Zum Hauptinhalt springen
Cognelys

DSGVO

Auftragsverarbeitung nach Art. 28 DSGVO

Soweit der Anbieter im Rahmen der Cognelys-Produkte personenbezogene Daten im Auftrag des Kunden verarbeitet, geschieht dies auf Grundlage eines gesondert zu schließenden Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO. Diese Seite gibt einen Überblick über dessen wesentlichen Inhalt. Maßgeblich ist allein der zwischen den Parteien unterzeichnete Vertrag in seiner jeweils geltenden Fassung.

Parteien und Rollenverteilung

Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist Herr Christian Matthias Winkler, handelnd unter der Geschäftsbezeichnung „Cognelys“. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist und bleibt der Kunde. Der Kunde entscheidet allein über Zwecke und Mittel der Verarbeitung, verantwortet die Rechtmäßigkeit der Verarbeitung, das Vorliegen einer tragfähigen Rechtsgrundlage sowie die Wahrung der Rechte betroffener Personen. Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, soweit nicht eine gesetzliche Verpflichtung etwas anderes gebietet.

Gegenstand der Verarbeitung

Der Vertrag regelt die Bedingungen, unter denen der Anbieter personenbezogene Daten verarbeitet, die der Kunde im Rahmen der Nutzung der Cognelys-Produkte, insbesondere der Module KnowledgeFinder, Business GPT und WorkSuite, einbringt oder einbringen lässt.

Art und Zweck der Verarbeitung

  • Speicherung, Strukturierung und Indexierung von Dokumenten und Wissensbasis-Inhalten
  • Verarbeitung von Anfragen über die eingesetzten KI-gestützten Funktionen
  • Bereitstellung von Audit-Trail-, Protokoll- und Exportfunktionen
  • Betrieb, Wartung, Fehlerbehebung und Sicherheits-Monitoring der Plattform

Eine über diese Zwecke hinausgehende Verarbeitung, insbesondere zu eigenen Zwecken des Anbieters, findet nicht statt. Eine Nutzung der Kundendaten zum Training allgemeiner KI-Modelle erfolgt nicht.

Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Laufzeit des zugrundeliegenden Hauptvertrages über die Nutzung der Cognelys-Produkte. Die Regelungen zur Beendigung ergeben sich aus dem Abschnitt „Beendigung der Verarbeitung“.

Kategorien betroffener Personen

Welche Kategorien betroffener Personen konkret betroffen sind, bestimmt sich nach den vom Kunden eingebrachten Inhalten und liegt in dessen Verantwortung. In Betracht kommen je nach Anwendung insbesondere Beschäftigte des Kunden, Mandanten, Auftraggeber und deren Vertreter, Antragsteller im Rahmen von Förderverfahren sowie Lieferanten und ausführende Gewerke.

Kategorien personenbezogener Daten

  • Stammdaten wie Name, Anschrift und Kontaktdaten
  • Vertrags- und Auftragsdaten
  • Objektbezogene Daten wie Adressen, Eigentumsverhältnisse und technische Gebäudedaten
  • Kommunikations- und Vorgangsinhalte aus Beratungs- und Projektzusammenhängen

Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sollen nicht in die Cognelys-Produkte eingebracht werden. Der Kunde trägt die Verantwortung dafür, dass solche Daten nicht ohne gesonderte, ausdrückliche Vereinbarung und ohne tragfähige Rechtsgrundlage verarbeitet werden. Bringt der Kunde gleichwohl besondere Kategorien personenbezogener Daten ein, geschieht dies in seinem alleinigen Verantwortungs- und Risikobereich.

Pflichten des Kunden

  • Der Kunde erteilt Weisungen grundsätzlich in dokumentierter Form.
  • Der Kunde verantwortet die Rechtmäßigkeit der Verarbeitung und das Vorliegen einer Rechtsgrundlage.
  • Der Kunde informiert betroffene Personen und bearbeitet deren Anfragen; der Anbieter unterstützt ihn hierbei im vertraglich vereinbarten Umfang.
  • Der Kunde bringt keine besonderen Datenkategorien ohne gesonderte Vereinbarung ein.

Technische und organisatorische Maßnahmen

Der Anbieter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Hierzu zählen insbesondere:

  • Verschlüsselung der Datenübertragung nach dem Stand der Technik sowie Verschlüsselung gespeicherter Daten
  • ein Rollen- und Berechtigungskonzept mit Mehr-Faktor-Authentifizierung für administrative Zugänge
  • Protokollierung sicherheitsrelevanter Vorgänge sowie ein manipulationssicherer Audit-Trail
  • Pseudonymisierung, soweit dies mit dem Verarbeitungszweck vereinbar ist
  • Zutritts-, Zugangs- und Zugriffskontrolle auf Ebene des Rechenzentrums und der Anwendung
  • ein Backup- und Wiederherstellungskonzept mit im Vertrag definierten Wiederherstellungszielen
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Anpassung der Wirksamkeit der Maßnahmen

Die jeweils aktuelle, ausführliche Darstellung der technischen und organisatorischen Maßnahmen ist als Anlage Bestandteil des Vertrages. Der Anbieter ist berechtigt, die Maßnahmen fortzuentwickeln, soweit das Schutzniveau dadurch nicht unterschritten wird.

Einsatz weiterer Auftragsverarbeiter (Subprozessoren)

Der Kunde erteilt seine allgemeine Genehmigung zum Einsatz der nachfolgend genannten weiteren Auftragsverarbeiter. Der Anbieter stellt durch vertragliche Vereinbarungen sicher, dass diese Subprozessoren ein dem vorliegenden Vertrag entsprechendes Datenschutzniveau einhalten.

Anbieter Leistung Sitz / Verarbeitungsort
Hetzner Online GmbH Hosting, Speicherung, Betrieb der Server-Infrastruktur Deutschland
[PLATZHALTER: vollständige Firmierung des KI-Anbieters] Verarbeitung von Anfragen durch Sprachmodelle (KI-Inferenz) [PLATZHALTER: tatsächlicher Sitz und Verarbeitungsort, siehe Hinweis unten]
Plausible Insights OÜ Reichweitenmessung der Website Estland (EU)

Beabsichtigt der Anbieter den Einsatz eines weiteren oder den Austausch eines bestehenden Subprozessors, teilt er dies dem Kunden mindestens 30 Tage im Voraus in Textform mit. Der Kunde kann der Änderung innerhalb dieser Frist aus wichtigem, datenschutzrechtlich begründetem Anlass widersprechen. Im Fall eines berechtigten Widerspruchs sind die Parteien zu einer einvernehmlichen Lösung verpflichtet; gelingt diese nicht, steht beiden Parteien ein Sonderkündigungsrecht hinsichtlich der betroffenen Leistung zu.

Drittlandübermittlung

Eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums findet nur statt, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission oder auf Grundlage der Standardvertragsklauseln nebst erforderlicher ergänzender Schutzmaßnahmen. Soweit ein eingesetzter Subprozessor seinen Sitz in einem Drittland hat oder mit einem Unternehmen in einem Drittland verbunden ist, wird dies im Vertrag offengelegt und entsprechend abgesichert.

Rechte des Kunden

  • Weisungsrecht jederzeit in dokumentierter Form
  • Recht auf Kontrolle der Einhaltung der vertraglichen Pflichten, vorrangig durch Vorlage geeigneter Nachweise, Testate oder Zertifikate
  • Recht auf Datenexport in gängigen, maschinenlesbaren Formaten
  • Recht auf Löschung oder Rückgabe der Daten nach Beendigung der Verarbeitung

Vor-Ort-Kontrollen sind nach vorheriger Anmeldung mit angemessener Frist, in der Regel zu den üblichen Geschäftszeiten und höchstens einmal jährlich ohne besonderen Anlass, zulässig. Bei einem konkreten, datenschutzrelevanten Anlass kann hiervon abgewichen werden. Der durch eine Vor-Ort-Kontrolle entstehende Aufwand des Anbieters wird dem Kunden, soweit gesetzlich zulässig, nach Aufwand vergütet.

Unterstützungspflichten des Anbieters

Der Anbieter unterstützt den Kunden im Rahmen des Zumutbaren bei der Erfüllung der Rechte betroffener Personen, bei Datenschutz-Folgenabschätzungen sowie bei der Erfüllung der Pflichten aus den Art. 32 bis 36 DSGVO. Für Unterstützungsleistungen, die über den vertraglich geschuldeten Umfang hinausgehen, kann der Anbieter eine angemessene Vergütung verlangen.

Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Anbieter informiert den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes der im Auftrag verarbeiteten personenbezogenen Daten bekannt geworden ist, in der Regel innerhalb von 48 Stunden. Die Meldung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, die betroffenen Datenkategorien, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen. Die Verantwortung für etwaige Meldungen an die Aufsichtsbehörde nach Art. 33 DSGVO und an betroffene Personen nach Art. 34 DSGVO liegt beim Kunden als Verantwortlichem.

Haftung

Die Haftung der Parteien im Außenverhältnis richtet sich nach Art. 82 DSGVO. Im Innenverhältnis gilt: Der Kunde stellt den Anbieter von Ansprüchen Dritter und von Sanktionen frei, die darauf beruhen, dass der Kunde personenbezogene Daten ohne tragfähige Rechtsgrundlage eingebracht oder rechtswidrige Weisungen erteilt hat. Im Übrigen gelten die Haftungsregelungen des Hauptvertrages entsprechend.

Beendigung der Verarbeitung

Nach Beendigung der Verarbeitung gibt der Anbieter die im Auftrag verarbeiteten Daten nach Wahl des Kunden heraus oder löscht sie. Für den Datenexport steht dem Kunden eine Frist von 30 Tagen ab Vertragsende zur Verfügung. Nach Ablauf dieser Frist werden die Daten einschließlich vorhandener Sicherungskopien gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung wird dem Kunden auf Verlangen in Textform bestätigt.

Vertragstext anfordern

Den vollständigen Mustertext des Vertrages zur Auftragsverarbeitung stellen wir Ihnen bei Bedarf auf Anfrage zur Verfügung, auch ohne laufende Vertragsverhandlung, zur Prüfung durch Ihre Datenschutzfunktion. Anfragen richten Sie bitte an datenschutz@cognelys.com
.

Stand: Mai 2026