culturOS
Rechtliches

Auftragsverarbeitungsvertrag

Gemäß Art. 28 Abs. 3 DSGVO

Noch keine Version hinterlegt.

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Abs. 3 DSGVO

zwischen dem Kunden als Verantwortlichem und der culturOS GmbH als Auftragsverarbeiter

Version 1.0 · Stand: April 2026

Präambel

Dieser Auftragsverarbeitungsvertrag („AVV") wird zwischen dem Kunden der culturOS GmbH, wie im jeweiligen Vertrag über die Nutzung der culturOS-Plattform bezeichnet („Verantwortlicher" oder „Kunde"), und der culturOS Software GmbH, Dr. Auner Straße 22/2/1.3, 8074 Raaba-Grambach, Österreich („Auftragsverarbeiter" oder „culturOS"), geschlossen.

Dieser AVV ergänzt den zwischen den Parteien bestehenden Vertrag über die Nutzung der culturOS-Plattform einschließlich der zugehörigen Allgemeinen Geschäftsbedingungen (zusammen „Hauptvertrag") und wird mit Abschluss des Hauptvertrages automatisch Bestandteil des Vertragsverhältnisses.

Im Falle eines Widerspruchs zwischen den Bestimmungen dieses AVV und den Bestimmungen des Hauptvertrages gehen die Bestimmungen dieses AVV vor, soweit sie den Schutz personenbezogener Daten betreffen.

1. Gegenstand und Dauer der Verarbeitung

1.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen im Rahmen der Bereitstellung der culturOS-Plattform.

1.2 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages. Nach Beendigung des Hauptvertrages gelten die Regelungen zur Löschung und Rückgabe gemäß Ziffer 12.

2. Art und Zweck der Verarbeitung

2.1 Die Verarbeitung dient der Erbringung der vertraglich vereinbarten Leistungen der culturOS-Plattform, insbesondere:

  • (a) der Erfassung und Analyse anonymisierter und aggregierter Verhaltensdaten aus den digitalen Systemen des Kunden über die konfigurierten Data Channels;
  • (b) der Durchführung des eXcellence Process (eXPro) mit den Schritten Diagnose, Entwicklung und Steuerung;
  • (c) der Bereitstellung KI-gestützter Analysen, Empfehlungen und Handlungsimpulse durch den KI-Agenten ora;
  • (d) der Visualisierung und Dokumentation der Organisationsentwicklung über das Dashboard;
  • (e) der Benutzerverwaltung und Authentifizierung;
  • (f) der Erbringung von Support- und Wartungsleistungen.

2.2 Die Verarbeitung umfasst die Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung, Veränderung, Abfrage, Verwendung, Übermittlung, Verbreitung, Bereitstellung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung personenbezogener Daten.

3. Art der personenbezogenen Daten

3.1 Im Rahmen der Vertragserfüllung können folgende Kategorien personenbezogener Daten verarbeitet werden:

  • (a) Stammdaten der Plattformnutzer: Name, E-Mail-Adresse, Rolle/Funktion, Abteilung, Unternehmenszugehörigkeit;
  • (b) Zugangsdaten: Benutzername, gehashte Passwörter, Authentifizierungsinformationen;
  • (c) Nutzungsdaten der Plattform: Login-Zeiten, Seitenaufrufe, Aktionen innerhalb der Plattform;
  • (d) Verhaltensdaten aus Datenquellen (Data Channels): Metadaten aus digitalen Kommunikations- und Kollaborationstools des Kunden (z. B. Häufigkeit und Zeitpunkte von Interaktionen, Meetingfrequenz, Reaktionszeiten, Projektaktivitäten) — diese Daten werden grundsätzlich auf Team-/Abteilungsebene aggregiert und anonymisiert verarbeitet;
  • (e) Kommunikationsdaten: Inhalte von Support-Anfragen, Feedback;
  • (f) Technische Daten: IP-Adressen, Geräteinformationen, Browsertyp.

3.2 Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO ist nicht Gegenstand dieses AVV und wird vom Auftragsverarbeiter nicht wissentlich vorgenommen.

4. Kategorien betroffener Personen

Die betroffenen Personen umfassen:

  • (a) Administratoren und Plattformnutzer des Kunden (z. B. HR-Verantwortliche, OE-Berater, Führungskräfte);
  • (b) Mitarbeiter des Kunden, deren Verhaltensdaten (in aggregierter und anonymisierter Form) über die Data Channels erfasst werden;
  • (c) Kontaktpersonen des Kunden für Vertrags- und Supportangelegenheiten.

5. Pflichten des Auftragsverarbeiters

5.1 Weisungsgebundenheit. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder das Recht des Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet ist. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtlichen Anforderungen, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

5.2 Vertraulichkeit. Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Technische und organisatorische Maßnahmen. Der Auftragsverarbeiter setzt die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen um und hält diese während der gesamten Vertragsdauer aufrecht. Der Auftragsverarbeiter darf die Maßnahmen anpassen, sofern das Schutzniveau nicht unterschritten wird.

5.4 Unterauftragsverarbeiter. Der Auftragsverarbeiter setzt Unterauftragsverarbeiter nur unter den in Ziffer 7 genannten Bedingungen ein.

5.5 Unterstützung. Der Auftragsverarbeiter unterstützt den Verantwortlichen angesichts der Art der Verarbeitung nach Möglichkeit bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen gemäß Kapitel III der DSGVO und bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO.

5.6 Löschung. Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter die personenbezogenen Daten gemäß Ziffer 12, sofern keine gesetzliche Aufbewahrungspflicht besteht.

5.7 Nachweise. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem AVV festgelegten Pflichten zur Verfügung und ermöglicht Überprüfungen gemäß Ziffer 13.

6. Pflichten des Verantwortlichen

6.1 Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gemäß den geltenden Datenschutzgesetzen verantwortlich.

6.2 Der Verantwortliche stellt sicher, dass für die Verarbeitung der personenbezogenen Daten eine gültige Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. b, f DSGVO) vorliegt und die betroffenen Personen ordnungsgemäß informiert werden.

6.3 Der Verantwortliche erteilt dem Auftragsverarbeiter alle für die Verarbeitung erforderlichen Weisungen. Weisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind gesondert zu vereinbaren.

6.4 Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

7. Unterauftragsverarbeiter

7.1 Genehmigung. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter einzusetzen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. Die aktuelle Liste der Unterauftragsverarbeiter ist unter culturos.io/legal/subprocessors abrufbar.

7.2 Änderungen. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann gegen solche Änderungen innerhalb von 30 Tagen nach Erhalt der Mitteilung aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben.

7.3 Widerspruch. Erhebt der Verantwortliche Einspruch gegen einen neuen Unterauftragsverarbeiter und kann keine einvernehmliche Lösung gefunden werden, ist jede Partei berechtigt, den Hauptvertrag mit einer Frist von 30 Tagen zu kündigen.

7.4 Vertragliche Bindung. Der Auftragsverarbeiter stellt sicher, dass jedem Unterauftragsverarbeiter im Wege eines Vertrages dieselben Datenschutzpflichten auferlegt werden, die in diesem AVV festgelegt sind. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Pflichten durch den Unterauftragsverarbeiter.

7.5 Drittlandtransfer. Soweit ein Unterauftragsverarbeiter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet, stellt der Auftragsverarbeiter sicher, dass ein angemessenes Datenschutzniveau durch geeignete Garantien gemäß Art. 46 DSGVO gewährleistet ist (z. B. Standardvertragsklauseln, Angemessenheitsbeschluss).

8. Rechte der betroffenen Personen

8.1 Wendet sich eine betroffene Person zwecks Ausübung ihrer Rechte nach Art. 15–22 DSGVO an den Auftragsverarbeiter, leitet der Auftragsverarbeiter diese Anfrage unverzüglich an den Verantwortlichen weiter.

8.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Beantwortung von Anträgen betroffener Personen durch technische und organisatorische Maßnahmen.

8.3 Der Auftragsverarbeiter beantwortet Anfragen betroffener Personen nicht eigenständig, es sei denn, der Verantwortliche hat ihn dazu schriftlich ermächtigt.

9. Technische und organisatorische Maßnahmen (TOM)

9.1 Der Auftragsverarbeiter hat die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten implementiert. Diese Maßnahmen gewährleisten ein dem Risiko angemessenes Schutzniveau unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.

9.2 Der Auftragsverarbeiter überprüft die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig und passt diese bei Bedarf dem aktuellen Stand der Technik an. Anpassungen dürfen das vereinbarte Schutzniveau nicht unterschreiten.

10. Meldung von Datenschutzverletzungen

10.1 Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung.

10.2 Die Meldung enthält mindestens:

  • (a) eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze;
  • (b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
  • (c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
  • (d) eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Minderung der Folgen.

10.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.

11. Datenschutz-Folgenabschätzung

11.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, soweit diese im Zusammenhang mit der Nutzung der culturOS-Plattform erforderlich ist.

11.2 Gleiches gilt für eine etwaige vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO.

12. Löschung und Rückgabe von Daten

12.1 Nach Beendigung des Hauptvertrages stellt der Auftragsverarbeiter dem Verantwortlichen für einen Zeitraum von 90 Tagen die Möglichkeit zur Verfügung, die verarbeiteten personenbezogenen Daten in einem gängigen, maschinenlesbaren Format zu exportieren.

12.2 Nach Ablauf der in Ziffer 12.1 genannten Frist löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, unwiderruflich, es sei denn, eine gesetzliche Aufbewahrungspflicht steht der Löschung entgegen.

12.3 Soweit gesetzliche Aufbewahrungspflichten bestehen, sperrt der Auftragsverarbeiter die betreffenden Daten und löscht sie nach Ablauf der Aufbewahrungsfrist. Der Auftragsverarbeiter informiert den Verantwortlichen über Art und Umfang der aufbewahrungspflichtigen Daten.

12.4 Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.

13. Nachweise und Kontrollen

13.1 Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

13.2 Der Verantwortliche ist berechtigt, Überprüfungen — einschließlich Inspektionen — durchzuführen oder durch einen vom Verantwortlichen beauftragten und vom Auftragsverarbeiter akzeptierten Prüfer durchführen zu lassen. Solche Überprüfungen werden mit angemessener Vorankündigung (mindestens 30 Tage) und unter Berücksichtigung der Geschäftsgeheimnisse und Sicherheitsanforderungen des Auftragsverarbeiters durchgeführt.

13.3 Der Auftragsverarbeiter kann anstelle einer Vor-Ort-Prüfung auch aktuelle Zertifizierungen, Audit-Berichte oder gleichwertige Nachweise unabhängiger Dritter vorlegen.

13.4 Die Kosten einer Überprüfung trägt der Verantwortliche, es sei denn, die Überprüfung ergibt einen wesentlichen Verstoß des Auftragsverarbeiters gegen die Bestimmungen dieses AVV.

14. Schlussbestimmungen

14.1 Dieser AVV tritt mit Abschluss des Hauptvertrages in Kraft und endet mit der vollständigen Löschung aller im Auftrag verarbeiteten personenbezogenen Daten.

14.2 Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV vor, soweit sie den Schutz personenbezogener Daten betreffen.

14.3 Auf diesen AVV findet das Recht der Republik Österreich Anwendung.

14.4 Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

14.5 Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

Anlage 1: Technische und organisatorische Maßnahmen

Stand: April 2026

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (physischer Zugang zu Datenverarbeitungsanlagen)

  • Hosting bei Hetzner in zertifizierten Rechenzentren in Deutschland (ISO 27001)
  • Zutritt zu Rechenzentren nur für autorisiertes Personal des Hosting-Anbieters
  • Kein physischer Zugang von culturOS-Mitarbeitern zu den Servern erforderlich (cloudbasierte Verwaltung)

Zugangskontrolle (Verhinderung unbefugter Nutzung der Datenverarbeitungssysteme)

  • Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge
  • Individuelle Benutzerkonten — keine Shared Accounts
  • Automatische Sperrung nach fehlgeschlagenen Anmeldeversuchen
  • Regelmäßige Überprüfung und Aktualisierung von Zugriffsberechtigungen
  • Passwort-Richtlinien mit Mindestanforderungen an Komplexität

Zugriffskontrolle (Sicherstellung, dass nur autorisierte Personen auf Daten zugreifen)

  • Rollenbasiertes Berechtigungskonzept (Role-Based Access Control, RBAC)
  • Prinzip der minimalen Berechtigung (Least Privilege)
  • Protokollierung aller Zugriffe auf personenbezogene Daten
  • Regelmäßige Überprüfung der Zugriffsrechte

Trennungskontrolle (getrennte Verarbeitung von Daten verschiedener Kunden)

  • Logische Mandantentrennung auf Datenbankebene
  • Jeder Kunde hat einen eigenen, isolierten Datenbereich
  • Strikte Zugriffskontrolle zwischen Mandanten

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle (Schutz bei Datenübertragung)

  • Verschlüsselung aller Datenübertragungen mittels TLS 1.2 oder höher
  • Verschlüsselung ruhender Daten (AES-256) auf Speicherebene
  • Sichere API-Kommunikation mit Authentifizierung und Autorisierung

Eingabekontrolle (Nachvollziehbarkeit von Dateneingaben)

  • Protokollierung von Änderungen an personenbezogenen Daten (Audit-Log)
  • Nachvollziehbarkeit von Eingaben, Änderungen und Löschungen

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Verfügbarkeitskontrolle

  • Regelmäßige Datensicherungen (Backups) mit definierten Wiederherstellungszeiten
  • Redundante Infrastruktur bei Hetzner
  • Monitoring und Alerting-System für frühzeitige Erkennung von Störungen
  • Notfallpläne und Wiederherstellungsverfahren (Disaster Recovery)
  • Getestete Backup-Wiederherstellung

Belastbarkeit

  • Skalierbare Infrastruktur zur Bewältigung von Lastspitzen
  • DDoS-Schutz

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige interne Sicherheitsüberprüfungen
  • Schulung aller Mitarbeiter zu Datenschutz und Informationssicherheit
  • Dokumentiertes Datenschutz-Management-System
  • Regelmäßige Überprüfung und Aktualisierung der TOM

Anlage 2: Liste der Unterauftragsverarbeiter

Stand: April 2026

Die aktuelle Liste der Unterauftragsverarbeiter ist unter culturos.io/legal/subprocessors abrufbar. Zum Zeitpunkt des Vertragsschlusses setzt culturOS folgende Unterauftragsverarbeiter ein:

UnterauftragsverarbeiterZweckVerarbeitungsstandort
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, DeutschlandCloud-Hosting und InfrastrukturDeutschland (EU)
Anthropic, PBC, 548 Market St, San Francisco, CA 94104, USAKI-Modelle für ora (LLM-Inferenz)EU / USA*

* Für Datenübertragungen in die USA gelten die EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission. Zusätzlich wurde eine Transferfolgenabschätzung (TIA) durchgeführt.

culturOS Software GmbH Dr. Auner Straße 22/2/1.3, 8074 Raaba-Grambach, Österreich

Version 1.0 — Stand: April 2026

Verwandte Dokumente

Versionsarchiv

Noch keine Versionen im Archiv.