Rechtliches
Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO; Anbieter ist die Acumen UG (haftungsbeschränkt); Anlage zum Nutzungsvertrag über die Software JurisForm.
Vertragsparteien
Vertrag über die Auftragsverarbeitung gemäß Art. 28 DSGVO
Anlage zum Nutzungsvertrag über die Software „JurisForm“
Stand: 27. Juni 2026, Version 1.1
zwischen
[Name / Firma des Verantwortlichen], [Anschrift], vertreten durch [vertretungsberechtigte Person]
– nachfolgend „Verantwortlicher“ –
und
Acumen UG (haftungsbeschränkt), HRB 143128, Amtsgericht Frankfurt am Main, Nobelring 23, 60598 Frankfurt am Main, vertreten durch den Geschäftsführer Marko Pavao Akmadza
– nachfolgend „Auftragsverarbeiter“ –
– gemeinsam die „Parteien“ –
Präambel
Der Auftragsverarbeiter stellt dem Verantwortlichen die webbasierte Anwendung „JurisForm“ zur Vorbereitung gesellschaftsrechtlicher Maßnahmen (insbesondere Erstellung und Aktualisierung von Gesellschafterlisten nach § 40 GmbHG, Kapitalerhöhungen, Einziehungen) bereit. Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO. Er ist Bestandteil des zwischen den Parteien geschlossenen Nutzungsvertrags (nachfolgend „Hauptvertrag“).
§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung
(1) Gegenstand und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag und der Präambel. Art und Zweck, die Art der Daten sowie die Kategorien betroffener Personen sind in Anlage 1 konkretisiert.
(2) Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union bzw. des EWR statt. Eine Verarbeitung in einem Drittland erfolgt nur unter den Voraussetzungen des Kapitels V DSGVO und nach Maßgabe von § 8 (Subunternehmer).
(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Dieser Vertrag endet automatisch mit dessen Beendigung; die Pflichten aus § 10 (Löschung) bleiben hiervon unberührt.
§ 2 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unions- oder mitgliedstaatlichem Recht zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). Weisungen können auch die Übermittlung personenbezogener Daten in Drittländer betreffen.
(2) Weisungen erfolgen grundsätzlich in Textform. Die Nutzung der Anwendung im Rahmen ihres bestimmungsgemäßen Funktionsumfangs gilt als Weisung. Mündliche Weisungen werden unverzüglich in Textform bestätigt.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Er ist berechtigt, die Durchführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere:
- a) die Verarbeitung auf das nach dem Hauptvertrag Erforderliche zu beschränken (Datenminimierung) und Kundeninhalte nicht für eigene Zwecke zu nutzen;
- b) sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (§ 4) oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- c) die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anlage 2 zu treffen und einzuhalten;
- d) die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter nach § 8 einzuhalten;
- e) den Verantwortlichen bei der Erfüllung von Betroffenenrechten sowie seiner Pflichten nach Art. 32 bis 36 DSGVO nach Maßgabe von § 6 zu unterstützen;
- f) nach Wahl des Verantwortlichen sämtliche personenbezogenen Daten nach Abschluss der Verarbeitung gemäß § 10 zu löschen oder zurückzugeben;
- g) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO bereitzustellen und Überprüfungen nach § 9 zu ermöglichen.
§ 4 Vertraulichkeit und Berufsgeheimnis (§ 203 StGB)
(1) Der Auftragsverarbeiter verpflichtet die mit der Verarbeitung befassten Personen auf die Vertraulichkeit personenbezogener Daten und belehrt sie über die sich aus diesem Vertrag ergebenden Pflichten. Die Verpflichtung besteht auch nach Beendigung der Tätigkeit fort.
(2) Soweit der Verantwortliche einer berufsrechtlichen Schweigepflicht unterliegt (insbesondere als Notar oder Rechtsanwalt), wird der Auftragsverarbeiter als „sonstige mitwirkende Person“ im Sinne von § 203 Abs. 3 Satz 2 StGB tätig. Er verpflichtet sich, die ihm zugänglich werdenden fremden Geheimnisse nicht unbefugt zu offenbaren, und unterliegt insoweit derselben Verschwiegenheitspflicht wie der Verantwortliche (§ 203 Abs. 4 StGB; flankierend § 43e BRAO bzw. § 26a BNotO).
(3) Der Auftragsverarbeiter verpflichtet von ihm eingesetzte weitere Auftragsverarbeiter (§ 8) in entsprechender Weise zur Verschwiegenheit (§ 203 Abs. 4 Satz 2 Nr. 1 StGB).
(4) Diese Vereinbarung wird in Textform geschlossen (§ 43e Abs. 3 BRAO).
§ 5 Technische und organisatorische Maßnahmen
(1) Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen, die ein dem Risiko angemessenes Schutzniveau gewährleisten (Art. 32 DSGVO).
(2) Die Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter darf sie anpassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert und dem Verantwortlichen auf Anforderung mitgeteilt.
(3) Der Auftragsverarbeiter überprüft die Maßnahmen regelmäßig, mindestens jährlich, sowie anlassbezogen.
§ 6 Unterstützung des Verantwortlichen
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen betroffener Personen (Art. 12 bis 23 DSGVO). Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter und beantwortet es nicht selbst.
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO, insbesondere bei der Sicherheit der Verarbeitung, der Meldung von Datenschutzverletzungen (§ 7) sowie einer etwaigen Datenschutz-Folgenabschätzung, jeweils unter Berücksichtigung der ihm vorliegenden Informationen.
§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes der im Auftrag verarbeiteten personenbezogenen Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis.
(2) Die Meldung enthält sinngemäß mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit dem Auftragsverarbeiter bekannt. Die Meldung erfolgt an: [Kontakt / Meldeweg des Verantwortlichen, z. B. security@…].
(3) Der Auftragsverarbeiter ergreift unverzüglich die erforderlichen Maßnahmen zur Eindämmung und Behebung. Meldungen an die Aufsichtsbehörde oder betroffene Personen obliegen dem Verantwortlichen.
§ 8 Weitere Auftragsverarbeiter (Subunternehmer)
(1) Der Verantwortliche erteilt seine allgemeine Genehmigung zur Beauftragung weiterer Auftragsverarbeiter. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subunternehmer sind in Anlage 3 aufgeführt und genehmigt.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung) mit angemessener Frist in Textform. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Fall eines berechtigten Widerspruchs ist jede Partei zur außerordentlichen Kündigung des Hauptvertrags berechtigt, sofern keine einvernehmliche Lösung gefunden wird.
(3) Der Auftragsverarbeiter erlegt jedem weiteren Auftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, wie sie in diesem Vertrag festgelegt sind (Art. 28 Abs. 4 DSGVO), einschließlich der Verschwiegenheitspflichten nach § 4.
(4) Setzt ein weiterer Auftragsverarbeiter Daten in einem Drittland ein, stellt der Auftragsverarbeiter geeignete Garantien nach Art. 46 DSGVO sicher, insbesondere durch Abschluss der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) sowie — soweit nach Art. 46 Abs. 2 und der Rechtsprechung („Schrems II“) erforderlich — ergänzender Maßnahmen auf Basis einer Transfer-Folgenabschätzung (TIA).
§ 9 Nachweise und Kontrollrechte
(1) Der Auftragsverarbeiter weist die Einhaltung seiner Pflichten auf Anforderung in geeigneter Weise nach, insbesondere durch Vorlage der Dokumentation der technischen und organisatorischen Maßnahmen, aktueller Testate, Berichte oder Zertifizierungen.
(2) Reichen diese Nachweise nicht aus, ermöglicht der Auftragsverarbeiter dem Verantwortlichen oder einem von diesem beauftragten, zur Verschwiegenheit verpflichteten Prüfer nach rechtzeitiger Ankündigung (mind. 14 Tage) zu den üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs eine Überprüfung. Der Verantwortliche trägt die ihm hierdurch entstehenden Kosten.
§ 10 Löschung und Rückgabe nach Beendigung
(1) Der Verantwortliche kann die von ihm in die Anwendung eingestellten Inhalte jederzeit selbst löschen.
(2) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen oder gibt sie nach Wahl des Verantwortlichen zurück. Bestehende Sicherungskopien werden nach Ablauf des regulären Backup-Zyklus (regelmäßig 30 Tage) gelöscht.
(3) Die Inhalte hochgeladener bzw. erzeugter Gesellschafterlisten werden serverseitig nicht dauerhaft persistiert (Privacy by Design); die Verarbeitung erfolgt überwiegend im Arbeitsspeicher. Eine flüchtige Verarbeitung kann über den in Anlage 3 genannten OCR-Subunternehmer erfolgen, sofern und sobald diese Funktion aktiviert ist und der lokale Parser nicht erfolgreich ist; auch dort erfolgt keine dauerhaft gespeicherte Verarbeitung (Zero Data Retention gemäß DPA). Dauerhaft gespeichert werden lediglich das vom Verantwortlichen erzeugte Ergebnisdokument sowie die zur Kontoführung erforderlichen Daten.
(4) Gesetzliche Aufbewahrungspflichten bleiben unberührt. Insoweit gespeicherte Daten werden gesperrt und nach Ablauf der Fristen gelöscht.
§ 11 Haftung
(1) Für die Haftung der Parteien gilt Art. 82 DSGVO. Im Innenverhältnis richtet sich die Haftung im Übrigen nach den Bestimmungen des Hauptvertrags.
(2) Der Verantwortliche ist für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich (Art. 28 Abs. 3 lit. a, Art. 4 Nr. 7 DSGVO).
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Formerfordernisses.
(2) Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags in datenschutzrechtlichen Fragen vor.
(3) Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung wird durch eine wirksame ersetzt, die dem wirtschaftlichen Zweck am nächsten kommt.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit zulässig, der Sitz des Auftragsverarbeiters.
Unterschriften
Verantwortlicher
Ort, Datum: ______________________
Name / Funktion: ______________________
Unterschrift: ______________________
Auftragsverarbeiter (Acumen UG (haftungsbeschränkt))
Ort, Datum: ______________________
Name / Funktion: Marko Pavao Akmadza, Geschäftsführer
Unterschrift: ______________________
Anlage 1 – Gegenstand der Verarbeitung
Art und Zweck der Verarbeitung:
Bereitstellung der Anwendung JurisForm zur Erstellung und Aktualisierung von Gesellschafterlisten (§ 40 GmbHG), Kapitalerhöhungen und Einziehungen. Die Verarbeitung umfasst das Hochladen, ggf. das automatisierte Auslesen (OCR – vorgesehen, derzeit noch nicht aktiviert), die Anzeige zur Prüfung durch den Verantwortlichen sowie die Erzeugung des Ergebnisdokuments.
Kategorien personenbezogener Daten:
| Kategorie | Beispiele |
|---|---|
| Gesellschafterdaten | Name, Vorname, Geburtsdatum, Wohnort; bei juristischen Personen Firma, Sitz, Registerangaben; Nennbeträge und laufende Nummern von Geschäftsanteilen, prozentuale Beteiligungen, Veränderungsvermerke |
| Vertretungsorgane | Name und Funktion von Geschäftsführern/Vertretern, soweit im Dokument enthalten |
| Kontodaten | E-Mail-Adresse, Zugangsdaten (gehashed), ggf. Rechnungsdaten des Verantwortlichen |
Kategorien betroffener Personen:
Gesellschafter und Vertretungsorgane der vom Verantwortlichen bearbeiteten Gesellschaften; mittelbar betroffene Mandanten des Verantwortlichen.
Besondere Datenkategorien (Art. 9 DSGVO): werden nicht verarbeitet.
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
| Schutzziel | Maßnahmen |
|---|---|
| Vertraulichkeit | Zugangskontrolle: persönliche Konten, Zwei-Faktor-Authentifizierung für administrative Zugänge; Hosting bei zertifizierten Anbietern (z. B. ISO 27001). Zugriffskontrolle: Authentifizierung aller Nutzer; Mandantentrennung auf Datenbankebene; Least-Privilege-Prinzip. Datenminimierung: Inhalte von Gesellschafterlisten werden serverseitig nicht dauerhaft persistiert; OCR-Aufrufe enthalten keine Konto- oder Sitzungsdaten; Logs ohne Inhaltsdaten. |
| Integrität | Transportverschlüsselung (TLS 1.2+) für sämtliche Verbindungen; Verschlüsselung gespeicherter Daten beim Hosting-/Datenbankanbieter. API-Schlüssel ausschließlich serverseitig in Umgebungsvariablen; keine Inhaltsdaten im Client oder in URLs. |
| Verfügbarkeit / Belastbarkeit | Verschlüsselte Backups mit getrennter Aufbewahrung; Backup-Turnus täglich, Restore-Test quartalsweise. Manuelle Datenerfassung als Fallback; OCR ist nicht betriebskritisch. |
| Verfahren zur Überprüfung | Mindestens jährliche sowie anlassbezogene Überprüfung der Maßnahmen und der Subunternehmerliste. Dependency- und Patch-Management (regelmäßige Updates, automatisierte Audits). |
Anlage 3 – Genehmigte weitere Auftragsverarbeiter
| Anbieter | Leistung / Zweck | Sitz / Region | Grundlage |
|---|---|---|---|
| Mistral AI SAS | OCR-Extraktion aus Gesellschafterlisten – vorgesehen/geplant, noch nicht aktiv; Freischaltung erst nach schriftlicher Zero-Data-Retention-Bestätigung und bestätigtem EU-Serverstandort; bis dahin findet keine Verarbeitung statt | Frankreich (EU-Endpunkt); Subprozessoren teilweise USA (SCC) | AVV (Art. 28); SCC gemäß Beschluss (EU) 2021/914 (Art. 46); TIA |
| Hetzner Online GmbH | Hosting der Anwendung und Datenbank | Deutschland (EU) | AVV |
| [wird noch bekannt gegeben] | Authentifizierung, Versand von Transaktions-E-Mails | EU | AVV |
| Externer IT-Entwickler | Entwicklung und Wartung; potenzieller Zugriff auf Produktionsdaten | [wird bei Vertragsabschluss benannt] | AVV / NDA inkl. § 203 StGB |
Hinweis: Zahlungsdienstleister handeln als eigene Verantwortliche und sind keine Auftragsverarbeiter im Sinne dieser Anlage. Die jeweils aktuelle Übersicht der eingesetzten Subprozessoren ist auf der Website unter jurisform.de/subprozessoren einsehbar und gilt als vereinbart.
Hinweis
Dieser Vertrag ist eine Vorlage und ersetzt keine Rechtsberatung im Einzelfall. Vor dem produktiven Einsatz – insbesondere gegenüber Berufsgeheimnisträgern – wird eine anwaltliche Prüfung empfohlen.