Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
Stand: 13.07.2026
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Canvas Software Platform (nachfolgend „Plattform“). Er wird Bestandteil des zwischen den Parteien geschlossenen Vertrags (siehe § 13) und gilt ohne weitere Anpassung.
§ 1 Gegenstand, Rollen und Begriffsbestimmungen
(1) Auftragsverarbeiter ist die Canvas AILabs GmbH, Knorrpromenade 8, 10245 Berlin, Amtsgericht Charlottenburg, HRB 289368 (nachfolgend „Canvas Software“). Verantwortlicher ist der Kunde gemäß dem zugrunde liegenden Vertrag bzw. der Registrierung (nachfolgend „Verantwortlicher“). Eine gesonderte Benennung der Identität des Verantwortlichen in diesem AVV ist nicht erforderlich; sie ergibt sich aus dem zugrunde liegenden Vertrag.
(2) Gegenstand dieses AVV ist ausschließlich die Verarbeitung personenbezogener Daten, die durch die vom Verantwortlichen auf der Plattform erstellten und betriebenen Anwendungen verarbeitet werden. Insoweit ist der Verantwortliche datenschutzrechtlich Verantwortlicher und Canvas Software Auftragsverarbeiterin, die auf dokumentierte Weisung tätig wird.
Die Plattform dient der Entwicklung und dem produktiven Betrieb von Software. Die dabei eingesetzten AI-Modelle dienen der Softwareentwicklung, also der Erstellung und Änderung von Code; die produktive Verarbeitung der Daten des Verantwortlichen erfolgt durch den von ihm erstellten Anwendungscode und nicht durch ein AI-Modell. Die Verarbeitung personenbezogener Daten mittels AI-Modellen ist nicht Zweck der Plattform; Einzelheiten regelt § 14.
(3) Nicht Gegenstand dieses AVV sind (a) personenbezogene Daten, für die Canvas Software selbst Verantwortliche ist (Website- und Kontodaten; hierfür gilt die Datenschutzerklärung), sowie (b) Inhalte und Arbeitsergebnisse des Verantwortlichen (insbesondere Quellcode, Spezifikationen, Aufgabenbeschreibungen), die in aller Regel keine personenbezogenen Daten sind und vertraglich gesondert geregelt werden.
(4) Die Einzelheiten der Verarbeitung ergeben sich aus Anhang AVV-1.
(5) Dieser AVV kann gemäß Art. 28 Abs. 9 DSGVO in elektronischer Form geschlossen werden.
(6) Dieser AVV erfasst gewöhnliche personenbezogene Daten. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sowie Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) sind nicht umfasst, es sei denn, ein als Anlage zum Rahmenvertrag einbezogenes Modul bezieht sie ausdrücklich ein und sieht entsprechend erhöhte Maßnahmen vor (siehe § 12 Abs. 4).
(7) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und der von ihm bereitgestellten bzw. verarbeiteten Daten verantwortlich, insbesondere für das Vorliegen einer Rechtsgrundlage.
(8) „Modellrichtlinie“ bezeichnet die vom Verantwortlichen je Anwendung (Repository) getroffene Auswahl der eingesetzten AI-Modelle nach § 14. „Datenresidenz“ bezeichnet den Hosting-Standort und die datenschutzrechtliche Einstufung eines Modells (lokal in Deutschland, EU/EWR oder Drittland).
§ 2 Dauer
Die Laufzeit dieses AVV entspricht der Laufzeit des zugrunde liegenden Vertrags (AGB bzw. Rahmenvertrag). Pflichten, die ihrer Natur nach fortgelten (insbesondere Vertraulichkeit, Rückgabe und Löschung), bestehen über das Ende hinaus fort.
§ 3 Verarbeitung nur auf dokumentierte Weisung
(1) Canvas Software verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, eine Rechtsvorschrift verpflichtet Canvas Software zu einer anderweitigen Verarbeitung (Art. 28 Abs. 3 lit. a DSGVO).
(2) Die Konfiguration und Nutzung der Plattform durch den Verantwortlichen gilt als seine dokumentierte Weisung; ergänzende Einzelweisungen erfolgen in Textform über die im zugrunde liegenden Vertrag benannten Kontaktwege.
(3) Hält Canvas Software eine Weisung für rechtswidrig, informiert sie den Verantwortlichen unverzüglich und ist berechtigt, die Umsetzung bis zu dessen Bestätigung auszusetzen.
(4) Der Verantwortliche entscheidet und überwacht, welche personenbezogenen Daten in welchen Umgebungen (Entwicklung, Staging, Produktion) verarbeitet werden, und ist für die Rechtmäßigkeit dieser Verarbeitung verantwortlich. Das Auftreten produktiver personenbezogener Daten in Entwicklungs- oder Staging-Umgebungen im Rahmen von Betrieb und Wartung, etwa in Logs oder zur Fehlerbehebung, ist zulässig, soweit der Verantwortliche dies gestattet und überwacht. Die Auswahl der eingesetzten AI-Modelle und deren Datenresidenz regelt § 14.
(5) Soweit eine vom Verantwortlichen zu verantwortende Gestaltung oder Nutzung zu einer datenschutzrechtlich unzulässigen Verarbeitung führt, insbesondere eine Verarbeitung ohne die nach dem für ihn geltenden Recht erforderliche Grundlage oder eine Modellauswahl entgegen § 14, liegt dies außerhalb der dokumentierten Weisung und des Verantwortungsbereichs von Canvas Software. Der Verantwortliche trägt die hieraus resultierenden Folgen, einschließlich einer etwaigen Übermittlung an einen AI-Anbieter infolge seiner Modellauswahl, und stellt Canvas Software insoweit im Innenverhältnis von Ansprüchen Dritter frei. Gesetzliche Pflichten und die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden bleiben unberührt.
§ 4 Vertraulichkeit
Canvas Software verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
(1) Canvas Software trifft die in Anhang AVV-2 beschriebenen technischen und organisatorischen Maßnahmen und hält sie während der Laufzeit auf einem dem Risiko angemessenen Niveau aufrecht. Maßnahmen dürfen weiterentwickelt werden, sofern das Schutzniveau nicht unterschritten wird.
(2) Die Verantwortung ist geteilt: Canvas Software verantwortet die Sicherheit der Plattform und der zugrunde liegenden Infrastruktur (Anhang AVV-2). Der Verantwortliche verantwortet die Sicherheit und Rechtmäßigkeit der von ihm erstellten Anwendung, insbesondere deren anwendungsseitige Zugriffskontrolle, die Wahl der Rechtsgrundlage sowie die Pseudonymisierung bzw. Minimierung der von ihm verarbeiteten Daten. Eine von Canvas Software als Plattformfunktion bereitgestellte Anonymisierung bzw. Pseudonymisierung produktiver personenbezogener Daten regelt § 14 Abs. 6.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die bei Vertragsschluss eingesetzten Unterauftragsverarbeiter sind in Anhang AVV-3 aufgeführt.
(2) Canvas Software informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung oder Austausch) mindestens 30 Tage im Voraus. Der Verantwortliche kann einer Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen; in diesem Fall sind die Parteien um eine einvernehmliche Lösung bemüht, andernfalls besteht ein Kündigungsrecht hinsichtlich der betroffenen Leistung.
(3) Canvas Software verpflichtet jeden Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die den Pflichten dieses AVV entsprechen (Art. 28 Abs. 2 und 4 DSGVO).
§ 7 Unterstützung des Verantwortlichen
(1) Bei Anträgen betroffener Personen (Art. 12–23 DSGVO) unterstützt Canvas Software den Verantwortlichen soweit möglich und unter Berücksichtigung der Art der Verarbeitung (Art. 28 Abs. 3 lit. e DSGVO), indem sie ihm die hierfür erforderliche Kontrolle über und den Zugang zu seiner Anwendung und den zugehörigen Daten bereitstellt (insbesondere Zugriff, Export und Löschung auf Anwendungsebene). Der Verantwortliche bleibt dafür verantwortlich, die zur Erfüllung von Betroffenenrechten erforderlichen Funktionen in seiner Anwendung vorzusehen und umzusetzen (z. B. das Auffinden, Berichtigen und Löschen der Daten einzelner betroffener Personen). Canvas Software greift nicht auf einzelne Datensätze innerhalb der Anwendungsdaten des Verantwortlichen zu und ist hierzu auch nicht in der Lage.
(2) Canvas Software unterstützt den Verantwortlichen ferner bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung und vorherige Konsultation), unter Berücksichtigung der Art der Verarbeitung und der Canvas Software zur Verfügung stehenden Informationen.
(3) Wendet sich eine betroffene Person unmittelbar an Canvas Software, verweist Canvas Software sie unverzüglich an den Verantwortlichen und leitet das Anliegen an diesen weiter.
§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten
(1) Canvas Software informiert den Verantwortlichen ohne schuldhaftes Zögern, spätestens jedoch binnen 48 Stunden, nachdem ihr eine Verletzung des Schutzes personenbezogener Daten im Verantwortungsbereich der Auftragsverarbeitung bekannt geworden ist. Kontaktstelle für Sicherheits- und Datenschutzvorfälle bei Canvas Software ist support@canvas.software.
(2) Die Meldung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen (Art. 33 Abs. 2, Art. 34 DSGVO).
(3) Canvas Software wirkt auf Anfrage an der Zusammenarbeit mit der Aufsichtsbehörde mit und informiert den Verantwortlichen unverzüglich über Kontrollen oder Maßnahmen der Aufsichtsbehörde, die diese Auftragsverarbeitung betreffen, soweit gesetzlich zulässig.
(4) Wird der Bestand der Daten des Verantwortlichen durch Maßnahmen Dritter (z. B. Pfändung, Beschlagnahme), durch ein Insolvenzverfahren oder durch behördliche bzw. gerichtliche Anordnungen gefährdet, informiert Canvas Software den Verantwortlichen unverzüglich, soweit gesetzlich zulässig, und weist gegenüber den Beteiligten darauf hin, dass die Datenhoheit ausschließlich beim Verantwortlichen liegt.
§ 9 Rückgabe und Löschung
(1) Nach Beendigung der Verarbeitung löscht Canvas Software die personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO). Vor der Löschung besteht ein angemessener Zeitraum zum Export. Die Löschung bzw. Rückgabe wird in geeigneter Form dokumentiert und dem Verantwortlichen auf Anfrage nachgewiesen.
(2) Die Löschung der Produktivdaten erfolgt durch Abbau der Mandantenumgebung. In gesicherten Backup-Beständen erfolgt die Löschung durch Ablauf der Aufbewahrungsfristen sowie durch kryptografische Löschung (Vernichtung des mandantenspezifischen Schlüssels), wodurch die betreffenden Sicherungen unlesbar werden.
(3) Canvas Software erstellt ohne Kenntnis des Verantwortlichen keine Kopien der Daten. Ausgenommen sind Sicherungskopien, soweit sie zur ordnungsgemäßen Verarbeitung erforderlich sind, sowie Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
§ 10 Nachweise und Überprüfungen
(1) Canvas Software stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung, vorrangig durch Dokumentation, Zertifikate, Berichte und die Beantwortung eines schriftlichen Fragebogens.
(2) Eine Überprüfung vor Ort kommt nur in Betracht, soweit die nach Absatz 1 bereitgestellten Nachweise nicht ausreichen oder ein konkreter Anlass (insbesondere ein Sicherheitsvorfall) besteht. Sie erfolgt nach angemessener Vorankündigung, während der üblichen Geschäftszeiten, ohne unverhältnismäßige Beeinträchtigung des Betriebs und auf eigene Kosten des Verantwortlichen.
§ 11 Verarbeitung in Drittländern
Die personenbezogenen Daten des Verantwortlichen, insbesondere die von seinen produktiv betriebenen Anwendungen verarbeiteten und gespeicherten Daten, werden ausschließlich in Deutschland bzw. innerhalb der EU/des EWR verarbeitet und gespeichert; der Hosting-Dienstleister ist in Anhang AVV-3 benannt. Eine Übermittlung in ein Drittland findet nicht statt. Der produktive Betrieb der Anwendungen erfolgt durch den vom Verantwortlichen erstellten Anwendungscode; ein AI-Modell ist hierfür nicht erforderlich und standardmäßig nicht beteiligt.
Eine Drittlandübermittlung kann sich allein daraus ergeben, dass der Verantwortliche nach § 14 für eine Anwendung ausdrücklich ein Modell außerhalb der EU/des EWR auswählt. Wählt er ein solches Modell für eine Anwendung ohne personenbezogene Daten, so werden dabei keine personenbezogenen Daten des Verantwortlichen übermittelt (§ 14 Abs. 5). Wählt er es für eine Anwendung mit personenbezogenen Daten (§ 14 Abs. 4), erfolgt eine Übermittlung ausschließlich unter den nach dem für ihn geltenden Recht erforderlichen Garantien; Einzelheiten siehe Anhang AVV-4. Der Verantwortliche muss sich der datenschutzrechtlichen Konsequenzen seiner Modellauswahl bewusst sein und trägt diese.
§ 12 Haftung, Rangfolge und Recht
(1) Es gilt die Haftungsregelung des zugrunde liegenden Vertrags; Art. 82 DSGVO bleibt unberührt.
(2) Bei Widersprüchen zwischen diesem AVV und dem zugrunde liegenden Vertrag (AGB bzw. Rahmenvertrag) gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Enthält jedoch ein Rahmenvertrag eine konkretisierende oder detailliertere Beschreibung der Verarbeitung im Sinne des Anhangs AVV-1 (insbesondere der Arten personenbezogener Daten und der Kategorien betroffener Personen), so geht diese Beschreibung vor.
(3) Es gilt deutsches Recht.
(4) Zusätzliche Module (Zusatzvereinbarungen), die als Anlage zum Rahmenvertrag einbezogen werden, ergänzen diesen AVV und seine Anhänge; sie können insbesondere den Verarbeitungsumfang (Anhang AVV-1), die technischen und organisatorischen Maßnahmen (Anhang AVV-2) und die Unterauftragsverarbeiter (Anhang AVV-3) erweitern. Bei Widersprüchen gehen die Module für den jeweils geregelten Gegenstand vor.
(5) Haftungsverteilung. Im Innenverhältnis trägt jede Partei Schäden, Ansprüche betroffener Personen und Sanktionen, soweit deren Ursache in ihrem Verantwortungsbereich liegt (Art. 82 Abs. 5 DSGVO). Der Verantwortliche trägt sie insbesondere bei fehlender Rechtsgrundlage, rechtswidriger Weisung, Gestaltung oder Betrieb seiner Anwendung, einer Modellauswahl nach § 14 oder Verstoß gegen § 3 Abs. 4; Canvas Software trägt sie, soweit die Ursache in einer Verletzung ihrer Pflichten als Auftragsverarbeiterin oder in einem Handeln außerhalb der dokumentierten Weisung liegt (Art. 82 Abs. 2 DSGVO).
(6) Freistellung. Wird eine Partei für einen Schaden oder eine Geldbuße in Anspruch genommen, deren Ursache nach Absatz 5 im Verantwortungsbereich der anderen Partei liegt, stellt diese sie im Innenverhältnis hiervon sowie von angemessenen Rechtsverteidigungskosten frei, soweit gesetzlich zulässig. Die gesamtschuldnerische Haftung gegenüber betroffenen Personen (Art. 82 Abs. 4 DSGVO) bleibt unberührt. Die Haftungsbeschränkungen des zugrunde liegenden Vertrags gelten für die eigene Haftung von Canvas Software; auf die Freistellungspflicht des Verantwortlichen aus seinem Verantwortungsbereich finden sie keine Anwendung.
§ 13 Abschluss und Geltung
Dieser AVV wird durch Annahme der Allgemeinen Geschäftsbedingungen bzw., sofern ein Rahmenvertrag geschlossen wird, als Anlage zum Rahmenvertrag Vertragsbestandteil. Einer gesonderten Unterzeichnung dieses AVV bedarf es nicht.
§ 14 AI-gestützte Verarbeitung und Modellauswahl
(1) Die auf der Plattform eingesetzten AI-Modelle dienen der Entwicklung von Software, also dem Erstellen und Ändern von Quellcode. Ihre primäre Funktion ist die Erzeugung von Code; die Verarbeitung der Daten des Verantwortlichen ist nicht Zweck ihres Einsatzes. Der produktive Betrieb des erstellten Codes erfolgt ohne Beteiligung eines AI-Modells (§ 11). Verarbeitet werden dabei im Regelfall Quellcode, Schemata, Konfigurationen sowie Build- und Test-Artefakte. Soweit im Zuge der Softwareentwicklung einzelne personenbezogene Daten ausgelesen werden, geschieht dies untergeordnet und nicht als primäre Funktion des Modells; für den Umgang mit personenbezogenen Echtdaten in diesen Kontexten gelten § 3 Abs. 4 und Absatz 2.
(2) Der Umgang mit personenbezogenen Echtdaten in Entwicklungs-, Staging-, Test- und Eingabekontexten obliegt dem Verantwortlichen und ist von ihm zu überwachen (§ 3 Abs. 4). Er berücksichtigt dabei die nach Absatz 3 je Anwendung ausgewählten Modelle und deren Datenresidenz.
(3) Canvas Software stellt eine Auswahl von AI-Modellen bereit und weist deren Datenresidenz transparent aus (Anhang AVV-5). Der Verantwortliche wählt je Anwendung (Repository) ein oder mehrere eingesetzte Modelle (Modellrichtlinie). Diese Auswahl gilt als dokumentierte Weisung (§ 3 Abs. 2). Der Verantwortliche ist für die Rechtmäßigkeit der Auswahl nach dem für ihn geltenden Recht verantwortlich, insbesondere für etwaige Drittlandübermittlungen (§ 1 Abs. 7, § 12 Abs. 5).
(4) Für Anwendungen, die keine personenbezogenen Daten verarbeiten, ist die Modellauswahl frei. Für Anwendungen, die personenbezogene Daten verarbeiten, ist als Voreinstellung ausschließlich ein in Deutschland oder der EU/dem EWR betriebenes Modell wählbar; ein Modell außerhalb der EU/des EWR ist nur nach gesondertem, ausdrücklichem Opt-in des Verantwortlichen und, soweit nach dem für ihn geltenden Recht erforderlich, unter geeigneten Garantien wählbar. Canvas Software unterstützt diese Kopplung durch technische Voreinstellungen (Art. 25 DSGVO).
(5) Soweit ein Modell ausschließlich Daten nach Absatz 1 (Quellcode, Schemata, Konfigurationen, Build- und Test-Artefakte) und keine produktiven personenbezogenen Daten des Verantwortlichen verarbeitet, ist sein Standort oder Anbieter, auch außerhalb der EU/des EWR, für diesen AVV ohne Belang; eine Übermittlung personenbezogener Daten des Verantwortlichen findet insoweit nicht statt.
(6) Canvas Software stellt eine vom Verantwortlichen über die Plattform aktivierbare Funktion zur Anonymisierung oder Pseudonymisierung produktiver personenbezogener Daten bereit; Konfiguration und Nutzung dieser Funktion gelten als dokumentierte Weisung (§ 3 Abs. 2). Die Anonymisierung oder Pseudonymisierung wird stets durch ein lokal auf der Infrastruktur von Canvas Software in Deutschland betriebenes AI-Modell ausgeführt; eine Übermittlung an einen externen AI-Anbieter findet dabei nicht statt. AI-gestützte Anonymisierung ist fehleranfällig und bietet keine Gewähr für die vollständige Entfernung des Personenbezugs; der Verantwortliche hat das Ergebnis im Zweifel zu überprüfen und dessen weitere Verwendung zu verantworten. Für die Löschung der eingesetzten Rohdaten ist der Verantwortliche zuständig.
Anhang AVV-1: Einzelheiten der Verarbeitung
Gegenstand der Verarbeitung: Betrieb der vom Verantwortlichen auf der Plattform erstellten und betriebenen Anwendungen sowie der zugehörigen Datenhaltung.
Art und Zweck der Verarbeitung: Hosting, Ausführung, Speicherung und Verwaltung der Anwendungen des Verantwortlichen einschließlich der dabei anfallenden Verarbeitungsvorgänge (Erheben, Speichern, Verändern, Abrufen, Löschen).
Ergänzende Verarbeitung: Die Plattform stellt eine vom Verantwortlichen aktivierbare Funktion zur Anonymisierung oder Pseudonymisierung produktiver personenbezogener Daten bereit (§ 14 Abs. 6). Konfiguration und Nutzung dieser Funktion gelten als dokumentierte Weisung (§ 3 Abs. 2). Zweck ist die Erzeugung eines nicht bzw. nicht ohne Weiteres personenbeziehbaren Datensatzes für Entwicklungs- und Testzwecke.
Dauer der Verarbeitung: für die Laufzeit des zugrunde liegenden Vertrags (siehe § 2).
Arten personenbezogener Daten und Kategorien betroffener Personen: Diese werden vom Verantwortlichen durch die Gestaltung und Nutzung seiner Anwendungen bestimmt. Canvas Software hat hierauf keinen inhaltlichen Einfluss. Beispielhaft können dies sein: Stammdaten, Kontaktdaten, Nutzungs- und Inhaltsdaten der Endnutzer der jeweiligen Anwendung. Betroffene Personen sind beispielsweise die Endnutzer, Kunden oder sonstigen Kontakte des Verantwortlichen.
Enthält ein übergeordneter Rahmenvertrag eine detailliertere oder konkretisierte Beschreibung der Verarbeitung, so geht diese vor (vgl. § 12 Abs. 2).
Anhang AVV-2: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Vertraulichkeit
- Hosting/Datenresidenz: ausschließlich in Deutschland (EU/EWR); der eingesetzte Hosting-Dienstleister ist in Anhang AVV-3 benannt.
- Mandantentrennung: einheitlich über alle Umgebungen (Entwicklung, Staging, Produktion) durch hardwarebasierte Virtualisierungs-Isolation je Workload, getrennte Mandanten-Namespaces je Organisation sowie Admission-Control mit erzwungenen Sicherheitsrichtlinien. Produktionsumgebungen erhalten zusätzlich dediziert bereitgestellte Datenbank-, Cache- und Objektspeicherdienste.
- Verschlüsselung im Ruhezustand: Datenträgerverschlüsselung (AES-256) mit netzgebundener Schlüsselfreigabe (Network-Bound Disk Encryption).
- Zugriffskontrolle: rollenbasierte Zugriffskontrolle nach dem Prinzip der geringsten Rechte, zentrale Identitäts- und Zugriffsverwaltung (OIDC), verschlüsselte Verwaltung von Geheimnissen außerhalb des Quellcodes.
- Endgeräte und administrativer Zugriff: Privilegierter Zugriff auf Plattform und Infrastruktur erfolgt ausschließlich über dedizierte, vollständig verschlüsselte Geschäftsgeräte mit starker Authentifizierung und automatischer Bildschirmsperre. Der Zugriff auf interne Systeme (insbesondere Server) erfolgt ausschließlich über das verschlüsselte, WireGuard-basierte Netz-Overlay; eine direkte Erreichbarkeit aus dem öffentlichen Netz besteht nicht. Für die zentralen Infrastruktur- und Verwaltungssysteme ist Mehr-Faktor-Authentifizierung aktiviert. Keine gemeinsam genutzten Administrationskonten; Zugangsdaten und Geheimnisse werden nicht im Klartext, sondern verschlüsselt in einem Passwortmanager bzw. Secrets-Vault gespeichert.
Integrität
- Transportverschlüsselung: TLS für öffentlich erreichbare Dienste; der gesamte interne Datenverkehr zwischen Hosts läuft über ein verschlüsseltes, WireGuard-basiertes Netz-Overlay.
- Netzwerktrennung: identitätsbasierte Netzwerkrichtlinien mit „default-deny“ je Mandant.
- Eingabekontrolle: Administrative und privilegierte Eingriffe auf Infrastrukturebene werden protokolliert und bleiben nachvollziehbar (Audit-Protokolle; versionierte Infrastruktur- und Konfigurationsänderungen mit Zeitstempel und Autor). Die Protokollierung von Eingabe, Änderung und Löschung personenbezogener Daten auf Anwendungsebene obliegt dem Verantwortlichen (vgl. § 5 Abs. 2).
Verfügbarkeit und Belastbarkeit
- Sicherungen: Produktionsumgebungen werden automatisiert über ein zentrales Sicherungssystem gesichert, mit Auslagerung in eine Off-Site-Speicherung in Deutschland. Sicherungen werden mit mandantenspezifischen Schlüsseln verschlüsselt und mandantengetrennt mit beschränktem Zugriff aufbewahrt. Entwicklungs- und Staging-Umgebungen werden nicht automatisiert gesichert. Eine dedizierte Sicherungsinfrastruktur ist als Enterprise-Option verfügbar.
- Belastbarkeit: kontinuierlich überwachter Betrieb mit Alarmierung.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Automatisierte Sicherheits- und Qualitäts-Gates vor Übernahme von Änderungen (u. a. Secret-Scanning, Konfigurationsprüfung), Infrastrukturtests, Laufzeit-Bedrohungserkennung mit automatischer Reaktion sowie Protokollierung mit einer Aufbewahrung von 30 bzw. 90 Tagen.
Organisatorische Maßnahmen
- Dokumentierte Architekturentscheidungen (ADR), Rollen- und Rechtekonzept, Richtlinie zur Verwaltung von Geheimnissen, Verfahren zur Behandlung von Sicherheitsvorfällen und Meldung von Verletzungen (vgl. § 8) sowie Steuerung von Unterauftragsverarbeitern.
- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO): Isolation, „default-deny“ und minimale Rechtevergabe sind Grundeinstellung.
Personal
- Auf Vertraulichkeit verpflichtetes Personal (vgl. § 4); Sensibilisierung und Schulung zu Datenschutz und Informationssicherheit.
- Ausschließlich personenbezogene Zugänge (keine gemeinsam genutzten Konten).
- Unverzüglicher Entzug der Zugriffsrechte bei Ausscheiden oder Aufgabenwechsel.
- Prüfung weiterer Personen oder Subunternehmer auf gleichwertige datenschutzrechtliche Verpflichtungen vor Einbindung.
Verantwortungsteilung und Erweiterbarkeit
- Die vorstehenden Maßnahmen betreffen die Plattform und die Infrastruktur. Für die Sicherheit der vom Verantwortlichen erstellten Anwendung (u. a. anwendungsseitige Zugriffskontrolle, Pseudonymisierung, Rechtmäßigkeit) ist der Verantwortliche verantwortlich (vgl. § 5 Abs. 2). Erhöhte Maßnahmen für besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden ausschließlich über ein Modul gemäß § 12 Abs. 4 vereinbart.
Anhang AVV-3: Unterauftragsverarbeiter
- Hetzner Online GmbH — Hosting der Infrastruktur; Ort: Deutschland; Übermittlungsmechanismus: entfällt (DE/EU).
Setzt der Verantwortliche nach § 14 ein von einem externen Anbieter betriebenes AI-Modell ein, das personenbezogene Daten verarbeitet, so wird dieser Anbieter als Unterauftragsverarbeiter geführt und im Modellkatalog (Anhang AVV-5) mit Standort und Übermittlungsmechanismus ausgewiesen; § 6 gilt entsprechend. Modelle, die ausschließlich Daten nach § 14 Abs. 1 verarbeiten, sind hiervon nicht erfasst (§ 14 Abs. 5).
Für künftige DORA-regulierte Kunden ist die OVHcloud (EU) als zusätzlicher Hosting-Unterauftragsverarbeiter vorgesehen; sie wird erst nach gesonderter Information gemäß § 6 Abs. 2 aktiv.
Anhang AVV-4: Übermittlungsmechanismus
In der Voreinstellung findet keine Übermittlung personenbezogener Daten in ein Drittland statt; die Verarbeitung erfolgt in Deutschland bzw. der EU/des EWR. Standardvertragsklauseln oder ein Angemessenheitsbeschluss sind hierfür nicht erforderlich.
Wählt der Verantwortliche nach § 14 Abs. 4 ausdrücklich ein Modell außerhalb der EU/des EWR für eine Anwendung mit personenbezogenen Daten, richtet sich der erforderliche Übermittlungsmechanismus (insbesondere Standardvertragsklauseln nebst Transfer-Folgenabschätzung) nach dem für den Verantwortlichen geltenden Recht; die Auswahl und ihre Absicherung obliegen dem Verantwortlichen.
Anhang AVV-5: Verfügbare AI-Modelle und Datenresidenz
Canvas Software führt einen Katalog der auf der Plattform verfügbaren AI-Modelle. Für jedes Modell werden ausgewiesen: Anbieter, Hosting-Standort und datenschutzrechtliche Einstufung (lokal in Deutschland / EU-EWR / Drittland), Fähigkeiten sowie, bei externen Anbietern, der Übermittlungsmechanismus. Der Verantwortliche wählt aus diesem Katalog je Anwendung (§ 14). Der Katalog ist über die Plattform einsehbar; Änderungen, die externe Unterauftragsverarbeiter betreffen, werden nach § 6 Abs. 2 behandelt.
Voreingestelltes Modell: ein lokal auf der Infrastruktur von Canvas Software in Deutschland betriebenes Modell.