Auftragsverarbeitungsvertrag (AVV)
für die Nutzung von CARE – Controlled Agent Risk Execution
Version: 1.0
Stand: 15.05.2026
1. Parteien
Dieser Auftragsverarbeitungsvertrag („AVV“) wird geschlossen zwischen:
Auftragnehmer:
Intelygence GmbH
Messdorfer Str. 12
53121 Bonn
Deutschland
E-Mail: agentic-care@intelygence.com
vertreten durch To Giang Küsters
Amtsgericht Bonn, HRB 24061
USt-ID: 205/5171/3544
und dem jeweiligen Kunden, der CARE nutzt („Auftraggeber“).
Der Auftraggeber ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung („DSGVO“). Die Intelygence GmbH handelt im Rahmen der Bereitstellung von CARE als Auftragsverarbeiter gemäß Art. 28 DSGVO.
2. Gegenstand des Vertrags
CARE ist eine Plattform zur strukturierten Erfassung, Bewertung und Steuerung von Risiken, Verantwortlichkeiten und Kontrollmechanismen im Zusammenhang mit KI-Agenten und agentischen Systemen.
Im Rahmen der Nutzung von CARE verarbeitet der Auftragnehmer personenbezogene Daten ausschließlich zur Bereitstellung, Sicherung, Wartung und Weiterentwicklung der Plattform sowie zur Erfüllung vertraglicher Support- und Betriebsleistungen.
3. Dauer der Verarbeitung
Die Verarbeitung beginnt mit Aktivierung des CARE-Kontos oder Abschluss des zugrundeliegenden Nutzungsvertrags und endet mit dessen Beendigung, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigte Sicherheits-, Nachweis- oder Abrechnungszwecke entgegenstehen.
4. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt zu folgenden Zwecken:
- Bereitstellung und Betrieb der CARE-Plattform,
- Verwaltung von Benutzerkonten und Zugriffsrechten,
- Erfassung von Organisations-, Verantwortlichkeits- und Agenteninformationen,
- Erstellung von Risiko-, Governance- und Kontrollbewertungen,
- Dokumentation von Änderungen, Bewertungen und Nachweisen,
- technischer Support und Fehlerbehebung,
- Sicherstellung von Verfügbarkeit, Integrität und Sicherheit der Plattform.
5. Kategorien personenbezogener Daten
Je nach Nutzung durch den Auftraggeber können insbesondere folgende Daten verarbeitet werden:
- geschäftliche Kontaktdaten, insbesondere Name, E-Mail-Adresse, Rolle und Organisation,
- Benutzerkonto- und Authentifizierungsdaten,
- Nutzungs-, Protokoll- und technische Metadaten,
- Organisations- und Rolleninformationen,
- Informationen zu Verantwortlichkeiten, Entscheidungsrechten und Kontrollmechanismen,
- vom Auftraggeber eingegebene oder hochgeladene Inhalte, soweit diese personenbezogene Daten enthalten.
Der Auftraggeber ist dafür verantwortlich, keine personenbezogenen Daten besonderer Kategorien gemäß Art. 9 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO in CARE zu verarbeiten, sofern dies nicht ausdrücklich vereinbart und rechtlich zulässig ist.
6. Kategorien betroffener Personen
Betroffene Personen können insbesondere sein:
- Mitarbeiter des Auftraggebers,
- Führungskräfte, Beauftragte und Prozessverantwortliche,
- externe Dienstleister, Berater oder Auftragnehmer des Auftraggebers,
- sonstige Personen, deren Daten der Auftraggeber in CARE eingibt.
7. Weisungen des Auftraggebers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit der Auftragnehmer nicht durch Unionsrecht oder deutsches Recht zu einer Verarbeitung verpflichtet ist.
Die Weisungen ergeben sich aus diesem AVV, dem zugrundeliegenden Nutzungsvertrag, den Einstellungen innerhalb der CARE-Plattform sowie sonstigen dokumentierten Weisungen des Auftraggebers.
Hält der Auftragnehmer eine Weisung für datenschutzrechtlich rechtswidrig, wird er den Auftraggeber hierauf hinweisen.
8. Pflichten des Auftraggebers
Der Auftraggeber bleibt für die Rechtmäßigkeit der Verarbeitung verantwortlich. Dazu gehören insbesondere:
- die Festlegung der Zwecke und Mittel der Verarbeitung,
- die Sicherstellung einer geeigneten Rechtsgrundlage,
- die Information betroffener Personen, soweit erforderlich,
- die Verwaltung der Nutzer und Berechtigungen innerhalb von CARE,
- die Prüfung, welche Daten in CARE eingegeben oder hochgeladen werden dürfen,
- die Bewertung und Umsetzung der aus CARE abgeleiteten organisatorischen oder rechtlichen Maßnahmen.
CARE unterstützt die strukturierte Risiko- und Verantwortlichkeitsbewertung. CARE ersetzt keine rechtliche, regulatorische oder organisatorische Entscheidung des Auftraggebers.
9. Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich insbesondere:
- personenbezogene Daten nur im Rahmen dieses AVV und dokumentierter Weisungen zu verarbeiten,
- zur Verarbeitung befugte Personen zur Vertraulichkeit zu verpflichten,
- geeignete technische und organisatorische Maßnahmen umzusetzen,
- den Auftraggeber bei der Wahrung von Betroffenenrechten angemessen zu unterstützen,
- den Auftraggeber bei Datenschutz-Folgenabschätzungen und Konsultationen angemessen zu unterstützen, soweit dies erforderlich und möglich ist,
- personenbezogene Daten nach Vertragsende nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen,
- dem Auftraggeber erforderliche Informationen zum Nachweis der Einhaltung dieses AVV bereitzustellen.
10. Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Die Maßnahmen sind in Anlage 1 beschrieben.
Der Auftragnehmer darf Maßnahmen anpassen, sofern das Schutzniveau nicht wesentlich unterschritten wird.
11. Unterauftragsverarbeiter
Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern.
Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter befindet sich in Anlage 2 oder auf einer öffentlich zugänglichen Unterauftragsverarbeiter-Seite des Auftragnehmers.
Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen bei Unterauftragsverarbeitern. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
Der Auftragnehmer verpflichtet Unterauftragsverarbeiter vertraglich auf ein dem vorliegenden AVV entsprechendes Datenschutzniveau.
12. Drittlandübermittlungen
Eine Übermittlung personenbezogener Daten in ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
Soweit erforderlich, werden geeignete Garantien wie Angemessenheitsbeschlüsse, Standardvertragsklauseln oder gleichwertige Schutzmechanismen eingesetzt.
13. Unterstützung bei Betroffenenrechten
Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren bei der Beantwortung von Anfragen betroffener Personen, insbesondere bei Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.
Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, wird der Auftragnehmer die Anfrage an den Auftraggeber weiterleiten, sofern eine Zuordnung möglich ist.
14. Datenschutzverletzungen
Der Auftragnehmer informiert den Auftraggeber unverzüglich, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Auftraggebers betrifft.
Die Information enthält, soweit verfügbar, Art und Umfang der Verletzung, betroffene Datenkategorien, mögliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen.
15. Nachweise und Audits
Der Auftragnehmer stellt dem Auftraggeber auf Anfrage angemessene Informationen zur Verfügung, die zur Prüfung der Einhaltung dieses AVV erforderlich sind.
Vor-Ort-Prüfungen sind nur nach angemessener Vorankündigung, während üblicher Geschäftszeiten, unter Wahrung von Sicherheits- und Vertraulichkeitsanforderungen und ohne Störung des Betriebs zulässig.
Der Auftragnehmer kann verlangen, dass zunächst geeignete Dokumentationen, Zertifikate, Sicherheitsnachweise oder schriftliche Auskünfte geprüft werden, bevor eine Vor-Ort-Prüfung erfolgt.
16. Löschung und Rückgabe
Nach Beendigung des Vertrags löscht oder gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigte Nachweisinteressen entgegenstehen.
Backups werden nach dem regulären Backup-Zyklus gelöscht oder überschrieben.
17. Vergütung zusätzlicher Unterstützungsleistungen
Unterstützungsleistungen, die über die vertraglich geschuldete Bereitstellung von CARE hinausgehen, können gesondert vergütet werden, sofern der Aufwand nicht durch eine Pflichtverletzung des Auftragnehmers verursacht wurde.
18. Haftung und Verantwortungsabgrenzung
Die Haftung richtet sich nach dem zugrundeliegenden Nutzungsvertrag und den gesetzlichen Bestimmungen.
CARE stellt Funktionen zur strukturierten Dokumentation, Bewertung und Steuerung von KI-Agenten, Verantwortlichkeiten und Kontrollmechanismen bereit. Der Auftragnehmer übernimmt keine Gewähr dafür, dass die Nutzung von CARE allein regulatorische, rechtliche, versicherungsbezogene oder organisatorische Anforderungen des Auftraggebers vollständig erfüllt.
Entscheidungen über den Einsatz, die Kontrolle, Einschränkung oder Abschaltung von KI-Agenten liegen beim Auftraggeber.
19. Schlussbestimmungen
Im Falle von Widersprüchen zwischen diesem AVV und dem zugrundeliegenden Nutzungsvertrag gehen die Regelungen dieses AVV hinsichtlich der Auftragsverarbeitung vor.
Es gilt deutsches Recht, soweit zwingende datenschutzrechtliche Vorschriften nichts anderes bestimmen.
Anlage 1 – Technische und organisatorische Maßnahmen
1. Zutrittskontrolle
- Beschränkter Zugang zu Betriebsumgebungen und Administrationssystemen.
- Nutzung professioneller Hosting- und Infrastrukturprovider mit eigenen Sicherheitsmaßnahmen.
2. Zugangskontrolle
- Benutzerkonten mit individueller Authentifizierung.
- Rollen- und Rechtekonzept innerhalb der Anwendung.
- Least-Privilege-Prinzip für administrative Zugänge.
- Trennung produktiver und nicht-produktiver Zugänge, soweit technisch möglich.
3. Zugriffskontrolle
- Mandantenbezogene Zugriffsbeschränkung.
- Protokollierung sicherheitsrelevanter Ereignisse.
- Beschränkung interner Zugriffe auf notwendige Betriebs-, Support- oder Sicherheitszwecke.
4. Weitergabekontrolle
- Transportverschlüsselung mittels TLS.
- Vertragliche Verpflichtung eingesetzter Unterauftragsverarbeiter.
- Kontrollierte Nutzung von Schnittstellen und externen Diensten.
5. Eingabekontrolle
- Nachvollziehbarkeit wesentlicher Änderungen in der Anwendung, soweit technisch vorgesehen.
- Protokollierung von System- und Sicherheitsereignissen.
6. Verfügbarkeitskontrolle
- Regelmäßige Backups.
- Monitoring technischer Betriebszustände.
- Wiederherstellungsverfahren im Rahmen des Betriebsmodells.
7. Trennungsgebot
- Logische Trennung von Kundendaten.
- Trennung von Entwicklungs-, Test- und Produktivumgebungen, soweit anwendbar.
8. Organisationskontrolle
- Vertraulichkeitsverpflichtung berechtigter Personen.
- Sicherheitsbewusste Softwareentwicklung und kontrollierte Deployment-Prozesse.
- Dokumentierte Zuständigkeiten für Betrieb, Sicherheit und Datenschutz.
Anlage 2 – Unterauftragsverarbeiter
Die folgende Liste ist bei Veröffentlichung an die tatsächlich eingesetzten Dienste anzupassen.
| Dienstleister | Zweck | Ort der Verarbeitung | Garantien |
|---|---|---|---|
| [Hosting Provider einfügen] | Hosting, Infrastruktur, Betrieb | [EU/EWR oder Land einfügen] | [AVV / SCC / DPF / Sonstiges] |
| [E-Mail Provider einfügen] | Transaktions-E-Mails, Support-Kommunikation | [Ort einfügen] | [Garantien einfügen] |
| [KI/API Provider einfügen, falls genutzt] | Analyse- oder Assistenzfunktionen innerhalb von CARE | [Ort einfügen] | [Garantien einfügen] |
| [Monitoring/Logging Provider einfügen] | Betriebssicherheit, Fehleranalyse, Monitoring | [Ort einfügen] | [Garantien einfügen] |