Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO — Stand: April 2026
Diese AVV-Vorlage wird für kostenpflichtige Pläne auf Anfrage individuell ausgefertigt. Kontakt: support@nextya.de
§ 1 Gegenstand und Dauer
Der Auftragsverarbeiter (Samuel Zimmermann, nachfolgend “Anbieter”) verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Träger/Organisation, nachfolgend “Auftraggeber”) im Rahmen der Nutzung von NEXTYA.
Die Verarbeitung erfolgt für die Dauer des Nutzungsverhältnisses. Nach Beendigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst:
- Speicherung von Klientendaten (Name, Geburtsdatum, Aktenzeichen) zur Berichtserstellung
- Verarbeitung von Dokumentationsinhalten zur KI-gestützten Berichtsgenerierung
- Speicherung und Verwaltung erstellter Berichte
- Protokollierung von Zugriffen im Audit-Log
§ 3 Kategorien betroffener Personen und Daten
Betroffene Personen:
- Klient:innen der Jugendhilfe (Minderjährige und junge Volljährige)
- Bezugspersonen der Klient:innen
- Fachkräfte (Nutzer:innen der Software)
Datenkategorien:
- Stammdaten (Name, Geburtsdatum, Aktenzeichen)
- Dokumentationsinhalte (Fließtext, Beobachtungen, Verlaufsnotizen)
- Berichtstexte (KI-generiert und manuell erstellt)
- Nutzungsdaten (Zeitstempel, Aktionstyp im Audit-Log)
Besondere Datenkategorien (Art. 9 DSGVO): Die Dokumentations- und Berichtsinhalte können Gesundheitsdaten und Daten zu sozialen Verhältnissen enthalten.
§ 4 Pflichten des Anbieters
Der Anbieter verpflichtet sich:
- Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
- Alle Mitarbeiter zur Vertraulichkeit zu verpflichten
- Geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen (siehe Anlage)
- Unterauftragsverarbeiter nur mit vorheriger Zustimmung einzusetzen
- Den Auftraggeber bei der Erfüllung seiner Pflichten zu unterstützen (Art. 32-36 DSGVO)
- Nach Beendigung alle Daten zu löschen oder zurückzugeben
- Dem Auftraggeber alle erforderlichen Informationen für Audits zur Verfügung zu stellen
§ 5 Unterauftragsverarbeiter
Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | Frankfurt (eu-central-1) |
| AWS EMEA SARL | KI-Verarbeitung (Bedrock) | Frankfurt (eu-central-1) |
| Anthropic PBC | KI-Modell (Sub von AWS) | Frankfurt (eu-central-1) |
| Resend Inc. | Transaktionale E-Mails (Versand) | EU (Ireland, eu-west-1) |
| Heinlein Hosting GmbH (mailbox.org) | Support-E-Mail-Postfach (Empfang und Versand) | Deutschland |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Dublin, Irland |
| Cloudflare, Inc. | Reverse Proxy, CDN, SSL, DNS, Pages | USA (DPF), globale PoPs |
| Better Stack s.r.o. | Uptime-Monitoring (nextya.de) | Prag, Tschechien (EU) |
| Hetzner Online GmbH | Hosting, Backups | Deutschland |
Der Anbieter informiert den Auftraggeber über Änderungen bei den Unterauftragsverarbeitern. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen.
§ 6 Technische und organisatorische Maßnahmen (TOM)
Folgende Maßnahmen sind implementiert:
Vertraulichkeit
- Zugriffskontrolle durch Authentifizierung (E-Mail + Passwort)
- Row Level Security (RLS) auf Datenbankebene
- Organisationsbasierte Datentrennung
- Rollenbasierte Zugriffskontrolle (Admin/Fachkraft)
Integrität
- Vollständiger Audit-Trail aller Aktionen
- KI-generierte Inhalte werden gekennzeichnet
- Jeder KI-Abschnitt erfordert manuelle Bestätigung durch die Fachkraft
Verschlüsselung
- TLS 1.3 für alle Datenübertragungen
- AES-256 Verschlüsselung im Ruhezustand
- SSL/TLS-Zertifikate (Let's Encrypt)
Verfügbarkeit
- Tägliche Datenbankbackups (Supabase)
- Docker-basiertes Deployment mit automatischem Neustart
- Rate-Limiting zum Schutz vor Überlastung
Löschung
- Kontolöschung durch Nutzer jederzeit möglich (Art. 17 DSGVO)
- Vollständige Datenlöschung innerhalb von 30 Tagen
- KI-Verarbeitung ohne dauerhafte Speicherung (kein Training)
- Exportierte Dateien werden nicht auf dem Server gespeichert
§ 7 Kontakt
Für Fragen zur Auftragsverarbeitung, zur Anforderung einer individuellen AVV oder zur Meldung von Datenschutzvorfällen wenden Sie sich an:
Samuel Zimmermann
E-Mail: support@nextya.de
Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Diese AVV-Vorlage dient als Grundlage und wird auf Anfrage individuell für Ihren Träger ausgefertigt. Eine rechtliche Prüfung durch einen Datenschutzbeauftragten wird empfohlen.