Auftragsverarbeitungsvertrag
eustella Auftragsverarbeitungsvertrag (AVV)
Stand: 23.06.2026 · Version 1.1.0
English version (Data Processing Agreement): eustella.com/services/dpa. Im Konfliktfall ist die von den Parteien unterzeichnete Sprachfassung maßgeblich.
Dieser Auftragsverarbeitungsvertrag („AVV") ist ausschließlich für Geschäftskunden (B2B) von eustella bestimmt — Organisationen, die die Dienste von eustella zu beruflichen oder geschäftlichen Zwecken nutzen. Er gilt nicht für Verbraucher, die die mobilen Anwendungen oder Endkundenfunktionen von eustella nutzen.
Dieser AVV ist Bestandteil der Vereinbarung zwischen dem Kunden und eustella über die Nutzung der Dienste von eustella (der „Hauptvertrag" — namentlich der individuell mit dem Kunden geschlossene Kaufvertrag) und regelt die Verarbeitung personenbezogener Daten, die eustella im Auftrag des Kunden im Zusammenhang mit den Diensten durchführt. Er wird gemäß Art. 28 Abs. 3 der Verordnung (EU) 2016/679 („DSGVO") geschlossen.
1. Vertragsparteien
Auftragsverarbeiter
AI Newsrooms Technology GmbH Karl-Farkas-Gasse 22, 1030 Wien, Österreich Firmenbuchnummer: FN 637289s, Handelsgericht Wien UID-Nummer: ATU81169478 Kontakt für Datenschutzangelegenheiten: privacy@eustella.com
(nachfolgend „eustella" oder der „Auftragsverarbeiter")
Verantwortlicher
Vollständige Firmenbezeichnung des KundenAnschriftFirmenbuch- / UID-NummerKontakt für Datenschutzangelegenheiten
(nachfolgend der „Kunde" oder der „Verantwortliche")
eustella und der Kunde sind jeweils eine „Partei" und gemeinsam die „Parteien".
2. Gegenstand, Rollen und Anwendungsbereich
2.1 Im Rahmen der Erbringung der Dienste nach dem Hauptvertrag verarbeitet eustella personenbezogene Daten im Auftrag und auf dokumentierte Weisung des Kunden. In Bezug auf diese Verarbeitung ist der Kunde Verantwortlicher (bzw., soweit der Kunde selbst als Auftragsverarbeiter für einen Dritten handelt, dessen Auftragsverarbeiter) und eustella Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO.
2.2 Jede Partei ist für die Einhaltung ihrer eigenen Pflichten nach dem anwendbaren Datenschutzrecht verantwortlich. Der Kunde ist für die Rechtmäßigkeit der von ihm angewiesenen Verarbeitung verantwortlich, einschließlich des Vorliegens einer gültigen Rechtsgrundlage für die von ihm an die Dienste übermittelten personenbezogenen Daten.
2.3 Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen sind in Anlage 1 festgelegt.
3. Dauer
Dieser AVV wird mit dem Inkrafttreten des Hauptvertrags wirksam und bleibt in Kraft, solange eustella personenbezogene Daten im Auftrag des Kunden nach dem Hauptvertrag verarbeitet. Pflichten, die ihrem Wesen nach über die Beendigung hinaus fortbestehen — insbesondere die Abschnitte 11 (Löschung und Rückgabe) und 13 (Vertraulichkeit) — gelten über die Beendigung dieses AVV hinaus fort.
4. Verarbeitung auf dokumentierte Weisung
4.1 eustella verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland, es sei denn, eustella ist nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem eustella unterliegt, hierzu verpflichtet. In einem solchen Fall teilt eustella dem Kunden diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
4.2 Der Hauptvertrag, dieser AVV (einschließlich seiner Anlagen) sowie die dokumentierte Nutzung der Dienste durch den Kunden stellen die vollständige und abschließende Weisung des Kunden dar. Zusätzliche oder abweichende Weisungen bedürfen der Schriftform und können, sofern sie Änderungen der Dienste erfordern, eine Anpassung der Entgelte nach sich ziehen.
4.3 eustella informiert den Kunden unverzüglich, falls eine Weisung nach Auffassung von eustella gegen die DSGVO oder andere anwendbare Datenschutzbestimmungen verstößt. eustella ist berechtigt, die Ausführung einer solchen Weisung bis zu deren Bestätigung oder Änderung auszusetzen.
4.4 Keine Nutzung zu eigenen Zwecken; kein KI-Training. eustella nutzt personenbezogene Daten des Kunden nicht für eigene Zwecke. Hiervon ausgenommen sind die Gewährleistung der Sicherheit, Integrität und Verfügbarkeit der Dienste, die Abwehr von Missbrauch und Betrug, die Erfüllung gesetzlicher Pflichten sowie die Erstellung aggregierter, nicht personenbezogener Statistiken zur Verbesserung der Dienste. eustella verwendet Kundeninhalte nicht, um KI-Modelle zu trainieren — weder eigene noch solche Dritter.
5. Vertraulichkeit
eustella gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugriff auf personenbezogene Daten des Kunden ist auf das Personal beschränkt, das diese zur Erbringung der Dienste benötigt; kein Mitarbeiter hat standardmäßig Zugriff auf den Inhalt von Konversationen oder Kundeneingaben, und ein etwaiger Zugriff ist auf hierfür benanntes Personal in bestimmten, dokumentierten Fällen beschränkt.
6. Technische und organisatorische Maßnahmen
6.1 eustella trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die AI Newsrooms Technology GmbH ist nach ISO/IEC 27001:2022 zertifiziert (Zertifikat-Nr. IS-IA-2026-04-15-01). Die zum Zeitpunkt des Inkrafttretens geltenden Maßnahmen sind in Anlage 2 beschrieben.
6.2 eustella kann die Maßnahmen im Laufe der Zeit aktualisieren, sofern das Schutzniveau dadurch nicht wesentlich verringert wird.
7. Unterauftragsverarbeiter
7.1 Der Kunde erteilt eustella die allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern. eustella führt unter eustella.com/services/privacy/sub-processors eine aktuelle Liste der Unterauftragsverarbeiter, die Bestandteil der Anlage 3 ist und die maßgebliche, jeweils aktuelle Liste darstellt.
7.2 eustella erlegt jedem Unterauftragsverarbeiter durch Vertrag Datenschutzpflichten auf, die nicht weniger schützend sind als die in diesem AVV festgelegten, insbesondere die Pflicht, hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten. eustella haftet gegenüber dem Kunden für die Erfüllung der Pflichten der jeweiligen Unterauftragsverarbeiter.
7.3 eustella informiert den Kunden über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters und gibt dem Kunden die Möglichkeit zum Widerspruch. Der Kunde kann innerhalb von 30 Tagen nach der Information aus berechtigten datenschutzrechtlichen Gründen widersprechen. Können die Parteien den Widerspruch nicht ausräumen, kann der Kunde die Dienste als alleiniges Rechtsmittel kündigen.
8. EU-only-Infrastruktur; keine internationalen Datenübermittlungen
8.1 EU-only-Verarbeitung. Die Infrastruktur von eustella — die Server, die die Dienste betreiben, Kundendaten speichern und die KI-Inferenz durchführen — wird ausschließlich bei in der Europäischen Union ansässigen Anbietern betrieben. Sämtliche im Rahmen dieses AVV verarbeiteten personenbezogenen Daten werden innerhalb der EU/des EWR verarbeitet und gespeichert.
8.2 eustella übermittelt personenbezogene Daten des Kunden nicht in ein Drittland außerhalb der EU/des EWR und verarbeitet sie nicht dort; eustella beauftragt auch keinen Unterauftragsverarbeiter, der personenbezogene Daten des Kunden außerhalb der EU/des EWR verarbeitet. Alle Unterauftragsverarbeiter sind in der EU/im EWR ansässige Anbieter (siehe Anlage 3). Sollte eustella jemals beabsichtigen, eine solche Übermittlung einzuführen, würde eustella den Kunden zuvor gemäß Abschnitt 7 informieren und einen geeigneten Übermittlungsmechanismus nach Kapitel V DSGVO einrichten; andernfalls verbleibt die gesamte Verarbeitung innerhalb der EU/des EWR.
9. Unterstützung bei Betroffenenrechten
Unter Berücksichtigung der Art der Verarbeitung unterstützt eustella den Kunden mit geeigneten technischen und organisatorischen Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO (Art. 12–23) genannten Rechte der betroffenen Personen. Über die zur Erfüllung der gesetzlichen Pflichten erforderliche, zumutbare Mitwirkung hinausgehende Unterstützungsleistungen vergütet der Kunde nach dem vereinbarten Aufwand. Wendet sich eine betroffene Person unmittelbar an eustella in Bezug auf personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden, leitet eustella den Antrag unverzüglich an den Kunden weiter und antwortet nicht selbst, es sei denn, der Kunde weist dies an oder eustella ist gesetzlich dazu verpflichtet.
10. Unterstützung bei Sicherheit, Datenpannen und Folgenabschätzung
Unter Berücksichtigung der Art der Verarbeitung und der eustella zur Verfügung stehenden Informationen unterstützt eustella den Kunden bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO, einschließlich der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten, der Datenschutz-Folgenabschätzung und der vorherigen Konsultation der Aufsichtsbehörde. Über die zur Erfüllung der gesetzlichen Pflichten erforderliche, zumutbare Mitwirkung hinausgehende Unterstützungsleistungen vergütet der Kunde nach dem vereinbarten Aufwand.
11. Verletzung des Schutzes personenbezogener Daten
eustella benachrichtigt den Kunden unverzüglich, nachdem ihr eine Verletzung des Schutzes personenbezogener Daten des Kunden mit hinreichender Sicherheit bekannt geworden ist. Die Benachrichtigung beschreibt, soweit bekannt, die Art der Verletzung, die wahrscheinlichen Folgen, die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze sowie die ergriffenen oder vorgeschlagenen Maßnahmen zu deren Behebung. Liegen zum Zeitpunkt der Erstmeldung noch nicht alle Informationen vor, kann eustella diese schrittweise nachreichen. Die Meldung stellt kein Anerkenntnis eines Verschuldens oder einer Haftung dar. eustella benachrichtigt Aufsichtsbehörden oder betroffene Personen nicht im Namen des Kunden, es sei denn, sie wird hierzu angewiesen.
12. Nachweis der Einhaltung
12.1 eustella stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO und in diesem AVV festgelegten Pflichten vernünftigerweise erforderlich sind.
12.2 Das Recht des Kunden, die Einhaltung durch eustella zu überprüfen, wird vorrangig durch Unterlagen erfüllt und kann höchstens einmal pro Kalenderjahr ausgeübt werden; dies gilt nicht, soweit eine zuständige Aufsichtsbehörde eine weitergehende Prüfung anordnet. Auf schriftliche Anfrage stellt eustella einschlägige Compliance-Unterlagen bereit — insbesondere die ISO/IEC 27001:2022-Zertifizierung der AI Newsrooms Technology GmbH (Zertifikat-Nr. IS-IA-2026-04-15-01), Sicherheitsbeschreibungen sowie, soweit vorhanden, unabhängige Prüf- oder Bewertungsberichte Dritter. Vor-Ort-Prüfungen und physische Inspektionen der Räumlichkeiten, Systeme oder Einrichtungen von eustella sind nur zulässig, soweit die bereitgestellten Unterlagen zum Nachweis der Einhaltung nach Art. 28 DSGVO nachweislich nicht ausreichen oder eine zuständige Aufsichtsbehörde dies anordnet. Eine solche Prüfung erfolgt nach angemessener Vorankündigung von mindestens 30 Tagen, zu üblichen Geschäftszeiten, unter Wahrung der Vertraulichkeit sowie der Sicherheit und der personenbezogenen Daten anderer Kunden, und auf Kosten des Kunden. Die Verpflichtung von eustella nach diesem Abschnitt steht unter dem Vorbehalt der Vertraulichkeit und beschränkt sich im Übrigen auf die eustella bereits vorliegenden Unterlagen, sofern nicht eine zuständige Aufsichtsbehörde etwas anderes anordnet.
13. Löschung und Rückgabe
Nach Wahl des Kunden löscht eustella nach Abschluss der Erbringung der Dienste alle personenbezogenen Daten des Kunden oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht eines Mitgliedstaats eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Gesetzliche Aufbewahrungspflichten (etwa nach österreichischem Buchhaltungsrecht) sowie eine kurzfristige Aufbewahrung in routinemäßigen Sicherungskopien, die im ordentlichen Turnus gelöscht werden, bleiben unberührt.
14. Haftung und anwendbares Recht
14.1 Die Haftung richtet sich nach Art. 82 DSGVO und nach den Haftungsbestimmungen des Hauptvertrags.
14.2 Dieser AVV unterliegt österreichischem Recht unter Ausschluss der Kollisionsnormen und des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, Wien, Österreich.
15. Vorrang und Schlussbestimmungen
15.1 Im Falle eines Widerspruchs zwischen diesem AVV und dem Hauptvertrag hinsichtlich der Verarbeitung personenbezogener Daten geht dieser AVV vor.
15.2 Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt.
Anlage 1 — Einzelheiten der Verarbeitung
Gegenstand: Verarbeitung personenbezogener Daten durch eustella zur Erbringung der Dienste für den Kunden nach dem Hauptvertrag.
Dauer: Für die Laufzeit des Hauptvertrags und bis zur Löschung oder Rückgabe der personenbezogenen Daten gemäß Abschnitt 13.
Art und Zweck: Hosting, Speicherung, Übertragung, KI-Inferenz (Erzeugung von Modellausgaben aus Kundeneingaben) sowie damit verbundene Verarbeitungsvorgänge, die zur Erbringung der Dienste erforderlich sind, einschließlich — je nach genutzten Diensten: Chat-/Agent-Antworten, Websuche, Texterkennung (OCR), Audiotranskription und Bildgenerierung.
Arten personenbezogener Daten: Alle personenbezogenen Daten, die in den Eingaben, Prompts, Dateien, Dokumenten und sonstigen Inhalten enthalten sind, die der Kunde oder seine Endnutzer an die Dienste übermitteln, sowie in den daraus erzeugten Ausgaben; Konto- und Authentifizierungsdaten; sowie technische und Nutzungsdaten (etwa IP-Adresse, Geräte- und Browserinformationen sowie Ereignisprotokolle). Die konkreten Kategorien werden durch den Kunden im Rahmen seiner Nutzung der Dienste bestimmt.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Nicht vorgesehen. Der Kunde ist dafür verantwortlich, keine Daten besonderer Kategorien zu übermitteln, es sei denn, er hat eine gültige Rechtsgrundlage sichergestellt und eustella informiert, wo zusätzliche Schutzmaßnahmen erforderlich sind.
Kategorien betroffener Personen: Endnutzer des Kunden sowie alle Personen, deren personenbezogene Daten in den vom Kunden an die Dienste übermittelten Inhalten enthalten sind (dies können Kunden, Beschäftigte, Kontakte oder sonstige Dritte des Kunden sein).
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Zertifizierung: Die AI Newsrooms Technology GmbH ist nach ISO/IEC 27001:2022 zertifiziert (Zertifikat-Nr. IS-IA-2026-04-15-01); die Zertifizierung umfasst ihr Informationssicherheits-Managementsystem. Es werden unabhängige Black-Box-Penetrationstests der Produktivplattform durchgeführt, einschließlich Nachverfolgung und Behebung festgestellter Schwachstellen.
- Verschlüsselung: Personenbezogene Daten werden bei der Übertragung (TLS 1.2 oder höher, aktuelle Cipher Suites) und im Ruhezustand (AES-256 oder gleichwertige branchenübliche Verfahren) verschlüsselt. Vertrauliche Konfigurationswerte, API-Schlüssel und sonstige Geheimnisse werden ausschließlich in dafür vorgesehenen Secret-Management-/Key-Management-Systemen vorgehalten.
- Zugriffskontrolle und Authentifizierung: Rollenbasierte Zugriffskontrollen und Zuweisung nach dem Least-Privilege-/Need-to-know-Prinzip mit regelmäßiger Überprüfung; verpflichtende Multi-Faktor-Authentifizierung (2FA) für alle privilegierten und administrativen Zugriffe (z. B. Cloud-Konsole, CI/CD-Pipelines, Administration); strenge Passwort- und Zugangsrichtlinien; kein standardmäßiger Mitarbeiterzugriff auf Kundeninhalte, Zugriff auf benanntes Personal in bestimmten, dokumentierten Fällen beschränkt.
- EU-Datenresidenz: Sämtliche Verarbeitung und Speicherung erfolgen innerhalb der EU/des EWR; keine internationalen Übermittlungen (siehe Abschnitt 8). Alle Unterauftragsverarbeiter sind in der EU/im EWR ansässige Anbieter.
- Netzwerk- und Infrastruktursicherheit: Betrieb der Plattforminfrastruktur in logisch isolierten Netzwerken (VPCs, Subnetze); Segmentierung nach Umgebung; Firewall-Regeln und Network Policies, die den Zugriff auf notwendige Ports und Protokolle beschränken; Nutzung einer zugriffsbeschränkten, zentral verwalteten Container Registry; regelmäßiges Patch- und Schwachstellenmanagement der Basis-Images und Abhängigkeiten.
- Trennung von Umgebungen und Mandanten: Klare Trennung von Entwicklungs-, Staging- und Produktionsumgebungen; produktive Kundendaten werden nicht für Entwicklung oder Tests verwendet; logische Mandanten-/Kundentrennung auf Datenbank- und/oder Anwendungsebene (z. B. separate Datenbanken/Schemata, Mandanten-IDs).
- Integrität: Zentrale Protokollierung relevanter Zugriffe und administrativer Handlungen; Schutz vor unbefugter Veränderung.
- Verfügbarkeit und Belastbarkeit: Redundante, mehrregionale europäische Infrastruktur; routinemäßige Sicherungen, die getrennt innerhalb der EU aufbewahrt werden; regelmäßige Wiederherstellungstests anhand definierter Recovery Time und Recovery Point Objectives (RTO/RPO); Maßnahmen zur zeitnahen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten nach einem Vorfall.
- Überwachung und Reaktion auf Vorfälle: Überwachung von Infrastruktur und Diensten mit Alarmierung bei Anomalien; etablierte interne Prozesse zur Bewertung und Behandlung von Sicherheitsvorfällen einschließlich Eskalationswegen und Dokumentation; definiertes Verfahren zur Meldung von Datenpannen an den Verantwortlichen (Mindestinhalt und Fristen gemäß Abschnitt 11).
- Kein Modelltraining mit Kundendaten: Kundeninhalte werden nicht zum Training, zur Feinabstimmung (Fine-Tuning) oder zur Verbesserung von KI-Modellen verwendet — weder eigene Modelle von eustella noch solche Dritter.
- Steuerung von Unterauftragsverarbeitern: Allen Unterauftragsverarbeitern werden vertragliche Datenschutzpflichten auferlegt, die nicht weniger schützend sind als dieser AVV; geführte Unterauftragsverarbeiter-Liste.
- Evaluierung: Regelmäßige interne Überprüfung (Sicherheits- und Architektur-Reviews) zur Bewertung und gegebenenfalls Verbesserung der Wirksamkeit dieser Maßnahmen.
Anlage 3 — Genehmigte Unterauftragsverarbeiter
Die maßgebliche, jeweils aktuelle Liste der Unterauftragsverarbeiter wird unter eustella.com/services/privacy/sub-processors veröffentlicht und gepflegt. Die nachstehende Liste gibt die zum Zeitpunkt des Inkrafttretens beauftragten Unterauftragsverarbeiter wieder. Alle für die Geschäftskundenverarbeitung (B2B) beauftragten Unterauftragsverarbeiter sind in der EU/im EWR ansässig und verarbeiten personenbezogene Daten des Kunden ausschließlich innerhalb der EU/des EWR. Welche Unterauftragsverarbeiter Anwendung finden, hängt von den vom Kunden genutzten Diensten ab.
| Unterauftragsverarbeiter | Rechtsträger / Standort | Zweck | Übermittlungsgarantie |
|---|---|---|---|
| IONOS | IONOS SE — Deutschland (EU) | Kern-Cloud-Infrastruktur; Server und Datenspeicherung | EU — nicht erforderlich |
| Scaleway | Scaleway SAS — Frankreich (EU) | Ergänzende Cloud-Rechenleistung und KI-Workloads | EU — nicht erforderlich |
| Mistral AI | Mistral AI — Frankreich (EU) | OCR und Audiotranskription | EU — nicht erforderlich |
| Verda | Verda Cloud Oy — Finnland (EU) | GPU-Rechenleistung für KI-Modellinferenz | EU — nicht erforderlich |
| Linkup | Linkup Technologies SAS — Frankreich (EU) | Echtzeit-Websuche | EU — nicht erforderlich |