Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO und über die Einbeziehung von Berufsgeheimnisträger-Dienstleistern gemäß § 43e BRAO

Stand: v1.1 · 2026-05-29 · Final nach RA-Review Frederik Schnell (Volljurist, Geschäftsführer Hub GmbH)

Änderungen v1.0 → v1.1:

• Stammdaten der Hub GmbH in den Vertragsparteien eingesetzt (Anschrift, Geschäftsführer, HRB, USt-IdNr.).
• § 8 Abs. 3 um Textform-Begründungspflicht des Widerspruchs erweitert.
• § 14 Abs. 3 um Klarstellung der AV-Außenhaftungs-Beschränkung nach Art. 82 Abs. 2 Satz 2 DSGVO erweitert; neuer § 14 Abs. 4 mit Freistellungs-Klausel zugunsten des Hubs für Kanzlei-Pflicht-Verstöße.
• Anlage 4.C um Reproduzierbarkeits-Halbsatz ergänzt.
• Begründung zu den 8 RA-Review-Fragen abgeschlossen — Details siehe 06_AVV_Begruendungsmemo_v1.1.md.

Präambel

Dieser Vertrag (im Folgenden: „AV-Vertrag") ergänzt den zwischen den Parteien geschlossenen Hauptvertrag über die Nutzung der WissMit-Hub-Plattform (im Folgenden: „Plattform" oder „Hauptvertrag") um die nach Art. 28 Datenschutz-Grundverordnung (DSGVO) erforderlichen Regelungen sowie um die Pflichten nach § 43e Bundesrechtsanwaltsordnung (BRAO) für die Einbeziehung von Personen, die zu Berufsgeheimnisträgern in einem Mitwirkungsverhältnis stehen.

Im Verhältnis zu personenbezogenen Daten von Mandantinnen und Mandanten der Kanzlei, die im Rahmen der Auftragsbearbeitung über die Plattform verarbeitet werden, handelt die Kanzlei als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO; die WissMit Hub GmbH handelt insoweit als Auftragsverarbeiterin im Sinne von Art. 4 Nr. 8 DSGVO. Im Verhältnis zu personenbezogenen Daten der Kanzlei selbst (Account-, Stamm- und Vertragsdaten) ist die WissMit Hub GmbH eigenständige Verantwortliche; diese Verarbeitungen sind nicht Gegenstand dieses AV-Vertrags.

Vertragsparteien

Verantwortliche (im Folgenden: „Kanzlei"): die im Rahmen der Plattform-Registrierung benannte Rechtsanwaltskanzlei, vertreten durch die im Account hinterlegten zeichnungsberechtigten Personen.

Auftragsverarbeiterin (im Folgenden: „Hub"): WissMit Hub GmbH, Breite Straße 27, 40213 Düsseldorf, vertreten durch den Geschäftsführer Frederik Schnell, eingetragen im Handelsregister des Amtsgerichts Düsseldorf unter HRB 108855, USt-IdNr. DE456244614.

Beide gemeinsam: „Parteien".

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses AV-Vertrags ist die Verarbeitung personenbezogener Daten, die die Kanzlei im Rahmen der Nutzung der Plattform an den Hub übermittelt oder durch den Hub im Auftrag der Kanzlei verarbeiten lässt, soweit es sich um personenbezogene Daten von Mandantinnen oder Mandanten der Kanzlei oder Dritter handelt, die in Auftragsanweisungen oder beigefügten Unterlagen enthalten sind.

(2) Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Plattform-Leistungen, insbesondere der Vermittlung von Bearbeitungsaufträgen an wissenschaftliche Mitarbeitende des Hubs (im Folgenden: „WissMits") und der Abwicklung der zugehörigen Kommunikation.

(3) Dieser AV-Vertrag gilt für die Dauer des Hauptvertrags. Er endet automatisch mit dem Ende des Hauptvertrags, ohne dass es einer gesonderten Kündigung bedarf. Die Pflichten nach § 12 dieses AV-Vertrags (Löschung und Rückgabe) sowie nach § 6 (Vertraulichkeit) bleiben über die Vertragsdauer hinaus bestehen.

§ 2 Art und Zweck der Verarbeitung; Art der Daten; Kategorien betroffener Personen

(1) Art und Zweck: Erhebung, Speicherung, Strukturierung, Abruf, Übermittlung an die zur Bearbeitung des jeweiligen Auftrags zugewiesene WissMit-Person, Anpassung, Veränderung und Löschung. Zweck ist ausschließlich die Erbringung der Plattform-Leistungen nach dem Hauptvertrag; insbesondere die Vermittlung wissenschaftlicher Recherche-, Gutachten- und Schriftsatzvorbereitungs-Leistungen.

(2) Art der personenbezogenen Daten kann insbesondere umfassen:

• Mandanten-Stammdaten (Name, Anschrift, Kontaktdaten, Geburtsdatum), soweit von der Kanzlei in Anweisungs-Freitexte oder Anhänge eingebracht;
• Verfahrens- und Aktenangaben (Aktenzeichen, Gerichts- und Behördenbezüge);
• Inhaltliche Sachverhaltsangaben einschließlich sensibler Informationen nach Art. 9 DSGVO, soweit die Kanzlei diese im Rahmen des Mandats für die Auftragsbearbeitung übermittelt (z. B. Gesundheitsdaten in sozialrechtlichen Verfahren, Daten zu Religionszugehörigkeit in Diskriminierungs-Fällen);
• Personenbezogene Daten Dritter (z. B. Zeugen, Gegenparteien, Bevollmächtigte), soweit für den Auftrag relevant.

(3) Kategorien betroffener Personen: Mandantinnen und Mandanten der Kanzlei sowie deren Verfahrensbeteiligte, sonstige im Mandatsverhältnis betroffene natürliche Personen.

(4) Die Kanzlei wird darauf hingewirkt, im Sinne der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO Mandantendaten nur insoweit zu übermitteln, als sie zur Auftragserfüllung erforderlich sind. Der Hub stellt im Wizard-Intake einen entsprechenden Hinweistext bereit. Die Verantwortung für die Auswahl und den Umfang der übermittelten Daten verbleibt bei der Kanzlei.

§ 3 Weisungsrecht der Kanzlei

(1) Der Hub verarbeitet die in § 2 bezeichneten Daten ausschließlich auf dokumentierte Weisung der Kanzlei. Die in der Bestellung des einzelnen Auftrags über die Plattform übermittelten Bearbeitungs-Anweisungen sowie die in diesem AV-Vertrag enthaltenen Regelungen gelten als dokumentierte Weisungen im Sinne des Art. 28 Abs. 3 lit. a DSGVO.

(2) Mündliche oder per E-Mail erteilte Weisungen wird der Hub auf Verlangen schriftlich oder in dokumentierter elektronischer Form bestätigen.

(3) Der Hub teilt der Kanzlei unverzüglich mit, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Der Hub ist berechtigt, die Ausführung einer solchen Weisung auszusetzen, bis die Kanzlei sie bestätigt oder ändert.

(4) Eine Verarbeitung der Daten zu eigenen Zwecken des Hubs (insbesondere zu Trainings- oder Marketingzwecken) findet nicht statt. Aggregierte, anonymisierte Plattform-Statistiken, die keinen Personenbezug mehr erkennen lassen, sind hiervon ausgenommen.

§ 4 Pflichten des Hubs

Der Hub wird insbesondere:

a) die Verarbeitung der Daten nach Maßgabe von § 3 ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung der Kanzlei vornehmen;

b) die Datensicherheit gemäß Art. 32 DSGVO durch die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) gewährleisten und diese während der Vertragslaufzeit auf einem dem Stand der Technik und den jeweiligen Risiken angemessenen Niveau halten;

c) eine ausreichende Anzahl fachkundiger Beschäftigter zur Erbringung der vertragsgegenständlichen Leistungen einsetzen und diese zur Vertraulichkeit nach § 6 verpflichten;

d) der Kanzlei einen Datenschutzbeauftragten benennen, sofern und sobald gesetzlich verpflichtet (derzeit nicht der Fall nach § 38 BDSG); jedenfalls eine zuständige Ansprechperson für Datenschutzfragen vorhalten. Aktueller Ansprechpartner: datenschutz@wissmit-hub.de;

e) die Kanzlei bei der Erfüllung von Anträgen betroffener Personen sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten unterstützen (siehe §§ 9 ff.);

f) der Kanzlei alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus diesem AV-Vertrag zur Verfügung stellen, insbesondere Überprüfungen — einschließlich Inspektionen — durch die Kanzlei oder einen von dieser beauftragten Prüfer ermöglichen (siehe § 13).

§ 5 Rechte und Pflichten der Kanzlei

(1) Die Kanzlei ist im Verhältnis zu den Mandantendaten Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO und trägt insoweit die datenschutzrechtliche Verantwortung, insbesondere für die Rechtmäßigkeit der Übermittlung an den Hub.

(2) Die Kanzlei stellt sicher, dass sie ihre Mandantinnen und Mandanten in der gebotenen Weise nach Art. 13/14 DSGVO über die Einschaltung des Hubs als Auftragsverarbeiter informiert hat.

(3) Die Kanzlei prüft vor Erteilung eines Auftrags, ob die geplante Übermittlung von Daten an den Hub mit ihrer Verschwiegenheitspflicht nach § 43a BRAO, § 2 BORA und § 203 StGB vereinbar ist und die Voraussetzungen des § 43e BRAO erfüllt sind. Der Hub stellt durch die Regelungen dieses AV-Vertrags und die in Anlage 4 beschriebenen Onboarding-Prozesse seinerseits die Erfüllung der Anforderungen sicher, die § 43e BRAO an Dienstleister (sowohl den Hub selbst als auch die WissMits als weitere mitwirkende Personen) richtet.

§ 6 Vertraulichkeit; Verschwiegenheit nach § 43e BRAO

(1) Der Hub verpflichtet alle bei der Verarbeitung eingesetzten Personen vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit und Verschwiegenheit, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verschwiegenheitsverpflichtung wirkt über die Beendigung der Tätigkeit bzw. dieses Vertrags hinaus.

(2) Der Hub wahrt zudem die anwaltliche Verschwiegenheit nach § 43a BRAO, soweit er an der Berufsausübung der Kanzlei mitwirkt. Der Hub ist sich bewusst, dass er bei der Auftragsbearbeitung Kenntnis von Tatsachen erlangen kann, deren Geheimhaltung im Interesse der Mandantinnen und Mandanten der Kanzlei liegt.

(3) Strafbelehrung nach § 203 Abs. 4 StGB: Der Hub und jede von ihm eingesetzte Person, die im Rahmen dieses Vertrags Kenntnis von Mandantengeheimnissen der Kanzlei erlangt, wird ausdrücklich auf die Strafbarkeit der unbefugten Offenbarung fremder Geheimnisse hingewiesen. § 203 Abs. 4 Satz 1 StGB stellt die unbefugte Offenbarung durch mitwirkende Personen unter Strafe (Freiheitsstrafe bis zu einem Jahr oder Geldstrafe).

(4) Weiterverpflichtung der WissMits: Der Hub verpflichtet jeden WissMit, der im Rahmen eines Auftrags Zugriff auf Mandantendaten erhalten könnte, vor Aufnahme der Tätigkeit für den Hub in Textform zur Verschwiegenheit und belehrt ihn ausdrücklich über die Strafbarkeit nach § 203 Abs. 4 StGB. Die Weiterverpflichtung und Belehrung erfolgen im Rahmen des Application-Gate-Onboardings der WissMits und sind in Anlage 4 dieses Vertrags näher beschrieben. Der Hub hält die unterzeichneten Verschwiegenheitsverpflichtungen archiviert und legt sie der Kanzlei auf Verlangen zur Einsicht vor.

(5) Die in Absatz 4 geregelte Weiterverpflichtung ist nach § 43e Abs. 3 Satz 3 BRAO eine Pflicht des Hubs und nicht der Kanzlei. Die Kanzlei muss keine eigenen Verschwiegenheitsverpflichtungen mit einzelnen WissMits abschließen.

§ 7 Technische und organisatorische Maßnahmen

(1) Der Hub trifft die in Anlage 1 näher beschriebenen technischen und organisatorischen Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungs-Systeme im Sinne des Art. 32 DSGVO.

(2) Die TOMs werden mindestens jährlich überprüft und an den Stand der Technik sowie an veränderte Verarbeitungs-Risiken angepasst. Wesentliche Änderungen werden der Kanzlei in Textform mitgeteilt; eine Verschlechterung des Schutzniveaus gegenüber dem in Anlage 1 dokumentierten Stand ist ausgeschlossen.

(3) Die TOMs der eingesetzten Subprozessoren (vgl. § 8) werden vom Hub durch geeignete Maßnahmen — insbesondere durch Bezugnahme auf deren Zertifizierungen (z. B. ISO 27001, SOC 2 Type II) — überprüft und in Anlage 1 dokumentiert.

§ 8 Inanspruchnahme weiterer Auftragsverarbeiter (Sub-Auftragsverarbeitung)

(1) Die Kanzlei erteilt dem Hub die allgemeine Genehmigung im Sinne des Art. 28 Abs. 2 Satz 2 DSGVO, weitere Auftragsverarbeiter zur Erbringung der vertragsgegenständlichen Leistungen heranzuziehen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten weiteren Auftragsverarbeiter ergeben sich aus Anlage 2 dieses Vertrags und sind zusätzlich öffentlich abrufbar unter app.wissmit-hub.de/datenschutz/subprozessoren.

(2) Pauschalgenehmigung WissMits: Die Genehmigung nach Absatz 1 umfasst ausdrücklich die jeweils vom Hub zur Bearbeitung eines konkreten Auftrags zugewiesene WissMit-Person aus dem kuratierten WissMit-Hub-Netzwerk. Die WissMits werden durch ein zweistufiges Application-Gate ausgewählt (siehe Anlage 4) und vor ihrer Einbeziehung in den Pool durch den Hub vertraglich zur Verschwiegenheit verpflichtet und nach § 203 Abs. 4 StGB belehrt. Die Identität der jeweils zugewiesenen Person teilt der Hub der Kanzlei spätestens mit der Auftrags-Zuweisung mit (E-Mail-Benachrichtigung und Plattform-Anzeige).

(3) Widerspruchsrecht gegen konkrete Zuweisung: Die Kanzlei kann der Zuweisung eines bestimmten WissMit zu einem konkreten Auftrag aus berechtigtem datenschutz- oder vertraulichkeitsbezogenem Grund (insbesondere Interessenkonflikt, frühere geschäftliche oder mandatsbezogene Verbindung, sonstige konkrete Vertraulichkeits-Bedenken) widersprechen. Der Widerspruch ist über die Plattform-Funktion zu erklären und in Textform unter Angabe des konkreten Grundes zu begründen. Bei begründetem Widerspruch weist der Hub den Auftrag einem anderen WissMit zu oder gibt — sofern keine geeignete Alternative zur Verfügung steht — den Auftrag an die Kanzlei zurück.

(4) Änderungsanzeige bei Subprozessoren: Beabsichtigt der Hub eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung der in Anlage 2 genannten Subprozessoren, teilt er dies der Kanzlei mindestens 30 Kalendertage vor der beabsichtigten Änderung in Textform mit. Die Mitteilung erfolgt per E-Mail an die im Account hinterlegte Hauptkontakt-Adresse der Kanzlei sowie durch Aktualisierung der öffentlichen Subprozessoren-Liste.

(5) Widerspruchsrecht bei Änderungen: Die Kanzlei kann der Änderung binnen der 30 Kalendertage aus berechtigtem datenschutzbezogenem Grund widersprechen. Im Fall eines berechtigten Widerspruchs sind die Parteien zur einvernehmlichen Lösung verpflichtet. Kommt eine solche nicht zustande, ist die Kanzlei berechtigt, den Hauptvertrag mit einer Frist von 30 Kalendertagen außerordentlich zu kündigen; § 12 dieses AV-Vertrags gilt entsprechend.

(6) Der Hub stellt durch vertragliche Regelungen mit den Subprozessoren sicher, dass diesen mindestens die gleichen Datenschutz-Pflichten auferlegt werden, die in diesem AV-Vertrag festgelegt sind („back-to-back").

§ 9 Unterstützung bei Betroffenenrechten

(1) Der Hub unterstützt die Kanzlei mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung ihrer Pflichten aus Kapitel III der DSGVO (Rechte der betroffenen Person), insbesondere Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).

(2) Wenden sich betroffene Personen mit entsprechenden Anliegen unmittelbar an den Hub, leitet er diese unverzüglich an die Kanzlei weiter. Eigenständige Beauskunftung oder sonstige Erfüllung von Betroffenenrechten durch den Hub findet nicht statt, soweit die Anfrage Mandantendaten der Kanzlei betrifft.

(3) Auf Anforderung der Kanzlei stellt der Hub innerhalb einer angemessenen Frist (in der Regel binnen 10 Werktagen) Datenexporte oder strukturierte Zusammenstellungen zu einzelnen betroffenen Personen zur Verfügung.

§ 10 Mitteilung bei Verletzungen des Schutzes personenbezogener Daten

(1) Der Hub meldet jede Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO), die Daten im Sinne von § 2 dieses Vertrags betrifft, der Kanzlei unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme durch eine zur Beurteilung kompetente Stelle.

(2) Die Meldung erfolgt in Textform an die im Account hinterlegte Hauptkontakt-Adresse der Kanzlei und enthält mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben:

a) Beschreibung der Art der Verletzung, soweit möglich unter Angabe der betroffenen Kategorien und ungefähren Zahl der betroffenen Personen und der betroffenen Datensätze;

b) Name und Kontaktdaten der Ansprechperson beim Hub;

c) Beschreibung der wahrscheinlichen Folgen der Verletzung;

d) Beschreibung der vom Hub ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung möglicher nachteiliger Folgen.

(3) Bei Verdachtsfällen, in denen die in Absatz 2 genannten Angaben noch nicht vollständig vorliegen, erfolgt eine Erstmeldung mit den verfügbaren Informationen binnen 24 Stunden. Die vollständige Meldung folgt nachgereicht binnen weiterer 48 Stunden.

(4) Das in Anlage 5 beigefügte Incident-Reporting-Template kann zur Strukturierung der Meldung genutzt werden.

(5) Die Pflicht zur Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO sowie zur Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO obliegt der Kanzlei als Verantwortlicher. Der Hub unterstützt die Kanzlei hierbei nach § 4 lit. e und § 9.

§ 11 Datenschutz-Folgenabschätzung und vorherige Konsultation

Der Hub unterstützt die Kanzlei bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO, soweit dies erforderlich ist und vom Hub vernünftigerweise erwartet werden kann, durch Bereitstellung der hierfür notwendigen Informationen über die eingesetzten Verarbeitungs-Verfahren und Schutzmaßnahmen.

§ 12 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Hauptvertrags löscht der Hub alle in seinem Verantwortungsbereich verarbeiteten Daten im Sinne von § 2 dieses Vertrags binnen 30 Kalendertagen nach Vertragsende.

(2) Davon ausgenommen sind:

a) Daten, deren Speicherung der Hub aufgrund gesetzlicher Verpflichtungen — insbesondere nach § 257 HGB (8 Jahre für Buchungsbelege seit Bürokratieentlastungsgesetz vom 23.10.2024) und § 147 AO — weiter aufbewahren muss. Diese werden ausschließlich zum Zweck der gesetzlichen Aufbewahrung weiter gespeichert und nach Ablauf der jeweiligen Frist gelöscht;

b) Backup-Datensätze, deren sofortige Löschung technisch nicht zumutbar ist; diese werden spätestens mit dem nächsten regulären Backup-Zyklus, spätestens jedoch binnen 90 Kalendertagen, gelöscht.

(3) Auf Verlangen der Kanzlei stellt der Hub die Daten vor Löschung in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung (Rückgabe-Option nach Art. 28 Abs. 3 lit. g DSGVO).

(4) Anonymisierungs-Option: Anstelle der Löschung kann die Kanzlei verlangen, dass Mandantendaten-Anteile in Vertrags-, Rechnungs- oder Logdaten so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden kann. Diese Option steht insbesondere für Daten zur Verfügung, deren Aufbewahrung zwar gesetzlich nicht vorgeschrieben ist, deren Vorhaltung in aggregierter Form aber für den Hub aus berechtigtem Interesse (etwa Plattform-Statistik) erfolgt.

(5) Der Hub bestätigt der Kanzlei die Löschung in Textform.

§ 13 Kontroll- und Auditrechte

(1) Die Kanzlei hat das Recht, sich von der Einhaltung der Pflichten aus diesem AV-Vertrag und insbesondere von den TOMs nach Anlage 1 zu überzeugen.

(2) Primärer Nachweis: Der Hub stellt der Kanzlei zum Nachweis insbesondere folgende Unterlagen zur Verfügung:

a) aktuelle Zertifikate und Auditberichte der Subprozessoren (insbesondere ISO 27001 für Supabase und Brevo, SOC 2 Type II für Vercel), soweit veröffentlicht oder unter NDA erhältlich;

b) einen vom Hub jährlich aktualisierten Datenschutz-Selbstauskunftsbericht, der den Stand der eigenen TOMs und der Überwachung der Subprozessoren dokumentiert.

(3) Subsidiäres Vor-Ort-Auditrecht: Reichen die nach Absatz 2 vorgelegten Unterlagen im Einzelfall begründet nicht aus, um eine berechtigte datenschutzbezogene Sorge der Kanzlei aufzuklären, kann die Kanzlei oder ein von ihr beauftragter sachverständiger Dritter eine Vor-Ort-Inspektion durchführen. Hierfür gelten:

a) Vorankündigung von mindestens 30 Kalendertagen in Textform;

b) Durchführung zu üblichen Geschäftszeiten und in einer den Betrieb des Hubs nicht störenden Weise;

c) Verschwiegenheitsverpflichtung des Auditors gegenüber dem Hub für Informationen, die er im Rahmen des Audits erlangt und die nicht die geprüften Datenschutz-Verhältnisse betreffen;

d) Kostentragung durch die Kanzlei. Werden im Rahmen des Audits Verstöße des Hubs gegen wesentliche Pflichten dieses Vertrags festgestellt, trägt der Hub die Kosten.

(4) Die in Absatz 3 genannten Anforderungen dürfen nicht so ausgelegt werden, dass sie das Recht der Kanzlei nach Art. 28 Abs. 3 lit. h DSGVO faktisch aushöhlen. Insbesondere bestehen weder Höchstgrenzen für die Häufigkeit noch Höchstdauer-Beschränkungen für Audits.

§ 14 Haftung

(1) Die Haftung der Parteien für Schäden, die durch eine schuldhafte Verletzung dieses AV-Vertrags entstehen, richtet sich nach den allgemeinen Vorschriften und nach den Regelungen des Hauptvertrags. Die Haftung nach Art. 82 DSGVO bleibt unberührt.

(2) Der Hub haftet im Innenverhältnis gegenüber der Kanzlei für Schäden aus einer Verletzung dieses AV-Vertrags durch den Hub oder die von ihm eingesetzten Subprozessoren nach den Maßgaben des Hauptvertrags.

(3) Im Außenverhältnis gegenüber betroffenen Personen haften die Parteien nach Art. 82 Abs. 4 DSGVO als Gesamtschuldner; die Außenhaftung des Hubs ist nach Art. 82 Abs. 2 Satz 2 DSGVO auf Verstöße gegen die dem Auftragsverarbeiter speziell durch die DSGVO auferlegten Pflichten beschränkt. Im Innenverhältnis erfolgt der Ausgleich nach Verantwortungsanteilen gemäß Art. 82 Abs. 5 DSGVO.

(4) Die Kanzlei stellt den Hub im Innenverhältnis von allen Ansprüchen Dritter — insbesondere von betroffenen Personen, deren Daten die Kanzlei dem Hub übermittelt hat — frei, soweit diese Ansprüche auf einer Verletzung von Pflichten der Kanzlei beruhen, insbesondere auf einer Verletzung ihrer Informationspflichten nach Art. 13/14 DSGVO, einer unrechtmäßigen Erhebung der übermittelten Daten oder einer Verletzung ihrer Datenminimierungspflicht nach Art. 5 Abs. 1 lit. c DSGVO. Die Freistellung umfasst angemessene Kosten der Rechtsverteidigung des Hubs. Die in den Absätzen 1 bis 3 sowie in Art. 82 DSGVO geregelte Außenhaftung der Parteien gegenüber betroffenen Personen bleibt hiervon unberührt.

§ 15 Schlussbestimmungen

(1) Rangverhältnis: Bei Widersprüchen zwischen Regelungen dieses AV-Vertrags und Regelungen des Hauptvertrags gehen die Regelungen dieses AV-Vertrags vor, soweit es um datenschutzrechtliche Fragen geht.

(2) Schriftform: Änderungen oder Ergänzungen dieses AV-Vertrags bedürfen der Textform; dies gilt auch für die Aufhebung dieses Schriftformerfordernisses. Die Kanzlei akzeptiert die durch elektronische Annahme im Plattform-Onboarding dokumentierte Zustimmung als ausreichende Textform.

(3) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AV-Vertrags unwirksam oder undurchführbar sein oder werden, so bleibt der Vertrag im Übrigen wirksam. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt diejenige wirksame Regelung, die dem mit der unwirksamen Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt.

(4) Rechtswahl: Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts und unter Ausschluss der Kollisionsnormen, soweit deren Anwendung zur Anwendung anderen Rechts führen würde.

(5) Gerichtsstand: Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AV-Vertrag ist Düsseldorf, sofern die Kanzlei Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist und ein gesetzlich begründeter ausschließlicher Gerichtsstand nicht entgegensteht.

(6) Anlagen sind wesentliche Bestandteile dieses Vertrags.

Anlage 1 — Technische und organisatorische Maßnahmen (TOMs)

Stand: 2026-05-29 · wird mindestens jährlich überprüft

A. Eigene Maßnahmen der WissMit Hub GmbH

A.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zugangs- und Zutrittskontrolle: Die Plattform wird ausschließlich über die Infrastruktur der in Anlage 2 genannten Subprozessoren betrieben; eigene Server-Räume der Hub GmbH existieren nicht.
• Zugriffskontrolle (Anwendungsebene): Row-Level-Security in der Datenbank (Supabase). Strenge rollenbezogene Zugriffsregeln: Kanzleien sehen ausschließlich eigene Daten; WissMits sehen ausschließlich Daten zugewiesener Aufträge; administrative Zugriffe sind protokolliert.
• Zugangskontrolle (Benutzerebene): Passwort-Authentifizierung mit Bcrypt-Hashing; Pflicht zur Zwei-Faktor-Authentifizierung für administrative Accounts; Session-Tokens als HTTP-Only-Cookies.
• Verschlüsselungspflicht: TLS 1.3 für sämtliche Verbindungen zur Plattform; Daten-at-rest-Verschlüsselung (AES-256) auf Datenbank- und Storage-Ebene durch Supabase.
• Trennungsgebot: Logische Trennung der Daten unterschiedlicher Kanzleien in derselben Datenbank durch Row-Level-Security-Policies. Keine gemischten Datensätze.

A.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Eingabekontrolle: Server-Logs dokumentieren administrative Zugriffe; Plattform-interne Audit-Trails (Event-Stream auftrag_events) erfassen alle Auftrags-Lifecycle-Ereignisse mit Zeitstempel, Akteur und Ereignistyp.
• Übermittlungskontrolle: Datenübertragungen ausschließlich über verschlüsselte Kanäle (TLS 1.3).
• Auftragskontrolle: Sämtliche Verarbeitungen durch den Hub erfolgen ausschließlich im Rahmen dokumentierter Weisungen der Kanzlei; keine eigenständige Datennutzung durch den Hub außerhalb des vertraglich Vereinbarten.

A.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Backup-Strategie: Tägliche automatische Backups durch Supabase mit 7-tägiger Retention auf dem Free-Plan, geplant Pro-Plan-Upgrade auf 30 Tage Retention vor Pilot-Go-Live.
• Wiederherstellbarkeit: Point-in-time-Recovery durch Supabase.
• Verfügbarkeits-Monitoring: Vercel- und Supabase-eigene Verfügbarkeits-Dashboards; bei Ausfällen automatische Benachrichtigung.

A.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• TOM-Review: Mindestens jährlich; bei wesentlichen Plattform-Änderungen anlassbezogen.
• Subprozessor-Review: Jährliche Überprüfung der Zertifikate und Trust-Center-Berichte der eingesetzten Subprozessoren; Dokumentation in internem Datenschutz-Selbstauskunftsbericht.
• Datenschutz-Selbstauskunftsbericht: Jährlich aktualisiert; auf Anforderung Verfügbarstellung an Kanzleien (vgl. § 13 Abs. 2 lit. b).
• Datenpannen-Übungen: Mindestens halbjährlich tabletop-Übung des Incident-Response-Prozesses.

A.5 Organisatorische Maßnahmen

• WissMit-Onboarding-Prozess: Zweistufiges Application-Gate (Bewerbung → Prüfung Lebenslauf/Examensnoten → Video-Call → Approval-Entscheidung). Vor erstmaliger Auftragszuweisung schriftliche Verschwiegenheitsverpflichtung und Strafbelehrung nach § 203 Abs. 4 StGB; Dokumentation in der internen Personalakte (siehe Anlage 4).
• Kanzlei-Onboarding-Hinweise: Beim Wizard-Intake wird der Verantwortliche auf die Datenminimierung im Anweisungs-Freitext hingewiesen.
• Verschwiegenheitsverpflichtung Hub-Beschäftigte: Sämtliche Beschäftigte des Hubs unterliegen einer arbeitsvertraglichen Verschwiegenheitsverpflichtung.

B. Zertifizierungen der Subprozessoren

Der Hub stützt die Sicherheit der Verarbeitung zusätzlich auf folgende Zertifizierungen seiner Subprozessoren (Stand 2026-05-29):

Anlage 2 — Liste der Subprozessoren

Stand: 2026-05-29 · stets aktuelle öffentliche Fassung unter app.wissmit-hub.de/datenschutz/subprozessoren

WissMit-Pool (pauschal genehmigt nach § 8 Abs. 2):

Selbständige wissenschaftliche Mitarbeitende aus dem kuratierten Hub-Netzwerk, ausgewählt durch das zweistufige Application-Gate-Verfahren des Hubs (vgl. Anlage 4). Die jeweils zugewiesene Person wird der Kanzlei mit der Auftrags-Zuweisung über die Plattform und per E-Mail-Benachrichtigung namentlich mitgeteilt. Die Kanzlei kann der konkreten Zuweisung aus berechtigtem Grund widersprechen (§ 8 Abs. 3).

Anlage 3 — Übersicht der Verarbeitungstätigkeiten (Auszug)

Diese Anlage ist ein Auszug aus dem internen Verarbeitungs-Inventar des Hubs (Art. 30 DSGVO), beschränkt auf die für diesen AV-Vertrag relevanten Verarbeitungen. Das vollständige Verzeichnis ist auf Anforderung der zuständigen Aufsichtsbehörde verfügbar.

Anlage 4 — Verschwiegenheitsverpflichtung und Belehrung der WissMits nach § 43e BRAO

A. Verfahren

Der Hub setzt für die Auftragsbearbeitung ausschließlich WissMits ein, die das folgende Onboarding-Verfahren durchlaufen haben:

1. Application Gate (öffentliche Bewerbungsseite /bewerben): Lebenslauf, Examensnoten, fachlicher Schwerpunkt, Motivationsschreiben. Daten werden in einer separaten applications-Tabelle verarbeitet, ohne Plattform-Zugang.

2. Prüfung durch den Hub: fachliche und persönliche Eignung, Video-Call.

3. Approval-Entscheidung: Bei positiver Entscheidung Übermittlung der nachfolgend genannten Verschwiegenheitsverpflichtung und Strafbelehrung in Textform; Annahme durch elektronische Bestätigung (dokumentiert mit Zeitstempel und IP-Adresse).

4. Eintragung in den WissMit-Pool: Erst nach dokumentierter Annahme der Verschwiegenheitsverpflichtung erfolgt die Anlage des Plattform-Accounts und damit die Möglichkeit, an Auftragszuweisungen teilzunehmen.

B. Wortlaut der Verschwiegenheitsverpflichtung und Strafbelehrung

Der WissMit erklärt zur Bedingung seiner Aufnahme in den Pool gegenüber dem Hub:

„Ich verpflichte mich, sämtliche Tatsachen, von denen ich im Rahmen meiner Tätigkeit als wissenschaftlicher Mitarbeitender für die WissMit Hub GmbH oder für eine durch sie vermittelte Anwaltskanzlei Kenntnis erlange, geheim zu halten. Diese Verschwiegenheitsverpflichtung erstreckt sich insbesondere auf alle Informationen zu Mandantinnen und Mandanten von Kanzleien, für die ich bei Auftragsbearbeitungen über die Plattform tätig werde, und gilt zeitlich unbegrenzt — auch nach Beendigung meiner Tätigkeit für die Plattform.

Ich bin ausdrücklich darüber belehrt worden, dass die unbefugte Offenbarung fremder Geheimnisse, die mir in dieser Eigenschaft anvertraut oder bekannt geworden sind, nach § 203 Abs. 4 Satz 1 des Strafgesetzbuchs (StGB) mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bedroht ist. Ich habe die Strafbelehrung verstanden."

C. Dokumentation

Der Hub archiviert für jeden WissMit:

• Zeitstempel und IP-Adresse der elektronischen Annahme der Verschwiegenheitsverpflichtung,
• den genauen Wortlaut, dem zugestimmt wurde (Versionierung); der jeweils akzeptierte Wortlaut bleibt versioniert archiviert und ist reproduzierbar,
• nachweisbare Verbindung der Annahme zur Identität des WissMit (Account-Verknüpfung).

Auf Verlangen der Kanzlei stellt der Hub diese Dokumentation für den jeweils einem Auftrag zugewiesenen WissMit zur Einsicht zur Verfügung.

Anlage 5 — Incident-Reporting-Template

Verwendung: Strukturvorgabe für die Meldung nach § 10 dieses Vertrags. Übermittlung an die Hauptkontakt-E-Mail-Adresse der Kanzlei sowie an datenschutz@wissmit-hub.de.

Betreff: [DRINGEND — Datenschutzvorfall Hub] Erst-/Folgemeldung — Vorfall {ID}

1. Vorfall-ID: ____________________________________
2. Meldung-Typ: [ ] Erstmeldung (Verdacht)  [ ] Folgemeldung  [ ] Endmeldung
3. Datum/Uhrzeit der Kenntnisnahme: ____________________________________
4. Datum/Uhrzeit dieser Meldung: ____________________________________

A) Art und Verlauf des Vorfalls
___________________________________________________________________________

B) Betroffene Datenkategorien
   [ ] Account-/Stammdaten
   [ ] Auftragsmetadaten
   [ ] Mandantendaten in Anweisungs-Freitexten
   [ ] Mandantendaten in Anhängen
   [ ] Andere: ________________________________

C) Geschätzte Zahl der betroffenen Personen: ____________________

D) Geschätzte Zahl der betroffenen Datensätze: ____________________

E) Beurteilte wahrscheinliche Folgen
___________________________________________________________________________

F) Bereits ergriffene Sofortmaßnahmen
___________________________________________________________________________

G) Vorgeschlagene weitere Maßnahmen zur Schadensbegrenzung
___________________________________________________________________________

H) Ansprechperson beim Hub
Name: ____________________  E-Mail: ____________________  Telefon: ______

Annahme dieses AV-Vertrags:

Mit der elektronischen Annahme des AV-Vertrags und der gleichzeitigen Bestätigung der Kenntnisnahme der Subprozessoren-Liste (Anlage 2) im Plattform-Onboarding erklärt sich die Kanzlei mit den Regelungen dieses Vertrags einverstanden. Der Hub speichert Zeitstempel, akzeptierte Version, IP-Adresse und Account-Verknüpfung der Annahme als Nachweis.

Bei wesentlichen Änderungen dieses AV-Vertrags wird der Kanzlei eine erneute Annahme der geänderten Fassung über die Plattform angeboten; bis zur erneuten Annahme bleibt die zuvor akzeptierte Fassung in Kraft.

Ende des AV-Vertrags v1.1