Stand: 27. März 2026
Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Abs. 3 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung — DSGVO)
zwischen
dem Nutzer des Dienstes Aegis — einschließlich der Chrome-Erweiterung und der Website-Demo (nachfolgend „Verantwortlicher")
und
Kaino GmbH
Grabenweg 68, 4. OG E5_2
6020 Innsbruck, Österreich
UID: ATU77867578 · FN: 573644w
E-Mail: aegis@kaino.io
(nachfolgend „Auftragsverarbeiter")
— nachfolgend zusammen die „Parteien" —
§ 1 Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand
Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Er konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Nutzung des Dienstes Aegis ergeben — einschließlich aller Tarife (PLUS, PRO und ENTERPRISE) sowie der auf der Produktseite angebotenen Website-Demo („Try It").
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist nach Unionsrecht oder dem Recht des Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
1.2 Dauer
Für Abonnenten tritt dieser Vertrag mit Abschluss des Abonnements (Aegis PLUS oder Aegis PRO) in Kraft und endet automatisch mit Beendigung des Abonnements, gleich aus welchem Grund. Für die Nutzung der Website-Demo tritt dieser Vertrag mit dem Hochladen eines Dokuments in Kraft und endet mit Abschluss der jeweiligen Verarbeitung. Die Pflichten aus §§ 5, 7, 8 und 10 bestehen über das Vertragsende hinaus fort, wobei das Prüfrecht gemäß § 8 auf 60 Tage nach Vertragsende begrenzt ist.
§ 2 Art und Zweck der Verarbeitung
2.1 Zweck
Erkennung und Anonymisierung personenbezogener Daten in Dokumenten des Verantwortlichen mittels KI-gestützter Verarbeitung, bevor diese Dokumente an KI-Chat-Plattformen (wie ChatGPT, Claude oder Gemini) übermittelt werden.
2.2 Art der Verarbeitung
- Entgegennahme verschlüsselter Dokumenteninhalte (HTTPS/TLS)
- KI-gestützte Erkennung personenbezogener Daten (Named Entity Recognition)
- OCR-Verarbeitung bei Bilddateien (PNG, JPEG, TIFF)
- Entfernung eingebetteter Metadaten bei Bilddateien
- Ersetzung erkannter personenbezogener Daten durch Platzhalter
- Rückgabe des anonymisierten Textes und der Platzhalter-Zuordnung an den Verantwortlichen
2.3 Keine Speicherung
Dokumenteninhalte werden vom Auftragsverarbeiter nicht nach der Verarbeitung gespeichert. Die Verarbeitung erfolgt ausschließlich im Arbeitsspeicher (In-Memory-Processing). Nach Rückgabe des Ergebnisses werden alle Dokumentendaten unverzüglich gelöscht.
2.4 Kein Modelltraining
Dokumenteninhalte werden weder vom Auftragsverarbeiter noch von den in § 6.1 genannten Unterauftragsverarbeitern zum Training oder zur Verbesserung von KI-Modellen verwendet.
§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen
3.1 Arten personenbezogener Daten
Die Dokumente des Verantwortlichen können insbesondere folgende Kategorien personenbezogener Daten enthalten:
- Namen (Vor- und Nachnamen, akademische Titel)
- Kontaktdaten (E-Mail-Adressen, Telefonnummern, Anschriften)
- Identifikationsnummern (Sozialversicherungsnummern, Ausweisnummern)
- Finanzinformationen (Kreditkartennummern, Bankverbindungen)
- Geburtsdaten
- IP-Adressen
- Sonstige in Dokumenten enthaltene personenbezogene Daten
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Der Verantwortliche ist dafür verantwortlich, dass die Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, biometrische Daten) nur erfolgt, wenn eine Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO vorliegt. Der Auftragsverarbeiter kann das Vorhandensein solcher Daten technisch nicht vorab feststellen.
3.2 Kategorien betroffener Personen
Abhängig von den Dokumenten des Verantwortlichen können betroffen sein:
- Mitarbeiter und Bewerber des Verantwortlichen
- Kunden und Geschäftspartner des Verantwortlichen
- Patienten, Mandanten, Klienten
- Sonstige in Dokumenten genannte natürliche Personen
§ 4 Pflichten des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten allein verantwortlich. Er gewährleistet insbesondere:
- dass er über eine geeignete Rechtsgrundlage für die Übermittlung personenbezogener Daten Dritter an den Auftragsverarbeiter verfügt (z. B. Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Anonymisierung);
- dass er die betroffenen Personen über die Verarbeitung informiert hat, soweit dies zumutbar und rechtlich erforderlich ist (Art. 13, 14 DSGVO);
- dass er die Risiken für die Rechte und Freiheiten betroffener Personen vor Übermittlung eigenständig geprüft hat;
- dass Weisungen an den Auftragsverarbeiter im Einklang mit der DSGVO stehen.
§ 5 Pflichten des Auftragsverarbeiters
5.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — einschließlich in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, es sei denn, er ist nach Unionsrecht oder dem Recht des Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
Die Nutzung des Dienstes Aegis gemäß den geltenden Nutzungsbedingungen stellt die dokumentierte Weisung des Verantwortlichen dar. Weitergehende Einzelweisungen bedürfen der Schriftform (E-Mail ausreichend) an aegis@kaino.io.
5.2 Vertraulichkeit
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
5.3 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen sind in Anlage 1 (am Ende dieses Vertrags) beschrieben.
5.4 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung:
- bei der Erfüllung der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person (Art. 28 Abs. 3 lit. e DSGVO);
- bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung, vorherige Konsultation) (Art. 28 Abs. 3 lit. f DSGVO).
5.5 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens:
- eine Beschreibung der Art der Verletzung;
- die Kategorien und die ungefähre Anzahl betroffener Personen und Datensätze;
- eine Beschreibung der wahrscheinlichen Folgen;
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.
Die Meldung erfolgt per E-Mail an die beim Abonnement hinterlegte E-Mail-Adresse des Verantwortlichen. Für Nutzer der Website-Demo, deren E-Mail-Adresse dem Auftragsverarbeiter nicht bekannt ist, erfolgt die Meldung durch Veröffentlichung auf der Website des Auftragsverarbeiters.
5.6 Information bei rechtswidrigen Weisungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt (Art. 28 Abs. 3 Unterabs. 2 DSGVO).
§ 6 Unterauftragsverarbeiter
6.1 Genehmigte Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung der folgenden Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO):
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| OVHCloud SAS, Roubaix, Frankreich | KI-gestützte Anonymisierung und OCR-Verarbeitung von Dokumenteninhalten (Zero Data Retention) | EU (Frankreich) |
| Scaleway SAS, Paris, Frankreich | KI-gestützte Anonymisierung und OCR-Verarbeitung von Dokumenteninhalten (Zero Data Retention) | EU (Frankreich) |
| Hetzner Online GmbH, Gunzenhausen, Deutschland | Serverhosting und API-Infrastruktur (aegis.kaino.io) |
Deutschland |
| Raidboxes GmbH, Münster, Deutschland | Website-Hosting und Verarbeitung von Demo-Dokumenten-Uploads | Deutschland |
Mit allen Unterauftragsverarbeitern hat der Auftragsverarbeiter Verträge gemäß Art. 28 Abs. 4 DSGVO abgeschlossen, die diesen dieselben Datenschutzpflichten auferlegen wie in diesem Vertrag festgelegt.
6.2 Änderung von Unterauftragsverarbeitern
Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Hinzunahme oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen diese Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DSGVO).
Die Information erfolgt durch Aktualisierung der Unterauftragsverarbeiter-Liste auf der Website des Auftragsverarbeiters (kaino.io/aegis/privacy, Abschnitt 7) sowie per E-Mail an den Verantwortlichen mindestens 30 Tage vor der beabsichtigten Änderung.
Erhebt der Verantwortliche innerhalb von 30 Tagen nach Benachrichtigung begründeten Einspruch, bemühen sich die Parteien um eine einvernehmliche Lösung. Kann keine Einigung erzielt werden, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht des Abonnements zu.
6.3 Keine Drittlandsübermittlung
Die gesamte Dokumentenverarbeitung erfolgt ausschließlich innerhalb der EU/des EWR. Der Auftragsverarbeiter übermittelt keine Dokumenteninhalte in Drittländer.
§ 7 Löschung und Rückgabe von Daten
7.1 Während der Verarbeitung
Dokumenteninhalte werden nach Abschluss der Anonymisierung unverzüglich und automatisch gelöscht. Es erfolgt keine dauerhafte Speicherung von Dokumenteninhalten.
7.2 Nach Vertragsende
Der Auftragsverarbeiter löscht innerhalb von 30 Tagen nach Beendigung des Abonnements alle im Zusammenhang mit der Auftragsverarbeitung stehenden personenbezogenen Daten, es sei denn, eine Aufbewahrung ist nach Unionsrecht oder dem Recht des Mitgliedstaats vorgeschrieben (Art. 28 Abs. 3 lit. g DSGVO).
Da keine Dokumenteninhalte dauerhaft gespeichert werden, beschränkt sich die Löschung auf:
- Kundenstammdaten (E-Mail-Adresse, Name, Firmenname): Irreversible Anonymisierung innerhalb von 30 Tagen nach Beendigung des Abonnements
- Nutzungsstatistiken: Anonymisierung innerhalb von 30 Tagen nach Beendigung des Abonnements
- Serverzugriffsprotokolle: Automatische Löschung nach 30 Tagen
§ 8 Kontroll- und Prüfrechte
8.1 Prüfrecht des Verantwortlichen
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei (Art. 28 Abs. 3 lit. h DSGVO).
8.2 Durchführung
Prüfungen werden unter folgenden Bedingungen durchgeführt:
- Schriftliche Ankündigung mindestens 30 Tage im Voraus (E-Mail ausreichend)
- Durchführung während der üblichen Geschäftszeiten
- Der Prüfer ist zur Vertraulichkeit verpflichtet
- Die Prüfung darf den Betrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen
- Maximal eine Prüfung pro Kalenderjahr, es sei denn, ein konkreter Anlass erfordert eine zusätzliche Prüfung
8.3 Nachweisführung
Der Auftragsverarbeiter kann den Nachweis der Einhaltung seiner Pflichten auch durch Vorlage eines aktuellen Zertifikats, eines Prüfberichts oder eines Auszugs daraus eines unabhängigen Prüfers erbringen.
§ 9 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die allgemeinen Haftungsbestimmungen der Nutzungsbedingungen von Aegis.
§ 10 Schlussbestimmungen
10.1 Vorrang
Im Falle von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien — einschließlich der Nutzungsbedingungen — hat dieser AVV in Bezug auf den Schutz personenbezogener Daten Vorrang.
10.2 Änderungen
Änderungen dieses Vertrags bedürfen der Textform. Wesentliche Änderungen werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten mitgeteilt. Erhebt der Verantwortliche innerhalb von 30 Tagen nach Benachrichtigung keinen Einspruch, gilt die Änderung als angenommen.
10.3 Anwendbares Recht und Gerichtsstand
Dieser Vertrag unterliegt österreichischem Recht. Gerichtsstand ist Innsbruck, Österreich, soweit gesetzlich zulässig.
10.4 Salvatorische Klausel
Sollte eine Bestimmung dieses Vertrags unwirksam oder undurchführbar sein, bleiben die übrigen Bestimmungen davon unberührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck am nächsten kommt.
Anlage 1: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Die Kaino GmbH betreibt keine eigenen Rechenzentren. Physische Sicherheitsmaßnahmen (Zutritt, Stromversorgung, Brandschutz, Klimatisierung) werden durch die Infrastrukturanbieter Hetzner Online GmbH (Deutschland, ISO 27001), OVHCloud SAS (Frankreich, ISO 27001) und Scaleway SAS (Frankreich, ISO 27001) gewährleistet. Für deren technische und organisatorische Maßnahmen verweisen wir auf:
- Hetzner Online GmbH: hetzner.com/de/legal/privacy-policy
- OVHCloud SAS: ovhcloud.com/de/personal-data-protection
- Scaleway SAS: scaleway.com/en/privacy-policy
Die Kaino GmbH verantwortet die folgenden anwendungsseitigen Maßnahmen:
1. Transiente Verarbeitung (Kernsicherheitsmerkmal)
Dokumenteninhalte werden ausschließlich im Arbeitsspeicher verarbeitet (In-Memory-Processing) und nach Rückgabe des Ergebnisses unverzüglich verworfen. Es erfolgt keine dauerhafte Speicherung von Dokumenteninhalten. Dieses Architekturprinzip eliminiert wesentliche Risiken der Datenhaltung: Bei einem Systemausfall gehen keine Dokumentendaten verloren, da keine gespeichert sind. Das Zero-Data-Retention-Prinzip gilt durchgehend entlang der gesamten Verarbeitungskette — einschließlich der Unterauftragsverarbeiter OVHCloud und Scaleway.
Datenminimierung durch regelbasierte Vorverarbeitung: Vor der Übermittlung an die KI-gestützte Verarbeitung führt die Kaino GmbH serverseitig eine regelbasierte Vorverarbeitung durch, bei der bereits erkannte personenbezogene Daten (z. B. Namen, E-Mail-Adressen, Telefonnummern) durch Platzhalter ersetzt werden. Die an die KI-Modelle übermittelten Inhalte sind daher bereits teilweise anonymisiert, wodurch die Menge der von Unterauftragsverarbeitern verarbeiteten personenbezogenen Daten auf das technisch notwendige Minimum reduziert wird.
2. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Umsetzung |
|---|---|
| Zugangskontrolle | API-Zugriff ausschließlich mit gültigem Produktschlüssel; kein anonymer Zugriff |
| Zugriffskontrolle | Serverzugang auf einen eng begrenzten Personenkreis beschränkt; Zugriff über SSH mit Schlüsselauthentifizierung; Zwei-Faktor-Authentifizierung (2FA) für alle Systeme; Prinzip der minimalen Berechtigung |
| Trennungskontrolle | Mandantentrennung durch individuelle Produktschlüssel; keine mandantenübergreifende Datenverarbeitung |
| Vertraulichkeitsverpflichtung | Alle Personen mit Zugang zu personenbezogenen Daten sind zur Vertraulichkeit verpflichtet (§ 5.2 dieses Vertrags) |
3. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Umsetzung |
|---|---|
| Weitergabekontrolle | Ausschließlich verschlüsselte Übertragung (HTTPS/TLS); keine unverschlüsselten Verbindungen |
| Eingabekontrolle | Protokollierung von API-Zugriffen (Serverzugriffsprotokolle, 30 Tage Aufbewahrung) |
4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)
Verfügbarkeit und Belastbarkeit werden durch die Infrastrukturanbieter sichergestellt (redundante Stromversorgung, Netzwerkanbindung, Klimatisierung). Da keine Dokumenteninhalte dauerhaft gespeichert werden, entfällt die Notwendigkeit von Backup- und Wiederherstellungsverfahren für Dokumentendaten.
5. Verschlüsselung und Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)
| Maßnahme | Umsetzung |
|---|---|
| Transportverschlüsselung | HTTPS/TLS für alle API-Kommunikation |
| Speicherverschlüsselung | Encryption-at-Rest für Kundenstammdaten (E-Mail-Adresse, Name, Firmenname) |
| Pseudonymisierung | Kernfunktion des Dienstes: Ersetzung personenbezogener Daten durch Platzhalter |
6. Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
| Maßnahme | Umsetzung |
|---|---|
| Regelmäßige Überprüfung | Jährliche Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen |
| Anlass- und änderungsbezogene Überprüfung | Überprüfung der technischen und organisatorischen Maßnahmen bei Änderungen an der Infrastruktur, bei Sicherheitsvorfällen und bei Änderungen der Unterauftragsverarbeiter |
| Auftragskontrolle | AVVs mit allen Unterauftragsverarbeitern abgeschlossen; Überprüfung bei Vertragsänderungen oder Anbieterwechsel |
