Version 1.0 — Gültig ab 21.04.2026

Auftragsverarbeitungsvertrag.

Dieser Auftragsverarbeitungsvertrag („AVV") regelt die Verarbeitung personenbezogener Daten durch die Parallax Technologies GmbH in Gründung („Witness", „Auftragsverarbeiter") im Auftrag des Kunden („Verantwortlicher") im Rahmen der Nutzung der Witness-Dienste. Er ist so abgefasst, dass er die Anforderungen von Art. 28 Abs. 3 der Verordnung (EU) 2016/679 („DSGVO") erfüllt.

Dieser AVV gilt ab dem Tag, an dem Sie die Allgemeinen Geschäftsbedingungen (AGB) von Witness akzeptieren. Er wird durch Verweis Bestandteil der Hauptvereinbarung zwischen Ihnen und Witness. Soweit dieser AVV in Bezug auf die Verarbeitung personenbezogener Daten von den AGB abweicht, hat der AVV Vorrang.

1. Parteien

Verantwortlicher: die Kundenorganisation, die ein Witness-Konto eröffnet und über Zwecke und Mittel der Verarbeitung personenbezogener Daten durch den Dienst entscheidet. Auftragsverarbeiter: Parallax Technologies GmbH in Gründung, ein nach österreichischem Recht in Gründung befindliches Unternehmen mit Sitz in Wien, Österreich, Betreiber der Witness-Plattform unter witness-compliance.eu. Kontakt: legal@witness-compliance.eu. Der Verantwortliche und der Auftragsverarbeiter werden einzeln als „Partei" und gemeinsam als „Parteien" bezeichnet.

2. Gegenstand, Dauer, Art und Zweck der Verarbeitung

Gegenstand: Verarbeitung personenbezogener Daten, die zur Erbringung des Witness-Dienstes erforderlich ist, insbesondere die Einstufung von KI-Systemen, die Erstellung und Speicherung von Compliance-Artefakten (technische Dokumentation nach Anhang IV, Risikomanagement-Aufzeichnungen nach Artikel 9, Grundrechte-Folgenabschätzungen nach Artikel 27, Aufzeichnungen zur KI-Kompetenz nach Artikel 4), Pflichtenverfolgung, Führung des Audit Trails und Kontoverwaltung. Dauer: für die Laufzeit des Abonnements des Verantwortlichen beim Witness-Dienst sowie – auf ausdrücklichen schriftlichen Wunsch des Verantwortlichen – für einen anschließenden Übergangszeitraum von bis zu dreißig (30) Tagen zwecks Datenexport. Art und Zweck: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, um den vertraglich vereinbarten Witness-Dienst zu erbringen und seine Pflichten aus den AGB und diesem AVV zu erfüllen.

3. Kategorien personenbezogener Daten und betroffener Personen

Die im Auftrag des Verantwortlichen verarbeiteten Kategorien personenbezogener Daten können umfassen: Kontodaten (Name, geschäftliche E-Mail-Adresse, berufliche Rolle); Authentifizierungsdaten (gehashte Zugangsdaten, Session-Tokens); Organisationsdaten (Firmenname, Angaben zur juristischen Person); Inhalte, die von Nutzern des Verantwortlichen in Compliance-Artefakte eingegeben werden (die Beschäftigte, Kunden oder sonstige vom Verantwortlichen genannte Dritte betreffen können); Nutzungs-Metadaten (Log-Einträge, Zeitstempel, IP-Adressen); sowie Support-Kommunikation. Kategorien betroffener Personen: Beschäftigte, Auftragnehmer und autorisierte Nutzer der Witness-Plattform des Verantwortlichen; natürliche Personen, die vom Verantwortlichen im Inhalt von Compliance-Artefakten genannt werden (z. B. namentlich genannte betroffene Personen in einer Grundrechte-Folgenabschätzung). Der Verantwortliche darf keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO in Freitextfelder eingeben, es sei denn, dies ist zwingend erforderlich und auf Grundlage einer eigenen Rechtsgrundlage des Verantwortlichen zulässig.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich: (a) personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, auch in Bezug auf die Übermittlung in Drittländer oder an internationale Organisationen, sofern er nicht durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet ist; (b) sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; (c) alle nach Art. 32 DSGVO erforderlichen Maßnahmen zu treffen, einschließlich Pseudonymisierung und Verschlüsselung personenbezogener Daten während der Übertragung und im Ruhezustand, Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme, Wiederherstellungsfähigkeit nach einem Zwischenfall sowie ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit dieser Maßnahmen; (d) die in Abschnitt 5 geregelten Bedingungen für die Einbindung weiterer Auftragsverarbeiter einzuhalten; (e) den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seine Pflicht zur Beantwortung von Anträgen betroffener Personen nach Kapitel III DSGVO zu erfüllen; (f) den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Art. 32 bis 36 DSGVO zu unterstützen; (g) den Verantwortlichen nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten unverzüglich zu benachrichtigen; (h) nach Wahl des Verantwortlichen nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten entweder zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, es sei denn, das Unionsrecht oder das Recht eines Mitgliedstaats schreibt eine Aufbewahrung vor; (i) dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind, und Überprüfungen – einschließlich Inspektionen – durch den Verantwortlichen oder einen von diesem beauftragten anderen Prüfer zu ermöglichen und dazu beizutragen, vorbehaltlich Abschnitt 7 dieses AVV.

5. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung zur Einbindung der im Abschnitt zu den Unterauftragsverarbeitern aufgelisteten Unternehmen. Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf das Hinzuziehen oder Ersetzen von Unterauftragsverarbeitern mindestens vierzehn (14) Tage vor Inkrafttreten der Änderung durch Aktualisierung der veröffentlichten Liste informieren, sodass der Verantwortliche die Möglichkeit hat, aus begründeten datenschutzrechtlichen Erwägungen Einspruch zu erheben. Zieht der Auftragsverarbeiter einen Unterauftragsverarbeiter hinzu, so erlegt er diesem auf vertraglichem Weg dieselben Datenschutzpflichten auf wie in diesem AVV, insbesondere hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, damit die Verarbeitung den Anforderungen der DSGVO genügt. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen weiterhin voll für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters.

6. Internationale Datenübermittlungen

Der Auftragsverarbeiter hostet personenbezogene Daten vorrangig innerhalb des Europäischen Wirtschaftsraums (EWR). Soweit personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt werden, stellt der Auftragsverarbeiter sicher, dass eine solche Übermittlung durch einen geeigneten Übermittlungsmechanismus nach Kapitel V DSGVO abgesichert ist, insbesondere durch die von der Europäischen Kommission erlassenen Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914), ergänzt um ggf. erforderliche zusätzliche Maßnahmen nach den einschlägigen Leitlinien. Paddle.com Market Ltd verarbeitet Zahlungsdaten im Vereinigten Königreich. Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/1772 der Kommission vom 28. Juni 2021), der ein im Wesentlichen gleichwertiges Datenschutzniveau im Sinne von Art. 45 DSGVO gewährleistet. Der Auftragsverarbeiter überwacht die fortdauernde Gültigkeit dieses Angemessenheitsbeschlusses und ergreift zusätzliche Garantien, falls der Beschluss ausgesetzt, aufgehoben oder nicht verlängert wird. Für KI-Funktionen, die über Anthropic bereitgestellt werden, nutzt der Auftragsverarbeiter die vom Unterauftragsverarbeiter angebotene EU-Daten-Residency-Konfiguration; etwaige verbleibende Übermittlungen außerhalb des EWR sind durch die zwischen dem Auftragsverarbeiter und dem betreffenden Unterauftragsverarbeiter abgeschlossenen Standardvertragsklauseln abgedeckt.

7. Prüfungsrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen auf angemessene schriftliche Anfrage und höchstens einmal pro Kalenderjahr (außer im Fall eines dokumentierten Verdachts auf eine Verletzung) die Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses AVV und des Art. 28 DSGVO vernünftigerweise erforderlich sind. Benötigt der Verantwortliche weitergehende Nachweise, wirken die Parteien nach Treu und Glauben bei der Durchführung einer Prüfung zusammen, die wie folgt erfolgen kann: (a) über einen Prüfbericht (z. B. ISO 27001, SOC 2), sofern verfügbar; (b) über einen schriftlichen Fragebogen; oder (c) über eine Vor-Ort-Inspektion durch den Verantwortlichen oder einen zur Vertraulichkeit verpflichteten unabhängigen Prüfer während der üblichen Geschäftszeiten nach schriftlicher Ankündigung von mindestens dreißig (30) Tagen und in einer Weise, die den Betrieb des Auftragsverarbeiters und dessen Sicherheitspflichten gegenüber anderen Kunden nicht beeinträchtigt. Die Kosten einer solchen Prüfung trägt der Verantwortliche.

8. Haftung und Beendigung

Die Haftung jeder Partei aus oder im Zusammenhang mit diesem AVV unterliegt den in den Witness-AGB geregelten Haftungsbegrenzungen und -ausschlüssen, mit der Maßgabe, dass weder die AGB noch dieser AVV die Haftung einer Partei gegenüber betroffenen Personen nach Art. 82 DSGVO oder in Fällen, in denen eine Haftungsbegrenzung nach zwingendem anwendbaren Recht nicht möglich ist, beschränken. Dieser AVV endet automatisch mit Beendigung oder Ablauf der AGB. Nach Beendigung wird der Auftragsverarbeiter auf Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten löschen oder zurückgeben und vorhandene Kopien löschen, es sei denn, das Unionsrecht oder das Recht eines Mitgliedstaats schreibt eine weitere Aufbewahrung vor.

9. Inkrafttreten und anwendbares Recht

Dieser AVV tritt am 21. April 2026 in Kraft und ersetzt alle vorherigen Datenverarbeitungsbedingungen zwischen den Parteien in Bezug auf den Witness-Dienst. Dieser AVV unterliegt dem Recht der Republik Österreich unter Ausschluss seiner Kollisionsnormen sowie des UN-Kaufrechts. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist das sachlich zuständige Gericht in Wien, Österreich, soweit zwingende Verbraucherschutzvorschriften dem nicht entgegenstehen.

Unterauftragsverarbeiter

Die folgenden Unterauftragsverarbeiter sind berechtigt, personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen des Witness-Dienstes zu verarbeiten. Der Auftragsverarbeiter aktualisiert diese Liste mindestens vierzehn (14) Tage vor einer wesentlichen Änderung.

  • Railway Corp.

    Anwendungs-Hosting und verwaltetes PostgreSQL — EU-West (Amsterdam)

    Betreibt die Witness-Webanwendung und speichert Produktionsdaten innerhalb des EWR. Bei etwaigen verbleibenden Übermittlungen außerhalb des EWR durch Standardvertragsklauseln abgesichert.

  • Paddle.com Market Ltd.

    Merchant of Record, Abrechnung, Umsatzsteuer- und Steuerverwaltung — Vereinigtes Königreich (Angemessenheitsbeschluss (EU) 2021/1772 der Kommission)

    Verarbeitet Zahlungsdaten, Rechnungen und Steuern für Abonnements und Einmalkäufe. Paddle handelt für steuerrechtliche Zwecke als eigenständiger Verantwortlicher und im Übrigen als Auftragsverarbeiter für weitere Abrechnungsdaten. Übermittlungen in das Vereinigte Königreich sind durch den Angemessenheitsbeschluss der Europäischen Kommission für das Vereinigte Königreich (Durchführungsbeschluss (EU) 2021/1772 der Kommission vom 28. Juni 2021) abgedeckt.

  • Resend, Inc.

    Transaktionaler E-Mail-Versand

    Versendet transaktionale E-Mails (Magic-Link-Anmeldung, Kontobenachrichtigungen, Belege). Verarbeitet ausschließlich Empfänger-E-Mail-Adresse und Nachrichten-Metadaten.

  • Anthropic PBC

    KI-gestützte Formularhilfe und Vorausfüllung — EU-Daten-Residency-Konfiguration

    Verarbeitet vom Nutzer eingegebenen Text, wenn der Verantwortliche den KI-Assistenten aufruft. Konfiguriert auf die EU-Daten-Residency-Option von Anthropic. Eingaben werden nicht zum Training der Anthropic-Modelle verwendet.

  • Functional Software, Inc. (Sentry)

    Fehler- und Leistungsüberwachung — EU-Ingest

    Empfängt Laufzeit-Fehlermeldungen und Performance-Traces aus der Witness-Anwendung. Konfiguriert auf den EU-Ingest-Endpunkt. Personenbezogene Felder werden, soweit technisch möglich, bereits an der Quelle bereinigt.

  • Umami (selbst gehostet)

    Datenschutzfreundliche Produktanalyse

    Vom Auftragsverarbeiter selbst auf EU-Infrastruktur betrieben. Erfasst aggregierte Produktnutzung ohne Cookies und ohne Speicherung von IP-Adressen im Klartext.

Download und unterschriebene Fassungen

Eine herunterladbare PDF-Fassung dieses AVV wird kurz nach dem Launch unter /legal/witness-dpa-v1.pdf veröffentlicht. Kunden, die eine gegengezeichnete Fassung auf Firmenpapier oder mit verhandelten Klauseln benötigen, können sich an legal@witness-compliance.eu wenden — Team-Tier- und Enterprise-Kunden erhalten auf Anfrage eine unterschriebene Fassung.

legal@witness-compliance.eu