Canvas.
DE·EN
Request demo
Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Stand: 24.06.2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Canvas Software Platform (nachfolgend „Plattform“). Er wird Bestandteil des zwischen den Parteien geschlossenen Vertrags (siehe § 13) und gilt ohne weitere Anpassung.

§ 1 Gegenstand, Rollen und Begriffsbestimmungen

(1) Auftragsverarbeiter ist die Canvas AILabs GmbH, Knorrpromenade 8, 10245 Berlin, Amtsgericht Charlottenburg, HRB 289368 (nachfolgend „Canvas Software“). Verantwortlicher ist der Kunde gemäß dem zugrunde liegenden Vertrag bzw. der Registrierung (nachfolgend „Verantwortlicher“). Eine gesonderte Benennung der Identität des Verantwortlichen in diesem AVV ist nicht erforderlich; sie ergibt sich aus dem zugrunde liegenden Vertrag.

(2) Gegenstand dieses AVV ist ausschließlich die Verarbeitung personenbezogener Daten, die durch die vom Verantwortlichen auf der Plattform erstellten und betriebenen Anwendungen verarbeitet werden. Insoweit ist der Verantwortliche datenschutzrechtlich Verantwortlicher und Canvas Software Auftragsverarbeiterin, die auf dokumentierte Weisung tätig wird.

(3) Nicht Gegenstand dieses AVV sind (a) personenbezogene Daten, für die Canvas Software selbst Verantwortliche ist (Website- und Kontodaten; hierfür gilt die Datenschutzerklärung), sowie (b) Inhalte und Arbeitsergebnisse des Verantwortlichen (insbesondere Quellcode, Spezifikationen, Aufgabenbeschreibungen), die in aller Regel keine personenbezogenen Daten sind und vertraglich gesondert geregelt werden.

(4) Die Einzelheiten der Verarbeitung ergeben sich aus Anhang AVV-1.

(5) Dieser AVV kann gemäß Art. 28 Abs. 9 DSGVO in elektronischer Form geschlossen werden.

(6) Dieser AVV erfasst gewöhnliche personenbezogene Daten. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sowie Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) sind nicht umfasst, es sei denn, ein als Anlage zum Rahmenvertrag einbezogenes Modul bezieht sie ausdrücklich ein und sieht entsprechend erhöhte Maßnahmen vor (siehe § 12 Abs. 4).

(7) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und der von ihm bereitgestellten bzw. verarbeiteten Daten verantwortlich, insbesondere für das Vorliegen einer Rechtsgrundlage.

§ 2 Dauer

Die Laufzeit dieses AVV entspricht der Laufzeit des zugrunde liegenden Vertrags (AGB bzw. Rahmenvertrag). Pflichten, die ihrer Natur nach fortgelten (insbesondere Vertraulichkeit, Rückgabe und Löschung), bestehen über das Ende hinaus fort.

§ 3 Verarbeitung nur auf dokumentierte Weisung

(1) Canvas Software verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, eine Rechtsvorschrift verpflichtet Canvas Software zu einer anderweitigen Verarbeitung (Art. 28 Abs. 3 lit. a DSGVO).

(2) Die Konfiguration und Nutzung der Plattform durch den Verantwortlichen gilt als seine dokumentierte Weisung; ergänzende Einzelweisungen erfolgen in Textform über die im zugrunde liegenden Vertrag benannten Kontaktwege.

(3) Hält Canvas Software eine Weisung für rechtswidrig, informiert sie den Verantwortlichen unverzüglich und ist berechtigt, die Umsetzung bis zu dessen Bestätigung auszusetzen.

(4) Der Verantwortliche verpflichtet sich, in Entwicklungsumgebungen keine personenbezogenen Echtdaten zu verarbeiten. In Entwicklungsumgebungen ist der AI-Programmierassistent aktiv; eine Verarbeitung von Echtdaten könnte zu einer Übermittlung an den eingesetzten AI-Anbieter führen, was zwingend ausgeschlossen werden muss. Produktive personenbezogene Echtdaten sind ausschließlich in Produktions- oder Staging-Umgebungen zu verarbeiten.

(5) Verstößt der Verantwortliche gegen Absatz 4, liegt dies außerhalb der dokumentierten Weisung und des Verantwortungsbereichs von Canvas Software. Der Verantwortliche trägt die hieraus resultierenden Folgen, einschließlich einer etwaigen Übermittlung solcher Daten an den eingesetzten AI-Anbieter, und stellt Canvas Software insoweit im Innenverhältnis von Ansprüchen Dritter frei. Gesetzliche Pflichten und die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden bleiben unberührt.

§ 4 Vertraulichkeit

Canvas Software verpflichtet die zur Verarbeitung befugten Personen zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).

§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

(1) Canvas Software trifft die in Anhang AVV-2 beschriebenen technischen und organisatorischen Maßnahmen und hält sie während der Laufzeit auf einem dem Risiko angemessenen Niveau aufrecht. Maßnahmen dürfen weiterentwickelt werden, sofern das Schutzniveau nicht unterschritten wird.

(2) Die Verantwortung ist geteilt: Canvas Software verantwortet die Sicherheit der Plattform und der zugrunde liegenden Infrastruktur (Anhang AVV-2). Der Verantwortliche verantwortet die Sicherheit und Rechtmäßigkeit der von ihm erstellten Anwendung, insbesondere deren anwendungsseitige Zugriffskontrolle, die Wahl der Rechtsgrundlage sowie die Pseudonymisierung bzw. Minimierung der von ihm verarbeiteten Daten.

§ 6 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Die bei Vertragsschluss eingesetzten Unterauftragsverarbeiter sind in Anhang AVV-3 aufgeführt.

(2) Canvas Software informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung oder Austausch) mindestens 30 Tage im Voraus. Der Verantwortliche kann einer Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen; in diesem Fall sind die Parteien um eine einvernehmliche Lösung bemüht, andernfalls besteht ein Kündigungsrecht hinsichtlich der betroffenen Leistung.

(3) Canvas Software verpflichtet jeden Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die den Pflichten dieses AVV entsprechen (Art. 28 Abs. 2 und 4 DSGVO).

§ 7 Unterstützung des Verantwortlichen

(1) Bei Anträgen betroffener Personen (Art. 12–23 DSGVO) unterstützt Canvas Software den Verantwortlichen soweit möglich und unter Berücksichtigung der Art der Verarbeitung (Art. 28 Abs. 3 lit. e DSGVO), indem sie ihm die hierfür erforderliche Kontrolle über und den Zugang zu seiner Anwendung und den zugehörigen Daten bereitstellt (insbesondere Zugriff, Export und Löschung auf Anwendungsebene). Der Verantwortliche bleibt dafür verantwortlich, die zur Erfüllung von Betroffenenrechten erforderlichen Funktionen in seiner Anwendung vorzusehen und umzusetzen (z. B. das Auffinden, Berichtigen und Löschen der Daten einzelner betroffener Personen). Canvas Software greift nicht auf einzelne Datensätze innerhalb der Anwendungsdaten des Verantwortlichen zu und ist hierzu auch nicht in der Lage.

(2) Canvas Software unterstützt den Verantwortlichen ferner bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung und vorherige Konsultation), unter Berücksichtigung der Art der Verarbeitung und der Canvas Software zur Verfügung stehenden Informationen.

(3) Wendet sich eine betroffene Person unmittelbar an Canvas Software, verweist Canvas Software sie unverzüglich an den Verantwortlichen und leitet das Anliegen an diesen weiter.

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Canvas Software informiert den Verantwortlichen ohne schuldhaftes Zögern, spätestens jedoch binnen 48 Stunden, nachdem ihr eine Verletzung des Schutzes personenbezogener Daten im Verantwortungsbereich der Auftragsverarbeitung bekannt geworden ist. Kontaktstelle für Sicherheits- und Datenschutzvorfälle bei Canvas Software ist support@canvas.software.

(2) Die Meldung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen (Art. 33 Abs. 2, Art. 34 DSGVO).

(3) Canvas Software wirkt auf Anfrage an der Zusammenarbeit mit der Aufsichtsbehörde mit und informiert den Verantwortlichen unverzüglich über Kontrollen oder Maßnahmen der Aufsichtsbehörde, die diese Auftragsverarbeitung betreffen, soweit gesetzlich zulässig.

(4) Wird der Bestand der Daten des Verantwortlichen durch Maßnahmen Dritter (z. B. Pfändung, Beschlagnahme), durch ein Insolvenzverfahren oder durch behördliche bzw. gerichtliche Anordnungen gefährdet, informiert Canvas Software den Verantwortlichen unverzüglich, soweit gesetzlich zulässig, und weist gegenüber den Beteiligten darauf hin, dass die Datenhoheit ausschließlich beim Verantwortlichen liegt.

§ 9 Rückgabe und Löschung

(1) Nach Beendigung der Verarbeitung löscht Canvas Software die personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO). Vor der Löschung besteht ein angemessener Zeitraum zum Export. Die Löschung bzw. Rückgabe wird in geeigneter Form dokumentiert und dem Verantwortlichen auf Anfrage nachgewiesen.

(2) Die Löschung der Produktivdaten erfolgt durch Abbau der Mandantenumgebung. In gesicherten Backup-Beständen erfolgt die Löschung durch Ablauf der Aufbewahrungsfristen sowie durch kryptografische Löschung (Vernichtung des mandantenspezifischen Schlüssels), wodurch die betreffenden Sicherungen unlesbar werden.

(3) Canvas Software erstellt ohne Kenntnis des Verantwortlichen keine Kopien der Daten. Ausgenommen sind Sicherungskopien, soweit sie zur ordnungsgemäßen Verarbeitung erforderlich sind, sowie Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

§ 10 Nachweise und Überprüfungen

(1) Canvas Software stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung, vorrangig durch Dokumentation, Zertifikate, Berichte und die Beantwortung eines schriftlichen Fragebogens.

(2) Eine Überprüfung vor Ort kommt nur in Betracht, soweit die nach Absatz 1 bereitgestellten Nachweise nicht ausreichen oder ein konkreter Anlass (insbesondere ein Sicherheitsvorfall) besteht. Sie erfolgt nach angemessener Vorankündigung, während der üblichen Geschäftszeiten, ohne unverhältnismäßige Beeinträchtigung des Betriebs und auf eigene Kosten des Verantwortlichen.

§ 11 Verarbeitung in Drittländern

Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich in Deutschland bzw. innerhalb der EU/des EWR. Eine Übermittlung in ein Drittland findet nicht statt. Auch eine etwaige AI-gestützte Verarbeitung innerhalb der Plattform bezieht sich auf Quellcode, Schemata und Build-Artefakte (siehe § 14) und nicht auf produktive personenbezogene Daten des Verantwortlichen; Einzelheiten siehe Anhang AVV-4.

§ 12 Haftung, Rangfolge und Recht

(1) Es gilt die Haftungsregelung des zugrunde liegenden Vertrags; Art. 82 DSGVO bleibt unberührt.

(2) Bei Widersprüchen zwischen diesem AVV und dem zugrunde liegenden Vertrag (AGB bzw. Rahmenvertrag) gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Enthält jedoch ein Rahmenvertrag eine konkretisierende oder detailliertere Beschreibung der Verarbeitung im Sinne des Anhangs AVV-1 (insbesondere der Arten personenbezogener Daten und der Kategorien betroffener Personen), so geht diese Beschreibung vor.

(3) Es gilt deutsches Recht.

(4) Zusätzliche Module (Zusatzvereinbarungen), die als Anlage zum Rahmenvertrag einbezogen werden, ergänzen diesen AVV und seine Anhänge; sie können insbesondere den Verarbeitungsumfang (Anhang AVV-1), die technischen und organisatorischen Maßnahmen (Anhang AVV-2) und die Unterauftragsverarbeiter (Anhang AVV-3) erweitern. Bei Widersprüchen gehen die Module für den jeweils geregelten Gegenstand vor.

(5) Haftungsverteilung. Im Innenverhältnis trägt jede Partei Schäden, Ansprüche betroffener Personen und Sanktionen, soweit deren Ursache in ihrem Verantwortungsbereich liegt (Art. 82 Abs. 5 DSGVO). Der Verantwortliche trägt sie insbesondere bei fehlender Rechtsgrundlage, rechtswidriger Weisung, Gestaltung oder Betrieb seiner Anwendung oder Verstoß gegen § 3 Abs. 4; Canvas Software trägt sie, soweit die Ursache in einer Verletzung ihrer Pflichten als Auftragsverarbeiterin oder in einem Handeln außerhalb der dokumentierten Weisung liegt (Art. 82 Abs. 2 DSGVO).

(6) Freistellung. Wird eine Partei für einen Schaden oder eine Geldbuße in Anspruch genommen, deren Ursache nach Absatz 5 im Verantwortungsbereich der anderen Partei liegt, stellt diese sie im Innenverhältnis hiervon sowie von angemessenen Rechtsverteidigungskosten frei, soweit gesetzlich zulässig. Die gesamtschuldnerische Haftung gegenüber betroffenen Personen (Art. 82 Abs. 4 DSGVO) bleibt unberührt. Die Haftungsbeschränkungen des zugrunde liegenden Vertrags gelten für die eigene Haftung von Canvas Software; auf die Freistellungspflicht des Verantwortlichen aus seinem Verantwortungsbereich finden sie keine Anwendung.

§ 13 Abschluss und Geltung

Dieser AVV wird durch Annahme der Allgemeinen Geschäftsbedingungen bzw., sofern ein Rahmenvertrag geschlossen wird, als Anlage zum Rahmenvertrag Vertragsbestandteil. Einer gesonderten Unterzeichnung dieses AVV bedarf es nicht.

§ 14 AI-gestützte Verarbeitung

(1) Der in der Plattform eingesetzte AI-Programmierassistent verarbeitet Quellcode, Schemata, Konfigurationen sowie Build- und Test-Artefakte und nicht die produktiven personenbezogenen Daten des Verantwortlichen.

(2) Der Verantwortliche setzt in Entwicklungs-, Test- und Eingabekontexten keine personenbezogenen Echtdaten ein (siehe § 3 Abs. 4).

(3) Da der AI-Programmierassistent keine produktiven personenbezogenen Daten des Verantwortlichen verarbeitet (Absatz 1, § 3 Abs. 4), ist der Standort oder Anbieter des eingesetzten Modells, auch ein Anbieter außerhalb der EU/des EWR, für diesen AVV ohne Belang; eine Übermittlung personenbezogener Daten des Verantwortlichen an einen AI-Anbieter findet nicht statt.

Anhang AVV-1: Einzelheiten der Verarbeitung

Gegenstand der Verarbeitung: Betrieb der vom Verantwortlichen auf der Plattform erstellten und betriebenen Anwendungen sowie der zugehörigen Datenhaltung.

Art und Zweck der Verarbeitung: Hosting, Ausführung, Speicherung und Verwaltung der Anwendungen des Verantwortlichen einschließlich der dabei anfallenden Verarbeitungsvorgänge (Erheben, Speichern, Verändern, Abrufen, Löschen).

Dauer der Verarbeitung: für die Laufzeit des zugrunde liegenden Vertrags (siehe § 2).

Arten personenbezogener Daten und Kategorien betroffener Personen: Diese werden vom Verantwortlichen durch die Gestaltung und Nutzung seiner Anwendungen bestimmt. Canvas Software hat hierauf keinen inhaltlichen Einfluss. Beispielhaft können dies sein: Stammdaten, Kontaktdaten, Nutzungs- und Inhaltsdaten der Endnutzer der jeweiligen Anwendung. Betroffene Personen sind beispielsweise die Endnutzer, Kunden oder sonstigen Kontakte des Verantwortlichen.

Enthält ein übergeordneter Rahmenvertrag eine detailliertere oder konkretisierte Beschreibung der Verarbeitung, so geht diese vor (vgl. § 12 Abs. 2).

Anhang AVV-2: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Vertraulichkeit

  • Hosting/Datenresidenz: ausschließlich in Deutschland (EU/EWR); der eingesetzte Hosting-Dienstleister ist in Anhang AVV-3 benannt.
  • Mandantentrennung: einheitlich über alle Umgebungen (Entwicklung, Staging, Produktion) durch hardwarebasierte Virtualisierungs-Isolation je Workload, getrennte Mandanten-Namespaces je Organisation sowie Admission-Control mit erzwungenen Sicherheitsrichtlinien. Produktionsumgebungen erhalten zusätzlich dediziert bereitgestellte Datenbank-, Cache- und Objektspeicherdienste.
  • Verschlüsselung im Ruhezustand: Datenträgerverschlüsselung (AES-256) mit netzgebundener Schlüsselfreigabe (Network-Bound Disk Encryption).
  • Zugriffskontrolle: rollenbasierte Zugriffskontrolle nach dem Prinzip der geringsten Rechte, zentrale Identitäts- und Zugriffsverwaltung (OIDC), verschlüsselte Verwaltung von Geheimnissen außerhalb des Quellcodes.
  • Endgeräte und administrativer Zugriff: Privilegierter Zugriff auf Plattform und Infrastruktur erfolgt ausschließlich über dedizierte, vollständig verschlüsselte Geschäftsgeräte mit starker Authentifizierung und automatischer Bildschirmsperre. Der Zugriff auf interne Systeme (insbesondere Server) erfolgt ausschließlich über das verschlüsselte, WireGuard-basierte Netz-Overlay; eine direkte Erreichbarkeit aus dem öffentlichen Netz besteht nicht. Für die zentralen Infrastruktur- und Verwaltungssysteme ist Mehr-Faktor-Authentifizierung aktiviert. Keine gemeinsam genutzten Administrationskonten; Zugangsdaten und Geheimnisse werden nicht im Klartext, sondern verschlüsselt in einem Passwortmanager bzw. Secrets-Vault gespeichert.

Integrität

  • Transportverschlüsselung: TLS für öffentlich erreichbare Dienste; der gesamte interne Datenverkehr zwischen Hosts läuft über ein verschlüsseltes, WireGuard-basiertes Netz-Overlay.
  • Netzwerktrennung: identitätsbasierte Netzwerkrichtlinien mit „default-deny“ je Mandant.
  • Eingabekontrolle: Administrative und privilegierte Eingriffe auf Infrastrukturebene werden protokolliert und bleiben nachvollziehbar (Audit-Protokolle; versionierte Infrastruktur- und Konfigurationsänderungen mit Zeitstempel und Autor). Die Protokollierung von Eingabe, Änderung und Löschung personenbezogener Daten auf Anwendungsebene obliegt dem Verantwortlichen (vgl. § 5 Abs. 2).

Verfügbarkeit und Belastbarkeit

  • Sicherungen: Produktionsumgebungen werden automatisiert über ein zentrales Sicherungssystem gesichert, mit Auslagerung in eine Off-Site-Speicherung in Deutschland. Sicherungen werden mit mandantenspezifischen Schlüsseln verschlüsselt und mandantengetrennt mit beschränktem Zugriff aufbewahrt. Entwicklungs- und Staging-Umgebungen werden nicht automatisiert gesichert. Eine dedizierte Sicherungsinfrastruktur ist als Enterprise-Option verfügbar.
  • Belastbarkeit: kontinuierlich überwachter Betrieb mit Alarmierung.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Automatisierte Sicherheits- und Qualitäts-Gates vor Übernahme von Änderungen (u. a. Secret-Scanning, Konfigurationsprüfung), Infrastrukturtests, Laufzeit-Bedrohungserkennung mit automatischer Reaktion sowie Protokollierung mit einer Aufbewahrung von 30 bzw. 90 Tagen.

Organisatorische Maßnahmen

  • Dokumentierte Architekturentscheidungen (ADR), Rollen- und Rechtekonzept, Richtlinie zur Verwaltung von Geheimnissen, Verfahren zur Behandlung von Sicherheitsvorfällen und Meldung von Verletzungen (vgl. § 8) sowie Steuerung von Unterauftragsverarbeitern.
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO): Isolation, „default-deny“ und minimale Rechtevergabe sind Grundeinstellung.

Personal

  • Auf Vertraulichkeit verpflichtetes Personal (vgl. § 4); Sensibilisierung und Schulung zu Datenschutz und Informationssicherheit.
  • Ausschließlich personenbezogene Zugänge (keine gemeinsam genutzten Konten).
  • Unverzüglicher Entzug der Zugriffsrechte bei Ausscheiden oder Aufgabenwechsel.
  • Prüfung weiterer Personen oder Subunternehmer auf gleichwertige datenschutzrechtliche Verpflichtungen vor Einbindung.

Verantwortungsteilung und Erweiterbarkeit

  • Die vorstehenden Maßnahmen betreffen die Plattform und die Infrastruktur. Für die Sicherheit der vom Verantwortlichen erstellten Anwendung (u. a. anwendungsseitige Zugriffskontrolle, Pseudonymisierung, Rechtmäßigkeit) ist der Verantwortliche verantwortlich (vgl. § 5 Abs. 2). Erhöhte Maßnahmen für besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden ausschließlich über ein Modul gemäß § 12 Abs. 4 vereinbart.

Anhang AVV-3: Unterauftragsverarbeiter

  • Hetzner Online GmbH — Hosting der Infrastruktur; Ort: Deutschland; Übermittlungsmechanismus: entfällt (DE/EU).

Für künftige DORA-regulierte Kunden ist die OVHcloud (EU) als zusätzlicher Hosting-Unterauftragsverarbeiter vorgesehen; sie wird erst nach gesonderter Information gemäß § 6 Abs. 2 aktiv.

Anhang AVV-4: Übermittlungsmechanismus

Eine Übermittlung personenbezogener Daten in ein Drittland findet nicht statt; die Verarbeitung erfolgt ausschließlich in Deutschland bzw. der EU/des EWR. Standardvertragsklauseln oder ein Angemessenheitsbeschluss sind daher für dieses Auftragsverhältnis nicht erforderlich.

© 2026 Canvas AILabs GmbH
Imprint · Privacy