Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO — einschließlich Verschwiegenheitsverpflichtung nach § 43e BRAO.
Diese Vereinbarung wird geschlossen zwischen dem Kunden des Nutzungsvertrags über die Software jurspace (nachfolgend „Verantwortlicher“) und der aifuera UG (haftungsbeschränkt), Pestalozzistraße 2, 30451 Hannover (nachfolgend „Auftragsverarbeiter“).
Sie konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem Nutzungsvertrag (AGB) und wird mit Vertragsschluss dessen Bestandteil. Auf Wunsch stellt der Auftragsverarbeiter eine unterzeichnete Fassung in Textform bereit (Anfrage an datenschutz@jurspace.de).
(1) Gegenstand der Verarbeitung ist die Bereitstellung der Software jurspace als Software-as-a-Service zur digitalen Kanzleiverwaltung (Mandatsverwaltung, Dokumentenverarbeitung, Kommunikation, Fristen, Abrechnung sowie optionale KI-Funktionen).
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags. Die Regelungen zur Löschung und Rückgabe (§ 10) gelten darüber hinaus.
(1) Art und Zweck: Speicherung, Strukturierung, Übermittlung im Auftrag, Auswertung zur Funktionserbringung sowie — soweit vom Verantwortlichen aktiviert — KI-gestützte Analyse und Texterstellung.
(2) Kategorien personenbezogener Daten insbesondere:
(3) Die Verarbeitung kann besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sowie Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) umfassen, soweit sie in Mandaten enthalten sind.
(4) Betroffene Personen: Mandanten, Gegner und sonstige verfahrensbeteiligte Dritte, Mitarbeiter des Verantwortlichen, Kommunikationspartner.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
(2) Die Nutzung der Software einschließlich ihrer Konfiguration durch den Verantwortlichen gilt als Weisung. Ergänzende Einzelweisungen bedürfen der Textform.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.
(1) Der Auftragsverarbeiter verpflichtet sich, die ihm im Rahmen der Leistungserbringung zur Kenntnis gelangenden Berufsgeheimnisse im Sinne des § 203 StGB (insbesondere Mandatsgeheimnisse) vertraulich zu behandeln. Er nimmt von ihnen nur Kenntnis, soweit dies zur ordnungsgemäßen Vertragserfüllung erforderlich ist (Zweckbindung, § 43e Abs. 3 BRAO).
(2) Der Auftragsverarbeiter ist darüber belehrt, dass die unbefugte Offenbarung fremder Geheimnisse, die ihm als mitwirkender Person im Sinne des § 203 Abs. 3 und 4 StGB anvertraut oder bekannt geworden sind, nach § 203 StGB strafbewehrt ist.
(3) Der Auftragsverarbeiter setzt nur Personen ein, die zur Vertraulichkeit verpflichtet und entsprechend Absatz 2 belehrt wurden. Die Verpflichtung besteht nach Beendigung der Tätigkeit und des Vertrags fort.
(4) Zieht der Auftragsverarbeiter weitere Personen oder Unterauftragsverarbeiter hinzu, stellt er deren Verpflichtung in entsprechender Anwendung der Absätze 1 bis 3 sicher (§ 43e Abs. 4 BRAO).
(5) Die Einzelheiten der Verpflichtung auf das Berufsgeheimnis einschließlich der Belehrung nach §§ 203, 204 StGB ergeben sich aus der Verschwiegenheitsvereinbarung über Berufsgeheimnisse, die Bestandteil dieses Vertrags ist.
(1) Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen und entwickelt sie entsprechend dem Stand der Technik fort. Maßnahmen dürfen durch gleichwertige ersetzt werden, ohne dass das Schutzniveau unterschritten wird.
(2) Sämtliche produktiven Kundendaten werden in Rechenzentren in der Europäischen Union (primär Frankfurt am Main) gespeichert.
(1) Der Verantwortliche erteilt die allgemeine Genehmigung zur Einschaltung der in Anlage 2 aufgeführten Unterauftragsverarbeiter.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) mindestens 4 Wochen vorab in Textform. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen; im Fall des Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht des Nutzungsvertrags zu.
(3) Mit jedem Unterauftragsverarbeiter werden Verpflichtungen vereinbart, die den Pflichten dieses Vertrags entsprechen (Art. 28 Abs. 4 DSGVO), einschließlich der Vertraulichkeit nach § 4.
(4) Übermittlungen in Drittländer erfolgen nur bei Vorliegen geeigneter Garantien gemäß Kapitel V DSGVO (insbesondere EU-Standardvertragsklauseln) und nur in dem in Anlage 2 beschriebenen Umfang. KI-Funktionen, die Drittlandanbieter einbeziehen, werden nur auf Veranlassung des Verantwortlichen genutzt (Aktivierung der jeweiligen Funktion).
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Betroffenenrechte (Art. 12–23 DSGVO), insbesondere durch Export-, Berichtigungs- und Löschfunktionen in der Software.
(2) Er unterstützt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, unter Angabe der in Art. 33 Abs. 3 DSGVO genannten Informationen, soweit verfügbar.
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
(2) Kontrollen erfolgen vorrangig durch Vorlage geeigneter Nachweise (Zertifizierungen und Auditberichte der Infrastrukturanbieter, Dokumentation der TOM). Vor-Ort-Kontrollen sind nach angemessener Ankündigung zu den üblichen Geschäftszeiten möglich, soweit die Nachweise nicht ausreichen.
(1) Nach Beendigung des Nutzungsvertrags stellt der Auftragsverarbeiter dem Verantwortlichen die Daten in einem gängigen, strukturierten Format zum Export zur Verfügung.
(2) Nach Ablauf einer Exportfrist von 30 Tagen werden sämtliche personenbezogenen Daten gelöscht, soweit nicht gesetzliche Aufbewahrungspflichten (z. B. GoBD) entgegenstehen. Daten unter Aufbewahrungspflicht werden gesperrt und nach Fristablauf gelöscht (zweistufiges Löschkonzept).
(3) Die Löschung wird auf Anforderung in Textform bestätigt.
(1) Für die Haftung gelten Art. 82 DSGVO sowie die Haftungsregelungen des Nutzungsvertrags.
(2) Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Fragen vor.
(3) Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
| Unternehmen | Zweck | Verarbeitungsort | Garantien |
|---|---|---|---|
| Supabase Inc. (Infrastruktur: AWS, Region eu-central-1) | Datenbank und Authentifizierung | Frankfurt am Main, Deutschland (EU) | Verarbeitung in der EU; AVV nach Art. 28 DSGVO |
| Hetzner Online GmbH | Server-Infrastruktur und Dokumentenspeicher | Deutschland | Verarbeitung in Deutschland; AVV nach Art. 28 DSGVO; ISO-27001-zertifizierte Rechenzentren |
| Vercel Inc. | Hosting der Anwendung, Serverless Functions | EU-Region (Frankfurt) für Funktionen; US-Anbieter | AVV, EU-Standardvertragsklauseln (SCC) |
| Stripe Payments Europe Ltd. / Stripe Inc. | Zahlungsabwicklung (Abonnement, KI-Guthaben). Keine Verarbeitung von Mandats- oder Nutzungsdaten. | Irland (EU) / USA | AVV, SCC; PCI-DSS |
| Resend (Plus Five Five, Inc.) | Transaktionale E-Mails (z. B. Registrierung, Benachrichtigungen) | USA | AVV, SCC |
| Google Ireland Ltd. (Gmail / Calendar API) | E-Mail- und Kalender-Synchronisation — nur bei vom Kunden aktivierter Integration mit eigenem Google-Konto | Irland (EU) / global | AVV, SCC; Zugriff nur im Rahmen der vom Kunden erteilten OAuth-Berechtigungen |
| OpenAI Ireland Ltd. | KI-Funktionen (z. B. Dokumentanalyse, Entwürfe) — nur bei Nutzung der KI-Funktionen | EU-Datenverarbeitung (Irland) | AVV, SCC; Zero Data Retention; kein Training auf Kundendaten |
| Google Ireland Ltd. (Gemini API) | Texterkennung (OCR) von Dokumenten — nur bei Nutzung der KI-Funktionen | EU-Regionen (Irland) | AVV (Cloud Data Processing Addendum), SCC; kein Training auf Kundendaten |
KI-bezogene Unterauftragsverarbeiter (OpenAI, Google Gemini) werden ausschließlich bei aktiver Nutzung der jeweiligen KI-Funktion durch den Verantwortlichen einbezogen. Eigene Agenten des Kunden über die Agent-API/MCP-Schnittstelle sind keine Unterauftragsverarbeiter des Anbieters (vgl. AGB § 13 Abs. 3).
Stand: Juni 2026