Auftragsverarbeitungsvertrag (AVV)

Vorlage gemäß Art. 28 DSGVO · Stand: 2026-05-12

Hinweis — Entwurf: Dieser Text wurde anhand allgemeiner DSGVO- und AGB-Vorlagen erstellt und ist noch nicht von einem Rechtsanwalt geprüft. Vor der Verwendung für externe Kanzlei-Kunden oder im Geschäftsbetrieb bitte rechtsanwaltlich finalisieren lassen.

Vorbemerkung

Diese Seite enthält eine Standardvorlage für einen Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen („Auftraggeber“, in der Regel eine Kanzlei oder eine Rechtsabteilung) und Selbert („Auftragsverarbeiter“) nach Art. 28 DSGVO.

Der AVV ist Voraussetzung für den professionellen Einsatz von Selbert in Bereichen, in denen Sie personenbezogene Daten Dritter (Mandantendaten) verarbeiten. Bitte senden Sie eine gegengezeichnete Fassung an datenschutz@selbert.ai.

1. Gegenstand des AVV

Der Auftraggeber beauftragt Selbert mit der KI-gestützten Bearbeitung juristischer Dokumente (Speicherung, Versionierung, KI-Analyse, KI-Edits, tabellarische Auswertung, Chat) gemäß den Nutzungsbedingungen unter selbert.ai/terms und der Datenschutzerklärung unter selbert.ai/privacy.

2. Dauer

Der AVV beginnt mit der Registrierung des Account und endet mit dessen Löschung. Eine vorzeitige Beendigung richtet sich nach den Nutzungsbedingungen.

3. Art und Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich dem in den Nutzungsbedingungen festgelegten Dienst. Eine darüber hinausgehende Verarbeitung erfolgt nur auf weisungsgebundene schriftliche Anforderung des Auftraggebers.

4. Art der personenbezogenen Daten und Betroffenenkreise

  • Stammdaten der mit dem Account verbundenen Nutzer (Anwälte, Mitarbeiter der Kanzlei);
  • Inhaltsdaten der hochgeladenen Dokumente, soweit darin personenbezogene Informationen Dritter enthalten sind (Mandanten, Gegenparteien, Vertragspartner, gerichtliche Verfahren);
  • Nutzungs- und Sicherheitsdaten (Audit-Log, Sentry-Fehlertelemetrie).

5. Pflichten des Auftragsverarbeiters

Selbert verpflichtet sich:

  • die Daten ausschließlich gemäß den Weisungen des Auftraggebers zu verarbeiten;
  • seine Mitarbeiter auf das Datengeheimnis sowie das Berufsgeheimnis (§ 203 StGB) zu verpflichten;
  • geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen (Anhang TOMs, Ziff. 9);
  • den Auftraggeber bei der Erfüllung der Rechte der betroffenen Personen (Art. 12–22 DSGVO) zu unterstützen;
  • den Auftraggeber unverzüglich zu informieren, wenn eine Verletzung des Schutzes personenbezogener Daten festgestellt wird (Art. 33 DSGVO);
  • nach Beendigung des AVV alle personenbezogenen Daten nach Wahl des Auftraggebers zurückzugeben oder zu löschen, soweit nicht eine gesetzliche Aufbewahrungspflicht besteht.

6. Pflichten des Auftraggebers

Der Auftraggeber verpflichtet sich:

  • die Rechtmäßigkeit der Datenverarbeitung sicherzustellen (Erteilung der Rechtsgrundlagen, Informationspflichten gegenüber den Mandanten);
  • seine Mitarbeiter, die Zugang zur Plattform haben, auf das Datengeheimnis zu verpflichten;
  • Selbert über jede Änderung der Verarbeitungszwecke rechtzeitig zu informieren.

7. Sub-Auftragsverarbeiter

Selbert nutzt die in der Datenschutzerklärung unter Ziff. 4 aufgelisteten Sub-Auftragsverarbeiter. Mit jedem besteht ein eigener AVV mit mindestens den hier vereinbarten Pflichten.

Selbert wird den Auftraggeber rechtzeitig im Voraus über den Wechsel oder die Hinzunahme weiterer Sub-Auftragsverarbeiter informieren; der Auftraggeber kann aus wichtigem Grund widersprechen.

8. Drittlandsübermittlung

Übermittlungen in die USA an Anthropic, Google, Cloudflare (HQ) und Resend erfolgen auf Grundlage des EU-US Data Privacy Frameworks (Art. 45 DSGVO) und der EU-Standard- vertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Selbert hat für jeden Anbieter ein Transfer Impact Assessment (TIA) durchgeführt.

9. Technische und organisatorische Maßnahmen (TOMs, Anhang)

Selbert setzt mindestens folgende TOMs ein:

  • Zutritts- und Zugangskontrolle: Alle Verbindungen TLS 1.3; Authentifizierung über Supabase-Auth mit gehashten Passwörtern und optionalen Sitzungs-Tokens.
  • Zugriffskontrolle: Row-Level-Security- Richtlinien auf Datenbankebene; serverseitige Prüfung jeder Zugriffsanfrage gegen die Berechtigungsmatrix (Owner / Mitglied / Read-only-Share).
  • Weitergabekontrolle: Verschlüsselte Transportwege zu allen Sub-Auftragsverarbeitern; Verschlüsselung der externen API-Schlüssel des Nutzers mit AES-256-GCM (Hauptschlüssel außerhalb der Datenbank).
  • Eingabekontrolle: Fortschreibungssicheres Audit-Protokoll jeder mutierenden Aktion (Upload, Edit-Accept, Löschen, Teilen, Account-Änderungen) mit Zeitstempel, Nutzerkennung, IP und User-Agent.
  • Verfügbarkeitskontrolle: Tägliche Datenbank-Backups bei Supabase (auf Datenbank-Pro-Plan); kontinuierliche Replikation der R2-Objekte.
  • Trennungskontrolle: Strikte Mandantentrennung über die genannten RLS-Richtlinien; eindeutige Zuordnung jeder Datenzeile zu genau einem Eigentümer-Account.
  • Belastbarkeit und Wiederherstellbarkeit: Cloudflare-Anycast-Netzwerk vor dem Frontend; Railway- Hosting des Backends mit automatischem Restart bei Crash-Recovery.

10. Haftung

Die Haftung im Außenverhältnis gegenüber Betroffenen ergibt sich aus Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für ihren Anteil an einem etwaigen Schaden nach Maßgabe des § 254 BGB.

11. Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Sollte eine Bestimmung dieses AVV unwirksam sein, bleibt der Vertrag im Übrigen wirksam.

Stand: 2026-05-12. Diese Vorlage wird regelmäßig aktualisiert; die jeweils aktuelle Fassung ist auf dieser Seite verfügbar.