auftragsverarbeitungsvertrag-pruefen
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/auftragsverarbeitungsvertrag-pruefenPrüft Auftragsverträge nach DSGVO für KI-Dienstleister
- Verhindert DSGVO-Verstöße durch fehlende AVV bei Datenverarbeitung.
- Benötigt keine externen APIs oder spezialisierten Dienste.
- Wertet PDFs und Textdokumente auf Pflichtinhalte nach Art. 28.
- Generiert eine strukturierte Checkliste mit Lückenanalyse.
SKILL.md
.github/skills/auftragsverarbeitungsvertrag-pruefenView on GitHub ↗
--- name: auftragsverarbeitungsvertrag-pruefen description: "Checkliste zur Prüfung von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO bei KI-Chatbot-Anbietern: Subprozessoren, technisch-organisatorische Maßnahmen, Drittlandtransfer, Auditrechte sowie Löschpflichten." --- # Auftragsverarbeitungsvertrag prüfen Jeder KI-Dienstleister, der im Auftrag der Kanzlei personenbezogene Daten verarbeitet, muss als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden werden. Der Auftragsverarbeitungsvertrag (AVV) ist eine datenschutzrechtliche Pflichtgrundlage — sein Fehlen begründet einen DSGVO-Verstoß. Dieser Skill stellt eine strukturierte Prüfcheckliste bereit. ## Rechtlicher Hintergrund Art. 28 Abs. 1 DSGVO: Beauftragung nur von Auftragsverarbeitern mit hinreichenden Garantien für technisch-organisatorische Maßnahmen. Art. 28 Abs. 3 DSGVO: Pflichtinhalt des AVV (Gegenstand, Dauer, Art, Zweck, Weisungsgebundenheit, Vertraulichkeit, TOMs, Unterauftragsverarbeiter, Betroffenenrechte, Löschung/Rückgabe, Audits). Art. 28 Abs. 4 DSGVO: Unterauftragsverarbeiter müssen denselben Pflichten unterliegen. Art. 46 DSGVO: Anforderungen für Drittlandtransfers (SCC, Angemessenheitsbeschluss). Art. 83 Abs. 4 DSGVO: Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes bei AVV-Verstößen. Art. 82 DSGVO: Schadensersatzhaftung. ## Vorgehen 1. **AVV-Existenz prüfen**: Besteht überhaupt ein schriftlicher (oder elektronischer) AVV mit dem KI-Anbieter? 2. **Pflichtinhalte nach Art. 28 Abs. 3 DSGVO verifizieren**: Sind alle gesetzlich vorgeschriebenen Regelungspunkte enthalten? 3. **Subprozessoren-Liste einholen**: Welche Unterauftragnehmer setzt der KI-Anbieter ein? Sind diese ebenfalls durch AVV gebunden? Wird eine aktuelle Liste bereitgestellt? 4. **TOMs prüfen**: Sind die technisch-organisatorischen Maßnahmen konkret beschrieben und dem Stand der Technik entsprechend? 5. **Drittlandtransfer-Regelung verifizieren**: Verarbeitet der Anbieter Daten außerhalb des EWR? Falls ja: Welche Rechtsgrundlage für den Drittlandtransfer (Angemessenheitsbeschluss, SCC, TIA)? 6. **Audit- und Kontrollrechte sicherstellen**: Räumt der AVV der Kanzlei das Recht ein, die Einhaltung der DSGVO durch den Anbieter zu überprüfen oder überprüfen zu lassen? 7. **Löschfristen definieren**: Verpflichtet der AVV den Anbieter zur Löschung oder Rückgabe aller Daten nach Vertragsende? ## Vorlagentext / Bausteine **AVV-Prüfcheckliste:** ☐ Schriftliche AVV-Vereinbarung liegt vor (Art. 28 Abs. 9 DSGVO: auch elektronische Form genügt) ☐ Gegenstand, Dauer, Art und Zweck der Verarbeitung sind definiert ☐ Kategorien personenbezogener Daten und betroffener Personen sind spezifiziert ☐ Weisungsgebundenheit des Auftragsverarbeiters ist vereinbart ☐ Vertraulichkeitspflicht für alle zugriffsberechtigten Personen ist geregelt ☐ Konkrete TOMs sind beschrieben oder als Anlage beigefügt ☐ Liste der genehmigten Unterauftragsverarbeiter liegt vor und wird aktuell gehalten ☐ Kanzlei-Genehmigung bei Änderungen der Unterauftragsverarbeiter ist vereinbart ☐ Unterstützungspflicht bei Betroffenenanfragen und Datenschutzbehörden ist geregelt ☐ Meldepflicht bei Datenschutzverletzungen nach Art. 33 DSGVO ist vereinbart ☐ Datenschutz-Folgenabschätzung-Unterstützung nach Art. 35 DSGVO ist zugesagt ☐ Löschung oder Rückgabe aller Daten nach Vertragsende ist geregelt ☐ Audit- und Kontrollrechte der Kanzlei sind vereinbart ☐ Drittlandtransfer-Rechtsgrundlage ist dokumentiert (falls anwendbar) ☐ § 43e-BRAO-Vereinbarung ist zusätzlich abgeschlossen (berufsrechtliche Anforderung) ## Hinweise zur Aktualisierung Die Anforderungen an AVV können sich durch Entscheidungen der Datenschutzbehörden oder neue EuGH-Rechtsprechung ändern. Ebenso müssen AVV bei wesentlichen Änderungen der Datenverarbeitungstätigkeit aktualisiert werden. Bei Änderungen der Unterauftragsverarbeiter des KI-Anbieters ist zu prüfen, ob eine erneute Risikobeurteilung erforderlich ist. ## Aktuelle Rechtsprechung (v14.2) - EuGH, Urt. v. 16.07.2020 — C-311/18 (Schrems II), NJW 2020, 2557 Rn. 87: AVV i.V.m. SCC genuegt nicht bei unzureichendem Drittland-Schutzniveau; Transferfolgenabschaetzung erforderlich. - EuGH, Urt. v. 04.05.2023 — C-300/21 (Oesterreichische Post), NJW 2023, 1985 Rn. 38: Art. 82 DSGVO — Auftragsverarbeiter haftet solidarisch mit Verantwortlichem fuer DSGVO-Schaden. - BGH, Urt. v. 06.07.2021 — VI ZR 40/20, NJW 2021, 2726 Rn. 12: DSGVO-Schadensersatz bei Fehlen eines wirksamen AVV; immaterieller Schadensersatz ohne Nachweis konkreten Schadens moeglich. - OLG Muenchen, Urt. v. 09.11.2021 — 33 U 2023/21, NJW-RR 2022, 85 Rn. 18: Fehlender AVV bei Cloud-Anbieter fuehrt zu Datenschutzverstos§ nach Art. 28 DSGVO — Bussgeldrisiko. ## Zentrale Normen (Paragrafenkette) - Art. 28 DSGVO — Auftragsverarbeitung (Pflichtinhalt AVV) - Art. 46 DSGVO — Drittlandtransfer-Garantien (SCC, Angemessenheitsbeschluss) - Art. 82 DSGVO — Schadensersatz - Art. 83 Abs. 4 DSGVO — Bussgelder bis 10 Mio. EUR - § 43e BRAO — Berufsrechtliche IT-Dienstleister-Anforderungen ## Triage zu Beginn 1. Besteht ein schriftlicher AVV nach Art. 28 DSGVO mit dem KI-Anbieter? 2. Sind alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO enthalten? 3. Verarbeitet der Anbieter Daten ausserhalb des EWR — ist eine TIA durchgefuehrt? 4. Sind Unterauftragsverarbeiter benannt und durch eigenen AVV gebunden? 5. Sind Auditrechte der Kanzlei nach Art. 28 Abs. 3 lit. h DSGVO vereinbart? ## Output-Template — AVV-Pruefungsprotokoll **Adressat:** Kanzlei intern / DSB — Tonfall: checklisten-strukturiert ``` AVV-PRUEFUNGSPROTOKOLL [DATUM] — Anbieter: [ANBIETERNAME] — Anwendungsfall: [BESCHREIBUNG] Ergebnis: [WIRKSAMER AVV / LUECKEN / KEIN AVV — EINSATZ UNZULAESSIG] Pflichtinhalte Art. 28 Abs. 3 DSGVO: ☑/☐ Gegenstand und Dauer der Verarbeitung ☑/☐ Weisungsgebundenheit ☑/☐ Vertraulichkeitspflicht ☑/☐ TOMs (konkret oder als Anlage) ☑/☐ Unterauftragsverarbeiter-Liste ☑/☐ Unterstuetzung Betroffenenrechte ☑/☐ Meldepflicht Datenpanne Art. 33 DSGVO ☑/☐ Loeschung / Rueckgabe nach Vertragsende ☑/☐ Auditrecht Art. 28 Abs. 3 lit. h DSGVO ☑/☐ Drittlandtransfer-Rechtsgrundlage (Art. 46 DSGVO) § 43e BRAO Berufsrechts-AVV: ☑/☐ vorhanden Naechste Pruefung: [DATUM] Geprueft von: [NAME] ```
More from Klotzkette/claude-fuer-deutsches-recht
- abgrenzung-konventionelle-software-vs-ki-systemPrueft typische Falschverortungen: wann liegt konventionelle Software vor und wann ein KI-System nach Art. 3 Nr. 1 KI-VO. Abgrenzung zu Expertensystemen deterministischer Logik einfachen Entscheidungsbaeumen und klassischer Automation. Hilft bei Grenzfaellen.
- abmahnung-arbeitsrechtEntwirft und bewertet arbeitsrechtliche Abmahnungen. Lädt, wenn eine Abmahnung erstellt, inhaltlich geprüft oder deren Wirksamkeitsvoraussetzungen (Warnfunktion, Bestimmtheit, Dokumentation) beurteilt werden sollen – sowohl aus Arbeitgeber- als auch aus Arbeitnehmerperspektive.
- abmahnung-markenrecht-uwgMarkenrechtliche Abmahnung mit strafbewehrter Unterlassungserklaerung, Hamburger Brauch Vertragsstrafe, § 14 MarkenG und § 8 UWG, Kosten nach § 14 UWG-n.F. 2021. Laedt, wenn der Nutzer 'Abmahnung Marke', 'Unterlassungserklaerung', 'Vertragsstrafe Marke', 'Hamburger Brauch' oder 'Abmahnung UWG' sagt.
- abmahnung-urheberrechtPrüfung und Erstellung urheberrechtlicher Abmahnungen nach § 97a UrhG; modifizierte Unterlassungserklärung; Deckelung der Abmahnkosten im privaten Bereich (§ 97a Abs. 3 UrhG); Filesharing-Praxis; Lizenzanalogie-Schadensersatz (§ 97 Abs. 2 UrhG). Lädt bei urheberrechtlichen Abmahnungen, Unterlassungs- erklärungen, Filesharing-Fällen oder Schadensersatzforderungen nach UrhG.
- abmahnung-uwgUnterstützt beim Verfassen und Prüfen von UWG-Abmahnungen nach § 13 UWG sowie der dazugehörigen modifizierten Unterlassungserklärung mit Vertragsstrafe und der Schutzschrift. Lädt, wenn ein Mandat eine wettbewerbsrechtliche Abmahnung, eine strafbewehrte Unterlassungserklärung oder eine Schutzschrift zum Gegenstand hat.
- abwaegungsgebot-1-abs-7-baugbPruefung des Abwaegungsgebots Paragraf 1 Abs. 7 BauGB als zentrale materielle Anforderung an den Bebauungsplan. Bei der Aufstellung sind die oeffentlichen und privaten Belange gerecht gegeneinander und untereinander abzuwaegen. Vier Stufen der Abwaegungsfehler nach BVerwG seit Urteil vom 12.12.1969 4 C 105.66. Abwaegungsausfall keine Abwaegung. Abwaegungsdefizit relevante Belange nicht eingestellt. Abwaegungsfehleinschaetzung Belange falsch gewichtet. Abwaegungsdisproportionalitaet Ergebnis sprengt Spielraum. Paragraf 214 Abs. 3 BauGB filtert nur Vorgangsfehler nicht Ergebnisfehler. Vorfestlegung als Abwaegungsausfall. Formelhafte Abwaegungsdokumentation als Abwaegungsdefizit. Abwaegungsmaterial muss vollstaendig ermittelt sein.
- account-sperre-soziales-netzwerk-rechtsbehelfe-art-20-23-dsaSkill zur anwaltlichen Vertretung bei Account-Sperre oder Inhaltsentfernung durch ein soziales Netzwerk. Stufenmodell: Art. 17 Begründungspflicht; Art. 20 internes Beschwerdesystem; Art. 21 außergerichtliche Streitbeilegung; Klageweg bei Vertragsstörung (BGH III ZR 179/20 und III ZR 192/20 vom 29.07.2021) auch gegen Auslandsanbieter; vorläufiger Rechtsschutz nach §§ 935 940 ZPO; Schadensersatz; Schnittstellen zu DSGVO Auskunft Löschung.
- aenderungs-historieVerfolgt, wie sich ein Vertrag über Basisvertrag und alle Nachträge hinweg verändert hat – entweder als Gesamtüberblick aller Änderungen oder als Klausel-Rückverfolgung für eine bestimmte Bestimmung. Laden, wenn der Nutzer fragt „was hat sich in diesem Vertrag geändert\", „zeig mir die Nachtragshistorie\", „wo steht die aktuelle [Klausel]\" oder mehrere Vertragsversionen hochlädt.
- ag-vorbereitungVorbereitung auf das Aufrufen in der Arbeitsgemeinschaft (AG) oder im Seminar. Lade diesen Skill bei Anfragen wie „AG-Vorbereitung\", „Seminar vorbereiten\", „was fragt der Dozent\", „Cold Call\" oder „ich werde morgen drangenommen\".
- agb-haendlervertrag-luxusAGB im Selektivvertrieb: AGB-Kontrolle §§ 305 ff. BGB im B2B, BGH-Klauselverbote, Verbots- und Konditionsklauseln, MFN-Klauseln nach Coty II, Vertragsstrafe-Bemessung. Laedt, wenn der Nutzer 'AGB Händler', 'Händlervertrag Luxus', 'MFN-Klausel', 'AGB-Kontrolle B2B' oder 'Vertriebsvertrag AGB' sagt.