Auftragsverarbeitungsvertrag (AVV / DPA)
Aktualisiert am 8. Juli 2026
1. Rollen der Parteien
Der Verantwortliche ist der Website-Inhaber, der das Widget einbindet: Er legt die Zwecke und Mittel der Verarbeitung der Daten seiner Besucher und seiner Inhalte fest. Der Auftragsverarbeiter ist der Betreiber des Dienstes, der diese Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeitet. Google Cloud wird als Unterauftragsverarbeiter eingesetzt (Verarbeitung innerhalb von Vertex AI Search / Gemini / Cloud Storage).
Für die eigenen Kontodaten des Verantwortlichen (E-Mail, Einstellungen) sowie für Anfragetext, der in begrenztem Umfang für Qualitätskennzahlen und den Schutz vor Missbrauch verwendet wird, handelt der Auftragsverarbeiter als eigenständig Verantwortlicher — geregelt durch die Datenschutzerklärung, nicht durch diesen DPA. Zahlungen werden von Paddle als Merchant of Record abgewickelt, der als eigenständig Verantwortlicher für Zahlungsdaten auftritt und kein Unterauftragsverarbeiter ist.
2. Gegenstand, Dauer, Art und Zweck
- Gegenstand. Verarbeitung personenbezogener Daten, die in den Website-Inhalten des Verantwortlichen und in den Anfragen seiner Besucher enthalten sind, zur Bereitstellung der KI-Suche mit Antworten und Quellenangaben.
- Dauer. Für die Laufzeit der Nutzungsbedingungen und solange das Projekt aktiv ist; bei Beendigung gilt der Abschnitt „Rückgabe und Löschung der Daten".
- Art der Verarbeitung. Erfassung (Crawling öffentlicher Seiten), Indexierung, Speicherung, Suche, Antwortgenerierung, Protokollierung und Löschung.
- Zweck. Ausschließlich zur Bereitstellung und Unterstützung des Dienstes gemäß den Weisungen des Verantwortlichen; eine Verarbeitung zu anderen Zwecken ist nicht zulässig.
3. Kategorien von Daten und betroffenen Personen
Kategorien betroffener Personen: Besucher der Website des Verantwortlichen; Personen, die in den öffentlichen Inhalten der Website genannt werden.
Kategorien von Daten:
- Inhalte der öffentlichen Seiten der Website (können vom Verantwortlichen veröffentlichte personenbezogene Daten enthalten);
- Anfragetext der Besucher;
- technische Daten der Besucher — IP-Adresse (nur transient verarbeitet und nicht gespeichert) sowie Anfrage-Metadaten (zum Schutz vor Missbrauch und für die Sicherheit);
- Sitzungskennungen des Widgets und Nutzungskennzahlen.
Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 GDPR) ist nicht vorgesehen; der Verantwortliche verpflichtet sich, solche Daten nicht an den Dienst zu übermitteln und Besucher nicht dazu aufzufordern, sensible Daten in die Suche einzugeben.
4. Verarbeitung auf Weisung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch im Hinblick auf Datenübermittlungen, sofern er nicht durch geltendes EU-Recht, das Recht eines Mitgliedstaats oder israelisches Recht zu einer anderweitigen Verarbeitung verpflichtet ist (in diesem Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, sofern das betreffende Recht dies nicht verbietet). Dieser DPA, die Nutzungsbedingungen und die vom Verantwortlichen im Dashboard vorgenommenen Einstellungen bilden die vollständige Weisung. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die GDPR, sonstiges Recht der EU oder eines Mitgliedstaats oder das israelische PPL verstößt.
5. Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass der Zugriff nach dem Need-to-know-Prinzip und dem Grundsatz der geringstmöglichen Rechtevergabe gewährt wird.
6. Sicherheitsmaßnahmen (Art. 32 GDPR)
Der Auftragsverarbeiter setzt angemessene, dem Risiko entsprechende technische und organisatorische Maßnahmen um, unter anderem: Übertragung per TLS; Projektisolierung (jedes Projekt verfügt über einen eigenen Index und Schlüssel); Bereinigung von Anfragen (Query-Sanitization) und Rate-Limiting, bevor ein kostenpflichtiger Dienst aufgerufen wird; Zugriff nach dem Prinzip der geringstmöglichen Rechtevergabe; sowie Protokollierung. Die Maßnahmen werden im Einklang mit den israelischen Protection of Privacy (Data Security) Regulations 2017 angewendet (siehe Abschnitt „Israelisches Recht"). Die Liste der Maßnahmen kann aktualisiert werden, ihr Schutzniveau wird dabei jedoch nicht abgesenkt.
7. Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung zur Einbindung von Unterauftragsverarbeitern. Die aktuelle Liste wird auf der Seite Unterauftragsverarbeiter veröffentlicht und umfasst Google Cloud (Vertex AI Search / Discovery Engine, Gemini, Cloud Storage). Der Auftragsverarbeiter legt jedem Unterauftragsverarbeiter Datenschutzpflichten auf, die nicht weniger schutzintensiv sind als die in diesem DPA (insbesondere akzeptiert er das Cloud Data Processing Addendum von Google), und haftet für die Handlungen seiner Unterauftragsverarbeiter.
Der Auftragsverarbeiter kündigt jede beabsichtigte Hinzunahme oder Ersetzung eines Unterauftragsverarbeiters vorab an (Verfahren auf der Seite „Unterauftragsverarbeiter"); der Verantwortliche kann aus nachvollziehbaren datenschutzrechtlichen Gründen widersprechen. Kann ein Widerspruch nicht ausgeräumt werden, kann der Verantwortliche die Nutzung des Dienstes für die betroffene Verarbeitung einstellen.
8. Unterstützung bei den Rechten betroffener Personen
Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen, soweit möglich und durch geeignete technische und organisatorische Maßnahmen, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch gemäß Arts. 15–22 GDPR). Erreicht ein Antrag einer betroffenen Person den Auftragsverarbeiter direkt, leitet er ihn unverzüglich an den Verantwortlichen weiter und beantwortet ihn nicht selbst, außer auf Weisung des Verantwortlichen. Die Werkzeuge im Dashboard (Bereinigung von Protokollen, Löschung von Projekten) unterstützen die Erfüllung solcher Anträge.
9. Meldung einer Verletzung des Schutzes personenbezogener Daten (duales Regime)
Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, nachdem er davon Kenntnis erlangt hat, und stellt die Informationen bereit, die der Verantwortliche vernünftigerweise benötigt, um seinen eigenen Meldepflichten nachzukommen (Arts. 33–34 GDPR — in der Regel Meldung an die Aufsichtsbehörde durch den Verantwortlichen innerhalb von 72 hours).
Da der Auftragsverarbeiter in Israel niedergelassen ist, meldet er zudem bei einem schwerwiegenden Sicherheitsvorfall sofort der israelischen Privacy Protection Authority (PPA), wie es das PPL in der durch Amendment 13 geänderten Fassung vorschreibt, und unterstützt auf Anweisung der PPA bei der Benachrichtigung betroffener Personen. Die Meldung stellt kein Schuldeingeständnis dar.
10. Rückgabe und Löschung der Daten
Nach Beendigung der Erbringung der Dienste löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen die personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. In der Praxis werden bei Schließung eines Projekts der Website-Index und die zugehörigen Vertex-Ressourcen, zwischenzeitliche Indexierungsartefakte sowie Protokolle gelöscht (vorbehaltlich der in der Datenschutzerklärung genannten Aufbewahrungsfristen: Anfragetext — 90 Tage, Indexierungsartefakte — in der Regel 7 Tage; IP-Adressen werden nicht gespeichert).
11. Prüfung und Information
Der Auftragsverarbeiter stellt dem Verantwortlichen die Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung seiner Pflichten aus Art. 28 GDPR nachzuweisen, und ermöglicht Prüfungen, einschließlich Inspektionen, durch den Verantwortlichen oder einen von ihm beauftragten Prüfer und wirkt daran mit — in angemessenem Umfang, nach vorheriger Ankündigung, während der Geschäftszeiten und unter Wahrung der Vertraulichkeit, in einer Weise, die die Sicherheit anderer Kunden nicht beeinträchtigt. Zum Nachweis der Einhaltung können Nachweise von Unterauftragsverarbeitern herangezogen werden (zum Beispiel Compliance-Berichte und Zertifizierungen von Google, einschließlich ISO 27001).
12. Internationale Datenübermittlungen
Übermittlungen personenbezogener Daten aus dem EEA an den Auftragsverarbeiter in Israel stützen sich auf den Angemessenheitsbeschluss der Europäischen Kommission für Israel; für diesen Übermittlungsweg sind keine gesonderten Standard Contractual Clauses erforderlich, sollte der Angemessenheitsbeschluss jedoch widerrufen werden, greifen die Parteien auf SCCs zurück.
Übermittlungen an die Dienste von Google richten sich nach dem Cloud Data Processing Addendum von Google und, soweit erforderlich, nach SCCs und/oder dem EU-US Data Privacy Framework. Nach Wahl des Verantwortlichen wird für die Daten von EU-Kunden eine EU-Region von Google verwendet, um grenzüberschreitende Übermittlungen zu minimieren.
Übermittlungen von Israel an Google stützen sich auf die israelischen Privacy Protection (Transfer of Data Abroad) Regulations 2001, Reg. 2(4) (Pflicht des Empfängers, Speicher- und Nutzungsbedingungen sicherzustellen, die dem israelischen Recht gleichwertig sind). Für Daten aus dem EEA gelten zusätzlich die israelischen EEA Data Regulations 2023 (Regs. 3–7) für die Verarbeitung der Daten von betroffenen Personen aus dem EEA.
13. CCPA / Bestimmungen des US-Bundesstaatenrechts
Soweit die CCPA/CPRA Anwendung findet, handelt der Auftragsverarbeiter als Service Provider und verarbeitet personenbezogene Informationen nur für den festgelegten Geschäftszweck der Erbringung des Dienstes. Der Auftragsverarbeiter verkauft personenbezogene Informationen nicht und „teilt" sie nicht, bewahrt sie außerhalb der direkten Geschäftsbeziehung mit dem Verantwortlichen nicht auf, nutzt oder offenbart sie nicht zu anderen Zwecken und führt sie nicht mit Daten aus anderen Quellen zusammen, außer soweit dies nach der CCPA zulässig ist. Der Auftragsverarbeiter stellt sicher, dass seine Unterauftragsverarbeiter gleichwertigen Pflichten unterliegen.
14. Israelisches Recht (PPL / Amendment 13)
Da der Auftragsverarbeiter in Israel niedergelassen ist, findet auf die Verarbeitung das Protection of Privacy Law (PPL) in der durch Amendment 13 geänderten Fassung (in Kraft seit 14 August 2025) Anwendung; dadurch wurde das israelische Recht an die GDPR angeglichen (Terminologie Verantwortlicher/Auftragsverarbeiter, Transparenz bei KI-Verarbeitung, verstärkte Durchsetzung durch die PPA, Meldung von Verletzungen des Schutzes personenbezogener Daten). Der Auftragsverarbeiter hält für die von ihm verarbeiteten Daten die Protection of Privacy (Data Security) Regulations 2017 ein. Bei einem schwerwiegenden Vorfall gilt das im Abschnitt „Meldung einer Verletzung des Schutzes personenbezogener Daten" beschriebene PPA-Meldesystem. Die Parteien bestätigen, dass eine Datenschutz-Kontaktstelle (Datenschutzbeauftragter/Kontakt — siehe Datenschutzerklärung) benannt ist.
15. Allgemeines
Die Wahl des israelischen Rechts und der Gerichtsstand Tel Aviv-Jaffa (siehe die Nutzungsbedingungen) setzen die zwingenden Pflichten aus der GDPR, der CCPA und dem PPL nicht außer Kraft — die Verantwortungsverteilung richtet sich nach dem jeweils geltenden Recht. Im Konfliktfall hat dieser DPA für die Verarbeitung personenbezogener Daten Vorrang. Die Kontaktdaten des Auftragsverarbeiters (als Verantwortlicher für den Dienst) sowie die Datenschutz-Kontaktstelle sind in der Datenschutzerklärung aufgeführt.