Ensight – Auftragsverarbeitungsvertrag (AVV)

Parteien

Verantwortlicher (nachfolgend „Auftraggeber"):
Der Kunde, dessen Daten im Rahmen des Ensight-Abonnements verarbeitet werden.

Auftragsverarbeiter (nachfolgend „Auftragnehmer"):
Entropy Software & Consulting, Bastian Entrup, Mühlenstieg 19, 37181 Hardegsen

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung und des Betriebs der Software Ensight DMS — einem digitalen Dokumentenmanagementsystem zur automatisierten Erfassung, Analyse, Archivierung und Suche von Geschäftsdokumenten (insbesondere Eingangsrechnungen und Belegen).

(2) Die Verarbeitung beginnt mit Abschluss des Hauptvertrags und endet mit dessen Beendigung, soweit dieser AVV keine abweichenden Regelungen enthält.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen:

Dokumentenerfassung: Entgegennahme und Speicherung von Rechnungen, Belegen und Geschäftsdokumenten (Upload, E-Mail-Import)
KI-gestützte Datenextraktion: Automatisches Auslesen strukturierter Daten (Händlername, Adresse, Betrag, Datum, IBAN, Positionen) aus Dokumenten mittels großer Sprachmodelle
Archivierung und Indexierung: Speicherung der Dokumente und Metadaten in verschlüsselten Datenbanken; Volltextindizierung für Suchanfragen
Freigabe-Workflow: Unterstützung der manuellen Prüfung und Freigabe eingehender Belege
Export: Bereitstellung von Belegen und Metadaten im ZIP/CSV-Format

Eine Verarbeitung zu anderen als den genannten Zwecken ist unzulässig.

§ 3 Art der personenbezogenen Daten

Kategorie	Beispiele
Kontakt- und Identifikationsdaten	Name, Firma, Anschrift von Lieferanten, Kunden
Finanzdaten	Rechnungsbeträge, Steuernummern, IBAN, Zahlungsreferenzen
Kommunikationsdaten	E-Mail-Adresse (bei E-Mail-Import), Betreffzeilen
Vertragsdaten	Bestellnummern, Kundennummern, Leistungsbeschreibungen
Metadaten	Upload-Zeitstempel, Datei-Hashwerte, Versionsinformationen

Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO werden grundsätzlich nicht verarbeitet. Sollten solche Daten ausnahmsweise in übermittelten Dokumenten enthalten sein, liegt die Verantwortung für die Rechtsgrundlage beim Auftraggeber.

§ 4 Kategorien betroffener Personen

Lieferanten und Dienstleister des Auftraggebers
Kunden des Auftraggebers
Mitarbeiter des Auftraggebers (soweit in Dokumenten genannt)
Sonstige Dritte, die in verarbeiteten Dokumenten aufgeführt sind

§ 5 Weisungsrecht und Weisungsgebundenheit

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zu einer anderweitigen Verarbeitung verpflichtet.

(2) Weisungen werden in der Regel durch den Hauptvertrag, dessen Anhänge sowie schriftlich oder in Textform (E-Mail) erteilt.

(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen die DSGVO verstößt, informiert er den Auftraggeber unverzüglich und ist berechtigt, die Ausführung bis zur Klärung auszusetzen.

(4) Mündliche Weisungen werden unverzüglich schriftlich bestätigt.

§ 6 Vertraulichkeit

(1) Der Auftragnehmer stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Der Auftragnehmer schult die eingesetzten Mitarbeiter regelmäßig zu datenschutz- und informationssicherheitsrelevanten Themen.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Wesentliche Änderungen werden dem Auftraggeber vorab mitgeteilt.

1. Zutrittskontrolle

Serverinfrastruktur ausschließlich bei Hetzner Online GmbH (ISO 27001, Rechenzentrum Deutschland)
Physischer Zugang obliegt ausschließlich Hetzner; kein eigener Serverraum beim Auftragnehmer

2. Zugangskontrolle

SSH-Zugang ausschließlich über Public-Key-Authentifizierung; Passwort-Authentifizierung deaktiviert
UFW-Firewall: Öffentlich erreichbar sind ausschließlich Port 22 (SSH), Port 80 (HTTP-Redirect) und Port 443 (HTTPS via Traefik); alle anderen Ports werden verworfen
JWT-Authentifizierung: Alle API-Anfragen erfordern ein kurzlebiges Bearer-Token (Gültigkeit: 1 Stunde), das automatisch vor Ablauf erneuert wird
Der DAL-Dienst ist ausschließlich im internen Docker-Netzwerk erreichbar und nicht direkt über das Internet zugänglich
Separate JWT-Secrets und Datenbankpasswörter pro Mandant, generiert als kryptografisch sichere Zufallszeichenfolgen

3. Zugriffskontrolle

Netzwerksegmentierung: PostgreSQL, MinIO und OpenSearch sind ausschließlich im internen Docker-Netzwerk erreichbar
Datenbankzugriff nur über den DAL-Proxy; kein direkter externer Datenbankzugriff möglich
Separate Datenbankpasswörter und MinIO-Credentials pro Mandant (256-Bit-Entropie)
API-Endpunkte des DAL erfordern gültige JWT-Authentifizierung

4. Trennungskontrolle

Jeder Mandant erhält ein dediziertes Docker-Netzwerk (tenant-<slug>), das ausschließlich die Dienste dieses Mandanten verbindet
Jeder Mandant erhält eine eigene PostgreSQL-Datenbank mit eigenem Datenbankbenutzer und eigenem Passwort; direkter Zugriff auf andere Mandantendatenbanken ist durch Benutzerrechte ausgeschlossen
Jeder Mandant erhält einen eigenen MinIO-Bucket und einen eigenen OpenSearch-Index
Die geteilte Infrastruktur (PostgreSQL-Instanz, MinIO, OpenSearch, Traefik) ist ausschließlich über das interne Docker-Netzwerk erreichbar
Alle Secrets (DB-Passwort, JWT-Secrets) werden pro Mandant individuell generiert und nicht mandantenübergreifend verwendet

5. Pseudonymisierung

Dokumente werden unter einem SHA-256-Hash des Dateiinhalts als primärem Deduplizierungsschlüssel gespeichert

6. Verschlüsselung / Übertragungssicherheit

Extern: Alle Verbindungen zwischen Endnutzer und Server über TLS 1.2+ via Traefik; Let's-Encrypt-Zertifikate werden automatisch ausgestellt und erneuert
Intern: Kommunikation zwischen Diensten über isolierte Docker-Netzwerke; kein Zugriff von außen möglich
Daten in Ruhe: Serverseitige Festplattenverschlüsselung durch Hetzner gemäß deren Sicherheitsrichtlinien
Private Keys werden ausschließlich lokal beim Auftragnehmer gespeichert und nicht im Versionsverwaltungssystem abgelegt

7. Verfügbarkeitskontrolle und Datensicherung

Docker-Services mit restart: unless-stopped; Systemd-Unit für automatischen Start nach Serverneustart
Health-Checks für alle Abhängigkeiten; Daten in persistenten Docker Named Volumes
Backup-Häufigkeit: Automatisierte tägliche Vollsicherung aller Mandantendaten, täglich ca. 03:00 UTC
Backup-Inhalt: Vollständige PostgreSQL-Datenbank (komprimiertes SQL-Dump) sowie alle gespeicherten Dokumente (MinIO-Bucket)
Backup-Speicherort: Hetzner Object Storage, Standort Deutschland — physisch getrennt vom Produktivserver
Aufbewahrungsdauer: 90 Tage; ältere Backups werden automatisch gelöscht
Lokale Kopie: Auf dem Produktivserver wird zusätzlich eine Kopie der letzten 48 Stunden vorgehalten
Integrität: Jede Sicherung enthält SHA-256-Prüfsummen aller Dateien; vor der Wiederherstellung wird die Integrität automatisch verifiziert

8. Belastbarkeit / Resilienz

Ausfall oder Kompromittierung eines Mandanten betrifft durch Netzwerk- und Datentrennung keine anderen Mandanten
Wiederherstellungszeit (RTO) bei Serverausfall: ca. 15–30 Minuten für die Infrastruktur, zuzüglich Dauer der Datenwiederherstellung

9. Wiederherstellbarkeit

Ziel-RPO (Recovery Point Objective): max. 24 Stunden (letztes Tages-Backup)
Datenbank und Dokumente werden vollständig gesichert und können unabhängig voneinander wiederhergestellt werden
Der OpenSearch-Suchindex kann vollständig aus den Primärdaten neu aufgebaut werden

10. Überprüfungs- und Evaluierungsverfahren

Deployment-Skripte unter Versionskontrolle (Git)
Anwendungslogs verfügbar über docker compose logs
Regelmäßige Überprüfung der Sicherheitsmaßnahmen, mindestens jährlich oder bei wesentlichen Architekturänderungen

11. Organisatorische Maßnahmen

Verpflichtung aller Mitarbeiter mit Datenzugang auf Vertraulichkeit
Nutzung separater SSH-Keys pro berechtigter Person; kein geteiltes Key-Material
Zugangsdaten werden in einem Passwortmanager verwaltet und nicht im Klartext gespeichert
Incident-Response: Bei Bekanntwerden einer Datenschutzverletzung sofortige interne Meldekette und Benachrichtigung des Auftraggebers innerhalb von 24 Stunden

§ 8 Unterauftragsverarbeitung

(1) Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein, denen der Auftraggeber durch Abschluss dieses AVV allgemein zustimmt:

#	Unternehmen	Sitz	Verarbeitungsort	Zweck
1	Hetzner Online GmbH	Gunzenhausen, Deutschland	Deutschland (Nürnberg / Falkenstein)	Server-Infrastruktur, Hosting, Backup-Speicher
2	Anthropic, Inc.	San Francisco, USA	USA ¹	KI-Extraktion von Dokumenteninhalten via Claude API

¹ Drittlandübermittlung Anthropic: Die Übermittlung in die USA stützt sich auf EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914. Anthropic verwendet übermittelte Dokumenteninhalte nicht für das Training von KI-Modellen (gemäß Anthropics API-Nutzungsbedingungen).

(2) Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen bei Unterauftragsverarbeitern mindestens 30 Tage im Voraus. Der Auftraggeber kann Änderungen aus wichtigem, dokumentiertem Grund ablehnen.

(3) Der Auftragnehmer legt Unterauftragsverarbeitern dieselben Datenschutzpflichten auf, die zwischen den Parteien vereinbart sind.

§ 9 Unterstützung des Auftraggebers

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO durch geeignete technische und organisatorische Maßnahmen, soweit möglich.

(2) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch).

(3) Für Unterstützungsleistungen, die über den vertraglich vereinbarten Umfang hinausgehen, kann der Auftragnehmer eine angemessene Vergütung verlangen.

§ 10 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.

(2) Die Meldung enthält mindestens: Art der Verletzung, betroffene Kategorien und Anzahl von Personen und Datensätzen, wahrscheinliche Folgen sowie ergriffene Abhilfemaßnahmen.

(3) Die Meldung erfolgt an den vom Auftraggeber benannten Ansprechpartner per E-Mail.

§ 11 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers. Die Löschung umfasst: PostgreSQL-Datenbank, MinIO-Bucket, OpenSearch-Index sowie Backups nach Ablauf der 90-tägigen Aufbewahrungsfrist.

(2) Der Auftragnehmer bestätigt die Löschung schriftlich innerhalb von 30 Tagen nach Vertragsende auf Wunsch des Auftraggebers.

§ 12 Nachweise, Kontrollen und Audits

(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten zur Verfügung.

(2) Der Auftragnehmer ermöglicht Audits mit einer Ankündigungsfrist von mindestens 14 Tagen. Audits dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen und sind auf datenschutzrelevante Aspekte beschränkt.

(3) Der Auftragnehmer kann anstelle eines Vor-Ort-Audits gleichwertige Nachweise (z.B. Zertifizierungen nach ISO 27001 oder SOC 2) vorlegen.

§ 13 Haftung

Für die Haftung zwischen den Parteien gelten die Regelungen des Hauptvertrags (AGB) sowie die gesetzlichen Vorschriften der DSGVO, insbesondere Art. 82 DSGVO.

§ 14 Schlussbestimmungen

(1) Dieser AVV ist Bestandteil des Hauptvertrags und folgt dessen Schicksal. Bei Kollisionen zwischen AVV und AGB geht der AVV vor.

(2) Änderungen bedürfen der Textform. Es gilt deutsches Recht. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragnehmers.

Entropy Software & Consulting · Bastian Entrup · Mühlenstieg 19 · 37181 Hardegsen
E-Mail: info@entropy-zero.de
Stand: Mai 2026