Stand: 21.05.2026
Diese Vereinbarung über Auftragsverarbeitung (im Folgenden „AVV“) regelt die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien für die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung des Dienstes Privatemode AI (im Folgenden „Dienst“) der Edgeless Systems GmbH.
Der AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen / Nutzungsbedingungen (im Folgenden „Nutzungsbedingungen“) für den Dienst. Er wird mit Beginn der Inanspruchnahme des Dienstes durch den Verantwortlichen Bestandteil des Vertragsverhältnisses; einer gesonderten Unterzeichnung bedarf es nicht (Art. 28 Abs. 9 DSGVO). Der Auftragsverarbeiter hält den jeweils geltenden AVV unter einer dauerhaft abrufbaren Adresse zum Abruf bereit.
Der AVV gilt einheitlich für alle Nutzer des Dienstes; individuelle Abweichungen bedürfen einer ausdrücklichen Vereinbarung in Textform.
Verantwortlicher
Der Nutzer des Dienstes, der die Nutzungsbedingungen akzeptiert hat. Der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO wird durch die im Kundenkonto hinterlegten Stammdaten identifiziert (im Folgenden „Verantwortlicher“).
Auftragsverarbeiter
Edgeless Systems GmbH, Stadionring 1, 44791 Bochum, Deutschland (im Folgenden „Auftragsverarbeiter“).
Verantwortlicher und Auftragsverarbeiter werden im Folgenden gemeinsam als „Vertragsparteien“ bezeichnet.
(1) Soweit der Auftragsverarbeiter im Rahmen der Bereitstellung des Dienstes personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, gehen die Vertragsparteien ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO ein. Dieser AVV konkretisiert die sich hieraus ergebenden Rechte und Pflichten nach den Vorgaben der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 – DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
(2) Dieser AVV findet Anwendung auf die Verarbeitung (Art. 4 Nr. 2 DSGVO) aller personenbezogener Daten (im Folgenden „Daten“), die im Rahmen der Nutzung des Dienstes gemäß den Nutzungsbedingungen anfallen und auf Weisung des Verantwortlichen verarbeitet werden. Nicht unter den Anwendungsbereich fallen Daten von Mitarbeitern des Auftragsverarbeiters, soweit sie ausschließlich das Beschäftigungsverhältnis mit dem Auftragsverarbeiter betreffen.
(3) Dieser AVV geht in datenschutzrechtlichen Fragen den Nutzungsbedingungen und sonstigen Vereinbarungen zwischen den Vertragsparteien vor, es sei denn, die Vertragsparteien vereinbaren ausdrücklich etwas anderes in Textform.
(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung einer Ende-zu-Ende-verschlüsselten Inferenz-Infrastruktur für generative KI-Modelle (Privatemode AI). Zweck der Verarbeitung ist die Verarbeitung der vom Verantwortlichen übermittelten Eingaben (Prompts) zur Erzeugung von Modellantworten gemäß den Nutzungsbedingungen und der zugehörigen Leistungsbeschreibung.
(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsverhältnisses gemäß den Nutzungsbedingungen.
(3) Welche personenbezogenen Daten verarbeitet werden, bestimmt der Verantwortliche eigenverantwortlich durch die Inhalte der von ihm an den Dienst übermittelten Eingaben (Prompts). In Betracht kommen typischerweise alle Datenarten, die der Verantwortliche in seine Prompts aufnimmt, insbesondere Texte, Dokumenteninhalte, Stammdaten, Kontaktdaten und sonstige vom Verantwortlichen frei bestimmte Inhalte.
(4) Welche Kategorien betroffener Personen berührt werden, bestimmt der Verantwortliche eigenverantwortlich durch die Inhalte seiner Prompts. In Betracht kommen alle Personenkreise, deren Daten der Verantwortliche in seine Eingaben aufnimmt, insbesondere Beschäftigte, Kunden, Interessenten, Vertragspartner sowie sonstige vom Verantwortlichen einbezogene natürliche Personen.
(5) Eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO ist im Rahmen des Dienstes technisch möglich, soweit der Verantwortliche entsprechende Daten in seinen Prompts übermittelt. Der Verantwortliche stellt eigenverantwortlich sicher, dass eine zulässige Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vorliegt.
(6) Den Schutzbedarf der verarbeiteten personenbezogenen Daten bestimmt der Verantwortliche eigenverantwortlich. Die vom Auftragsverarbeiter umgesetzten technischen und organisatorischen Maßnahmen (Ziffer 6) sind darauf ausgelegt, auch personenbezogene Daten mit hohem Schutzbedarf angemessen abzusichern.
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich Übermittlungen in Drittländer (Art. 28 Abs. 3 lit. a DSGVO). Eine Verarbeitung aufgrund unionsrechtlicher oder mitgliedstaatlicher Rechtsvorschriften (z. B. behördliche Auskunftsersuchen) bleibt unberührt; der Auftragsverarbeiter teilt dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Die Weisungen des Verantwortlichen werden zunächst durch die Nutzungsbedingungen, die zugehörige Leistungsbeschreibung sowie die vom Verantwortlichen im Rahmen der Nutzung des Dienstes vorgenommenen Konfigurationen und Eingaben (insbesondere Prompts) festgelegt. Sie können vom Verantwortlichen in Textform geändert, ergänzt oder ersetzt werden; die zum Empfang von Weisungen berechtigten Personen auf Seiten des Auftragsverarbeiters sind in Ziffer 13 genannt.
(3) Weisungsberechtigt auf Seiten des Verantwortlichen sind die im Kundenkonto hinterlegten Administratoren bzw. Hauptansprechpartner sowie die von diesen bevollmächtigten Personen. Änderungen sind über das Kundenkonto vorzunehmen.
(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung einer entsprechenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.
(5) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen werden vom Auftragsverarbeiter angemessen kommuniziert (z. B. durch Aktualisierung der Leistungsbeschreibung).
(1) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Die zur Verarbeitung berechtigten Personen werden über die in diesem AVV bestehende Weisungs- und Zweckbindung belehrt.
(2) Der Auftragsverarbeiter setzt einen Datenschutzbeauftragten ein, soweit eine gesetzliche Benennungspflicht besteht, andernfalls einen Ansprechpartner für den Datenschutz. Die jeweils aktuellen Kontaktdaten werden im Kundenkonto bzw. auf der Website des Auftragsverarbeiters bereitgehalten und können unter hello@privatemode.ai erfragt werden.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen, Maßnahmen oder Anfragen der Aufsichtsbehörden, soweit diese den Verantwortlichen oder dessen Daten betreffen.
(4) Der Auftragsverarbeiter und die von ihm zur Verarbeitung eingesetzten Personen verarbeiten die Daten nur für die in diesem AVV vereinbarten Zwecke. Kopien oder Duplikate werden ohne Kenntnis des Verantwortlichen nicht erstellt, ausgenommen Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung der Pflichten zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte nach Kapitel III der DSGVO (Art. 28 Abs. 3 lit. e DSGVO).
(2) Wendet sich eine betroffene Person zur Geltendmachung eines Betroffenenrechts unmittelbar an den Auftragsverarbeiter, leitet der Auftragsverarbeiter das Ersuchen unverzüglich an den Verantwortlichen weiter und beantwortet es nicht eigenständig, es sei denn, der Verantwortliche hat dies ausdrücklich angewiesen.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung und Benachrichtigung bei Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO).
(4) Auskünfte an Dritte oder die betroffene Person erteilt der Auftragsverarbeiter nur nach vorheriger Zustimmung des Verantwortlichen in Textform, es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Herausgabe verpflichtet.
(1) Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die zum Zeitpunkt des Vertragsschlusses umgesetzten TOM sind in Ziffer 7 dokumentiert.
(2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern das in Ziffer 7 festgelegte Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen werden vom Auftragsverarbeiter dokumentiert und dem Verantwortlichen auf Anfrage zur Verfügung gestellt.
(3) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesem AVV und in Art. 28 DSGVO genannten Pflichten erforderlich sind, und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO). Der Nachweis kann auch durch Vorlage aktueller Testate, Berichte unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Datenschutzauditoren), genehmigter Verhaltensregeln nach Art. 40 DSGVO oder einer Zertifizierung nach Art. 42 DSGVO erfolgen.
(4) Der Nachweis nach Absatz 3 erfolgt vorrangig durch Vorlage geeigneter Dokumente (insbesondere aktueller Testate, Zertifikate, Auditberichte oder einer Konformitätsbestätigung zu genehmigten Verhaltensregeln). Vor-Ort-Inspektionen kommen nur in Betracht, soweit der Nachweis durch solche Dokumente nicht erbracht werden kann oder konkrete Anhaltspunkte für einen wesentlichen Datenschutzverstoß vorliegen; sie sind mit angemessenem Vorlauf in Textform anzukündigen und so durchzuführen, dass der Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigt wird. Etwaige Aufwendungen des Auftragsverarbeiters für die Unterstützung solcher Inspektionen trägt der Verantwortliche, sofern nicht ein wesentlicher Verstoß des Auftragsverarbeiters festgestellt wird.
(5) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über den Widerruf oder die wesentliche Änderung von Zertifizierungen oder genehmigten Verhaltensregeln, auf die sich der Nachweis nach Absatz 3 stützt.
Der Auftragsverarbeiter setzt zur Erfüllung von Art. 32 DSGVO insbesondere die folgenden Maßnahmen um.
Privatemode AI ist auf Ende-zu-Ende-Verschlüsselung und Confidential Computing ausgelegt; personenbezogene Daten werden weder vom Auftragsverarbeiter noch von eingesetzten Subunternehmen im Klartext eingesehen oder persistent gespeichert.
| Nr. | Maßnahme | Umsetzung im Dienst |
|---|---|---|
| 1 | Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO) | Ende-zu-Ende-Verschlüsselung zwischen Client des Verantwortlichen und Confidential Virtual Machine (CVM). Daten werden beim Verantwortlichen verschlüsselt und nur in verschlüsselter Form übertragen. Attested TLS (aTLS) sichert den Schlüsselaustausch. Verarbeitung erfolgt ausschließlich in AMD SEV-SNP-basierten CVMs, die Daten auch während der Verarbeitung verschlüsselt halten (Confidential Computing). |
| 2 | Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) | Confidential Computing isoliert Workloads hardwaregestützt. Kryptografische Fernattestierung („Remote Attestation“) verifiziert die Authentizität von Hard- und Software vor jeder Verarbeitung. Der Dienst läuft auf hochverfügbarer Cloud-Infrastruktur in der EU. |
| 3 | Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO) | Der Dienst speichert keine personenbezogenen Nutzdaten persistent; eine Wiederherstellung von Inhalten ist daher nicht erforderlich. Die Verfügbarkeit der Plattform selbst wird durch redundante Cloud-Infrastruktur sichergestellt. |
| 4 | Regelmäßige Überprüfung der Wirksamkeit (Art. 32 Abs. 1 lit. d DSGVO) | Remote Attestation ermöglicht die kontinuierliche Verifikation der eingesetzten Software-Komponenten und der geschützten Laufzeitumgebung. Ergänzend erfolgen regelmäßige interne Audits sowie externe Sicherheitsbewertungen. |
| 5 | Identifizierung und Autorisierung der Nutzer | Zugriff erfolgt über API-Schlüssel, die vom Verantwortlichen sicher zu verwahren sind. Der Zugang zu API-Endpunkten ist TLS-verschlüsselt. |
| 6 | Schutz der Daten während der Übermittlung | Datenübertragungen erfolgen ausschließlich über TLS-gesicherte Kanäle. Nutzdaten (Prompts und Modellantworten) sind zusätzlich Ende-zu-Ende-verschlüsselt zwischen Client und CVM. |
| 7 | Schutz der Daten während der Verarbeitung und Speicherung | Keine persistente Speicherung von Nutzdaten. Daten verbleiben nur temporär im verschlüsselten Hauptspeicher der CVMs und werden nach der Verarbeitung automatisch entfernt. |
| 8 | Physische Sicherheit der Verarbeitungsorte | Die Verarbeitung erfolgt ausschließlich in zertifizierten Rechenzentren der eingesetzten Cloud-Anbieter (siehe Ziffer 9), die mindestens ISO/IEC 27001 oder vergleichbare Standards erfüllen. |
| 9 | Protokollierung | Betriebs- und Sicherheitsereignisse in den CVMs und APIs werden protokolliert. Remote Attestation protokolliert die Authentizität der eingesetzten Software und Hardware. Nutzdaten (Prompt-Inhalte) werden nicht protokolliert. |
| 10 | Systemkonfiguration und Härtung | Privatemode AI nutzt ein unveränderliches Betriebssystem und vertrauenswürdige CVM-Umgebungen. Remote Attestation stellt sicher, dass nur autorisierte Konfigurationen zur Laufzeit ausgeführt werden. |
| 11 | Interne Governance | Entwicklungs- und Betriebsprozesse folgen dem Vier-Augen-Prinzip bei Code-Reviews; Builds sind reproduzierbar. |
| 12 | Qualitäts- und Transparenzsicherung | Reproduzierbare Builds und Open-Source-Komponenten gewährleisten Überprüfbarkeit. Strenge CI/CD-Prozesse sichern Zuverlässigkeit und Sicherheit der Software. |
| 13 | Datenminimierung und Zweckbindung | Verarbeitung erfolgt nur für die zur Erbringung des Dienstes erforderlichen Arbeitsschritte. Es werden keine personenbezogenen Daten über den Verarbeitungszeitraum hinaus gespeichert. |
| 14 | Datenqualität | Verarbeitung erfolgt ausschließlich in verifizierten Confidential-Computing-Umgebungen, in denen Daten während der Verarbeitung weder unbemerkt verändert noch kompromittiert werden können. |
| 15 | Begrenzte Speicherdauer | Daten werden nur während der Laufzeit des Verarbeitungsprozesses im verschlüsselten RAM der CVMs gehalten und nach Beendigung der Verarbeitung automatisch entfernt. |
| 16 | Datenübertragbarkeit und Löschung | Da keine persistente Speicherung personenbezogener Daten erfolgt, ist eine separate Datenübertragbarkeit bzw. Löschung durch den Auftragsverarbeiter nicht erforderlich; die automatische Entfernung aus dem Speicher tritt mit Ende der Verarbeitung ein. |
| 17 | Unterstützung des Verantwortlichen | Eine technische Dokumentation steht dem Verantwortlichen jederzeit unter https://docs.privatemode.ai/ zur Verfügung. Darüber hinaus erfolgt Unterstützung über die vertraglich vereinbarten Support-Kanäle (z. B. E-Mail, Telefon). |
(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, über Verletzungen des Schutzes personenbezogener Daten, die im Rahmen der Auftragsverarbeitung beim Auftragsverarbeiter oder einem Subunternehmen aufgetreten sind (Art. 33 Abs. 2 DSGVO).
(2) Die Mitteilung enthält, soweit dem Auftragsverarbeiter bekannt: Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, voraussichtliche Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung möglicher nachteiliger Folgen.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten nach Art. 33 und 34 DSGVO. Meldungen an die Aufsichtsbehörde oder Benachrichtigungen betroffener Personen nimmt der Auftragsverarbeiter nur nach Weisung des Verantwortlichen vor.
(1) Der Verantwortliche erteilt mit Annahme dieses AVV dem Auftragsverarbeiter die allgemeine Genehmigung zur Beauftragung der in Absatz 5 genannten Subunternehmen (Art. 28 Abs. 2 Satz 1 DSGVO).
(2) Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 30 Tage im Voraus in Textform (insbesondere per E-Mail an die im Kundenkonto hinterlegte Adresse oder durch Bereitstellung im Kundenkonto bzw. auf der Website) über beabsichtigte Änderungen bei der Hinzuziehung oder Ersetzung von Subunternehmen. Der Verantwortliche kann der Änderung innerhalb von 30 Tagen ab Mitteilung aus wichtigem datenschutzrechtlichen Grund in Textform widersprechen; im Fall eines Widerspruchs sind die Vertragsparteien zur Kündigung des Nutzungsverhältnisses mit angemessener Frist berechtigt.
(3) Der Auftragsverarbeiter verpflichtet den Subunternehmer vor Beginn der Verarbeitung vertraglich auf Datenschutzpflichten, die denen dieses AVV entsprechen, insbesondere in Bezug auf hinreichende Garantien für geeignete technische und organisatorische Maßnahmen (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Subunternehmers.
(4) Zum Zeitpunkt des Inkrafttretens dieses AVV sind folgende Subunternehmen mit den nachstehend genannten Leistungen beauftragt:
| Subunternehmen (Name, Sitz) | Leistungsgegenstand |
|---|---|
| Scaleway SAS, 8 Rue de la Ville l'Évêque, 75008 Paris, Frankreich | Bereitstellung von Cloud-Infrastruktur mit Confidential-Computing-Fähigkeiten in der EU |
| Lyceum Technology Germany GmbH, Ackerstraße 39, 10115 Berlin, Deutschland | Bereitstellung von Cloud-Infrastruktur mit Confidential-Computing-Fähigkeiten in der EU |
(5) Nicht als Subunternehmen im Sinne dieser Ziffer 9 gelten Nebenleistungen, die der Auftragsverarbeiter zur Unterstützung der Auftragsdurchführung in Anspruch nimmt (z. B. Telekommunikations-, Wartungs-, Reinigungs- und Sicherheitsdienste). Der Auftragsverarbeiter trifft auch insoweit angemessene vertragliche und technisch-organisatorische Vorkehrungen zum Schutz der Daten.
(1) Die Verarbeitung der Daten findet ausschließlich auf dem Gebiet der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) statt.
(2) Eine Übermittlung in ein Drittland oder an eine internationale Organisation erfolgt nur, soweit dies im Rahmen dieses AVV ausdrücklich zugelassen ist und die Voraussetzungen von Kapitel V der DSGVO erfüllt sind (insbesondere Angemessenheitsbeschluss nach Art. 45 DSGVO oder geeignete Garantien nach Art. 46 DSGVO, insbesondere EU-Standardvertragsklauseln).
(1) Aufgrund der Architektur des Dienstes werden personenbezogene Nutzdaten (Prompts und Modellantworten) nicht persistent gespeichert.
(2) Soweit der Auftragsverarbeiter dennoch personenbezogene Daten des Verantwortlichen verarbeitet hat (z. B. Account- und Abrechnungsdaten), wird er nach Beendigung des Nutzungsverhältnisses gemäß Wahl des Verantwortlichen alle personenbezogenen Daten löschen oder zurückgeben (Art. 28 Abs. 3 lit. g DSGVO), sofern nicht nach Unionsrecht oder dem Recht eines Mitgliedstaats eine Pflicht zur weiteren Speicherung besteht.
(3) Der Auftragsverarbeiter ist berechtigt, Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, entsprechend den jeweiligen gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren; nach Ablauf der Frist sind die Daten zu löschen.
(1) Für die Haftung der Vertragsparteien gegenüber betroffenen Personen gilt Art. 82 DSGVO.
(2) Im Verhältnis der Vertragsparteien zueinander gelten ergänzend die Haftungsregelungen der Nutzungsbedingungen.
(1) Mitteilungen, Weisungen und sonstige Erklärungen im Rahmen dieses AVV erfolgen in Textform, vorzugsweise per E-Mail an hello@privatemode.ai. Mündliche Weisungen sind durch den Verantwortlichen unverzüglich in Textform zu bestätigen.
(2) Zum Empfang von Weisungen und sonstigen datenschutzbezogenen Mitteilungen auf Seiten des Auftragsverarbeiters berechtigt sind:
(3) Weisungsberechtigt auf Seiten des Verantwortlichen sind die im Kundenkonto hinterlegten Administratoren bzw. Hauptansprechpartner sowie die von diesen bevollmächtigten Personen. Änderungen sind über das Kundenkonto vorzunehmen.
(1) Änderungen und Ergänzungen dieses AVV erfolgen im Rahmen des in den Nutzungsbedingungen vorgesehenen Änderungsverfahrens. Der Auftragsverarbeiter teilt dem Verantwortlichen wesentliche Änderungen rechtzeitig in Textform (insbesondere per E-Mail an die im Kundenkonto hinterlegte Adresse oder durch Bereitstellung im Kundenkonto) mit. Widerspricht der Verantwortliche nicht innerhalb der in den Nutzungsbedingungen festgelegten Frist, gilt die Änderung als angenommen, sofern der Auftragsverarbeiter den Verantwortlichen bei Mitteilung der Änderung auf die Bedeutung seines Schweigens hingewiesen und ihm eine angemessene Erklärungsfrist eingeräumt hat. Individuelle Abweichungen von diesem AVV bedürfen einer ausdrücklichen Vereinbarung in Textform.
(2) Sollten einzelne Regelungen dieses AVV unwirksam oder undurchführbar sein, wird die Wirksamkeit der übrigen Regelungen davon nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Regelung tritt diejenige wirksame und durchführbare Regelung, deren Wirkungen der ursprünglichen Zielsetzung am nächsten kommt. Dies gilt entsprechend für etwaige Regelungslücken.
(3) Auf diesen AVV findet das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts Anwendung. Soweit gesetzlich zulässig, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV der Sitz des Auftragsverarbeiters.