusätzlicher Schutzmaßnahmen,
  • verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b i. V. m. Art. 47 DSGVO),
  • genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e i. V. m. Art. 40 DSGVO), oder
  • genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f i. V. m. Art. 42 DSGVO).

9.5 Bei Einsatz eines Unterauftragsverarbeiters in einem Drittland enthält die Mitteilung nach Abschnitt 8.2 zusätzlich Angaben zum Drittland und zum eingesetzten Transfermechanismus.

10. Nachweise und Audits

10.1 Sapericus stellt dem Auftraggeber auf schriftliches Verlangen die zur Nachweisführung nach Art. 28 Abs. 3 lit. h DSGVO erforderlichen Informationen und Dokumente in angemessenem Umfang und zeitnah zur Verfügung, vorbehaltlich von Vertraulichkeits- und Geschäftsgeheimnisinteressen.

10.2 Der Nachweis der Einhaltung der in diesem AVV niedergelegten Pflichten kann wahlweise erfolgen durch:

  • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO,
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO,
  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Datenschutzauditoren, IT-Sicherheitsabteilung), oder
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach ISO 27001, ISO 27018, ISO 27701).

10.3 Nur soweit eine Dokumentenprüfung nach Abschnitt 10.1 den Auftraggeber nicht hinreichend von der Einhaltung dieses AVV überzeugen kann, kann der Auftraggeber höchstens einmal pro Kalenderjahr eine Vor-Ort-Prüfung verlangen. Diese setzt voraus:

  • eine angemessene schriftliche Vorankündigung von mindestens 90 Kalendertagen,
  • die Durchführung durch einen unabhängigen, zur Vertraulichkeit verpflichteten Prüfer, der kein unmittelbarer Wettbewerber von Sapericus ist und von den Parteien gemeinsam bestimmt wird,
  • die Durchführung während der üblichen Geschäftszeiten ohne unverhältnismäßige Störung des Betriebsablaufs von Sapericus,
  • die Beschränkung der Prüfungsergebnisse auf nur solche Informationen, die für den Auftraggeber relevant sind.

Der Auftraggeber ist verpflichtet, beauftragte Dritte zur Verschwiegenheit zu verpflichten. Sapericus hat das Recht, zusätzlich die Abgabe einer separaten Verschwiegenheitserklärung zu verlangen. Die Ergebnisse der Prüfung gelten als vertrauliche Informationen von Sapericus. Ausgenommen von der Beschränkung auf eine jährliche Prüfung sind anlassbezogene Kontrollen. Die Kosten der Prüfung trägt der Auftraggeber, es sei denn, die Prüfung weist einen erheblichen Verstoß von Sapericus nach.

11. Weitere Unterstützungspflichten

11.1 Unter Berücksichtigung der Art der Verarbeitung und der Sapericus verfügbaren Informationen unterstützt Sapericus den Auftraggeber auf dessen schriftliche Anfrage in angemessenem und wirtschaftlich zumutbarem Umfang bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten. Hierzu gehören insbesondere:

  • die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen (Art. 32 DSGVO),
  • die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an die betroffenen Personen (Art. 33, 34 DSGVO),
  • die Unterstützung des Auftraggebers im Rahmen seiner Informationspflicht gegenüber betroffenen Personen,
  • die Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO),
  • die Unterstützung bei vorherigen Konsultationen mit der Aufsichtsbehörde (Art. 36 DSGVO).

11.2 Für Unterstützungsleistungen, die über die gesetzlichen Pflichten von Sapericus hinausgehen und nicht auf ein Fehlverhalten von Sapericus zurückzuführen sind, kann Sapericus eine angemessene Vergütung auf Basis des üblichen Stundensatzes beanspruchen.

12. Zusammenarbeit mit Aufsichtsbehörden

12.1 Der Auftraggeber und Sapericus arbeiten auf Anfrage mit der zuständigen Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

12.2 Sapericus informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie die unter diesem AVV erfolgende Verarbeitung betreffen. Dies gilt nicht, soweit Sapericus durch gesetzliche Regelungen, behördliche oder gerichtliche Anordnung zur Verschwiegenheit verpflichtet ist.

12.3 Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei Sapericus ausgesetzt ist, hat ihn Sapericus in angemessenem Umfang zu unterstützen.

13. Löschung und Rückgabe personenbezogener Daten

13.1 Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

13.2 Nach Beendigung dieses AVV löscht Sapericus sämtliche personenbezogenen Daten, die im Auftrag des Auftraggebers verarbeitet werden, innerhalb von 30 Tagen, sofern der Auftraggeber nicht zuvor die Rückgabe in einem maschinenlesbaren Format verlangt. Datenträger sowie sämtliche Dokumente sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben, sofern sie im Eigentum des Auftraggebers sind, oder datenschutzkonform zu löschen.

13.3 Daten in Sicherungskopien werden im Rahmen der regulären Backup-Rotation gelöscht, spätestens innerhalb von 6 Monaten. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

13.4 Sofern eine datenschutzkonforme Löschung nicht möglich ist, stellt Sapericus eine datenschutzkonforme Vernichtung der Datenträger und Unterlagen sicher, die die vertragsgegenständlichen Daten enthalten.

13.5 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch Sapericus entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Sapericus kann diese Dokumentation zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

14. Allgemeines

14.1 Laufzeit

Dieser AVV tritt mit Akzeptanz in Kraft und gilt für die Dauer der von ihm erfassten Verarbeitung.

14.2 Haftung und Freistellung

14.2.1 Die Haftung der Parteien gegenüber betroffenen Personen nach Art. 82 DSGVO bleibt unberührt.

14.2.2 Im Innenverhältnis gilt: Sapericus haftet gegenüber dem Auftraggeber für Schäden aus der Verletzung von Pflichten dieses AVV nur bei Vorsatz und grober Fahrlässigkeit. Bei einfacher Fahrlässigkeit haftet Sapericus ausschließlich für die Verletzung wesentlicher Vertragspflichten (sog. Kardinalpflichten); in diesem Fall ist die Haftung der Höhe nach auf den bei Abschluss dieses AVV typischerweise vorhersehbaren Schaden begrenzt. Die Haftung für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie nach zwingenden gesetzlichen Vorschriften bleibt unberührt.

14.2.3 Der Auftraggeber stellt Sapericus von sämtlichen Ansprüchen Dritter, insbesondere betroffener Personen und Aufsichtsbehörden, frei, die darauf beruhen, dass der Auftraggeber seinen Pflichten als Verantwortlicher nach diesem AVV oder dem Anwendbaren Datenschutzrecht nicht nachgekommen ist, insbesondere wegen fehlender oder unzureichender Rechtsgrundlage, unterbliebener Information der betroffenen Personen oder rechtswidriger Weisungen. Die Freistellung umfasst die angemessenen Kosten der Rechtsverteidigung.

14.2.4 Sofern zwischen den Parteien eine gesonderte Vereinbarung über die Nutzung der Sapericus-Dienste besteht (z. B. ein Hauptvertrag, Rahmenvertrag, Nutzungsvertrag oder Allgemeine Geschäftsbedingungen) und diese Haftungsregelungen oder -beschränkungen enthält, gelten diese ergänzend auch für die Verarbeitung nach diesem AVV, soweit das Anwendbare Datenschutzrecht dies zulässt. Besteht keine solche Vereinbarung, verbleibt es bei den Regelungen dieses AVV und den anwendbaren gesetzlichen Vorschriften.

14.3 Verwahrung der Daten

Sollten die personenbezogenen Daten des Auftraggebers bei Sapericus aufgrund von Pfändung, Beschlagnahme, einem Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat Sapericus den Auftraggeber unverzüglich darüber zu informieren. Sapericus wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegen.

14.4 Textformerfordernis

Änderungen und Ergänzungen dieses AVV sowie dessen Bestandteile, einschließlich etwaiger Zusicherungen von Sapericus, bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann. Dabei ist ausdrücklich kenntlich zu machen, dass es sich um eine Änderung oder Ergänzung dieser Bedingungen handelt.

14.5 Elektronischer Abschluss

Dieser AVV kann elektronisch über das Akzeptanzformular auf legal.sapericus.ai abgeschlossen werden.

14.6 Aktualisierung der Anlagen

Sapericus kann die Anlagen von Zeit zu Zeit aktualisieren, sofern das Schutzniveau nicht wesentlich abgesenkt wird. Wesentliche Änderungen an der Liste der Unterauftragsverarbeiter unterliegen dem Verfahren nach Abschnitt 8.2.

14.7 Vorrang von Datenschutzregelungen

Im Fall von Widersprüchen zwischen den Regelungen dieses AVV zum Datenschutz und sonstigen zwischen den Parteien bestehenden Vereinbarungen gehen die Regelungen dieses AVV vor.

14.8 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchsetzbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich, die unwirksame oder undurchsetzbare Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahe kommt.

14.9 Rechtswahl und Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Ist der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist ausschließlicher Gerichtsstand Freiburg im Breisgau. Vorrangige gesetzliche Vorschriften, insbesondere zu ausschließlichen Zuständigkeiten, bleiben unberührt.

14.10 Anlagen

Die Anlagen (Anlage A, Anlage B, Anlage C) sind integraler Bestandteil dieses AVV.