← werkwohl.de

WerkWohl · Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Stand: 2026-05-15 (v0.1-draft)

Draft-Status: Dieser Text ist eine Anwalts-Prüfungs-Vorlage und noch nicht final freigegeben. Die Plattform ist in der Build-Phase (Sprint 1 — Foundation), es findet noch kein Live-Betrieb statt. Verbindliche Endfassung folgt nach Anwaltsfreigabe vor dem Pilot-Launch.
Hinweis: Sobald du eine WerkWohl-Plattform-Lizenz gebucht hast, generieren wir für deine Firma einen individualisierten AVV mit deinen Stammdaten und stellen ihn zum Download bereit (kommt in Sprint 5 — Stripe-Integration). Bis dahin liefert diese Seite die Vertrags-Vorlage zur Vorab-Prüfung.
# Auftragsverarbeitungsvertrag (AVV) zur Nutzung der WerkWohl-Plattform

**Anlage 1 zu den Allgemeinen Geschäftsbedingungen der WerkWohl-Plattform**

**Stand:** 2026-05-15
**Version:** 0.1 (Entwurf zur Anwaltsprüfung)
**Rechtsgrundlage:** Art. 28 Datenschutz-Grundverordnung (DSGVO), § 62 Bundesdatenschutzgesetz (BDSG)

---

## Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV" oder „Vertrag") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung der digitalen WerkWohl-Plattform. Er ist **Anlage 1** zu den Allgemeinen Geschäftsbedingungen der WerkWohl-Plattform (nachfolgend „AGB") und mit Annahme der AGB durch den Verantwortlichen wirksam zustande gekommen. Bei Widersprüchen zwischen diesem AVV und den AGB hat dieser AVV hinsichtlich datenschutzrechtlicher Regelungen Vorrang.

Der Verantwortliche bedient sich der Plattform des Auftragsverarbeiters zur Verwaltung betrieblicher Vorsorge- und Benefit-Programme seiner Mitarbeiter und Geschäftsführer. Dabei werden personenbezogene Daten verarbeitet, für deren Verarbeitung der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO verantwortlich bleibt. Der Auftragsverarbeiter verarbeitet diese Daten ausschließlich auf Weisung und für die Zwecke des Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.

[ANWALT-CHECK]: Reicht die Einbeziehung des AVV als Anlage zur AGB durch Bestätigungs-Haken im Stripe-Checkout den Formanforderungen des Art. 28 Abs. 9 DSGVO (Schriftform inklusive elektronischer Form)? Oder ist eine zusätzliche separate elektronische Signatur (z. B. DocuSign, qualifizierte elektronische Signatur) erforderlich?

---

## § 1 Vertragsparteien und Begriffsbestimmungen

(1) **Verantwortlicher** im Sinne von Art. 4 Nr. 7 DSGVO ist der jeweilige Arbeitgeber-Kunde, der die WerkWohl-Plattform nach Maßgabe der AGB nutzt (nachfolgend „Auftraggeber" oder „Verantwortlicher").

(2) **Auftragsverarbeiter** im Sinne von Art. 4 Nr. 8 DSGVO ist:

> **Hannes Weindorf Finanz- und Unternehmensberatung UG (haftungsbeschränkt)**
> Adalbert-Stifter-Straße 6, 74629 Pfedelbach
> Telefon: 07941 6978080
> Geschäftsführer: Hannes Weindorf (einzelvertretungsberechtigt mit Befreiung von § 181 BGB)
> Handelsregister: HRB 744808, Amtsgericht Stuttgart
> Stammkapital: 1.000,00 EUR
> USt-IdNr.: nicht erteilt — Steuernummer auf Anfrage
> E-Mail Datenschutz: datenschutz@werkwohl.de
> Datenschutzbeauftragter: [ANWALT-CHECK 01]: Bestellpflicht nach § 38 BDSG prüfen (aktuell vermutlich nicht einschlägig — < 20 Personen mit ständiger automatisierter Verarbeitung); externer DSB freiwillig zu benennen empfohlen, um Vertrauen gegenüber Arbeitgeber-Verantwortlichen zu signalisieren.
>
> (nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter")

(3) Die in diesem AVV verwendeten Begriffe (insbesondere „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter", „Empfänger", „Dritte", „Einwilligung", „Aufsichtsbehörde", „besondere Kategorien personenbezogener Daten") werden gemäß Art. 4 DSGVO ausgelegt.

(4) Soweit nachfolgend von der „Plattform" gesprochen wird, ist hierunter die in den AGB definierte WerkWohl-Plattform einschließlich aller aktivierten Module (bAV, bKV, VitalPro, GGF-Versorgung, Hinterbliebenen-Vorsorge und weitere gemäß Roadmap) zu verstehen.

---

## § 2 Gegenstand, Art und Dauer der Auftragsverarbeitung (Art. 28 Abs. 3 Satz 1 DSGVO)

(1) **Gegenstand** der Auftragsverarbeitung ist die durch den Auftragnehmer im Auftrag des Verantwortlichen erbrachte Datenverarbeitung im Rahmen der WerkWohl-Plattform-Nutzung. Hierzu zählen insbesondere:

a) Speicherung, Organisation und Strukturierung von Mitarbeiter- und Geschäftsführer-Stammdaten in einer multi-mandantenfähigen Datenbank-Architektur,

b) Verarbeitung von Beratungs-Antworten, Lohn-Daten und Familien-Stammdaten zur Bedarfsermittlung und Erstellung von Probeabrechnungen,

c) Bereitstellung von Beratungs-Strecken, Onboarding-Bereichen, Dashboards und Operations-Tools,

d) Versand von Lifecycle-Mails (Einladungen, Reminder, Bestätigungen) über den Subdienstleister Resend,

e) Bereitstellung von Erklär-Videos über den Subdienstleister Bunny Stream,

f) KI-gestützte Lead-Qualifizierung und Beratungs-Assistenz durch das ELLA-Chat-Widget unter Nutzung von Microsoft Azure OpenAI Service in einer EU-Region (Frankfurt am Main),

g) Termin-Buchung von Hannes-Terminen über den Subdienstleister Cal.com,

h) Workflow-Automatisierung über die selbst-gehostete n8n-Instanz,

i) Erstellung von PDF-Beratungs-Protokollen und An-/Abmeldungs-Paketen für den Verantwortlichen.

(2) **Art** der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln (an Subunternehmer und an den Verantwortlichen selbst), Bereitstellen, Einschränken, Löschen, Vernichten.

(3) **Zweck** der Verarbeitung: Erbringung der vertraglich vereinbarten Plattform-Leistungen zur Vorbereitung, Durchführung und Verwaltung betrieblicher Vorsorge- und Benefit-Programme des Verantwortlichen. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers — insbesondere zu Werbe-, Marketing- oder Trainings-Zwecken — ist ausgeschlossen, soweit nicht in § 7 (anonymisierte Statistik-Daten) ausdrücklich anders geregelt.

(4) **Dauer** der Auftragsverarbeitung: Die Auftragsverarbeitung beginnt mit dem Vertragsschluss gemäß § 3 AGB und endet mit der Beendigung des Plattform-Lizenz-Vertrags (Mindestlaufzeit zwölf Monate, automatische Verlängerung gemäß § 9 AGB), zuzüglich der in § 12 dieses AVV geregelten Nachvertraglichen Lösch- und Aufbewahrungs-Fristen.

(5) **Ort der Verarbeitung:** Die Datenverarbeitung findet **ausschließlich innerhalb der Europäischen Union** statt. KI-Verarbeitungen für das ELLA-Chat-Widget erfolgen über Microsoft Azure OpenAI Service in der EU-Region (Frankfurt am Main); ein Drittland-Transfer im Sinne von Kapitel V DSGVO findet nicht statt. Etwaige Sub-Processor-Verbindungen des Microsoft-Konzerns (Microsoft Corporation, USA) sind durch DPF-Zertifizierung (Angemessenheitsbeschluss Art. 45 DSGVO) und Standardvertragsklauseln abgesichert.

[ANWALT-CHECK]: Die in § 2 Abs. 1 lit. (a)–(i) genannte Aufzählung umfasst alle Verarbeitungs-Vorgänge der Plattform im Stand 2026-05-15 (v1.0 mit bAV-Modul). Bei Aktivierung weiterer Module (bKV, VitalPro, Hinterbliebenen-Vorsorge gemäß Roadmap §1.6 Konzept) erweitert sich die Verarbeitungs-Beschreibung. Anwalt prüft: Reicht der dynamische Verweis auf die Roadmap, oder ist eine AVV-Aktualisierung pro Modul-Aktivierung erforderlich?

---

## § 3 Art der personenbezogenen Daten (Art. 28 Abs. 3 Satz 1 lit. b DSGVO)

(1) Im Rahmen der Auftragsverarbeitung werden insbesondere folgende **Kategorien personenbezogener Daten** verarbeitet:

### 3.1 Personenstammdaten (alle aktiven Module)

- Vor- und Nachname
- Geburtsdatum und -ort
- Geschlecht (sofern angegeben)
- Anschrift (Privatadresse, soweit vom Mitarbeiter freiwillig hinterlegt)
- Geschäftliche E-Mail-Adresse (Pflichtfeld)
- Private E-Mail-Adresse (optional)
- Telefonnummer (geschäftlich/privat, optional)
- Funktion/Rolle im Unternehmen (Mitarbeiter, Geschäftsführer, GGF, Steuerberater-Zugang)
- Eintrittsdatum, ggf. Austrittsdatum
- Mitarbeiter-Personalnummer (sofern vom Arbeitgeber vergeben)

### 3.2 Steuer- und Sozialversicherungsdaten

- Bruttolohn (Monats- oder Jahresbrutto)
- Steuerklasse (I bis VI)
- Konfessions-/Kirchensteuerpflicht (sofern angegeben — relevant für die Probeabrechnung)
- Status zur gesetzlichen Krankenversicherung (gesetzlich versichert, privat versichert, Befreiungs-Bescheinigung)
- Geschäftsführer-Status mit Beteiligungs-Quote (relevant für GGF-Versorgung — beherrschend, mehrheitsbeteiligt, fremdgeschäftsführend)
- Sozialversicherungs-Status (rentenversicherungspflichtig, befreit, in Übergangs-Phase)

[ANWALT-CHECK]: KV-Status und Befreiungs-Bescheinigung — Art. 9 DSGVO einschlägig (Gesundheits-Daten) oder bloße Sozialdaten? Die wohl überwiegende Literatur-Auffassung sieht den reinen Versicherungs-Status nicht als Gesundheits-Datum; Anwalt prüft.

### 3.3 Familien- und Hinterbliebenen-Stammdaten (ab Modul Hinterbliebenen-Vorsorge v2.0, bei Familien-Tarifen bKV/VitalPro ab v1.1)

- Familienstand (ledig, verheiratet, geschieden, verwitwet, eingetragene Lebenspartnerschaft)
- Anzahl Kinder, Geburtsdaten Kinder (für Kinderfreibeträge und Hinterbliebenen-Berechnung)
- Daten Ehepartner/eingetragener Lebenspartner (Name, Geburtsdatum, ggf. Steuerklasse)
- Hinterbliebenen-Daten (Begünstigte einer Risikoleben- oder Hinterbliebenen-Renten-Vorsorge — Name, Geburtsdatum, Verhältnis zum Versicherungs-Nehmer)

[ANWALT-CHECK]: Daten von Familienangehörigen, die selbst keinen Vertrag mit dem Verantwortlichen haben (insb. Hinterbliebenen-Begünstigte), werden mittelbar verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Versicherungs-Vermittlung) oder eigene Einwilligung dieser Personen erforderlich? Insbesondere bei Risikoleben mit explizit benannten Begünstigten.

### 3.4 Beratungs-Antworten (alle Module mit Beratungs-Strecken)

- Antworten auf strukturierte Beratungs-Fragen der bAV-, GGF-, Hinterbliebenen- und BU-Strecken
- Eigenbeitrags-Slider-Werte, Zuschuss-Wahlmöglichkeiten, Tarif-Präferenzen
- Probeabrechnungs-Ergebnisse (Netto-Auswirkung des Eigenbeitrags, Steuer-Ersparnis, Sozialabgaben-Ersparnis)
- Frei-Text-Anmerkungen des Mitarbeiters zu speziellen Lebens-Situationen (z. B. „Bestandsvertrag prüfen", „Familien-Planung im nächsten Jahr")
- Status der Beratungs-Strecke (in Bearbeitung, abgeschlossen, abgebrochen)
- Entscheidung des Mitarbeiters zum Abschluss-Weg (Hannes-Termin, Express-Angebot, Nur-Information)

### 3.5 Vertrags- und Lohndaten (laufend)

- Bei vermittelten Verträgen: Versicherungs-Nummer, Versicherer, Tarif, Vertrags-Beginn, Beitrags-Höhe, Eigenbeitrag, Arbeitgeber-Zuschuss
- Lohn-Veränderungen, die für die Anpassung des bAV-Beitrags relevant sind (insbesondere Brutto-Erhöhungen, Wechsel der Steuerklasse, Geburt eines Kindes)
- Status der laufenden Anbindung (aktiv, ruhend, beitragsfrei, gekündigt)
- Eintritts- und Austrittsmeldungen für die Sozialversicherung

### 3.6 Dokumenten-Uploads

- Vom Verantwortlichen oder seinen Mitarbeitern hochgeladene Dokumente, insbesondere:
  - Lohnabrechnungen (zur Verifikation der Bemessungs-Grundlage)
  - Bestandsverträge (bAV, bKV, Risikoleben)
  - Vollmachten und Datenschutz-Einwilligungen
  - An-/Abmeldungs-Bestätigungen Krankenkasse
  - Befreiungs-Bescheinigungen zur Sozialversicherung
  - Geburtsurkunden, Heiratsurkunden (bei familiärer Konstellation)
- Metadaten (Upload-Zeitpunkt, Hochladende Person, Dateiname, Datei-Größe, MIME-Type)

[ANWALT-CHECK]: Geburts- und Heiratsurkunden können Daten enthalten, die über die DSGVO hinaus standesamtlich geschützt sind. Aufnahmen davon im AVV besonders kennzeichnen?

### 3.7 ELLA-Chat-Verläufe

- Vom Nutzer eingegebene Nachrichten an das ELLA-Chat-Widget
- Vom KI-Modell generierte Antworten
- Session-Metadaten (Zeitpunkt, IP-Adresse pseudonymisiert, User-Agent, Plattform-Kontext)
- Lead-Qualifizierungs-Daten (sofern Nutzer im Chat Daten preisgibt)

### 3.8 Nutzungs- und Audit-Daten (technisch)

- Login-Zeitstempel und Login-Methode (Magic-Link)
- Audit-Log-Einträge zu durchgeführten Aktionen (Wer hat wann was geändert?)
- IP-Adresse zum Zeitpunkt der Anmeldung (pseudonymisiert nach sieben Tagen)
- Browser- und Geräte-Informationen (User-Agent)
- Klick- und Strecken-Verlauf innerhalb der Plattform (zur Konvertierungs-Statistik und Fehler-Analyse)

(2) **Keine Verarbeitung besonderer Kategorien gemäß Art. 9 DSGVO im aktuellen Modul-Stand (v1.0).** Sobald in späteren Modulen (insbesondere Mental-Health-Modul, MindCheck-Cross-Verarbeitung) Gesundheits-Daten erhoben werden, wird dieser AVV durch einen entsprechenden Annex erweitert. Bis dahin werden Gesundheits-Daten ausschließlich auf der getrennten MindCheck-Plattform der Schwester-Firma Weindorf Beratung (Einzelunternehmen) verarbeitet, deren AVV separat zwischen Verantwortlichem und Weindorf Beratung geschlossen wird.

[ANWALT-CHECK]: Die strikte Trennung „in WerkWohl keine Art. 9 DSGVO-Daten" ist konstruktiv wichtig. Bei MindCheck-Cross-Card-Aktivierung (AGB §1.9, Konzept §8.2) erfolgt der Daten-Austausch ausschließlich über manuelles Triggern durch den Verantwortlichen, nicht über automatischen Sync. Anwalt prüft: Reicht das oder muss ein eigener AVV-Annex für die Daten-Brücke geschrieben werden, sobald der erste Cross-Lead durchläuft?

---

## § 4 Kategorien betroffener Personen (Art. 28 Abs. 3 Satz 1 lit. b DSGVO)

(1) Betroffene Personen im Sinne von Art. 4 Nr. 1 DSGVO sind:

a) **Mitarbeiterinnen und Mitarbeiter** des Verantwortlichen, die der Verantwortliche zur Nutzung der Plattform eingeladen hat oder einlädt — insbesondere zur Durchführung von Beratungs-Strecken (bAV, BU, Hinterbliebenen) oder zur Aktivierung von Benefit-Onboarding-Bereichen (bKV, VitalPro).

b) **Geschäftsführerinnen und Geschäftsführer** sowie Gesellschafter-Geschäftsführer (GGF) des Verantwortlichen, einschließlich beherrschender und nicht-beherrschender GGF, soweit diese die GGF-Versorgungs-Strecke durchlaufen.

c) **Familienangehörige** der unter lit. a) und b) genannten Personen, soweit diese als Versicherte oder Begünstigte in Versorgungs-Verträgen mitgeführt werden — insbesondere Ehepartner, eingetragene Lebenspartner und Kinder bei Familien-Tarifen der bKV und VitalPro, sowie Hinterbliebenen-Begünstigte bei Risikoleben- und Hinterbliebenen-Renten-Verträgen.

d) **Ansprechpartner des Verantwortlichen** (HR-Verantwortliche, Geschäftsführung, ggf. Lohnbuchhaltung) zur Wahrnehmung der Vertrags- und Kommunikations-Funktionen.

e) **Optional: Steuerberater des Verantwortlichen**, soweit der Verantwortliche einen Steuerberater-Zugang gemäß § 4 Abs. 4 AGB aktiviert hat. Datenschutzrechtlich handelt der Steuerberater nach derzeitiger Konstruktion als **eigener Verantwortlicher** im Sinne der DSGVO und nicht als Empfänger im Sinne dieses AVV — zur Klärung siehe Querverweis-Hinweis in den AGB.

[ANWALT-CHECK]: Steuerberater-Zugang — eigener Verantwortlicher (so AGB § 4 Abs. 4) oder weitergegebene Auftragsverarbeitung (mit eigenem AVV-Annex)? Der wirtschaftliche Vorteil der eigenen-Verantwortlichkeits-Konstruktion ist: keine vier-eckige AVV-Kette. Anwalt prüft Tragfähigkeit.

---

## § 5 Pflichten des Auftragnehmers (Art. 28 Abs. 3 Satz 2 DSGVO)

Der Auftragnehmer verpflichtet sich:

### 5.1 Verarbeitung ausschließlich auf dokumentierter Weisung (Art. 28 Abs. 3 Satz 2 lit. a DSGVO)

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen, einschließlich in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Die in den AGB, in der Plattform-Konfiguration und in diesem AVV festgelegten Verarbeitungen gelten als **erteilte Weisung**. Über die AGB hinausgehende Weisungen sind in Textform (E-Mail an datenschutz@werkwohl.de) zu erteilen.

(3) Der Auftragnehmer informiert den Verantwortlichen unverzüglich, falls eine Weisung gegen das Datenschutz-Recht zu verstoßen droht (Art. 28 Abs. 3 Satz 3 DSGVO).

### 5.2 Vertraulichkeit (Art. 28 Abs. 3 Satz 2 lit. b DSGVO)

(1) Der Auftragnehmer gewährleistet, dass alle Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheits-Pflicht unterliegen.

(2) Eine dokumentierte Verpflichtung auf das Datengeheimnis (Art. 28 Abs. 3 Satz 2 lit. b DSGVO i.V.m. § 53 BDSG) wird vor erster Daten-Berührung schriftlich oder in Textform eingeholt. Die Vertraulichkeits-Pflicht besteht auch nach Beendigung der Tätigkeit fort.

### 5.3 Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 Satz 2 lit. c, Art. 32 DSGVO)

(1) Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus gemäß Art. 32 DSGVO. Die TOM sind in **Anlage A** zu diesem AVV detailliert beschrieben.

(2) Der Auftragnehmer ist berechtigt, die TOM bei Stand-der-Technik-Fortschritten oder bei Veränderungen der Risiko-Lage anzupassen. Wesentliche Verschlechterungen sind ausgeschlossen. Wesentliche Verbesserungen werden dem Verantwortlichen mitgeteilt; im Übrigen genügt die jährliche Aktualisierung der Anlage A.

[ANWALT-CHECK]: Einseitiges TOM-Anpassungs-Recht — wirksam gegenüber dem Verantwortlichen, der die Datenverarbeitungs-Verantwortung trägt? Alternativ: Konsens-Klausel bei wesentlichen Änderungen einbauen?

### 5.4 Subunternehmer (Art. 28 Abs. 2 und Abs. 4 DSGVO)

Vollständig geregelt in § 8 dieses AVV.

### 5.5 Unterstützung des Verantwortlichen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO)

(1) Der Auftragnehmer unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung von dessen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen (Art. 12 bis 22 DSGVO). Hierzu stellt er insbesondere bereit:

a) Export-Schnittstelle für alle personenbezogenen Daten einer bestimmten betroffenen Person (Art. 15, 20 DSGVO) in CSV- und JSON-Format,
b) Lösch-Funktion zur vollständigen Entfernung einer bestimmten betroffenen Person aus der Plattform (Art. 17 DSGVO),
c) Berichtigungs-Schnittstelle für die Korrektur unrichtiger Daten (Art. 16 DSGVO),
d) Sperr-/Einschränkungs-Funktion (Art. 18 DSGVO),
e) Kontaktaufnahme-Kanal datenschutz@werkwohl.de für betroffene Personen, die sich versehentlich an den Auftragnehmer wenden — diese werden unter Wahrung von Art. 12 Abs. 6 DSGVO an den Verantwortlichen weitergeleitet.

(2) Der Auftragnehmer unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere durch:

a) Bereitstellung der TOM-Dokumentation gemäß Anlage A für Datenschutz-Folgenabschätzungen des Verantwortlichen (Art. 35 DSGVO),
b) Unterstützung bei der Meldung von Daten-Pannen (siehe § 10 dieses AVV),
c) Bereitstellung von Audit-Log-Auszügen auf Anforderung.

### 5.6 Löschung oder Rückgabe nach Auftragsende (Art. 28 Abs. 3 Satz 2 lit. g DSGVO)

Vollständig geregelt in § 12 dieses AVV.

### 5.7 Nachweispflicht (Art. 28 Abs. 3 Satz 2 lit. h DSGVO)

Der Auftragnehmer stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen anderen vom Verantwortlichen beauftragten Prüfer. Vollständig geregelt in § 13 dieses AVV (Audit-Rechte).

---

## § 6 Pflichten des Verantwortlichen

(1) Der Verantwortliche bleibt im datenschutzrechtlichen Sinne **alleinverantwortlich** für die Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen.

(2) Der Verantwortliche verpflichtet sich insbesondere:

a) Eine wirksame Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten in der Plattform sicherzustellen (Art. 6 DSGVO, insbesondere Art. 6 Abs. 1 lit. b — Durchführung des Arbeitsvertrags — und gegebenenfalls Art. 6 Abs. 1 lit. a — Einwilligung — sowie § 26 BDSG bei Beschäftigtendaten).

b) Die Mitarbeiter und Geschäftsführer vor erstmaliger Einladung in die Plattform gemäß Art. 13 DSGVO über die Datenverarbeitung zu informieren und ihnen die Datenschutzerklärung der Plattform zugänglich zu machen.

c) Datenpannen, die er bei der Verarbeitung selbst feststellt, unverzüglich an den Auftragnehmer zu melden, soweit sie die durch den Auftragnehmer verarbeiteten Daten betreffen oder betreffen können.

d) Den Auftragnehmer rechtzeitig und vollständig über alle für die Auftragsverarbeitung relevanten Umstände zu informieren.

e) Die Plattform ausschließlich zu den vertraglich vereinbarten Zwecken zu nutzen und keine Verarbeitungen anzuordnen, die gegen das Datenschutz-Recht verstoßen.

f) Die Geheimhaltung von Zugangs-Daten zur Plattform (insbesondere Magic-Link-Mails) sicherzustellen.

[ANWALT-CHECK]: Beschäftigtendaten gemäß § 26 BDSG (Bruttolohn, Steuerklasse, Familienstand der Mitarbeiter) — zusätzliche Rechtsgrundlage erforderlich oder reicht Art. 6 Abs. 1 lit. b DSGVO i.V.m. Arbeitsvertrag? Bei freiwilligen Benefits (bAV, bKV) ist die Verarbeitung oft auf eine Betriebsvereinbarung oder eine individuelle Einwilligung gestützt — sollten wir das in den AGB/AVV als Pflicht des Verantwortlichen ausweisen?

(3) Der Verantwortliche benennt einen oder mehrere **Ansprechpartner für datenschutzrechtliche Fragen** bei der Plattform-Registrierung. Wechselt der Ansprechpartner, teilt der Verantwortliche dies dem Auftragnehmer unverzüglich in Textform mit.

---

## § 7 Weisungsrecht des Verantwortlichen

(1) Der Verantwortliche ist gegenüber dem Auftragnehmer im Rahmen dieses AVV **alleinig weisungsbefugt** in Bezug auf Art, Umfang und Zweck der Datenverarbeitung. Weisungen können in Textform (E-Mail an datenschutz@werkwohl.de) oder über die Plattform-Konfiguration erteilt werden.

(2) Weisungen, die über den in den AGB und in der Plattform-Konfiguration vereinbarten Leistungs-Umfang hinausgehen, werden als **Änderungs-Verlangen** behandelt und sind nur nach gesonderter Vereinbarung über Vergütung und Umsetzung umsetzbar.

(3) **Sonder-Weisungen** des Verantwortlichen zur Wahrnehmung von Betroffenen-Rechten (Auskunft, Löschung, Datenübertragbarkeit) sind unverzüglich kostenfrei umzusetzen, soweit sie technisch und organisatorisch möglich sind und nicht zu unverhältnismäßigem Aufwand führen.

(4) Mündliche oder per Telefon erteilte Weisungen sind in Textform zu bestätigen, um Klarheit und Nachweisbarkeit zu sichern.

(5) Der Auftragnehmer dokumentiert alle erteilten Weisungen einschließlich Zeitpunkt, Inhalt und ausführender Person für die Dauer der Auftragsverarbeitung und bis zur Erfüllung der nachvertraglichen Aufbewahrungs-Fristen.

---

## § 8 Unterauftragsverhältnisse (Art. 28 Abs. 2 und Abs. 4 DSGVO)

(1) Der Verantwortliche **erteilt hiermit seine allgemeine schriftliche Genehmigung** für die Inanspruchnahme der in **Anlage B** zu diesem AVV genannten Subunternehmer (im Folgenden „Unterauftragsverarbeiter"). Anlage B ist Bestandteil dieses AVV und kann vom Auftragnehmer gemäß den Regeln dieses Paragraphen aktualisiert werden.

(2) Der Auftragnehmer schließt mit allen Unterauftragsverarbeitern eine schriftliche oder elektronische Vereinbarung, die den Unterauftragsverarbeiter zu Datenschutz-Pflichten verpflichtet, die im Wesentlichen den in diesem AVV niedergelegten Pflichten entsprechen, insbesondere zur Einhaltung von Art. 32 DSGVO und zur Beachtung der Weisungen des Verantwortlichen — soweit anwendbar.

(3) **Hinzunahme oder Austausch eines Unterauftragsverarbeiters:** Der Auftragnehmer informiert den Verantwortlichen über jede beabsichtigte Hinzunahme oder den Austausch von Unterauftragsverarbeitern mindestens **vier Wochen** vor Aufnahme der Verarbeitung in Textform (E-Mail an die hinterlegte Datenschutz-Adresse des Verantwortlichen oder Dashboard-Hinweis).

(4) Der Verantwortliche hat das Recht, einer beabsichtigten Änderung innerhalb von zwei Wochen nach Mitteilung aus berechtigten Gründen schriftlich oder in Textform zu **widersprechen**. Bei Widerspruch können die Parteien:

a) eine einvernehmliche Lösung suchen,
b) der Auftragnehmer auf den geplanten Subunternehmer verzichten oder eine alternative Lösung anbieten, oder
c) der Verantwortliche das Recht ausüben, den Vertrag aus wichtigem Grund mit der Frist von einem Monat zum Monatsende zu kündigen.

(5) **Aktueller Stand der Unterauftragsverarbeiter** (Anlage B):

Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in **Anlage B** im Detail aufgeführt, einschließlich Sitz, Verarbeitungs-Zweck, Art der verarbeiteten Daten und EU-/Drittland-Status. Der Auftragnehmer veröffentlicht eine jederzeit aktuelle Liste auf werkwohl.de/subunternehmer.

(6) **Microsoft Azure OpenAI Service für ELLA-Chat — EU-Region, kein Drittland-Transfer:** Für die KI-gestützten ELLA-Chat-Funktionen nutzt der Auftragnehmer ausschließlich den **Microsoft Azure OpenAI Service in einer EU-Region** (vorrangig Frankfurt am Main). Die KI-Inferenz erfolgt vollständig innerhalb der EU; ein Drittland-Transfer im Sinne von Kapitel V DSGVO findet nicht statt. Die Verarbeitung ist abgesichert durch:

a) **Microsoft Online Services Data Protection Addendum (DPA)** als Auftragsverarbeitungs-Vertrag zwischen Auftragnehmer und Microsoft Ireland Operations Ltd. / Microsoft Deutschland GmbH,
b) **EU-Region-Hosting** für alle Anfrage-Verarbeitungen (Azure-Region Germany West Central / Frankfurt am Main; Fallback nur EU-Regionen),
c) **Kein Modell-Training mit Kundendaten** in der Standard-Konfiguration des Azure OpenAI Service (Microsoft-Garantie: „Customer prompts and completions are not used to train OpenAI models or improve Microsoft products"),
d) **Optionales Abschalten des Abuse-Monitoring** für besonders sensitive Verarbeitungs-Bereiche möglich (Limited Access Programm).

Für eventuelle konzern-interne Sub-Processor-Verbindungen zur Microsoft Corporation (USA) — z. B. im Rahmen von Support oder Sicherheitsvorfällen — gelten:

e) **EU-US Data Privacy Framework (DPF)** der Microsoft Corporation (DPF-zertifiziert, Stand 2026) — Angemessenheitsbeschluss Art. 45 DSGVO,
f) **Standardvertragsklauseln (SCC)** des Durchführungsbeschlusses (EU) 2021/914 als zusätzliche Sicherung.

[ANWALT-CHECK]: Microsoft Azure OpenAI Service EU-Region Frankfurt aktuell stabil verfügbar — bestätigen. Microsoft Online Services DPA (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) als hinreichende AVV-Grundlage. DPF-Status Microsoft Corporation auf https://www.dataprivacyframework.gov/ prüfen.

[ANWALT-CHECK]: Im Vergleich zur ursprünglich vorgesehenen Anthropic-Direkt-API-Lösung ist diese Azure-Konstruktion **DSGVO-konformer**, weil sie nicht auf Schrems-II-Folge-Rechtsprechung und auf Drittlands-Transfer-Mechanismen angewiesen ist. Die Architektur-Entscheidung wurde am 2026-05-15 gegen den ursprünglichen v0.1-Draft revidiert. Anwalt: bitte verifizieren, dass diese Architektur das aktuell empfohlene Vorgehen für KI-Verarbeitung in EU-Verantwortlichkeit ist.

[ANWALT-CHECK]: Vercel hat US-Mutter — ist das EU-Hosting-Pinning (Region: Frankfurt fra1) vertraglich abgesichert? Vercel DPA enthält Standardvertragsklauseln; Anwalt prüft, ob das ausreicht oder zusätzliche Klauseln erforderlich sind.

[ANWALT-CHECK]: Stripe Payments Europe Ltd. (Irland) ist der Vertragspartner; technisch erfolgt das Card-Processing teilweise über Stripe Inc. (USA). Stripe-DPA und SCC-Module prüfen.

(7) Der Auftragnehmer haftet gegenüber dem Verantwortlichen für ein Verschulden der Unterauftragsverarbeiter im selben Umfang wie für ein eigenes Verschulden.

---

## § 9 Betroffenenrechte (Art. 12–22 DSGVO)

(1) Der Auftragnehmer unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen nach Art. 12 bis 22 DSGVO, insbesondere:

a) **Auskunftsrecht** (Art. 15 DSGVO): Datenexport in CSV- oder JSON-Format einer bestimmten betroffenen Person über das Dashboard oder per Auftrag an den Auftragnehmer, regelmäßig innerhalb von drei Werktagen.

b) **Berichtigungsrecht** (Art. 16 DSGVO): Korrektur unrichtiger Stammdaten direkt in der Plattform; bei nicht direkt änderbaren Feldern (z. B. Audit-Log-Einträge) auf Anfrage durch den Auftragnehmer.

c) **Recht auf Löschung** (Art. 17 DSGVO): vollständige Entfernung einer betroffenen Person aus der Plattform; technisch zweistufig (Soft-Delete für 30 Tage, dann Hard-Delete) — siehe § 12.

d) **Recht auf Einschränkung** (Art. 18 DSGVO): Sperr-Funktion auf Personen-Ebene.

e) **Recht auf Datenübertragbarkeit** (Art. 20 DSGVO): Strukturierter Export im JSON-Format zur Übergabe an Dritte.

f) **Widerspruchsrecht** (Art. 21 DSGVO): Bearbeitung in Abstimmung mit dem Verantwortlichen.

g) **Recht auf Nicht-Unterwerfung unter rein automatisierte Entscheidungen** (Art. 22 DSGVO): Die Plattform trifft keine Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung allein auf automatisierter Verarbeitungs-Basis. Die Probeabrechnung und KI-gestützte Beratungs-Vorschläge sind **informativ** und bedürfen einer menschlichen Entscheidung durch Mitarbeiter, Verantwortlichen oder Versicherungsmakler.

(2) Erhält der Auftragnehmer eine Anfrage einer betroffenen Person, leitet er diese unverzüglich (regelmäßig innerhalb eines Werktages) unter Wahrung von Art. 12 Abs. 6 DSGVO an den Verantwortlichen weiter und beantwortet sie nicht selbst, soweit dies nicht ausdrücklich vom Verantwortlichen schriftlich oder über die Plattform-Konfiguration angewiesen wurde.

---

## § 10 Mitteilungspflichten (Art. 33, 34 DSGVO)

(1) **Daten-Pannen:** Der Auftragnehmer meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) **unverzüglich**, spätestens jedoch innerhalb von **vierundzwanzig Stunden** nach Bekanntwerden, in Textform an die hinterlegte Datenschutz-Kontakt-Adresse des Verantwortlichen.

(2) Die Meldung enthält mindestens:

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Datensätze und der Datenkategorien,

b) den Namen und die Kontaktdaten des Datenschutz-Ansprechpartners des Auftragnehmers,

c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung,

d) eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.

(3) Soweit nicht alle Informationen zum Zeitpunkt der Erst-Meldung verfügbar sind, ergänzt der Auftragnehmer diese unverzüglich nach Verfügbarkeit.

(4) Der Auftragnehmer unterstützt den Verantwortlichen bei der Erfüllung von dessen Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO (72-Stunden-Frist) und gegebenenfalls bei der Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO. Eine eigenständige Meldung an die Aufsichtsbehörde durch den Auftragnehmer erfolgt nicht.

[ANWALT-CHECK]: 24-Stunden-Frist für die Meldung des Auftragnehmers an den Verantwortlichen — anwalts-empfohlen, da der Verantwortliche selbst die 72-Stunden-Frist nach Art. 33 DSGVO einhalten muss. Manche Vorlagen schreiben „unverzüglich, spätestens jedoch innerhalb von 36/48 Stunden". Anwalt empfiehlt konkrete Frist?

(5) Weitere Mitteilungspflichten des Auftragnehmers:

a) Eingang behördlicher Anfragen oder Anordnungen, die personenbezogene Daten betreffen, sofern nicht gesetzlich verboten,
b) Eingang von Anfragen betroffener Personen direkt an den Auftragnehmer (siehe § 9 Abs. 2),
c) Eingang einer Beschwerde einer betroffenen Person an den Auftragnehmer,
d) Verlust oder geplante Aufgabe einer Zertifizierung im Sinne von Art. 42 DSGVO, soweit der Auftragnehmer eine solche hält.

---

## § 11 Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)

Die vom Auftragnehmer getroffenen TOM zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sind in **Anlage A** zu diesem AVV im Detail dokumentiert. Anlage A ist verbindlicher Vertrags-Bestandteil.

---

## § 12 Löschung und Rückgabe nach Vertragsende (Art. 28 Abs. 3 Satz 2 lit. g DSGVO)

(1) Nach Beendigung des Plattform-Lizenz-Vertrags hat der Verantwortliche das Recht, **innerhalb von dreißig Tagen** nach Vertragsende einen vollständigen Daten-Export im CSV- und JSON-Format anzufordern. Der Auftragnehmer stellt den Export innerhalb von zehn Werktagen kostenfrei zur Verfügung.

(2) Anschließend werden die personenbezogenen Daten nach Wahl des Verantwortlichen entweder **gelöscht** oder an den Verantwortlichen **zurückgegeben** und alle vorhandenen Kopien beim Auftragnehmer und seinen Unterauftragsverarbeitern vernichtet, sofern nicht eine gesetzliche Aufbewahrungs-Pflicht entgegensteht.

(3) **Aufbewahrungs-Fristen nach Datenkategorien** (siehe auch Anlage C — Löschkonzept):

| Datenkategorie | Aufbewahrungs-Frist | Rechtsgrundlage |
|---|---|---|
| Rechnungs- und Buchhaltungs-Daten | 10 Jahre | § 147 Abs. 1 Nr. 4 AO, § 257 HGB |
| Abgeschlossene Beratungs-Strecken-Protokolle | 5 Jahre | § 60 Abs. 2 VVG, § 61 Abs. 1 Satz 2 VVG (Beratungs-Dokumentations-Pflicht des Versicherungsmaklers) |
| Vertragsdaten zu vermittelten Versicherungen | bis Vertrags-Ende + 10 Jahre | § 147 AO, Aufbewahrungs-Praxis Versicherungswirtschaft |
| Lohn- und Steuer-Stammdaten (sofern für die Beratung erhoben) | 5 Jahre nach Vertragsende | § 60 VVG i.V.m. EStG-Aufbewahrungs-Fristen |
| Beratungs-Antworten ohne Abschluss | 3 Jahre nach Strecken-Ende | Verjährungs-Frist § 195 BGB |
| ELLA-Chat-Verläufe | 90 Tage nach letzter Aktivität, anschließend Löschung | Berechtigtes Interesse Plattform-Sicherheit |
| Marketing- und Lead-Daten (B2C-Strecke ab v1.3) | 12 Monate ohne Einwilligungs-Verlängerung | Werbe-Widerspruch und Datenschutz-Praxis |
| Audit-Log-Einträge | 7 Jahre | § 147 AO, IT-Sicherheits-Standards |
| Dokumenten-Uploads (Lohnabrechnungen, Bestandsverträge) | 5 Jahre nach Vertragsende | § 60 VVG, Aufbewahrungs-Pflicht Versicherungsmakler |
| Hinterbliebenen-Daten | 10 Jahre nach Vertragsende oder Vertrags-Beendigung der zugehörigen Versorgungs-Verträge | Aufbewahrungs-Praxis Versicherungswirtschaft |

[ANWALT-CHECK]: Der Aufbewahrungs-Mix mischt drei Logiken (steuerlich/handelsrechtlich, versicherungs-vertraglich, datenschutz-rechtlich). Anwalt prüft: (a) Sind alle Fristen zutreffend? (b) Verträglich mit Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung)? (c) Sollte ein Löschkonzept gemäß DIN 66398 separat beigelegt werden?

(4) **Lösch-Verfahren:**

a) **Soft-Delete:** Bei Löschungs-Wunsch des Verantwortlichen oder Vertragsende werden die Daten zunächst dreißig Tage lang in einem isolierten „Trash-Bereich" gespeichert (Reaktivierungs-Möglichkeit zur Schadens-Vermeidung).
b) **Hard-Delete:** Nach Ablauf der dreißig Tage werden die Daten unwiederbringlich aus den Produktions-Datenbanken entfernt.
c) **Backup-Bereinigung:** Aus rotierenden Verschlüsselungs-Backups verschwinden die Daten spätestens nach **90 Tagen** durch natürliche Backup-Rotation.
d) **Bestätigung:** Der Auftragnehmer bestätigt dem Verantwortlichen die abgeschlossene Löschung in Textform.

(5) Bei gesetzlicher Aufbewahrungs-Pflicht (insbesondere § 147 AO, § 60 VVG) wird die Verarbeitung gemäß Art. 18 DSGVO **eingeschränkt** (nicht gelöscht), bis die Aufbewahrungs-Frist abgelaufen ist. Die eingeschränkten Daten sind in einem zugriffs-beschränkten Archiv gespeichert und werden nicht für laufende Plattform-Operationen verarbeitet.

---

## § 13 Audit-Rechte des Verantwortlichen (Art. 28 Abs. 3 Satz 2 lit. h DSGVO)

(1) Der Verantwortliche hat das Recht, sich vor Beginn der Datenverarbeitung und während der Vertragslaufzeit von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen sowie der vertraglichen Pflichten des Auftragnehmers zu überzeugen.

(2) **Selbst-Auskunft des Auftragnehmers:** Der Auftragnehmer stellt dem Verantwortlichen auf Anfrage folgende Nachweise zur Verfügung:

a) Die jeweils aktuelle Fassung von Anlage A (TOM-Katalog),
b) Vorhandene Zertifikate (ISO 27001, SOC 2 Type II) oder zumindest die der eingesetzten Subunternehmer (Supabase, Vercel, Stripe halten entsprechende Zertifikate),
c) Datenschutz-Folgenabschätzungen (DSFA) zu speziellen Verarbeitungs-Vorgängen, sofern vorhanden,
d) Audit-Log-Auszüge zu konkreten Verarbeitungs-Vorgängen, soweit datenschutzrechtlich zulässig.

(3) **Vor-Ort-Inspektion:** Der Verantwortliche hat das Recht, einmal pro Kalenderjahr eine Inspektion am Geschäftssitz des Auftragnehmers (Pfedelbach) nach Vorankündigung von vier Wochen durchzuführen. Die Inspektion findet während der üblichen Geschäftszeiten statt und darf den Betriebsablauf nicht unzumutbar beeinträchtigen. Bei begründetem Anlass — insbesondere bei einer Datenpanne oder dem Verdacht eines erheblichen Vertrags-Verstoßes — ist eine außerordentliche Inspektion mit verkürzter Frist (eine Woche) zulässig.

(4) **Beauftragung Dritter:** Der Verantwortliche kann die Inspektion durch einen externen, zur Verschwiegenheit verpflichteten Auditor (z. B. Wirtschaftsprüfer, IT-Auditor, Datenschutzbeauftragter) durchführen lassen. Der Auditor darf nicht im Wettbewerbsverhältnis zum Auftragnehmer stehen.

(5) **Kosten:** Die Kosten der Inspektion trägt der Verantwortliche, soweit nicht ein erheblicher Vertrags-Verstoß des Auftragnehmers festgestellt wird; in diesem Fall trägt der Auftragnehmer die angemessenen Inspektions-Kosten.

(6) Soweit der Auftragnehmer einen Subunternehmer einsetzt, der nicht selbst am Geschäftssitz inspiziert werden kann (insbesondere Cloud-Anbieter Supabase, Vercel, Stripe), genügt die Vorlage der vom jeweiligen Subunternehmer ausgestellten **Compliance-Berichte** (insbesondere SOC 2 Type II, ISO 27001-Zertifikate), die der Auftragnehmer auf Anfrage zur Verfügung stellt.

[ANWALT-CHECK]: Pauschale Audit-Rechte vs. konkrete Audit-Verfahren — viele Anwälte empfehlen, die Audit-Rechte stark zu konkretisieren, um „Audit-Sturm"-Risiken zu vermeiden. Reicht die hier gewählte Konkretion (max. eine Inspektion pro Jahr, vier Wochen Vorlauf, Wettbewerbs-Ausschluss)?

---

## § 14 Haftung (Art. 82 DSGVO)

(1) Der Auftragnehmer haftet gegenüber dem Verantwortlichen nach den allgemeinen gesetzlichen Bestimmungen und den Regelungen der DSGVO, insbesondere Art. 82 DSGVO.

(2) Die Haftungs-Beschränkung der AGB (§ 11) gilt für den Auftragnehmer auch im Anwendungs-Bereich dieses AVV, soweit dies datenschutz-rechtlich zulässig ist. **Unwirksam ist die Beschränkung** in folgenden Fällen:

a) Vorsatz und grobe Fahrlässigkeit,
b) Schäden aus der Verletzung von Garantien,
c) Schäden, die durch die Verletzung wesentlicher Vertragspflichten dieses AVV (insbesondere Vertraulichkeit, TOM, Subunternehmer-Auswahl) entstehen.

(3) **Innenausgleich bei DSGVO-Bußgeldern:** Werden gegen den Verantwortlichen Bußgelder nach Art. 83 DSGVO verhängt, die auf einer Pflichtverletzung des Auftragnehmers beruhen, hat der Verantwortliche gegenüber dem Auftragnehmer einen Anspruch auf Erstattung im Innenverhältnis nach Maßgabe des Verschuldens und der Haftungs-Beschränkungs-Klauseln. Umgekehrt gilt dies bei einer Pflichtverletzung des Verantwortlichen.

(4) Der Auftragnehmer ist im Rahmen der Berufshaftpflicht-Versicherung der UG (siehe AGB § 1) und einer ergänzenden Cyber-Versicherung für Plattform-spezifische Risiken versichert.

[ANWALT-CHECK]: Reichweite der Haftung bei DSGVO-Bußgeldern — Art. 82 DSGVO erlaubt eine Aufteilung im Innenverhältnis (Art. 82 Abs. 5 DSGVO), aber AGB-Beschränkungen sind hier streng zu prüfen. Anwalt empfiehlt Formulierung?

[ANWALT-CHECK]: Cyber-Versicherung der UG — existiert sie aktuell? Welche Deckungs-Summe? Welche Risiken sind ausgeschlossen? Empfehlung zur Mindest-Deckung für SaaS-Plattform mit Lohn-Daten?

---

## § 15 Vertragsdauer, Kündigung und Schlussbestimmungen

(1) Die Vertrags-Laufzeit dieses AVV ist **identisch** mit der Vertrags-Laufzeit des Plattform-Lizenz-Vertrags gemäß § 9 AGB (Mindestlaufzeit zwölf Monate, automatische Verlängerung um jeweils zwölf Monate, vier Wochen Kündigungs-Frist).

(2) Eine **isolierte Kündigung** dieses AVV ohne gleichzeitige Kündigung des Plattform-Lizenz-Vertrags ist nicht möglich, da die Plattform-Nutzung ohne wirksamen AVV gemäß Art. 28 DSGVO datenschutz-rechtlich unzulässig wäre.

(3) Eine **außerordentliche Kündigung** dieses AVV durch den Verantwortlichen ist insbesondere zulässig bei:

a) erheblichem Vertrags-Verstoß des Auftragnehmers gegen seine Pflichten aus diesem AVV,
b) berechtigtem Widerspruch des Verantwortlichen gegen einen neuen Subunternehmer (§ 8 Abs. 4),
c) Verlust einer für die Verarbeitung wesentlichen Zertifizierung des Auftragnehmers oder seiner Subunternehmer,
d) Anordnung der Aufsichtsbehörde, die eine ordnungsgemäße Auftragsverarbeitung verhindert.

(4) **Schriftform-Klausel:** Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Mündliche Nebenabreden bestehen nicht. Bei Widersprüchen zwischen diesem AVV und den AGB hat dieser AVV hinsichtlich datenschutzrechtlicher Regelungen Vorrang.

(5) **Salvatorische Klausel:** Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung oder eine ergänzende Auslegung.

(6) **Anwendbares Recht:** Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kauf-Rechts. Gerichts-Stand ist gemäß AGB § 14 der Sitz des Auftragnehmers.

(7) **Sprache:** Maßgeblich ist die deutsche Fassung dieses AVV. Übersetzungen dienen ausschließlich der Verständigung und sind nicht rechts-verbindlich.

---

## Anlage A — Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO

**Stand: 2026-05-15 — wird jährlich aktualisiert und auf werkwohl.de/tom veröffentlicht.**

Die TOM sind nach den Schutz-Zielen der Vertraulichkeit, Integrität, Verfügbarkeit/Belastbarkeit und der Verfahren zur regelmäßigen Überprüfung gegliedert (Art. 32 Abs. 1 lit. a–d DSGVO).

### A.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

#### A.1.1 Zutrittskontrolle

- Geschäftsräume Pfedelbach: Schließsystem mit Schlüssel-Verwaltung, Alarmanlage, Bewegungs-Melder, Video-Überwachung der Außenbereiche.
- Cloud-Rechenzentren (Supabase Frankfurt, Vercel EU-Region, Bunny Stream Ljubljana): physische Sicherheit durch zertifizierte Rechenzentrums-Betreiber (ISO 27001, SOC 2 Type II nachgewiesen).

#### A.1.2 Zugangskontrolle

- **Magic-Link-Authentifizierung** für alle Plattform-Nutzer (E-Mail-basierter, zeitlich befristeter Anmelde-Link gemäß AGB § 3 Abs. 4).
- Magic-Links sind kryptographisch sicher (256-Bit-Token), maximal 15 Minuten gültig und nur einmal einlösbar.
- Session-Tokens sind über HttpOnly-Cookies und Secure-Flag abgesichert; Session-Lebensdauer 24 Stunden mit Inaktivitäts-Logout nach 30 Minuten.
- Mitarbeiter des Auftragnehmers nutzen für administrative Zugriffe **Zwei-Faktor-Authentifizierung (2FA)** über Hardware-Schlüssel (FIDO2/WebAuthn) oder Authenticator-App.
- Privileged-Access-Management mit Rollen-Konzept (Plattform-Admin, Support, Mandanten-Admin, Lese-Zugriff).

[ANWALT-CHECK]: Magic-Link für Endnutzer (Verantwortlicher, MA, GGF) ohne 2FA — reicht das B2B-konform? Siehe AGB § 3 Abs. 4 Querverweis. Anwalt prüft, ob bei Lohn-Daten 2FA-Pflicht besteht.

#### A.1.3 Zugriffskontrolle

- **Row-Level Security (RLS)** in der Supabase-Datenbank: Mandanten-Trennung (`tenant_id`) wird auf Datenbank-Ebene erzwungen — kein Mandant kann auf Daten eines anderen Mandanten zugreifen.
- **Rollen-basierte Berechtigungen** innerhalb eines Mandanten: Arbeitgeber-Admin, HR-Bearbeiter, Mitarbeiter (eigene Daten), Geschäftsführer (eigene Daten + GGF-spezifische), Steuerberater-Read-Only (ab v3.0), Hannes-Service-Role (eigene Audit-Logs).
- **Service-Account-Trennung:** Hintergrund-Jobs (n8n-Workflows, Reminder-Engine) laufen mit dedizierten Service-Accounts mit minimal-möglichen Berechtigungen.
- **Audit-Logging** aller schreibenden Zugriffe (INSERT/UPDATE/DELETE) mit Zeitstempel, Akteur, Aktion, Ziel-Daten — 7 Jahre Aufbewahrung.

#### A.1.4 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

- IP-Adressen werden nach sieben Tagen pseudonymisiert (letztes Oktett entfernt).
- An Anthropic (USA) übermittelte Chat-Inhalte enthalten keine direkten Personen-Identifikatoren — nur eine pseudonymisierte Session-ID.
- Datenbank-IDs sind kryptografisch generierte UUIDs ohne ableitbaren Personen-Bezug.

#### A.1.5 Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

- **Datenübertragung:** TLS 1.3 für alle Verbindungen zwischen Browser/App und Plattform sowie zwischen Plattform und Subunternehmern.
- **Datenspeicherung:** AES-256-Verschlüsselung der Supabase-Datenbank im Ruhezustand (durch Supabase nativ).
- **Datei-Uploads:** Verschlüsselte Speicherung in Supabase Storage; signed URLs mit zeitlich befristeter Gültigkeit für Datei-Abruf.
- **Backups:** Verschlüsselte Backup-Speicherung mit täglicher Backup-Rotation.

#### A.1.6 Verpflichtung auf Vertraulichkeit

- Alle Mitarbeiter und Subunternehmer des Auftragnehmers sind schriftlich auf das Datengeheimnis verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b DSGVO i.V.m. § 53 BDSG).
- Mitarbeiter-Schulungen zur DSGVO-Compliance erfolgen mindestens jährlich; Schulungs-Nachweise werden geführt.

### A.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

#### A.2.1 Eingabe-Kontrolle

- Audit-Log mit Wer-Wann-Was-Information für alle schreibenden Zugriffe.
- Strikte Eingabe-Validierung (Server-seitig, kein bloßes Client-Trust) zur Vermeidung von Injection-Angriffen.
- Versionierte Daten-Stände bei kritischen Tabellen (Beratungs-Protokolle, Audit-Logs).

#### A.2.2 Weitergabe-Kontrolle

- API-Schnittstellen zwischen Plattform-Komponenten sind authentifiziert (Service-Tokens, JWT mit kurzer Gültigkeit).
- Daten-Übertragung an Subunternehmer ausschließlich verschlüsselt (TLS 1.3).
- Keine ungesicherte Datenweitergabe an Dritte (z. B. E-Mail-Anhänge mit Klartext-Lohndaten ausgeschlossen).

### A.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

#### A.3.1 Datensicherung

- **Tägliche automatisierte Backups** der Supabase-Datenbank (Point-in-Time-Recovery für die letzten sieben Tage).
- **Wöchentliche Voll-Backups** mit 30 Tagen Aufbewahrung.
- **Monatliche Voll-Backups** mit zwölf Monaten Aufbewahrung (in einem getrennten Storage-Pool).
- Backup-Wiederherstellungs-Tests mindestens vierteljährlich.

#### A.3.2 Resilience

- Multi-Region-Failover ist nicht vorgesehen, da gemäß § 2 Abs. 5 dieses AVV die Verarbeitung ausschließlich in der EU erfolgt; innerhalb der EU-Region erfolgt automatisches Failover durch Supabase und Vercel.
- Recovery Time Objective (RTO) bei Ausfall: 24 Stunden für das Produktiv-System.
- Recovery Point Objective (RPO): maximal 60 Minuten Daten-Verlust bei Total-Ausfall (durch Point-in-Time-Recovery der Datenbank).

#### A.3.3 Verfügbarkeit gemäß AGB

- Verfügbarkeits-Versprechen 97 % gemäß AGB § 6 Abs. 1.
- Geplante Wartungs-Fenster mit 24-Stunden-Vorlauf-Ankündigung.

### A.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

#### A.4.1 Datenschutz-Management

- Jährliche Überprüfung der TOM auf Aktualität und Wirksamkeit.
- Datenschutz-Folgenabschätzungen (DSFA) für Neu-Module mit erhöhtem Risiko (Hinterbliebenen-Vorsorge, Mental-Health-Cross-Verarbeitung).
- Verzeichnis von Verarbeitungs-Tätigkeiten (VVT) gemäß Art. 30 DSGVO wird laufend gepflegt.

#### A.4.2 Datenschutz-Vorfälle

- Incident-Response-Plan mit definierten Eskalations-Stufen.
- Notfall-Hotline für Datenpannen-Meldungen (intern und extern: datenschutz@werkwohl.de).
- 24-Stunden-Meldung an den Verantwortlichen gemäß § 10 dieses AVV.

#### A.4.3 IT-Sicherheits-Maßnahmen

- Penetration-Tests durch externen Dienstleister mindestens jährlich.
- Dependency-Scanning der eingesetzten Software-Bibliotheken (kontinuierlich automatisiert).
- Vulnerability-Patching binnen 14 Tagen bei kritischen Sicherheits-Lücken (CVSS ≥ 7.0).
- Web-Application-Firewall (WAF) durch Vercel/Cloudflare-Vorschaltung.
- Schutz vor DDoS-Angriffen durch Vercel-Infrastruktur.

#### A.4.4 Auftragnehmer-Steuerung (Subunternehmer)

- Jährliche Überprüfung der Subunternehmer-Zertifikate (SOC 2, ISO 27001).
- Kontrolle der von Subunternehmern bereitgestellten Compliance-Reports.
- Bei wesentlichen Veränderungen (Sitz-Verlagerung, Inhaber-Wechsel) Information an Verantwortlichen gemäß § 8 dieses AVV.

[ANWALT-CHECK]: Vollständigkeit der TOM nach Art. 32 Abs. 1 DSGVO? Insbesondere Punkte „Pseudonymisierung", „Verschlüsselung", „Belastbarkeit" und „Wiederherstellbarkeit" sind explizit benannt. Anwalt prüft, ob weitere Maßnahmen (z. B. zertifizierte Datenträger-Vernichtung bei alter Hardware, Mobile-Device-Management der Mitarbeiter-Geräte) ergänzt werden müssen.

---

## Anlage B — Liste der Unterauftragsverarbeiter (Stand 2026-05-15)

Der Auftragnehmer veröffentlicht die jeweils aktuelle Liste auf werkwohl.de/subunternehmer. Bei Hinzunahme oder Austausch erfolgt die Information gemäß § 8 dieses AVV.

### B.1 EU-ansässige Unterauftragsverarbeiter (kein Drittland-Transfer)

| Nr. | Unterauftragsverarbeiter | Sitz | Verarbeitungs-Zweck | Datenkategorien |
|---|---|---|---|---|
| 1 | **Supabase Ireland Ltd.** | 70 Sir John Rogerson's Quay, Dublin 2, Irland — Hosting-Region: AWS Frankfurt eu-central-1 | Datenbank, Authentifizierung, File-Storage | Alle Stammdaten, Beratungs-Antworten, Vertragsdaten, Lohn-Daten, Dokumenten-Uploads, Audit-Logs |
| 2 | **Vercel Inc.** (Auftragspartner Vercel Germany GmbH bzw. EU-Datacenter-Konfiguration) | 440 N Barranca Ave #4133, Covina, CA 91723, USA — Hosting-Region: Frankfurt fra1 (vertraglich gepinnt) | Application-Hosting, CDN, Edge-Functions | Alle Plattform-Daten (transient durch Hosting), keine persistente Speicherung |
| 3 | **Resend (Spice Inc.)** | EU-Region | Versand transaktionaler E-Mails (Magic-Link, Reminder, Bestätigungen) | E-Mail-Adressen, E-Mail-Inhalte (transient) |
| 4 | **Bunny.net d.o.o.** | Triglavska 16, 1000 Ljubljana, Slowenien — Hosting-Region: EU | Video-Hosting für ELLA-Erklärvideos | Video-Streams (Inhalte vom Auftragnehmer eingestellt), Nutzer-Interaktions-Daten (Klick/Play-Events, IP pseudonymisiert) |
| 5 | **Cal.com Inc.** (Auftrags-Partner Cal.com EU-Datacenter-Konfiguration) | über EU-Datacenter | Termin-Buchung Hannes-Termine | Name, E-Mail, Termin-Daten, optional Telefon |
| 6 | **n8n self-hosted** (auf eigenem VPS in der EU) | Frankfurt, betrieben vom Plattform-Entwickler Weindorf Beratung | Workflow-Automatisierung, Backend-Orchestrierung | Alle Plattform-Daten transient bei Workflow-Ausführung |
| 7 | **Microsoft Ireland Operations Ltd.** (Azure OpenAI Service, Vertragspartner für EU-Kunden) | Carmanhall Road, Sandyford Industrial Estate, Dublin 18, Irland — Verarbeitung in Frankfurt am Main (Germany West Central) | KI-Inferenz für ELLA-Chat-Widget (Lead-Qualifizierung, Beratungs-Assistenz) — optional weitere Modelle über Azure AI Foundry | Chat-Eingaben des Nutzers (pseudonymisierte Session-ID, kein Realname), Antworten der Modelle; Microsoft-Standard-Konfiguration: Keine Verwendung der Kundendaten zum Modell-Training |

### B.2 Bedingt EU-/Drittland-Transfer (Konzern-Sub-Processor)

| Nr. | Unterauftragsverarbeiter | Sitz | Verarbeitungs-Zweck | Datenkategorien | Absicherung Drittland-Transfer |
|---|---|---|---|---|---|
| 8 | **Stripe Payments Europe Ltd.** | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland — technisches Card-Processing teilweise über Stripe Inc. (USA) | Zahlungsabwicklung Plattform-Lizenz | Name, Firmenname, Anschrift, USt-ID, Zahlungs-Methoden-Daten (Kreditkarten-Token, SEPA-Mandat) | Stripe-DPA mit SCC, Card-Brand-PCI-DSS, EU-Vertragspartner |
| 9 | **Microsoft Corporation** (als Konzern-Sub-Processor von Microsoft Ireland im Rahmen von Support, Sicherheits-Operations und Plattform-Entwicklung) | One Microsoft Way, Redmond, WA 98052, USA | nur unterstützende Funktionen für Microsoft Ireland; keine eigenständige Verarbeitung von WerkWohl-Kundendaten | nur technische Telemetrie- und Diagnose-Daten; in Sicherheitsvorfällen ggf. konzern-interne Eskalation | **EU-US Data Privacy Framework (DPF)** — Angemessenheitsbeschluss Art. 45 DSGVO; zusätzlich **Standardvertragsklauseln (SCC)** Durchführungsbeschluss (EU) 2021/914 |

### B.3 Drittland-Transfer mit SCC + TIA

*(Aktuell keine Verarbeitung in dieser Kategorie. Die ursprünglich vorgesehene direkte Anthropic-Cloud-Nutzung wurde am 2026-05-15 zugunsten der Azure-OpenAI-Service-Lösung aufgegeben — siehe § 8 Abs. 6.)*

### B.4 Geplante Subunternehmer (zukünftige Module)

| Nr. | Unterauftragsverarbeiter | Geplanter Einsatz | Modul |
|---|---|---|---|
| 9 | **Xempus AG** | Vertragsdaten-Sync bAV/PKV | H2 2026+ |
| 10 | **BetterDoc GmbH** | Facharzt-Navigation für VitalPro-Kunden | v1.2 |
| 11 | **Zoho Corporation B.V.** | Desk-Tickets, CRM-Integration (Lead-Management) | v1.0 (optional) |

Vor Aufnahme dieser geplanten Subunternehmer wird der Verantwortliche gemäß § 8 dieses AVV mit vier Wochen Vorlauf informiert. Bis dahin werden ihre Funktionen entweder nicht angeboten oder anderweitig (manuell durch den Auftragnehmer) erbracht.

[ANWALT-CHECK]: Zoho mit EU-Sitz (Utrecht) — DSGVO-Konformität bestätigt? Zoho-DPA prüfen. Xempus und BetterDoc als zukünftige Subunternehmer — vor Sprint-3 oder spätestens vor Modul-Aktivierung formelle AVV-Anpassung erforderlich.

[ANWALT-CHECK]: Sub-Sub-Unterauftragsverarbeiter — Supabase nutzt AWS, Vercel nutzt AWS und Cloudflare. Pflicht zur Detail-Offenlegung in Anlage B oder genügt der Verweis auf die jeweiligen DPA?

---

## Anlage C — Löschkonzept (Übersicht)

Detailliertes Löschkonzept gemäß DIN 66398 wird separat geführt. Diese Anlage gibt die Übersicht.

### C.1 Lösch-Auslöser

- **Vertragsende:** Plattform-Lizenz-Vertrag durch Kündigung oder Nicht-Verlängerung beendet.
- **Betroffenenrecht:** Löschungs-Antrag einer betroffenen Person gemäß Art. 17 DSGVO, der nicht durch Aufbewahrungs-Pflicht entgegensteht.
- **Zeitablauf:** Erreichen der für die Datenkategorie definierten Aufbewahrungs-Frist gemäß § 12 Abs. 3 dieses AVV.
- **Zweck-Wegfall:** Verarbeitungs-Zweck entfallen ohne anschließenden zulässigen Folge-Zweck.

### C.2 Lösch-Verfahren (technisch)

Siehe § 12 Abs. 4 dieses AVV.

### C.3 Lösch-Dokumentation

- Soft-Delete und Hard-Delete werden im Audit-Log mit Zeitstempel, Akteur und Lösch-Begründung dokumentiert.
- Auf Anfrage erhält der Verantwortliche eine Lösch-Bestätigung in Textform.

### C.4 Sonderfall Sicherheits-Backups

Aus Verschlüsselungs-Backups verschwinden die Daten durch Backup-Rotation spätestens nach 90 Tagen. Während dieser Zeit ist die Verarbeitung in den Backups gemäß Art. 18 DSGVO eingeschränkt.

---

## Offene Anwalts-Fragen

Diese Liste sammelt sämtliche `[ANWALT-CHECK]:`-Marker aus dem Dokument zur strukturierten Abarbeitung mit dem Internet-Anwalt.

### Kritisch (Priorität 1 — Wirksamkeit des AVV-Konstrukts)

1. **Präambel / § 1 — Form der AVV-Einbeziehung.** Reicht die Einbeziehung des AVV als Anlage zur AGB durch Bestätigungs-Haken im Stripe-Checkout den Formanforderungen des Art. 28 Abs. 9 DSGVO (Schriftform inklusive elektronischer Form)? Oder ist eine zusätzliche separate elektronische Signatur (z. B. DocuSign, qualifizierte elektronische Signatur) erforderlich?

2. **§ 2 Abs. 1 — Dynamische Verarbeitungs-Beschreibung.** Bei Aktivierung weiterer Module (bKV, VitalPro, Hinterbliebenen-Vorsorge gemäß Roadmap §1.6 Konzept) erweitert sich die Verarbeitungs-Beschreibung. Reicht der dynamische Verweis auf die Roadmap, oder ist eine AVV-Aktualisierung pro Modul-Aktivierung erforderlich?

3. **§ 3.2 — KV-Status als Gesundheits-Datum?** KV-Status und Befreiungs-Bescheinigung — Art. 9 DSGVO einschlägig oder bloße Sozialdaten? Wohl überwiegende Literatur-Auffassung: kein Gesundheits-Datum; Anwalt bestätigt.

4. **§ 3.3 — Hinterbliebenen-Daten.** Daten von Familienangehörigen, die selbst keinen Vertrag mit dem Verantwortlichen haben (insb. Hinterbliebenen-Begünstigte), werden mittelbar verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) oder eigene Einwilligung dieser Personen erforderlich?

5. **§ 3 Abs. 2 — Trennung Art. 9 DSGVO-Daten WerkWohl vs. MindCheck.** Bei MindCheck-Cross-Card-Aktivierung erfolgt der Daten-Austausch ausschließlich über manuelles Triggern. Reicht das oder muss ein eigener AVV-Annex für die Daten-Brücke geschrieben werden?

6. **§ 6 Abs. 2 — Beschäftigtendaten gemäß § 26 BDSG.** Zusätzliche Rechtsgrundlage erforderlich oder reicht Art. 6 Abs. 1 lit. b DSGVO i.V.m. Arbeitsvertrag? Bei freiwilligen Benefits (bAV, bKV) Stützung auf Betriebsvereinbarung oder individuelle Einwilligung — als Pflicht des Verantwortlichen in AGB/AVV aufnehmen?

7. **§ 8 Abs. 6 / Anlage B.3 — Anthropic (USA) als Subunternehmer.** Drittland-Transfer mit SCC + TIA + Art. 49 DSGVO. (a) Reichen SCC + TIA + zusätzliche Einwilligung gemeinsam aus, oder ist EU-Hosting-Option zwingend? (b) Ist die ausdrückliche Einwilligung des Mitarbeiters vor erstmaligem Chat ein UI-Pflicht-Element? (c) Anthropic-Zero-Retention im Enterprise-Tier-Vertrag vertraglich gesichert?

8. **§ 8 Abs. 6 / Anlage B.1 — Vercel mit US-Mutter.** Hosting-Region-Pinning (Frankfurt fra1) vertraglich abgesichert? Vercel-DPA und SCC-Module ausreichend?

9. **§ 8 Abs. 6 / Anlage B.2 — Stripe Payments Europe Ltd.** Card-Processing teilweise über Stripe Inc. (USA) — Stripe-DPA und SCC-Module prüfen.

### Wichtig (Priorität 2 — DSGVO-Detail-Punkte)

10. **§ 5.3 Abs. 2 — Einseitiges TOM-Anpassungs-Recht des Auftragnehmers** — wirksam gegenüber dem Verantwortlichen? Alternativ Konsens-Klausel bei wesentlichen Änderungen?

11. **§ 4 Abs. 1 lit. e — Steuerberater-Zugang.** Eigener Verantwortlicher (so AGB § 4 Abs. 4) oder weitergegebene Auftragsverarbeitung mit eigenem AVV-Annex?

12. **§ 10 Abs. 1 — 24-Stunden-Meldefrist Datenpannen.** Konkrete Frist angemessen? Manche Vorlagen schreiben „unverzüglich, spätestens 36/48 Stunden". Empfehlung?

13. **§ 12 Abs. 3 — Aufbewahrungs-Fristen-Mix.** Mischt drei Logiken (steuerlich/handelsrechtlich, versicherungs-vertraglich, datenschutzrechtlich). (a) Alle Fristen zutreffend? (b) Verträglich mit Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung)? (c) Löschkonzept nach DIN 66398 separat erforderlich?

14. **§ 13 Abs. 3 — Audit-Rechte des Verantwortlichen.** Pauschale Audit-Rechte vs. konkrete Audit-Verfahren — reicht die hier gewählte Konkretion (max. eine Inspektion pro Jahr, vier Wochen Vorlauf, Wettbewerbs-Ausschluss)?

15. **§ 14 Abs. 3 — Innenausgleich bei DSGVO-Bußgeldern (Art. 82 Abs. 5 DSGVO).** Reichweite der Haftungs-Beschränkung im AVV — AGB-Beschränkungen sind streng zu prüfen. Anwalt empfiehlt Formulierung?

16. **§ 14 Abs. 4 — Cyber-Versicherung der UG.** Existiert sie aktuell? Welche Deckungs-Summe? Welche Risiken sind ausgeschlossen? Empfehlung zur Mindest-Deckung für SaaS-Plattform mit Lohn-Daten?

### Sekundär (Priorität 3 — TOM und Detail-Punkte)

17. **Anlage A.1.2 — Magic-Link ohne 2FA für Endnutzer** — reicht das B2B-konform bei Lohn-Daten? Querverweis AGB § 3 Abs. 4.

18. **Anlage A insgesamt — Vollständigkeit TOM nach Art. 32 Abs. 1 DSGVO.** Sind alle vier Säulen (Pseudonymisierung, Verschlüsselung, Belastbarkeit, Wiederherstellbarkeit) ausreichend dokumentiert? Weitere Maßnahmen (Datenträger-Vernichtung, Mobile-Device-Management) ergänzen?

19. **Anlage B.4 — Zoho mit EU-Sitz.** DSGVO-Konformität bestätigt? Zoho-DPA prüfen.

20. **Anlage B insgesamt — Sub-Sub-Unterauftragsverarbeiter.** Supabase → AWS, Vercel → AWS/Cloudflare. Pflicht zur Detail-Offenlegung oder genügt Verweis auf jeweilige DPA?

21. **§ 1 Abs. 2 — Datenschutzbeauftragter.** Bestellpflicht nach § 38 BDSG bei der UG prüfen. Falls einschlägig: Kontaktdaten DSB benennen.

---

**Hinweis zum Status:**
Dieses Dokument ist **Version 0.1-draft** und wurde durch den Legal-Architect-Agent (Claude Opus) erstellt. Es dient ausdrücklich als **Prüfungs-Vorlage** für den Internet-Anwalt von Hannes Weindorf und ist **nicht freigegeben** für den Live-Einsatz auf werkwohl.de oder zur Bereitstellung an Plattform-Kunden. Die finale rechtliche Beurteilung, Anpassung und Freigabe erfolgt durch den beauftragten Anwalt.

**Querverweise:**
- AGB der WerkWohl-Plattform: `agb-werkwohl-v0.1-draft.md` (selber Ordner)
- Plattform-Konzept: `Compliance_Arbeitsrecht/05_Tool_Konzept/werkwohl-konzept-v1.md`
- TOM-Anlage A wird auf werkwohl.de/tom (sobald Anwalts-freigegeben) öffentlich publiziert
- Subunternehmer-Liste Anlage B wird auf werkwohl.de/subunternehmer (sobald Anwalts-freigegeben) öffentlich publiziert