Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
Stand: 3. Juli 2026 · Version 1.0
Dieser Auftragsverarbeitungsvertrag („AVV") wird zwischen dem Kunden als Verantwortlichem und der Sustamatic GbR, Georg-Schwarz-Str. 149, 04179 Leipzig, Deutschland („Sustamatic", Auftragsverarbeiter) geschlossen. Er kommt in elektronischer Form (Art. 28 Abs. 9 DSGVO, § 126b BGB) mit der Registrierung bzw. dem Abschluss des Nutzungsvertrages zustande; Zeitpunkt und Fassung der Zustimmung werden protokolliert. Diese Seite kann für Ihre Unterlagen gedruckt oder als PDF gespeichert werden. Bei Widersprüchen zwischen diesem AVV und den Allgemeinen Geschäftsbedingungen geht in datenschutzrechtlichen Fragen dieser AVV vor.
§ 1 Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand der Verarbeitung ist die Bereitstellung der Sustamatic-Plattform zur Erfassung, Analyse und Auswertung von Geschäftsdokumenten und zur Ermittlung von Treibhausgasemissionen gemäß dem Nutzungsvertrag, einschließlich Hosting, Speicherung, Dokumentenverarbeitung, KI-gestützter Extraktion und Klassifizierung, Emissionsberechnung, Berichtserstellung, Support und Datensicherung.
1.2 Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages. § 12 (Löschung und Rückgabe) bleibt unberührt.
1.3 Sustamatic verarbeitet die personenbezogenen Daten ausschließlich zur Erbringung der vertraglich geschuldeten Leistungen. Eine Verarbeitung zu eigenen Zwecken findet nicht statt; insbesondere nutzt Sustamatic Kundendaten nicht zum Training von KI-Modellen und verpflichtet auch seine Unterauftragsverarbeiter entsprechend (Anlage 2).
§ 2 Art und Zweck der Verarbeitung, Datenkategorien, betroffene Personen
2.1 Art und Zweck der Verarbeitung: Erhebung (Upload, E-Mail-Eingang), Speicherung, Strukturierung, Auswertung, KI-gestützte Extraktion und Klassifizierung, Berechnung, Berichtserstellung, Export, Löschung sowie zugehörige Support- und Sicherungsmaßnahmen — jeweils ausschließlich zur Erbringung des Service.
2.2 Kategorien personenbezogener Daten:
- Stamm- und Kontaktdaten (z. B. Namen, Anschriften, E-Mail-Adressen, Telefonnummern von Ansprechpersonen),
- Rechnungs- und Transaktionsdaten einschließlich Beleginhalten, Positions- und Buchungsdaten,
- Standort- und Adressangaben in Belegen (z. B. Absende- und Empfangsorte für Transportberechnungen),
- Nutzungs-, Konto- und Protokolldaten der Plattform-Nutzer des Kunden,
- Inhalte der Support-Kommunikation.
2.3 Kategorien betroffener Personen: Beschäftigte und Ansprechpersonen des Kunden, Ansprechpersonen von Lieferanten und Kunden des Kunden, Rechnungssteller und -empfänger sowie sonstige Personen, deren Daten in den vom Kunden bereitgestellten Dokumenten enthalten sind.
2.4 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sowie Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) sind nicht Gegenstand der bestimmungsgemäßen Verarbeitung und dürfen nur nach vorheriger ausdrücklicher Vereinbarung in den Service eingestellt werden.
§ 3 Weisungen des Kunden
3.1 Sustamatic verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden — auch in Bezug auf die Übermittlung in ein Drittland oder an eine internationale Organisation —, sofern nicht das Recht der Union oder der Mitgliedstaaten, dem Sustamatic unterliegt, eine Verarbeitung verlangt; in einem solchen Fall teilt Sustamatic dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
3.2 Als dokumentierte Weisungen gelten der Nutzungsvertrag, dieser AVV sowie die vom Kunden über die Konfigurations- und Verwaltungsfunktionen der Plattform getroffenen Einstellungen. Weitergehende Weisungen bedürfen der Textform.
3.3 Ist Sustamatic der Auffassung, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, informiert Sustamatic den Kunden unverzüglich. Sustamatic ist berechtigt, die Ausführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung durch den Kunden auszusetzen.
§ 4 Vertraulichkeit
Sustamatic gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugriff wird nach dem Need-to-know-Prinzip auf die Personen beschränkt, die ihn zur Vertragserfüllung benötigen.
§ 5 Sicherheit der Verarbeitung (Art. 32 DSGVO)
5.1 Sustamatic trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen.
5.2 Sustamatic darf die Maßnahmen der Anlage 1 an die technische und rechtliche Entwicklung anpassen, sofern das vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert.
§ 6 Unterauftragsverarbeiter
6.1 Der Kunde erteilt Sustamatic die allgemeine Genehmigung, die in Anlage 2 mit Namen, Anschrift, Funktion und Verarbeitungsort aufgeführten Unterauftragsverarbeiter einzusetzen.
6.2 Sustamatic informiert den Kunden mindestens 30 Kalendertage vor der beabsichtigten Aufnahme oder Ersetzung eines Unterauftragsverarbeiters in Textform (E-Mail an die hinterlegte Kontaktadresse genügt) und gibt dem Kunden damit die Möglichkeit, Einwände zu erheben. Der Kunde kann der Änderung aus berechtigten datenschutzrechtlichen Gründen widersprechen. Können die Einwände nicht einvernehmlich ausgeräumt werden und bietet Sustamatic keine zumutbare Alternative an, ist der Kunde berechtigt, den Nutzungsvertrag hinsichtlich der betroffenen Leistung außerordentlich zu kündigen; im Voraus gezahlte Entgelte für den Zeitraum nach Wirksamwerden der Kündigung werden erstattet.
6.3 Sustamatic erlegt jedem Unterauftragsverarbeiter im Wege eines Vertrages im Sinne des Art. 28 Abs. 4 DSGVO im Wesentlichen dieselben Datenschutzpflichten auf, wie sie in diesem AVV festgelegt sind. Auf Anfrage stellt Sustamatic dem Kunden eine Kopie der jeweiligen Vereinbarung zur Verfügung; geschäftliche und nicht datenschutzrelevante Inhalte dürfen geschwärzt werden.
6.4 Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet Sustamatic gegenüber dem Kunden für die Einhaltung der Pflichten des Unterauftragsverarbeiters wie für eigenes Handeln.
§ 7 Verarbeitungsort und Drittlandübermittlungen
7.1 Die Verarbeitung erfolgt grundsätzlich in Deutschland bzw. im Europäischen Wirtschaftsraum (EWR). Eine Übermittlung personenbezogener Daten in ein Drittland findet nur über die in Anlage 2 ausgewiesenen Unterauftragsverarbeiter, auf dokumentierte Weisung des Kunden (die mit Abschluss dieses AVV als erteilt gilt) und nur unter Einhaltung der Voraussetzungen des Kapitels V DSGVO statt.
7.2 Für jede Drittlandübermittlung gilt folgende Absicherung in dieser Reihenfolge: (a) ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO, soweit und solange er gültig ist; (b) andernfalls Standardvertragsklauseln nach dem Durchführungsbeschluss (EU) 2021/914 in der jeweils einschlägigen Modul-Konfiguration, die mit dem jeweiligen Empfänger bereits abgeschlossen sind bzw. bei Wegfall eines Angemessenheitsbeschlusses ohne weiteres Zutun wirksam werden; (c) ergänzende technische und organisatorische Maßnahmen nach Maßgabe einer Übermittlungs-Folgenabschätzung (Transfer Impact Assessment).
7.3 Sustamatic hält eine aktuelle Übersicht der Übermittlungswege bereit, unterstützt den Kunden mit den ihm vorliegenden Informationen bei Transfer-Folgenabschätzungen und informiert ihn unverzüglich, wenn ein eingesetztes Übermittlungsinstrument unwirksam wird. Steht für eine betroffene Übermittlung kein gültiges Instrument zur Verfügung, setzt Sustamatic die betreffende Übermittlung aus, bis rechtmäßige Garantien bestehen; der Kunde kann die Aussetzung der betroffenen Teilverarbeitung verlangen.
§ 8 Unterstützung bei den Rechten betroffener Personen
8.1 Sustamatic unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte betroffener Personen (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) nachzukommen.
8.2 Wendet sich eine betroffene Person unmittelbar an Sustamatic, leitet Sustamatic den Antrag unverzüglich an den Kunden weiter und beantwortet ihn nicht selbst, es sei denn, der Kunde hat Sustamatic hierzu ausdrücklich ermächtigt oder eine gesetzliche Pflicht verlangt eine Reaktion.
§ 9 Unterstützung bei den Pflichten nach Art. 32 bis 36 DSGVO
Sustamatic unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der Sustamatic zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere bei der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und betroffene Personen, bei Datenschutz-Folgenabschätzungen und bei vorherigen Konsultationen der Aufsichtsbehörde.
§ 10 Meldung von Verletzungen des Schutzes personenbezogener Daten
10.1 Sustamatic meldet dem Kunden jede Verletzung des Schutzes personenbezogener Daten, die im Auftrag des Kunden verarbeitete Daten betrifft, unverzüglich nach Kenntniserlangung, spätestens jedoch innerhalb von 48 Stunden.
10.2 Die Meldung enthält, soweit zum Zeitpunkt der Meldung verfügbar, mindestens: eine Beschreibung der Art der Verletzung (soweit möglich mit Kategorien und ungefährer Zahl der betroffenen Personen und Datensätze), Name und Kontaktdaten einer Anlaufstelle, eine Beschreibung der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen. Noch nicht verfügbare Informationen werden ohne unangemessene Verzögerung nachgereicht.
10.3 Die Meldung stellt kein Anerkenntnis eines Verschuldens oder einer Haftung dar. Die Bewertung und etwaige Meldung gegenüber Aufsichtsbehörden und betroffenen Personen obliegt dem Kunden; Sustamatic unterstützt ihn hierbei gemäß § 9.
§ 11 Nachweise und Kontrollen
11.1 Sustamatic stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind, insbesondere die Dokumentation der technischen und organisatorischen Maßnahmen, einschlägige Zertifikate der eingesetzten Rechenzentrumsbetreiber sowie Antworten auf angemessene Sicherheits-Fragebögen innerhalb von 30 Kalendertagen.
11.2 Der Kunde ist berechtigt, in angemessenen Abständen — in der Regel höchstens einmal pro Kalenderjahr — sowie bei konkreten Anhaltspunkten für Verstöße Überprüfungen (auch aus der Ferne) durchzuführen oder durch einen zur Verschwiegenheit verpflichteten, nicht im Wettbewerb zu Sustamatic stehenden Prüfer durchführen zu lassen. Inspektionen vor Ort erfolgen mit angemessener Vorankündigung (in der Regel 30 Kalendertage), zu üblichen Geschäftszeiten, unter Wahrung der Vertraulichkeit und ohne unverhältnismäßige Störung des Betriebs.
11.3 Bei konkreten Anhaltspunkten für Verstöße oder auf Anordnung einer Aufsichtsbehörde gelten die Beschränkungen aus § 11.2 (Häufigkeit, Vorankündigung) nicht. Jede Partei trägt die ihr durch eine Kontrolle entstehenden eigenen Kosten; für ohne konkreten Anlass verlangte zusätzliche Kontrollen kann Sustamatic einen angemessenen Aufwandsersatz verlangen, der eine wirksame Kontrolle nicht erschweren darf.
§ 12 Löschung und Rückgabe
12.1 Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht Sustamatic nach Wahl des Kunden alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht das Recht der Union oder der Mitgliedstaaten eine weitere Speicherung verlangt. Für die Rückgabe stehen die Exportfunktionen der Plattform sowie das Datenabruf-Fenster gemäß den AGB (mindestens 30 Kalendertage nach Vertragsende) zur Verfügung.
12.2 Soweit eine Löschung technisch erst im Rahmen turnusmäßiger Sicherungszyklen möglich ist, werden die Daten bis zur endgültigen Löschung gesperrt und nicht weiterverarbeitet. Auf Verlangen bestätigt Sustamatic die Löschung in Textform.
§ 13 Haftung und Schlussbestimmungen
13.1 Für die Haftung der Parteien gelten die gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO. Haftungsregelungen des Nutzungsvertrages bleiben unberührt, soweit sie zwingendem Datenschutzrecht nicht widersprechen.
13.2 Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen der Parteien geht dieser AVV in datenschutzrechtlichen Fragen vor. Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; an die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung.
13.3 Dieser AVV wird in deutscher und englischer Sprache bereitgestellt. Im Fall von Abweichungen ist die deutsche Fassung maßgeblich.
Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Sustamatic trifft mindestens die folgenden Maßnahmen; gleichwertige oder bessere Maßnahmen sind zulässig. Aus Sicherheitsgründen werden Maßnahmen hier auf dem für die Nachvollziehbarkeit erforderlichen Abstraktionsniveau beschrieben; Detailunterlagen werden im Rahmen von § 11 bereitgestellt.
| Bereich | Maßnahmen |
|---|---|
| Zugangskontrolle | Individuelle Benutzerkonten; Speicherung von Passwörtern ausschließlich als kryptografische Hashes; Sitzungsverwaltung; Begrenzung von Anmeldeversuchen und Anfrageraten. |
| Zugriffskontrolle | Rollenbasiertes Berechtigungskonzept; Need-to-know-Prinzip; administrative Systemzugänge nur über gesicherte, schlüsselbasierte Verfahren. |
| Zutrittskontrolle | Betrieb in nach ISO 27001 zertifizierten Rechenzentren in Deutschland; physische Zutrittskontrolle durch den Rechenzentrumsbetreiber. |
| Übertragungskontrolle | Transportverschlüsselung (TLS) für sämtliche Verbindungen; abgesicherte, authentisierte Schnittstellen zu Unterauftragsverarbeitern. |
| Eingabekontrolle | Protokollierung der Verarbeitungsschritte je Dokument (Audit-Trail); Nachvollziehbarkeit administrativer Änderungen. |
| Verfügbarkeitskontrolle | Regelmäßige Datensicherungen; zusätzliche Sicherungen vor Änderungen an Datenstrukturen; Monitoring; dokumentierte Wiederanlaufverfahren. |
| Trennungskontrolle | Strikte logische Mandantentrennung auf Datenebene; getrennte Produktiv-, Staging- und Testumgebungen. |
| Datenminimierung | Keine unnötigen Dokumentvolltexte oder personenbezogenen Inhalte in Protokollen; zeitlich begrenzte Aufbewahrung von Protokolldaten. |
| Organisation | Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen; Incident-Response-Prozess; Patch- und Schwachstellenmanagement; sorgfältige Auswahl und vertragliche Bindung der Unterauftragsverarbeiter. |
Anlage 2 — Unterauftragsverarbeiter
Sustamatic setzt derzeit die folgenden Unterauftragsverarbeiter ein (Stand: 14. Juli 2026). Änderungen erfolgen nach dem Verfahren in § 6.
| Unterauftragsverarbeiter | Funktion | Verarbeitungsort | Garantien |
|---|---|---|---|
| Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland | Hosting und Betrieb der Plattform, Speicherung, Datensicherung | Deutschland (EWR-Verarbeitung vertraglich zugesichert) | Vertrag nach Art. 28 DSGVO |
| OpenAI Ireland Ltd., The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irland | KI-gestützte Extraktion, Klassifizierung und Auswertung von Dokumentinhalten über eine Programmierschnittstelle | Vertragspartner im EWR; Verarbeitung kann durch verbundene Unternehmen auch außerhalb des EWR (insbesondere USA) erfolgen | Mit OpenAI ist ein Auftragsverarbeitungsvertrag abgeschlossen (OpenAI Data Processing Addendum, Art. 28 DSGVO). Drittlandübermittlungen (insbesondere in die USA) sind durch die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914) abgesichert; ein Angemessenheitsbeschluss nach Art. 45 DSGVO greift, soweit er für die empfangende Stelle gilt, im Übrigen die Ausnahmen des Art. 49 DSGVO. Kein Training auf API-Daten; Löschung spätestens 30 Tage nach Verarbeitung |
| IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland | E-Mail-Infrastruktur (transaktionale E-Mails, Postfächer) | Deutschland / EU | Vertrag nach Art. 28 DSGVO |
| HeiGIT gGmbH, Schloss-Wolfsbrunnenweg 33, 69118 Heidelberg, Deutschland | Geokodierung und Entfernungsberechnung für Transportemissionen (Verarbeitung von Orts- und Adressangaben aus Belegen) | Deutschland | Verarbeitung innerhalb Deutschlands; vertragliche Nutzungsbedingungen des Dienstes |
Hinweis: Die Zahlungsabwicklung erfolgt während dieser Phase unmittelbar durch Sustamatic; ein dritter Zahlungsdienstleister ist nicht eingebunden und daher nicht Gegenstand dieses AVV. Der Bot-Schutz des öffentlichen Registrierungsformulars (Cloudflare Turnstile) betrifft ausschließlich die eigene Website-Sicherheit von Sustamatic und ist ebenfalls kein Unterauftragsverarbeiter im Sinne dieses AVV. Einzelheiten enthält die Datenschutzerklärung.