Auftragsverarbeitungsvertrag

Version 2.0 | Stand: März 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten durch die Scramble Cloud UG (haftungsbeschränkt), Heinrich-Böll-Weg 25, 30629 Hannover, E-Mail: hello@lurus.ai (nachfolgend „Auftragnehmer" oder „Lurus") im Auftrag des Kunden (nachfolgend „Auftraggeber" oder „Kunde").

Der AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) und tritt mit der Nutzung der Lurus Services in Kraft.

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand
Gegenstand dieser Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß den Allgemeinen Geschäftsbedingungen (nachfolgend „Hauptvertrag"), soweit eine Verarbeitung von personenbezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter für den Auftraggeber als Verantwortlicher gemäß Art. 28 DSGVO erfolgt.

Die Verarbeitung dient der Erbringung der vertraglich vereinbarten Leistungen gemäß der Leistungsbeschreibung auf https://lurus.ai.

1.2 Dauer
Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrages. Sie beginnt mit der Registrierung des Auftraggebers und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Beendigung des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung
Die Art der Verarbeitung umfasst alle Verarbeitungstätigkeiten im Sinne des Art. 4 Nr. 2 DSGVO, die zur Erfüllung des Auftrags erforderlich sind.

2.2 Zweck der Verarbeitung
Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten Leistungen gemäß der Leistungsbeschreibung auf https://lurus.ai.

§ 3 Art der personenbezogenen Daten und Kategorien von Betroffenen

3.1 Kategorien personenbezogener Daten
Die Art der verarbeiteten personenbezogenen Daten wird durch den Auftraggeber durch die Nutzung der Services bestimmt. Der Umfang der verarbeiteten Daten umfasst sämtliche personenbezogenen Daten, die der Auftraggeber im Rahmen der Nutzung der Services eingibt, hochlädt, generiert oder über aktivierte Drittdienst-Integrationen bereitstellt. Dies kann insbesondere Bestands- und Kontaktdaten, Inhaltsdaten, Nutzungsdaten, Kommunikationsdaten sowie alle weiteren Daten umfassen, die sich aus der bestimmungsgemäßen Nutzung der Services ergeben.

Der Auftragnehmer hat keine Kenntnis vom konkreten Inhalt der übermittelten Daten und prüft diese nicht auf ihre Rechtmäßigkeit. Die Verantwortung für die Zulässigkeit der Verarbeitung und die Einhaltung der datenschutzrechtlichen Bestimmungen in Bezug auf die übermittelten Daten liegt ausschließlich beim Auftraggeber.

3.2 Kategorien betroffener Personen
Die Kategorien betroffener Personen werden durch den Auftraggeber durch die Nutzung der Services bestimmt und umfassen alle natürlichen Personen, deren personenbezogene Daten im Rahmen der Nutzung der Services verarbeitet werden.

3.3 Besondere Kategorien personenbezogener Daten
Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist nicht Gegenstand dieses Vertrages. Die Übermittlung solcher Daten an den Auftragnehmer ist untersagt, sofern keine gesonderte schriftliche Vereinbarung zwischen den Parteien getroffen wurde, die insbesondere die zusätzlichen technischen und organisatorischen Schutzmaßnahmen regelt.

Verstößt der Auftraggeber gegen dieses Verbot, trägt er die alleinige Verantwortung für alle daraus resultierenden Folgen und stellt den Auftragnehmer von sämtlichen Ansprüchen Dritter, Behördenmaßnahmen und Schäden frei, die aus der unzulässigen Übermittlung resultieren.

§ 4 Verantwortlichkeit und Weisungen

4.1 Verantwortlichkeit
Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung, allein verantwortlich („Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO).

4.2 Weisungsbindung
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen ergeben sich aus diesem AVV und dem Hauptvertrag. Darüber hinausgehende Weisungen bedürfen der Textform und der Zustimmung des Auftragnehmers.

4.3 Weisungsverstoß
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt. Der Auftragnehmer darf die Umsetzung der Weisung aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

4.4 Datenverarbeitung in der EU
Die Verarbeitung personenbezogener Daten erfolgt in Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum. Eine Verarbeitung in einem Drittland ist zulässig, sofern die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere auf Grundlage eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO, geeigneter Garantien gemäß Art. 46 DSGVO oder einer sonstigen gesetzlich vorgesehenen Grundlage.

§ 5 Pflichten des Auftragnehmers

5.1 Weisungsgebundene Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten nur nach dokumentierter Weisung des Auftraggebers, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet; in diesem Fall teilt er dem Auftraggeber diese Anforderungen vorab mit, sofern das Recht dies nicht verbietet.

5.2 Vertraulichkeit
Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrages fort.

5.3 Technische und organisatorische Maßnahmen
Der Auftragnehmer ergreift die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die Maßnahmenkategorien sind in Anlage 1 dargestellt. Der Auftragnehmer ist berechtigt, Anlage 1 einseitig anzupassen, sofern die Maßnahmen weiterhin den Anforderungen des Art. 32 DSGVO genügen.

5.4 Unterstützung bei Betroffenenrechten
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte (Art. 12–22 DSGVO). Anfragen betroffener Personen, die direkt an den Auftragnehmer gerichtet werden, leitet dieser zeitnah an den Auftraggeber weiter.

5.5 Unterstützung bei Datenschutzpflichten
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten.

5.6 Löschung und Rückgabe
Nach Abschluss der Verarbeitung löscht der Auftragnehmer alle personenbezogenen Daten, sofern nicht nach dem Recht der Union oder eines Mitgliedstaates eine Verpflichtung zur Speicherung besteht.

Löschfristen:

  • Löschung in angemessener Frist nach Beendigung des Hauptvertrages
  • Auf Wunsch des Auftraggebers: Rückgabe der Daten vor der Löschung in einem gängigen, maschinenlesbaren Format gegen eine Aufwandsentschädigung in Höhe von 150,00 EUR (netto) je angefangener Stunde des erforderlichen Aufwands
Hinweis Funktion „Lokale Speicherung": Sofern der Auftraggeber die Funktion „Lokale Speicherung" aktiviert hat, werden Chat-Daten ausschließlich auf dem Endgerät des Auftraggebers gespeichert. Diese Daten unterliegen nicht der Löschpflicht durch den Auftragnehmer.

§ 6 Pflichten des Auftraggebers

6.1 Rechtmäßigkeit
Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er stellt sicher, dass die Übermittlung und Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Services im Einklang mit den geltenden datenschutzrechtlichen Bestimmungen erfolgt.

6.2 Weisungen
Der Auftraggeber erteilt dem Auftragnehmer Weisungen in Textform (E-Mail). Er ist für die Dokumentation der Weisungen verantwortlich.

6.3 Information bei Fehlern
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er bei der Nutzung der Services Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellt.

6.4 Ansprechpartner
Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner für Datenschutzangelegenheiten.

§ 7 Meldung von Datenschutzverletzungen

7.1 Benachrichtigung
Der Auftragnehmer unterrichtet den Auftraggeber ohne unangemessene Verzögerung, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.

7.2 Inhalt der Meldung
Die Meldung enthält die gemäß Art. 33 Abs. 3 DSGVO erforderlichen Informationen, soweit diese zum Zeitpunkt der Meldung bekannt sind.

7.3 Unterstützung
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und den betroffenen Personen (Art. 34 DSGVO).

§ 8 Unterauftragnehmer

8.1 Allgemeine Genehmigung
Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragnehmer) zur Vertragserfüllung einzusetzen.

8.2 Liste der Unterauftragnehmer
Die aktuell eingesetzten Unterauftragnehmer sind in Anlage 2 (Liste der Unterauftragnehmer) aufgeführt. Der Auftraggeber erklärt sich mit deren Einsatz einverstanden.

8.3 Information bei Änderungen
Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Auftraggeber erhält die Möglichkeit, gegen diese Änderungen innerhalb von 30 Tagen nach Zugang der Information in Textform einen datenschutzrechtlich begründeten Einspruch zu erheben. Widerspricht der Auftraggeber nicht innerhalb dieser Frist oder ist der Einspruch nicht datenschutzrechtlich begründet, gilt die Zustimmung zur Änderung als erteilt. Die Folgen eines begründeten Einspruchs regelt § 8.4.

8.4 Folgen eines Einspruchs
Im Fall eines datenschutzrechtlich begründeten Einspruchs wird der Auftragnehmer:

  • nach Möglichkeit die Leistung ohne den betreffenden Unterauftragnehmer erbringen, oder
  • falls dies nicht zumutbar ist, die betroffene Leistung einstellen. In diesem Fall steht dem Auftragnehmer ein Sonderkündigungsrecht zu.
8.5 Vertragliche Bindung
Der Auftragnehmer stellt durch vertragliche Vereinbarungen sicher, dass die Unterauftragnehmer dieselben Datenschutzpflichten einhalten wie in diesem AVV festgelegt. Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Einhaltung der Pflichten durch die Unterauftragnehmer verantwortlich.

§ 9 Kontrollrechte und Audits

9.1 Nachweispflicht
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

9.2 Kontrollen
Sofern der Auftraggeber auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel an der Einhaltung dieses AVV geltend macht, kann er Kontrollen anfordern. Der Auftragnehmer kann zur Erfüllung dieser Kontrollpflicht wahlweise ein aktuelles Zertifikat (z. B. ISO 27001) oder das Ergebnis einer Prüfung durch einen unabhängigen, zur Verschwiegenheit verpflichteten Sachverständigen vorlegen. Sofern der Auftragnehmer keinen solchen Nachweis vorlegen kann, ist der Auftraggeber berechtigt, auf eigene Kosten einen unabhängigen, zur Verschwiegenheit verpflichteten Sachverständigen mit einer Prüfung zu beauftragen. Eine eigene Vor-Ort-Kontrolle durch den Auftraggeber selbst oder durch seine Mitarbeiter ist ausgeschlossen.

Für Prüfungen durch Sachverständige gelten folgende Bedingungen:

  • Ankündigung mindestens 30 Tage im Voraus in Textform
  • Der Sachverständige ist dem Auftragnehmer vorab namentlich zu benennen und bedarf dessen Zustimmung, die nur aus wichtigem Grund verweigert werden darf
  • Durchführung ausschließlich während der üblichen Geschäftszeiten
  • Keine übermäßige Störung des Betriebsablaufs
  • Maximal eine Prüfung pro Kalenderjahr, außer bei konkretem begründeten Verdacht eines schwerwiegenden Verstoßes
  • Der Sachverständige unterliegt einer Vertraulichkeitspflicht gegenüber beiden Parteien und darf dem Auftraggeber ausschließlich das Prüfergebnis mitteilen, nicht jedoch vertrauliche Betriebs- oder Geschäftsgeheimnisse des Auftragnehmers
9.3 Kosten
Die Kosten für Kontrollen nach § 9.2, einschließlich der Kosten für Sachverständigenprüfungen, trägt der Auftraggeber, sofern die Kontrolle nicht aufgrund eines nachgewiesenen Verstoßes durch den Auftragnehmer erforderlich wurde.

§ 10 Haftung und Schadensersatz

10.1 Haftung nach DSGVO
Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für Schäden, die durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht werden.

10.2 Haftungsregelung des Hauptvertrages
Die im Hauptvertrag (AGB) vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung.

10.3 Freistellung
Der Auftraggeber stellt den Auftragnehmer von sämtlichen Ansprüchen Dritter, Behördenmaßnahmen, Bußgeldern und Schäden frei, die darauf beruhen, dass:

  • der Auftraggeber eine rechtswidrige oder vertragswidrige Weisung erteilt hat,
  • der Auftraggeber personenbezogene Daten ohne ausreichende Rechtsgrundlage übermittelt oder verarbeiten lässt,
  • der Auftraggeber seine Informationspflichten gegenüber betroffenen Personen gemäß Art. 13, 14 DSGVO nicht erfüllt hat,
  • der Auftraggeber gegen das Verbot der Übermittlung besonderer Kategorien personenbezogener Daten gemäß § 3.3 dieses AVV verstoßen hat, oder
  • der Auftraggeber seine sonstigen datenschutzrechtlichen Pflichten im Zusammenhang mit der Nutzung der Services verletzt hat.
Die Freistellung umfasst auch die angemessenen Kosten der Rechtsverteidigung des Auftragnehmers. Die Freistellung entfällt, soweit der Auftragnehmer den Schaden durch eigenes Verschulden mitverursacht hat.

§ 11 Laufzeit und Beendigung

11.1 Beginn
Diese Vereinbarung beginnt mit der Registrierung des Auftraggebers bei Lurus.

11.2 Ende
Diese Vereinbarung endet mit der vollständigen Abwicklung des Hauptvertrages, spätestens jedoch mit der vollständigen Löschung aller personenbezogenen Daten.

11.3 Fortwirkung
Die Pflichten aus diesem AVV, insbesondere die Vertraulichkeitspflicht und die Löschpflicht, wirken über das Ende dieser Vereinbarung hinaus fort, bis alle personenbezogenen Daten gelöscht sind.

§ 12 Schlussbestimmungen

12.1 Schriftform
Änderungen und Ergänzungen dieses AVV bedürfen der Textform (E-Mail genügt).

12.2 Vorrang
Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) haben die Regelungen dieses AVV Vorrang, soweit sie den Schutz personenbezogener Daten betreffen.

12.3 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

12.4 Anwendbares Recht
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

12.5 Gerichtsstand
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Hannover, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

12.6 Änderungen des AVV
Änderungen dieser Vereinbarung, die aufgrund wesentlicher rechtlicher oder technischer Änderungen erforderlich werden, werden dem Auftraggeber per E-Mail mitgeteilt. Die Änderungen bedürfen der Zustimmung des Auftraggebers. Widerspricht der Auftraggeber innerhalb von 30 Tagen nicht, gilt die Zustimmung als erteilt. Im Falle eines Widerspruchs steht dem Auftragnehmer ein Sonderkündigungsrecht zu.

Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragnehmer ergreift gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen umfassen insbesondere:

  • Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen durch geeignete physische und technische Zugangskontrollen.
  • Zugangskontrolle: Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen durch geeignete Authentifizierungs- und Autorisierungsverfahren.
  • Zugriffskontrolle: Gewährleistung, dass Berechtigte ausschließlich auf die ihrer Berechtigung unterliegenden Daten zugreifen können.
  • Trennungskontrolle: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.
  • Weitergabekontrolle: Schutz der Daten bei Übertragung und Transport durch geeignete Verschlüsselungsverfahren nach aktuellem Stand der Technik.
  • Eingabekontrolle: Gewährleistung der Nachvollziehbarkeit durch Authentifizierungs- und Autorisierungskonzepte, die sicherstellen, dass nur berechtigte Nutzer personenbezogene Daten eingeben, verändern oder entfernen können.
  • Verfügbarkeitskontrolle: Schutz personenbezogener Daten gegen Zerstörung oder Verlust durch geeignete Sicherungs- und Wiederherstellungsverfahren.
  • Verschlüsselung: Verschlüsselung gespeicherter und übertragener Daten nach aktuellem Stand der Technik.
  • Pseudonymisierung: Soweit technisch möglich und im Verhältnis zum Verarbeitungszweck angemessen, werden personenbezogene Daten pseudonymisiert verarbeitet, um das Risiko für die betroffenen Personen zu minimieren (Art. 32 Abs. 1 lit. a DSGVO).
  • Regelmäßige Überprüfung: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen gemäß Art. 32 Abs. 1 lit. d DSGVO.
Der Auftragnehmer passt die Maßnahmen unter Berücksichtigung des Stands der Technik an. Die konkrete Umsetzung der Maßnahmen wird auf Anfrage gemäß § 9.1 nachgewiesen. Ein detailliertes Dokument zu den technischen und organisatorischen Maßnahmen kann vom Auftragnehmer auf Anfrage bereitgestellt werden.

Anlage 2: Liste der Unterauftragnehmer

Stand: März 2026

Standardmäßig eingesetzte Unterauftragnehmer

UnterauftragnehmerStandortZweckDatenkategorien
OVHcloud (OVH Groupe SAS)EU/EWRKI-Modell-Hosting, AnwendungsinfrastrukturDaten gemäß § 3.1
IONOS SEEU/EWRKI-Modell-Hosting, AnwendungsinfrastrukturDaten gemäß § 3.1
Hetzner Online GmbHEU/EWRKI-Modell-Hosting, AnwendungsinfrastrukturDaten gemäß § 3.1
Nebius B.V.EU/EWRKI-Modell-HostingDaten gemäß § 3.1
Mollie B.V.EU/EWRZahlungsabwicklungZahlungs- und Abrechnungsdaten
Functional Software Inc. (Sentry)EU (Datenspeicherung)Fehlerüberwachung und -analyseTechnische Nutzungsdaten, ggf. pseudonymisierte Nutzer-Identifikatoren, IP-Adressen (anonymisiert)

Optionale Unterauftragnehmer (nur bei freiwilliger Aktivierung durch den Auftraggeber)

Die folgenden Unterauftragnehmer werden ausschließlich eingesetzt, wenn der Auftraggeber die entsprechenden Premium-Modelle in den Einstellungen aktiv aktiviert. Ohne aktive Zustimmung erfolgt keine Datenübermittlung.

UnterauftragnehmerStandortZweckDatenkategorien
AWS Bedrock (Amazon Web Services EMEA SARL)EU-RegionenPremium KI-ModelleDaten gemäß § 3.1
Microsoft Azure OpenAI (Microsoft Ireland Operations Ltd.)EU-RegionenPremium KI-ModelleDaten gemäß § 3.1
Google Cloud Vertex AI (Google Ireland Ltd.)EU-RegionenPremium KI-ModelleDaten gemäß § 3.1

Änderungen an dieser Liste werden dem Auftraggeber gemäß § 8.3 mitgeteilt.
Kontakt für Unterauftragnehmer-Anfragen: privacy@lurus.ai

Fragen zum Auftragsverarbeitungsvertrag? Kontaktieren Sie uns unter privacy@lurus.ai.

Zu den AGB Zur Datenschutzerklärung