© 2026 OSOS/Omega. All rights reserved.
Omega version: 0.1.0
nach Art. 28 DSGVO
zwischen
[Lizenznehmer / Kunde] ("Verantwortlicher")
und
Osos AI GmbH, Cosimastraße 121, 81925 München, Germany, eingetragen im Handelsregister Amtsgericht München unter HRB 309796, vertreten durch den Geschäftsführer Dr. Hải Vân Lê Jorks ("Auftragsverarbeiter")
(jeweils auch "Partei", gemeinsam "Parteien")
Stand: 30.04.2026
Version: 1.0
Bezug: Hauptvertrag (EULA) inkl. Order Form vom [Datum des Order Form] für die Software OSOS / Omega.
Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der im Hauptvertrag bezeichneten Software OSOS / Omega als Cloud Software (SaaS) sowie zugehöriger Wartungs-, Support- und Professional-Services-Leistungen.
Der Vertrag wird mit Wirksamwerden des Hauptvertrags geschlossen und endet mit dessen Beendigung. Bestimmungen, die ihrer Natur nach eine Beendigung überdauern (z.B. Löschpflichten, Vertraulichkeit), gelten fort.
Bei Self-Hosted Software erfolgt die Verarbeitung personenbezogener Daten grundsätzlich in der vom Verantwortlichen kontrollierten Umgebung. Eine Auftragsverarbeitung im Sinne dieses Vertrags besteht in diesem Fall nur, soweit der Auftragsverarbeiter im Rahmen von Wartung, Support, Remote-Diagnostik oder Professional Services Zugriff auf personenbezogene Daten erhält oder erhalten kann.
Die Verarbeitung erfolgt zum Zweck der Bereitstellung, Wartung, Sicherstellung und Verbesserung der Software gemäß Hauptvertrag, einschließlich der Bereitstellung der KI-Funktionen (siehe AI Data Policy), Support- und Incident-Response-Leistungen sowie zur Erfüllung gesetzlicher Verpflichtungen.
Erheben, Erfassen, Organisation, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwendung, Übermittlung an Subprocessor, Abgleich, Verknüpfung, Einschränkung, Löschen und Vernichten.
Insbesondere:
Insbesondere:
Eine Verarbeitung besonderer Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO sowie von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) ist nicht vorgesehen. Soweit der Verantwortliche solche Daten in die Software einbringt, geschieht dies in seiner alleinigen Verantwortung; eine Verarbeitung ist nur nach gesonderter, schriftlicher Vereinbarung zulässig.
Der Verantwortliche ist im Verhältnis der Parteien für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen alleinverantwortlich (Art. 24 DSGVO).
Der Verantwortliche ist allein weisungsbefugt hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Weisungsberechtigt sind die im Hauptvertrag oder Order Form benannten Personen.
Der Verantwortliche ist verpflichtet, festgestellte Fehler und Unregelmäßigkeiten bei der Auftragsverarbeitung dem Auftragsverarbeiter unverzüglich mitzuteilen.
Bei einer dem Verantwortlichen bekannt werdenden Verletzung des Schutzes personenbezogener Daten beim Verantwortlichen, die mit der Auftragsverarbeitung in Zusammenhang stehen kann, informiert der Verantwortliche den Auftragsverarbeiter, soweit dies zur Erfüllung etwaiger Mitwirkungspflichten erforderlich ist.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Übermittlungen in Drittländer, sofern keine entsprechende Verpflichtung nach Unionsrecht oder mitgliedstaatlichem Recht besteht. In letzterem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen wichtigen öffentlichen Interesses verbietet.
Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt. Bis zur Klärung kann er die Ausführung aussetzen.
Der Auftragsverarbeiter verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO) und stellt sicher, dass diese die personenbezogenen Daten nur entsprechend der Weisung des Verantwortlichen verarbeiten.
Sofern der Auftragsverarbeiter nach Art. 37 DSGVO einen Datenschutzbeauftragten zu benennen hat, teilt er dessen Kontaktdaten mit. Sind die Voraussetzungen nicht erfüllt, benennt der Auftragsverarbeiter eine zuständige Ansprechperson für Datenschutz.
Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Die Maßnahmen sind in der Anlage 1 (TOM) beschrieben. Der Auftragsverarbeiter darf TOM weiterentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei
Über die im Hauptvertrag enthaltenen Leistungen hinausgehende Unterstützungsleistungen werden nach Aufwand zu den jeweils gültigen Standardsätzen des Auftragsverarbeiters vergütet.
Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.
Der Auftragsverarbeiter weist die Einhaltung seiner Pflichten gegenüber dem Verantwortlichen nach. Geeignete Nachweise sind insbesondere aktuelle Zertifikate (z.B. ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 42001, SOC 2 Type II, TISAX, BSI C5), aktuelle Auditberichte unabhängiger Dritter sowie die Beantwortung dokumentierter Fragenkataloge des Verantwortlichen ("Vendor Assessments"). Vor Ort-Audits beim Auftragsverarbeiter sind nach vorheriger Anmeldung mit angemessener Vorlaufzeit (mindestens 30 Tage) während üblicher Geschäftszeiten höchstens einmal jährlich zulässig; sie sind so durchzuführen, dass der Geschäftsbetrieb nicht beeinträchtigt wird. Der Auftragsverarbeiter kann angemessene Aufwandsentschädigungen verlangen, soweit das Audit über die Einsicht in vorhandene Berichte und Zertifikate hinausgeht.
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zum Einsatz von Sub-Auftragsverarbeitern gemäß Art. 28 Abs. 2 Satz 2 DSGVO. Die jeweils aktuelle Liste der Sub-Auftragsverarbeiter (inkl. Sitz, Zweck, Kategorien verarbeiteter Daten) wird unter [Link Subprocessor-Liste] veröffentlicht.
Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern mit einer Vorlauffrist von mindestens 30 Tagen. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund schriftlich widersprechen. Können die Parteien keine einvernehmliche Lösung finden, steht dem Verantwortlichen ein Sonderkündigungsrecht hinsichtlich der betroffenen Leistung zu.
Der Auftragsverarbeiter wählt seine Sub-Auftragsverarbeiter sorgfältig aus und verpflichtet sie vertraglich auf datenschutzrechtliche Pflichten, die im Wesentlichen denen dieses AVV entsprechen (Art. 28 Abs. 4 DSGVO). Er bleibt gegenüber dem Verantwortlichen für die Erfüllung der Datenschutzpflichten durch den Sub-Auftragsverarbeiter verantwortlich.
Für KI-Subdienstleister gelten zusätzlich die Bestimmungen der AI Data Policy.
Reine Telekommunikations-, Wartungs- und Reinigungsleistungen sowie Wirtschaftsprüfer- und Rechtsanwalts-Tätigkeiten gelten nicht als Sub-Auftragsverarbeitung im Sinne dieses Vertrags.
Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb des Europäischen Wirtschaftsraums (EWR). Soweit verfügbar, wird der Verantwortliche darauf hingewiesen, falls eine EU-only-Konfiguration im Order Form angefragt werden kann.
Eine Übermittlung personenbezogener Daten in Drittländer findet nur statt, wenn
Die Standardvertragsklauseln werden zwischen dem Auftragsverarbeiter und dem jeweiligen Sub-Auftragsverarbeiter abgeschlossen; der Verantwortliche kann auf Anfrage Einsicht nehmen.
Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten i.S.v. Art. 4 Nr. 12 DSGVO bekannt, informiert er den Verantwortlichen unverzüglich, in der Regel innerhalb von 24 Stunden ab Kenntnis. Die Meldung enthält – soweit zum Zeitpunkt der Meldung verfügbar – die Angaben gemäß Art. 33 Abs. 3 DSGVO. Fehlende Angaben werden dem Verantwortlichen unverzüglich nach Vorliegen nachgereicht.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Aufklärung, Eindämmung und Dokumentation der Verletzung sowie ggf. bei der Erfüllung seiner Melde- und Benachrichtigungspflichten.
Wendet sich eine betroffene Person mit einem Anliegen zur Wahrnehmung ihrer Rechte (Art. 15–22 DSGVO) unmittelbar an den Auftragsverarbeiter, wird der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiterleiten und nicht selbst beantworten, soweit dies rechtlich zulässig ist. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung in angemessenem Umfang bei der Erfüllung der entsprechenden Pflichten (vgl. Ziffer 4.6).
Nach Beendigung der Verarbeitungstätigkeiten wird der Auftragsverarbeiter nach Wahl des Verantwortlichen entweder
und vorhandene Kopien löschen, sofern nicht eine Verpflichtung zur Speicherung der personenbezogenen Daten nach dem Recht der Union oder eines Mitgliedstaats besteht.
Standardmäßig stehen dem Verantwortlichen für 30 Tage nach Vertragsende Export-Funktionen zur Verfügung; danach erfolgt die unwiderrufliche Löschung gemäß den dokumentierten Löschkonzepten (in der Regel innerhalb weiterer 90 Tage, einschließlich Backup-Rotationen). Eine über die Standardprozesse hinausgehende Rückgabe wird nach Aufwand vergütet.
Der Auftragsverarbeiter dokumentiert die Löschung.
Es gelten die Haftungsregelungen des Hauptvertrags (EULA), Ziffer 12, entsprechend, soweit nicht zwingende Bestimmungen des Datenschutzrechts (insbesondere Art. 82 DSGVO) eine andere Haftungsverteilung vorsehen.
Bei Widersprüchen zwischen den Bestimmungen dieses AVV und den Bestimmungen des Hauptvertrags zur Verarbeitung personenbezogener Daten gehen die Bestimmungen dieses AVV vor.
Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung dieser Textformklausel.
Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG). Ausschließlicher Gerichtsstand ist der Sitz des Auftragsverarbeiters, soweit der Verantwortliche Kaufmann ist.
Die nachfolgenden Maßnahmen werden dem Risiko angemessen umgesetzt; die konkrete Ausgestaltung wird im Trust Center bzw. Sicherheits-Whitepaper dokumentiert.
Zutrittskontrolle
Hosting in zertifizierten Rechenzentren (Tier III/IV) mit kontrolliertem Zutritt (Mehrfaktor-Authentifizierung, biometrische Verfahren, Videoüberwachung, Sicherheitspersonal). Eigene Räume des Auftragsverarbeiters sind durch Zutrittskontrollsysteme, Alarmierung und Besucherregistrierung gesichert.
Zugangskontrolle
Authentifizierung mit individuellen Benutzerkonten, starke Passwort-Richtlinien, verpflichtende Multi-Faktor-Authentifizierung (MFA) für administrative Zugriffe, automatisches Sperren inaktiver Sessions, Account-Lockout bei Fehlversuchen, zentrales Identity- und Access-Management.
Zugriffskontrolle
Rollenbasiertes Berechtigungskonzept (RBAC) nach dem Need-to-know-Prinzip, Trennung von administrativen und operativen Konten, regelmäßige Berechtigungs-Reviews, Audit-Logging aller administrativen Zugriffe, Bring-Your-Own-Device-Verbot für privilegierte Tätigkeiten.
Trennungskontrolle
Logische Mandantentrennung (Multi-Tenant) bzw. dedizierte Single-Tenant-Instanzen je nach Bereitstellungsmodell; getrennte Test-, Staging- und Produktionsumgebungen; mandantenspezifische Verschlüsselungsschlüssel, soweit vereinbart.
Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
Verschlüsselung in transit (TLS 1.2+ mit Forward Secrecy), Verschlüsselung at rest (AES-256 oder gleichwertig), Schlüsselverwaltung in einem Key Management System mit getrennten Berechtigungen, Pseudonymisierung von Telemetrie- und Diagnostikdaten.
Weitergabekontrolle
Sichere Übertragungswege (TLS, VPN für Administration), zertifikatsbasierte API-Authentifizierung, Verbot der Übermittlung über unverschlüsselte Kanäle, sichere Schlüsselübergabe.
Eingabekontrolle
Vollständige Audit-Trails über Erstellung, Änderung und Löschung personenbezogener Daten, manipulationsgesicherte Logspeicherung, Synchronisation der Systemzeit (NTP).
Verfügbarkeitskontrolle
Redundante Auslegung kritischer Komponenten, Hochverfügbarkeits-Cluster, automatisches Failover, regelmäßige Backup-Routinen mit definierten RPO/RTO, geo-redundante Speicherung wichtiger Daten, Schutz gegen DDoS-Angriffe, USV-/Notstrom-Versorgung in Rechenzentren.
Wiederherstellbarkeit
Regelmäßige Restore-Tests, dokumentierte Disaster-Recovery-Pläne, Business-Continuity-Management.
Datenschutz-Management
Etabliertes Datenschutzmanagement (Verfahrensverzeichnis, regelmäßige Awareness-Schulungen, Verpflichtung auf das Datengeheimnis, Datenschutz-Folgenabschätzungen bei neuen Verarbeitungstätigkeiten).
Incident-Response-Management
Dokumentierter Prozess zur Erkennung, Analyse, Eindämmung und Meldung von Sicherheitsvorfällen, definierte Eskalations- und Kommunikationswege, Forensik-Support.
Auftragskontrolle
Schriftliche Verpflichtungen aller Sub-Auftragsverarbeiter, regelmäßige Bewertungen (Risk- und Vendor-Management), Aufnahme in die Subprocessor-Liste.
Datenschutz durch Technikgestaltung und Voreinstellungen (Art. 25 DSGVO)
Privacy by Design / Privacy by Default in Entwicklungsprozessen, datenschutzfreundliche Voreinstellungen, Threat-Modelling, Secure Software Development Lifecycle (SSDLC), regelmäßige Penetrationstests, Schwachstellen- und Patch-Management.
Zertifizierungen / Nachweise
Aktueller Stand der Zertifizierungen (z.B. ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 42001, SOC 2, TISAX, BSI C5) wird in den Zertifikats- und Sicherheits-Hinweisen und im Trust Center veröffentlicht.
Die jeweils aktuelle Liste der Sub-Auftragsverarbeiter ist abrufbar unter [Link Subprocessor-Liste]. Sie enthält für jeden Sub-Auftragsverarbeiter:
Stand zum Zeitpunkt des Vertragsschlusses ist als Snapshot Bestandteil dieses AVV.
Verantwortlicher:
Ort, Datum: ________________________
Name: ________________________
Funktion: ________________________
Unterschrift: ________________________
Auftragsverarbeiter:
Ort, Datum: ________________________
Name: ________________________
Funktion: ________________________
Unterschrift: ________________________