Allgemeine Geschäftsbedingungen (AGB) des lector.ai Cloudservices
Stand: 29. Juli 2025
1. Allgemeines
lector.ai GmbH betreibt im Internet unter der Domain "app.lector.ai" eine über das Internet nutzbare Softwareanwendung zur Dokumentenverarbeitung mit Hilfe von KI (im Folgenden: Dienst). Anbieter des Dienstes ist lector.ai GmbH, Konsul-Smidt-Straße 8p, 28217 Bremen (im Folgenden: Anbieter). Diese Geschäftsbedingungen in ihrer jeweils gültigen Fassung gelten für alle, auch zukünftige Geschäftsbeziehungen, zwischen dem Nutzer und dem Anbieter. Abweichende AGB des Nutzers werden nicht Vertragsbestandteil, es sei denn, die Geltung ist bei Vertragsschluss ausdrücklich schriftlich vereinbart.
2. Vertragsgegenstand
Gegenstand des Nutzungsvertrags ist die Bereitstellung des Dienstes zur Nutzung der Funktionalitäten an den Nutzer. Der Leistungsumfang umfasst grundsätzlich die Möglichkeit, Dokumente über unterschiedliche Kanäle (u. a. die Nutzeroberfläche) hochzuladen, durch KI verarbeiten zu lassen und die Ergebnisse über Standardschnittstellen in eigene Systeme zurückzuspielen.
Der Nutzer hat die Möglichkeit, den Dienst frei zu konfigurieren. Die Einhaltung rechtlicher Vorschriften bei der Verarbeitung von Dokumenten obliegt ausschließlich dem Nutzer.
Der Anbieter stellt Speicherplatz für die Speicherung von Dokumenten und extrahierten Daten entsprechend dem vereinbarten Speicherkontingent (gemäß SLA oder Preisliste) zur Verfügung. Bei einer Überschreitung des vereinbarten Speicherplatzes, die länger als 30 Tage andauert, behält sich der Anbieter das Recht vor:
- den Nutzer zu kontaktieren und eine Reduzierung des Speicherbedarfs zu verlangen,
- zusätzlichen Speicherplatz nach vorheriger Ankündigung in Rechnung zu stellen, oder
- bei fortgesetzter übermäßiger Nutzung und nach erfolgloser Aufforderung zur Reduzierung den Vertrag außerordentlich zu kündigen.
Der Anbieter wird dem Nutzer bei drohender Überschreitung des vereinbarten Speicherkontingents mit einer Frist von mindestens 30 Tagen informieren und Gelegenheit zur Reduzierung geben, bevor Maßnahmen ergriffen werden.
3. Vertragsschluss
Die Nutzung des Dienstes ist nur im Rahmen eines Nutzungsvertrages möglich. Das Entgelt richtet sich nach der jeweils gültigen Preisliste oder individuellen Vereinbarungen. Die Preisgestaltung kann je nach gewähltem Paket unterschiedliche Komponenten umfassen, einschließlich Grundgebühren und nutzungsbasierten Abrechnungen, wobei in bestimmten Tarifen (wie Free Tier oder individuellen Enterprise-Angeboten) einzelne Preiskomponenten entfallen können.
4. Nutzungsbefugnis, Rechte
Der Anbieter räumt dem Nutzer das einfache, nicht unterlizenzierbare und nicht übertragbare Recht ein, den Dienst während der Laufzeit des Vertrages für eigene Unternehmenszwecke zu nutzen.
5. Ausschluss von Vertragspartnern
Die Nutzung des Dienstes ist für gesetzliche Krankenkassen in Deutschland ausgeschlossen. Der Anbieter behält sich vor, Nutzungsanfragen von gesetzlichen Krankenkassen abzulehnen und bestehende Verträge mit gesetzlichen Krankenkassen außerordentlich zu kündigen, sollte sich nachträglich herausstellen, dass es sich bei dem Vertragspartner um eine gesetzliche Krankenkasse handelt.
6. Bereitstellung des Dienstes und Wartung
Der Dienst wird dem Nutzer mit Registrierung bzw. ab Einrichtung durch lector.ai bereitgestellt. Der Anbieter ist bestrebt, eine hohe Verfügbarkeit des Dienstes zu gewährleisten. Detaillierte Verfügbarkeitsziele und Service-Level-Vereinbarungen sind in den jeweiligen SLA-Dokumenten oder Paketbeschreibungen festgelegt.
lector.ai wird regelmäßige Wartungen an seinem Dienst ausführen. Die Wartungen und Updates werden außerhalb der typischen Geschäftszeiten, also Werktags 18 Uhr bis 22 Uhr oder am Wochenende stattfinden. Üblicherweise werden größere Updates in einem Vierwochenzyklus eingespielt. Geplante Updates oder Wartungsaktivitäten, die den Betrieb außerhalb der Geschäftszeiten beeinträchtigen, werden mit einer Vorlaufzeit von 5 Werktagen per E-Mail angekündigt.
Bei kritischen Ausfällen reagiert der Anbieter entsprechend den in den jeweiligen SLA-Dokumenten festgelegten Reaktionszeiten und geht in die unverzügliche Behebung der Ursache. Kritische Ausfälle sind Ausfälle des gesamten Systems oder wesentlicher Teile davon, sodass eine Nutzung ganz oder nahezu vollständig unmöglich ist. Bei einem kritischen Ausfall wird der Nutzer unverzüglich über geeignete Kommunikationswege benachrichtigt.
In regelmäßigen Abständen (mehrmals täglich) werden systemweite Backups durch den Cloud-Dienstleister durchgeführt. Diese Backups können bei Bedarf für das Recovery Management genutzt werden, um im Falle eines Datenverlustes oder einer nicht behebbaren Fehlfunktion das System wiederherzustellen.
7. Bereitstellung von KI-Modellen
Die Auswahl der verfügbaren Modelle wird vom Anbieter festgelegt.
Der Anbieter informiert den Nutzer beim Entfernen von Modellen mit einer Vorlaufzeit von 30 Tagen. Der Anbieter darf Modelle nur entfernen, wenn ein gleich- oder höherwertiges Modell (gemäß https://huggingface.co/spaces/lmarena-ai/chatbot-arena-leaderboard) für den gleichen Preis verfügbar ist.
Wird seitens des Anbieters auf ein anderes Modell umgestellt, so erfolgt die Umstellung für den Nutzer preisneutral.
Der Anbieter ist bestrebt, stets Modelle mit hoher Leistungsfähigkeit und zeitgemäßer Qualität für die Dokumentenverarbeitung bereitzustellen. Die Bewertung der Modellqualität orientiert sich an branchenüblichen Standards und Leistungsvergleichen.
Ausgeschlossen sind Modellentfernungen durch einen Unterauftragnehmer des Anbieters, auf die der Anbieter keinen Einfluss hat.
8. Nutzung der Daten
Der Anbieter verwendet die Daten des Nutzers ausschließlich für die Verarbeitungsschritte des Nutzers. Die Daten werden explizit nur für die Verbesserung der Arbeitsschritte des Nutzers eingesetzt und werden nicht für das Training oder die Verbesserung von anderen Modellen oder Arbeitsschritten genutzt.
9. KI-Qualität
Der Anbieter übernimmt keine Verantwortung für die Qualität der Ergebnisse der Künstlichen Intelligenz (KI).
Sofern der Anbieter die Erstellung und/oder den Einsatz von Systemen mit KI anbietet, wird ausdrücklich darauf hingewiesen, dass moderne KI-Systeme ihre Vorhersagen mit unterschiedlichen Zuverlässigkeitswerten ausgeben und dass sie dabei nie 100% aller Daten korrekt bewerten werden.
Die Vorschläge eines KI-Systems ergeben sich unter anderem aus den verwendeten Beispieldaten, aus denen komplexe nicht-lineare Regeln gelernt werden, deren Funktionsweise und Ergebnisse im Einzelfall schwer nachvollziehbar sein können. Der Anbieter verwendet die nach dem aktuellen Stand der Technik gebotenen Methoden und Techniken, um jeweils die bestmögliche Zuverlässigkeit und Generalisierung des KI-Systems zu erreichen.
Die Entscheidung und Verantwortung dafür, ob und unter welchen Umständen Entscheidungsvorschläge solcher KI-Systeme durch den Nutzer in seinen Systemen mit oder ohne menschliche Prüfung übernommen werden, liegt beim Nutzer.
10. Entgelt, Zahlung
Das Entgelt richtet sich nach der jeweils gültigen Preisliste oder individuellen Vereinbarungen. Die Preisgestaltung kann je nach gewähltem Paket unterschiedliche Komponenten umfassen, einschließlich Grundgebühren, Servicegebühren und nutzungsbasierten Abrechnungen, wobei in bestimmten Tarifen einzelne Preiskomponenten entfallen können.
Rabattvereinbarungen, Zahlungsmodalitäten und Kreditregelungen sind in der jeweils gültigen Preisliste oder in individuellen Angeboten festgelegt.
Im Falle eines individuellen Angebots gelten die dort genannten Preise und Konditionen vorrangig. Alle Preise verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer.
11. Pflichten und Obliegenheiten des Nutzers
Der Nutzer ist verpflichtet, seine Zugangsdaten geheim zu halten. Der Nutzer darf den Dienst nur für eigene unternehmerische Zwecke nutzen.
Der Nutzer darf den Dienst nicht für schädliche, unerwünschte, unrechtmäßige oder unlautere Zwecke einsetzen.
Der Nutzer verpflichtet sich, keine automatisierten Massenanfragen zu stellen, die darauf abzielen, das System zu überlasten oder die Verfügbarkeit für andere Nutzer zu beeinträchtigen.
Technische Limits für zum Beispiel Upload-Volumina, API-Aufrufraten und Verarbeitungskapazitäten werden systemseitig durchgesetzt und sind in den jeweiligen Service Level Agreements (SLA) bzw. der technischen Dokumentation in Verbindung mit der jeweils gültigen Preisliste oder individuellen Vereinbarungen spezifiziert.
Der Anbieter behält sich vor, bei Verdacht auf missbräuchliche Nutzung den Zugang temporär zu sperren. Bei wiederholten Verstößen gegen diese Nutzungsbestimmungen kann der Anbieter den Nutzungsvertrag außerordentlich kündigen.
12. Datenschutz
Die Parteien verpflichten sich zur Einhaltung der geltenden datenschutzrechtlichen Bestimmungen, insbesondere der DSGVO.
12.1. Kostenlose Testphase
Während der kostenlosen Testphase ist der Nutzer gemäß Art. 4 Nr. 7 DSGVO Verantwortlicher, der Anbieter fungiert als Auftragsverarbeiter. Es gilt ein vereinfachter AVV mit folgenden Besonderheiten:
- Automatische Löschung nach 30 Tagen
- Keine dauerhafte Speicherung
- Eingeschränkte Verarbeitungszwecke (nur Testzwecke)
12.2. Kostenpflichtige Nutzung
Bei kostenpflichtiger Nutzung ist der Nutzer gemäß Art. 4 Nr. 7 DSGVO für die Verarbeitung von personenbezogenen Daten verantwortlich und fungiert als Verantwortlicher, während der Anbieter als Auftragsverarbeiter tätig ist. Die Einzelheiten der Datenverarbeitung, Rechte und Pflichten, insbesondere im Hinblick auf technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, sind im separaten Auftragsverarbeitungsvertrag (AVV) geregelt, der integraler Bestandteil dieser AGB ist.
Unterauftragsverhältnisse: Der Anbieter darf Subunternehmer nur nach vorheriger schriftlicher Genehmigung des Nutzers einsetzen. Ausgenommen hiervon sind die bereits im AVV gelisteten Subunternehmer. Der Anbieter wird den Nutzer rechtzeitig über den geplanten Einsatz neuer Subunternehmer informieren.
Verpflichtung zur Löschung: Nach Beendigung des Nutzungsvertrags wird der Anbieter alle hochgeladenen Daten des Nutzers gemäß den vertraglichen Vereinbarungen löschen oder auf Anfrage an den Nutzer zurückgeben, es sei denn, gesetzliche Aufbewahrungspflichten bestehen.
13. Datenspeicherung und Aufbewahrungsfristen
13.1. Kostenlose Testphase
Während der kostenlosen Testphase werden alle Dokumente und extrahierten Daten automatisch nach 30 Tagen gelöscht. Eine Verlängerung oder Wiederherstellung ist nicht möglich.
13.2. Kostenpflichtige Nutzung
Der Anbieter speichert die vom Nutzer hochgeladenen Dokumente und daraus extrahierte Daten gemäß der im jeweils gebuchten Paket vereinbarten Speicherfrist. Nach Ablauf dieser Frist werden sämtliche Daten automatisch und unwiderruflich gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen.
Systemseitige Sicherungskopien (Backups) werden für einen Zeitraum von maximal 30 Tagen aufbewahrt und anschließend automatisch gelöscht. Diese Backups dienen ausschließlich der Systemwiederherstellung bei technischen Ausfällen und werden nicht für andere Zwecke verwendet.
Der Nutzer hat jederzeit die Möglichkeit, eine vorzeitige Löschung seiner Daten zu beantragen. Eine solche Anfrage ist schriftlich an datenschutz@jaai-group.com zu richten. Der Anbieter wird die Löschung innerhalb von 14 Tagen nach Eingang der Anfrage durchführen und bestätigen.
Protokolldaten und technische Logs, die für Fehleranalysen, Sicherheitsüberprüfungen und die Abrechnung erforderlich sind, werden für einen Zeitraum von maximal 90 Tagen aufbewahrt. Diese Daten enthalten keine Dokumentinhalte, sondern lediglich technische Informationen zur Systemnutzung.
14. Vertraulichkeit
Der Anbieter verpflichtet sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebs- und Geschäftsgeheimnissen und sonstigen als vertraulich bezeichneten Informationen zeitlich unbegrenzt vertraulich zu behandeln.
Der Anbieter wird seine Mitarbeiter und Erfüllungsgehilfen zur Vertraulichkeit verpflichten. Diese Verpflichtungen bleiben auch nach Beendigung des Vertrages bestehen.
Der Anbieter trifft angemessene technische und organisatorische Maßnahmen zum Schutz der vertraulichen Informationen des Nutzers. Diese Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst.
15. Sicherheit
Der Anbieter gewährleistet die Sicherheit der Nutzerdaten durch umfassende Verschlüsselung nach höchsten branchenüblichen Standards. Sämtliche Datenübertragungen erfolgen verschlüsselt. Die Daten werden innerhalb der Plattform streng nach Nutzer getrennt gespeichert.
Der Zugriff auf Nutzerdaten ist streng reglementiert und wird durch ein rollenbasiertes Berechtigungssystem gesteuert. Nur autorisierte Mitarbeiter des Anbieters haben im Rahmen ihrer Aufgaben Zugriff auf die Nutzerdaten. Dies betrifft insbesondere:
- Entwickler für die Wartung und Weiterentwicklung des Systems
- Support-Mitarbeiter zur Bearbeitung von Nutzeranfragen
- Administratoren für den Betrieb der Plattform
Alle Mitarbeiter mit Datenzugriff sind zur Vertraulichkeit verpflichtet und wurden entsprechend geschult. Der Zugriff wird protokolliert und regelmäßig überprüft.
Der Anbieter stellt sicher, dass Nutzerdaten nur im erforderlichen Umfang und nur für die vereinbarten Zwecke zugänglich sind. Eine Weitergabe von Daten an Dritte erfolgt nur nach vorheriger Zustimmung des Nutzers und aufgrund gesetzlicher Verpflichtungen im Rahmen der Auftragsverarbeitung.
Die detaillierten technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der Daten sind im Auftragsverarbeitungsvertrag dokumentiert und werden regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf angepasst.
16. Haftung und Gewährleistung
16.1. Inhalte
Der Anbieter übernimmt keine Haftung für die Inhalte, die der Nutzer auf der Plattform hochlädt und verarbeitet. Die Haftung für die datenschutzkonforme Verarbeitung von personenbezogenen Daten liegt beim Nutzer als Verantwortlicher gemäß DSGVO. Im Rahmen der Auftragsverarbeitung gemäß dem AVV beschränkt sich die Haftung des Anbieters auf Verstöße gegen die vertraglichen Pflichten als Auftragsverarbeiter, die sich direkt auf die Einhaltung der DSGVO beziehen.
16.2. Allgemeine Haftung
Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit. Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht) sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit.
16.3. Haftungsbeschränkung
Die Haftung ist im Falle leichter Fahrlässigkeit summenmäßig beschränkt auf die Höhe des vorhersehbaren Schadens, mit dessen Entstehung typischerweise gerechnet werden muss. Die Haftung ist zudem begrenzt auf die Höhe des vom Nutzer gezahlten Jahresentgelts.
16.4. Folgeschäden
Die Haftung für mittelbare und unvorhersehbare Schäden, Produktions- und Nutzungsausfall, entgangenen Gewinn, ausgebliebene Einsparungen und Vermögensschäden wegen Ansprüchen Dritter ist im Falle leichter Fahrlässigkeit ausgeschlossen.
16.5. Schäden durch fehlerhafte KI-Auslese
Der Anbieter haftet nicht für fehlerhafte KI-Ausleseergebnisse. Der Anbieter haftet insbesondere nicht bei Veränderung der KI-Auslesequalität durch Änderungen der Modelle oder der Prompts. Der Nutzer hat die Pflicht, alle KI-Ergebnisse selbst zu überprüfen.
16.6. Verfügbarkeit und Service Level
Die Verfügbarkeitsziele und detaillierten Service-Level-Vereinbarungen sind in den jeweiligen SLA-Dokumenten oder individuellen Vereinbarungen festgelegt. Bei Nichterreichung der vereinbarten Verfügbarkeitsziele gelten die in den entsprechenden SLA-Dokumenten definierten Kompensationsregelungen.
16.7. Höhere Gewalt
Bei Ereignissen höherer Gewalt, die dem Anbieter die Leistung wesentlich erschweren oder unmöglich machen, ist der Anbieter berechtigt, die Erfüllung seiner Verpflichtungen um die Dauer der Behinderung und eine angemessene Anlaufzeit hinauszuschieben.
16.8. Datensicherung
Der Nutzer ist für die regelmäßige Sicherung seiner Daten selbst verantwortlich. Bei Datenverlust ist die Haftung des Anbieters auf den typischen Wiederherstellungsaufwand beschränkt, der bei regelmäßiger Datensicherung eingetreten wäre.
16.9. Verjährung
Ansprüche des Nutzers verjähren nach einem Jahr ab Kenntnis der anspruchsbegründenden Umstände, spätestens jedoch nach zwei Jahren ab dem gesetzlichen Verjährungsbeginn.
16.10. Gesetzliche Rechte
Zwingende gesetzliche Haftungsvorschriften, insbesondere nach dem Produkthaftungsgesetz, bleiben unberührt.
16.11. Kostenlose Testphasen
Für Nutzer, die den Dienst im Rahmen einer kostenlosen Testphase nutzen, gilt: Der Anbieter übernimmt für die kostenlose Testphase keinerlei Gewährleistung oder Garantien hinsichtlich der Verfügbarkeit, Leistungsfähigkeit, Fehlerfreiheit, KI-Qualität oder Eignung des Dienstes für bestimmte Zwecke. Die Nutzung während der Testphase erfolgt auf eigenes Risiko des Nutzers. Der Anbieter behält sich das Recht vor, die kostenlose Testphase jederzeit ohne Vorankündigung zu beenden, einzuschränken oder zu modifizieren. Diese Einschränkungen gelten ausschließlich für die kostenlose Testphase und nicht für kostenpflichtige Nutzungsverträge.
Die automatische Löschung aller Daten nach 30 Tagen sowie die in § 3.1 genannten Funktionseinschränkungen dienen der Risikominimierung und dem Datenschutz während der Testphase.
17. Premium SLA
Der folgende Abschnitt gilt, wenn der Nutzer einen Premium SLA gebucht hat. Ziel des Premium SLA ist es, den Nutzern eine effiziente Nutzung der Software zu ermöglichen, indem umfassender Support bereitgestellt wird. Alle Anfragen, die über diesen Kanal laufen, werden zu den in der Preisliste aufgeführten Preisen abgerechnet.
17.1. Überblick über den Service
lector.ai verpflichtet sich, den Nutzern einen reaktionsschnellen und kompetenten Support zu bieten, um ihre Erfahrung zu verbessern und Anfragen oder Probleme im Zusammenhang mit der Nutzung der Software zu klären.
17.2. Supportumfang
Der Support, der im Rahmen dieser Vereinbarung angeboten wird, umfasst:
- Unterstützung bei der Nutzung, Konfiguration und Optimierung der Software.
- Beratung zur Nutzung neuer Funktionen.
- Allgemeine Fehlerbehebung bei gemeldeten Benutzerproblemen.
- Erläuterungen zur Software-Dokumentation.
Dieses SLA deckt nicht ab:
- Probleme im Zusammenhang mit der Infrastruktur des Nutzers oder Integrationen von Drittanbietern außerhalb des Geltungsbereichs der Software.
- Benutzerdefinierter Code oder Modifikationen durch den Nutzer.
- Ausfälle oder Störungen, die durch Faktoren außerhalb der Kontrolle von lector.ai GmbH verursacht werden (z. B. Netzwerkprobleme, Drittanbieterdienste).
17.3. Support-Kanäle
Benutzer können Probleme melden oder Support anfordern über:
- Support-Portal: lector.freshdesk.com
- E-Mail: ticket@lector.ai
Zugang zum Ticketsystem erhalten alle zahlenden Nutzer. Bei Anfragen, die sich nicht auf funktionale Störungen oder Fehler in der lector.ai Plattform beziehen, erklärt sich der Nutzer damit einverstanden, die Bearbeitung dieser Anfrage gemäß der aktuellen Preisliste zu vergüten.
17.4. Support-Zeiten
Der Support steht von Montag bis Freitag von 8:00 bis 16:00 Uhr zur Verfügung. Anfragen außerhalb der Geschäftszeiten werden am nächsten Arbeitstag bearbeitet.
17.5. Verantwortlichkeiten des Nutzers
Der Nutzer ist dafür verantwortlich:
- Probleme mit detaillierten Beschreibungen zu melden, einschließlich der Schritte zur Reproduktion des Problems.
- Sicherzustellen, dass entsprechende Benutzerberechtigungen für die Fehlerbehebung gewährt werden.
- Eine Ausreichende Konnektivität für den Zugriff auf die cloudbasierte Plattform aufrechtzuerhalten.
18. Reseller-Bedingungen
Diese Bestimmungen gelten ergänzend für Unternehmen, die als Reseller des lector.ai Cloudservices auftreten. Als Reseller gilt, wer den lector.ai Cloudservice als Teil seines eigenen Angebots an Dritte (Endnutzer) vertreibt oder in seine eigenen Produkte integriert.
18.1. Status des Resellers
Der Reseller handelt im eigenen Namen und auf eigene Rechnung. Er ist nicht berechtigt, im Namen des Anbieters aufzutreten oder den Anbieter rechtlich zu vertreten. Der Reseller kann jedoch bei entsprechender Vereinbarung die White-Label-Option nutzen, um den Service unter seinem eigenen Markennamen anzubieten.
18.2. Pflichten des Resellers
Der Reseller verpflichtet sich:
- Die Produkte und Dienstleistungen des Anbieters fachgerecht zu vermarkten
- Nutzer bzw. Endnutzer über den tatsächlichen Funktionsumfang und die Beschränkungen des Services wahrheitsgemäß zu informieren
- Bei Option 2 (Weiterverkauf) einen ersten Support-Level für seine Endnutzer bereitzustellen
- Alle Marketingmaterialien und -aussagen im Zusammenhang mit dem lector.ai Cloudservice vorab mit dem Anbieter abzustimmen
- Die Mindestabnahmemengen gemäß Reseller-Vereinbarung einzuhalten
- Jährliche Schulungen zu absolvieren, um Produktkenntnisse aktuell zu halten
18.3. Vertragsverhältnisse
Der Vertrag über die Nutzung des lector.ai Cloudservices kommt je nach Vereinbarung entweder:
- Direkt zwischen dem Nutzer und dem Anbieter zustande, wobei der Reseller als Vermittler auftritt und eine Provision erhält, oder
- Zwischen dem Endnutzer und dem Reseller, wobei der Reseller den Service vom Anbieter bezieht und an seine Endnutzer weitervertreibt
Im Fall von Option 1 gelten diese AGB unmittelbar für das Verhältnis zwischen Anbieter und Nutzer. Im Fall von Option 2 ist der Reseller verpflichtet, mit seinen Endnutzern Vereinbarungen zu treffen, die mindestens den Schutzstandard dieser AGB gewährleisten, insbesondere hinsichtlich Datenschutz und Vertraulichkeit.
18.4. Abrechnungsmodell
Option 1 (Vermittlung): Der Anbieter rechnet direkt mit dem Nutzer ab. Der Reseller erhält eine Vermittlungsprovision gemäß der separaten Reseller-Vereinbarung.
Option 2 (Weiterverkauf): Die Abrechnung erfolgt zwischen dem Anbieter und dem Reseller. Der Reseller ist für die Abrechnung mit seinen Endnutzern selbst verantwortlich. Die genauen Konditionen, einschließlich Rabattstrukturen, werden in einer separaten Reseller-Vereinbarung festgelegt.
18.5. Support und Wartung
Option 1 (Vermittlung): Der Anbieter stellt den direkten Support für die Nutzer bereit. Der Reseller kann bei Supportanfragen als Ansprechpartner fungieren und diese an den Anbieter weiterleiten.
Option 2 (Weiterverkauf): Der Reseller stellt den First-Level-Support für seine Endnutzer bereit. Bei technischen Problemen, die der Reseller nicht lösen kann, steht der Anbieter dem Reseller als Second-Level-Support zur Verfügung. Der direkte Support des Anbieters für Endnutzer des Resellers ist nur in Ausnahmefällen und nach vorheriger Absprache vorgesehen.
18.6. Support-Kontingent
Der Reseller kann beim Anbieter ein Support-Kontingent beauftragen, um ihn bei Second-Level Support Fällen zu unterstützen. Preise und Konditionen sind auf Anfrage erhältlich.
18.7. Kündigung des Reseller-Status
Der Anbieter behält sich das Recht vor, den Reseller-Status zu kündigen, wenn:
- Der Reseller gegen wesentliche Bestimmungen dieser AGB verstößt
- Der vereinbarte Mindestumsatz über einen Zeitraum von sechs aufeinanderfolgenden Monaten nicht erreicht wird
- Der Reseller in einer Weise auftritt, die dem Ruf des Anbieters schaden könnte
Bei Kündigung des Reseller-Status werden bestehende Verträge weiterhin entsprechend der vereinbarten Laufzeiten bedient. Bei Option 1 (Vermittlung) laufen die Nutzerverträge direkt mit dem Anbieter weiter. Bei Option 2 (Weiterverkauf) sind die Endnutzerverträge vom Reseller zu bedienen oder ordnungsgemäß zu übertragen.
19. Laufzeit und Kündigung
Der Vertrag über die Nutzung des Dienstes beginnt mit der Annahme eines Service Angebotes oder der selbständigen Registrierung und läuft für die Dauer des Nutzungsverhältnisses. Der Vertrag kann, falls nicht anders durch das Angebot bzw. die gebuchten Pakete ausgezeichnet, von beiden Parteien mit einer Frist von 30 Tagen zum Monatsende gekündigt werden. Bei Vertragsende werden sämtliche personenbezogenen Daten des Nutzers, die durch den Dienst verarbeitet wurden, gemäß den Regelungen im AVV gelöscht.
20. Limits bei der Verarbeitung
Bei der Verarbeitung gelten die im gebuchten Paket aufgeführten Limits. Der Anbieter behält sich das Recht vor, darüber hinaus technische Grenzen für die Nutzung der Verarbeitung festzulegen, um die Systemstabilität und Leistungsfähigkeit zu gewährleisten. Diese Limits können ohne Vorankündigung angepasst werden, wobei der Anbieter bestrebt ist, die Funktionalität im üblichen Rahmen aufrechtzuerhalten.
20.1. Größe der Dokumente und Bilder
Für hochgeladene Dokumente und Bilddateien gelten Größen- und Formatbeschränkungen zur Gewährleistung einer optimalen Systemleistung. Diese Limits können Dateigröße, Seitenanzahl und Bildauflösung umfassen.
Dokumente, die die definierten Limits überschreiten, werden nicht verarbeitet. In solchen Fällen wird empfohlen, die Dateien entsprechend zu komprimieren oder aufzuteilen.
Die genauen technischen Limits für Dokumenten- und Bildgrößen sind in der jeweils aktuellen technischen Dokumentation oder den SLA-Dokumenten festgehalten und können je nach technischer Weiterentwicklung angepasst werden.
20.2. Extraktion
Für die Extraktion von Daten aus Dokumenten gilt eine Begrenzung der maximalen Anzahl von Feldern pro Dokumentenklasse. Diese Begrenzung dient der Sicherstellung einer optimalen Systemleistung und Auslesepräzision. Die exakte Anzahl der maximal extrahierbaren Felder kann je nach technischer Entwicklung variieren und wird in der aktuellen Dokumentation festgehalten.
20.3. Klassifikation
Die Anzahl der möglichen Dokumentenklassen für die Klassifikation ist begrenzt. Diese Begrenzung gilt sowohl für die Gesamtanzahl der Klassen im System als auch für die Anzahl der Klassen, die in einem einzelnen Klassifikationsvorgang berücksichtigt werden können. Die genauen Limits sind in der technischen Dokumentation festgehalten.
20.4. Prompt-Länge und Beschreibungen
Um eine optimale Verarbeitung durch die KI-Modelle zu gewährleisten, existieren Längenbeschränkungen für Prompts und Beschreibungen von Dokumentenklassen. Diese Limits werden durch die technischen Eigenschaften der verwendeten KI-Modelle bestimmt und können sich mit der Weiterentwicklung dieser Modelle ändern.
20.5. Exportierungen
Der Anbieter behält sich vor, die Anzahl gleichzeitiger Exportvorgänge oder das Volumen von Massenexporten für einen einzelnen Nutzer zu begrenzen, um die Systemleistung und Servicequalität für alle Nutzer zu gewährleisten. Bei Bedarf an umfangreichen Datenexporten wird empfohlen, diese vorab mit dem Anbieter abzustimmen.
20.6. Anpassung der Limits
Der Nutzer hat die Möglichkeit, eine Anhebung individueller Limits anzufragen. Der Anbieter wird solche Anfragen prüfen und kann nach eigenem Ermessen und unter Berücksichtigung technischer und wirtschaftlicher Faktoren einer Anpassung zustimmen. Eine Anpassung kann mit zusätzlichen Kosten verbunden sein.
21. Single Sign-On (SSO)
Für den komfortablen und sicheren Zugang zu dem Dienst von lector.ai bietet lector.ai die Möglichkeit zur Anmeldung über Single Sign-On-Verfahren von Drittanbietern an, namentlich [Google und/oder Microsoft].
Bei Nutzung dieser Anmeldemethode werden bestimmte personenbezogene Daten (insbesondere E-Mail-Adresse, Name und Authentifizierungsinformationen) zwischen unserem Dienst und dem jeweiligen Drittanbieter ausgetauscht, um Ihre Identität zu verifizieren und den Zugang zu ermöglichen.
Die Nutzung des Single Sign-On-Verfahrens ist optional. Alternativ können Sie sich auch direkt mit einem Benutzerkonto bei unserem Dienst registrieren.
Bitte beachten Sie, dass bei Nutzung des SSO-Verfahrens die Datenschutzbestimmungen des jeweiligen Drittanbieters zusätzlich Anwendung finden. Wir empfehlen Ihnen, sich mit diesen vertraut zu machen.
22. Schlussbestimmungen
Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Bremen. Der Auftragsverarbeitungsvertrag (AVV) ist ein integraler Bestandteil dieser AGB, und im Falle eines Widerspruchs zwischen diesen AGB und dem AVV hat der AVV Vorrang.
22.1. Salvatorische Klausel
Sollten einzelne Bestimmungen dieser AGB unwirksam oder undurchführbar sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Gleiches gilt für eventuelle Regelungslücken.
22.2. Schriftformerfordernis
Änderungen und Ergänzungen dieser AGB bedürfen der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses selbst. Elektronische Kommunikation per E-Mail genügt der Schriftform, sofern die Erklärung mit einer qualifizierten elektronischen Signatur versehen ist oder der Absender auf andere Weise zweifelsfrei identifiziert werden kann.
Datenschutzvereinbarung nach Art. 28 DSGVO
Verarbeitung personenbezogener Daten im Auftrag
zwischen
lector.ai GmbH
Konsul-Smidt-Straße 8p
28217
Bremen
- nachfolgend “lector.ai” genannt -
und
{{CUSTOMER_NAME}}
{{CUSTOMER_STREET}}
{{CUSTOMER_POSTAL_CODE}} {{CUSTOMER_CITY}}
{{CUSTOMER_COUNTRY}}
- nachfolgend “Kunde” genannt -
Stand: 29. Juli 2025
Präambel
Der Kunde nutzt den von lector.ai betriebenen internetbasierten Dienst zur Verarbeitung von Dokumenten. In diesem Zusammenhang ist nicht ausgeschlossen, dass der Kunde personenbezogene Daten verarbeitet. Nach Art. 28 DSGVO ist hierfür der Abschluss eines Auftragsverarbeitungsvertrags erforderlich.
Voraussetzung für die Zulässigkeit einer solchen Auftragsverarbeitung i. S. d. Art. 28 DSGVO ist, dass der Kunde lector.ai den Auftrag erteilt. Dieser Vertrag enthält diesen Auftrag des Kunden an lector.ai und regelt die Rechte und Pflichten der Parteien im Zusammenhang mit dieser Datenverarbeitung sowie die sich daraus ergebenden besonderen Pflichten in Bezug auf Datenschutz und Datensicherheit.
Grundsätzlich ist der Kunde für die Einhaltung der Vorschriften der DSGVO und anderer Vorschriften über den Datenschutz verantwortlich und behält insofern die Herrschaft über die zu verarbeitenden Daten. lector.ai wird den Kunden hierbei in geeigneter Weise unterstützen.
1. Gegenstand, Umfang und Dauer des Auftrags
1.1 Diese Vereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem zugrunde liegenden Auftrag in Zusammenhang stehen und bei denen Mitarbeiter von lector.ai oder durch lector.ai beauftragte Dritte mit personenbezogenen Daten des Kunden in Berührung kommen können. Der Auftrag des Kunden an lector.ai umfasst die in der Anlage 1 wiedergegebenen Arbeiten und/oder Leistungen. Aus der Anlage ergibt sich zudem der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen.
1.2 Der Vertrag beginnt mit Unterzeichnung und läuft für die Dauer des zwischen den Parteien bestehenden Hauptvertrages über Nutzung der Dienstleistungen von lector.ai durch den Kunden. Das Recht zur außerordentlichen Kündigung bei Vorliegen eines wichtigen Grundes bleibt unberührt. Ein wichtiger Grund in diesem Sinne ist insbesondere dann gegeben, wenn lector.ai gegen Bestimmungen der DSGVO oder gegen Bestimmungen dieses Auftragsverarbeitungsvertrages verstößt.
1.3 Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie lector.ai personenbezogene Daten des Kundes verarbeitet (einschließlich Backups).
1.4 Soweit sich aus anderen Vereinbarungen zwischen dem Kunden und lector.ai anderweitige Abreden zum Schutz personenbezogener Daten ergeben, soll dieser Vertrag zur Auftragsverarbeitung vorrangig gelten, es sei denn die Parteien vereinbaren ausdrücklich etwas anderes.
2. Rechte betroffener Personen
2.1 Der Kunde ist für die Wahrung der Betroffenenrechte allein verantwortlich. lector.ai ist verpflichtet, den Kunden bei seiner Pflicht, Betroffenenanfragen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützen. lector.ai hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Kunden erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.
2.2 Soweit eine Mitwirkung von lector.ai für die Wahrung von Betroffenenrechten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch den Kunden erforderlich ist, wird lector.ai die jeweils erforderlichen Maßnahmen nach Weisung des Kunden treffen. lector.ai wird den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.
3. Rechte und Pflichten sowie Weisungsbefugnis des Kunden
3.1 Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO ist allein der Kunde verantwortlich.
3.2 Der Kunde ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch lector.ai. lector.ai steht nach Ziff. 4 c) das Recht zu, den Kunden darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.
3.3 Der Kunde ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. lector.ai wird den Kunden unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber lector.ai geltend machen.
3.4 Der Kunde hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber lector.ai zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen.
3.5 Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Kunden bei lector.ai entstehen, bleiben unberührt.
3.6 Der Kunde informiert lector.ai unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
3.7 Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Kunden geltenden gesetzlichen Meldepflicht besteht, ist der Kunde für deren Einhaltung verantwortlich.
4. Kontrollbefugnisse des Kunden
4.1 Der Kunde hat das Recht, in Zusammenarbeit mit lector.ai unentgeltlich Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung und insbesondere der in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen durch lector.ai in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen.
4.2 lector.ai ist dem Kunden gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i. S. d. Absatzes (1) erforderlich ist.
4.3 lector.ai stellt sicher, dass sich der Kunde von der Einhaltung der Pflichten von lector.ai nach Art. 28 DSGVO überzeugen kann. Der Kunde kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Abs. (1) in der Betriebsstätte von lector.ai zu den jeweils üblichen Geschäftszeiten vornehmen. Der Kunde wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe von lector.ai durch die Kontrollen nicht unverhältnismäßig zu stören. Die Parteien gehen davon aus, dass eine Kontrolle höchstens einmal jährlich erforderlich ist. Weitere Prüfungen sind vom Kunden unter Angabe des Anlasses zu begründen. Im Falle von Vor-Ort-Kontrollen werden der Kunde und lector.ai die entstehenden Aufwände für die Betreuung und Begleitung der Kontrollpersonen vor Ort gesondert vereinbaren.
4.4 Weitere Nachweise solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, können erfolgen durch:
die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
5. Pflichten von lector.ai
5.1 lector.ai verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Kunden, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Europäischen Union oder dessen Mitgliedstaaten, dem lector.ai unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt lector.ai dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
5.2 Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Kunden. Eine hiervon abweichende Verarbeitung von Daten ist lector.ai untersagt, es sei denn, dass der Kunde dieser schriftlich zugestimmt hat.
5.3 lector.ai verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Kunden nicht erstellt.
5.4 lector.ai sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. lector.ai sichert zu, dass die für den Kunden verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
6. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DSGVO)
6.1 Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Kunden ist lector.ai nur mit Genehmigung des Kunden gestattet, welche schriftlich oder in einem elektronischen Format erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn lector.ai dem Kunden Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss lector.ai dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt.
6.2 lector.ai ist berechtigt, die in Anlage 3 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang einzusetzen. Mit deren Beauftragung erklärt sich der Kunde einverstanden.
6.3 lector.ai hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen dem Kunden und lector.ai getroffenen Vereinbarungen einhalten kann. lector.ai hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. lector.ai wird den Kunden im Falle eines geplanten Wechsels eines Unterauftragnehmers oder bei geplanter Beauftragung eines neuen Unterauftragnehmers rechtzeitig, spätestens aber 2 Wochen vor dem Wechsel bzw. der Neubeauftragung in Textform zu informieren. Der Kunde hat das Recht, dem Wechsel oder der Neubeauftragung des Unterauftragnehmers unter Angabe einer Begründung in Textform binnen 2 Wochen nach Zugang der Information zu widersprechen. Der Widerspruch kann vom Kunden jederzeit in Textform zurückgenommen werden. Im Falle eines Widerspruchs wird lector.ai nach eigenem Ermessen entweder:
auf den Einsatz des geplanten Unterauftragnehmers verzichten und, soweit möglich und wirtschaftlich zumutbar, eine alternative Lösung anbieten; oder
wenn ein Verzicht auf den Unterauftragnehmer für lector.ai nicht möglich ist, besteht für beide Vertragsparteien ein Sonderkündigungsrecht mit einer Frist von 14 Tagen zum Ende eines Kalendermonats. Dieses Sonderkündigungsrecht kann innerhalb von 14 Tagen nach Mitteilung von lector.ai, dass ein Verzicht auf den Unterauftragnehmer nicht möglich ist, ausgeübt werden.
Wenn kein Widerspruch des Kunden binnen zwei Wochen nach Zugang der Information erfolgt, gilt dies als Zustimmung des Kunden zum Wechsel bzw. zur Neubeauftragung des betreffenden Unterauftragnehmers. Auf die Bedeutung seines Schweigens wird der Kunde in der Information gesondert hingewiesen.
6.4 lector.ai hat die Einhaltung der Pflichten der Subunternehmer zu überprüfen, das Ergebnis der Überprüfungen zu dokumentieren und dem Kunde auf Verlangen zugänglich zu machen.
7. Sonstige Pflichten von lector.ai
7.1 lector.ai hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet lector.ai insbesondere die Einhaltung folgender Vorgaben:
7.1.1 Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt.
Kontaktdaten:
Tel.: +49 421 40887928
E-Mail: <datenschutz@jaai-group.com>Ein Wechsel des Datenschutzbeauftragten ist dem Kunden unverzüglich mitzuteilen.
7.1.2 Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. lector.ai setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. lector.ai und jede lector.ai unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Kunden verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen.
7.1.3 Der Kunde und lector.ai arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
7.1.4 Die unverzügliche Information des Kunden über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung bei lector.ai ermittelt.
7.1.5 Soweit der Kunde seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei lector.ai ausgesetzt ist, hat ihn lector.ai nach besten Kräften zu unterstützen.
7.1.6 lector.ai kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
7.1.7 Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Kunden im Rahmen seiner Kontrollbefugnisse nach Ziffer 4 dieses Vertrages.
7.1.8 lector.ai unterstützt den Kunden in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung.
7.1.9 Soweit der Kunde zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt ihn lector.ai unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.
7.2 Dieser Vertrag entbindet lector.ai nicht von der Einhaltung anderer Vorgaben der DSGVO.
7.3 Kopien oder Duplikate der Daten werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
7.4 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Kunde – spätestens mit Beendigung des Hauptvertrags – hat lector.ai sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, zu löschen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
7.5 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch lector.ai entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. lector.ai kann sie zu seiner Entlastung bei Vertragsende dem Kunden übergeben.
8. Technisch-organisatorische Maßnahmen
8.1 lector.ai hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Kunden zur Prüfung zu übergeben. Bei Akzeptanz durch den Kunden werden die dokumentierten Maßnahmen als Anlage 2 Grundlage des Auftrages. Soweit eine Prüfung/ein Audit des Kunden einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
8.2 lector.ai hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme von lector.ai. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
8.3 lector.ai ist verpflichtet, die in Anlage 2 vereinbarten Maßnahmen während der gesamten Vertragslaufzeit nach dem jeweiligen Stand der Technik durchzuführen.
8.4 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es lector.ai gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen muss lector.ai dem Kunden in dokumentierter Form (schriftlich, elektronisch) mitteilen.
9. Protokoll bei Datenschutzverletzungen
9.1 Meldung von Datenschutzverletzungen: lector.ai ist verpflichtet, den Kunden unverzüglich und, soweit möglich, spätestens 48 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen. Die Meldung muss mindestens Folgendes enthalten:
9.1.1 Eine Beschreibung der Art der Datenschutzverletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze.
9.1.2 Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, bei der weitere Informationen eingeholt werden können.
9.1.3 Eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung.
9.1.4 Eine Beschreibung der von lector.ai ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, einschließlich, soweit zutreffend, Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
9.2 Abmilderungsmaßnahmen: lector.ai hat alle notwendigen und angemessenen Maßnahmen zu ergreifen, um die Auswirkungen der Datenschutzverletzung zu mildern und weitere Verletzungen zu verhindern.
9.3 Dokumentation: lector.ai hat alle Datenschutzverletzungen zu dokumentieren, einschließlich der damit zusammenhängenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss es dem Kunden ermöglichen, die Einhaltung dieser Klausel zu überprüfen.
10. Streitbeilegung
10.1 Gütliche Einigung: Im Falle eines Streits, der sich aus oder im Zusammenhang mit diesem Vertrag ergibt, werden die Parteien zunächst versuchen, den Streit gütlich durch Verhandlungen beizulegen.
10.2 Mediation: Kann der Streit nicht innerhalb von 30 Tagen durch Verhandlungen beigelegt werden, vereinbaren die Parteien, den Streit durch Mediation zu klären, bevor sie rechtliche Schritte einleiten. Die Mediation findet in Bremen, Deutschland, statt und die Sprache der Mediation ist Deutsch.
10.3 Schiedsverfahren: Wird der Streit nicht innerhalb von 60 Tagen nach Beginn der Mediation beigelegt, wird der Streit endgültig durch ein Schiedsverfahren gemäß den Regeln des Deutschen Instituts für Schiedsgerichtsbarkeit (DIS) entschieden. Das Schiedsverfahren findet in Bremen, Deutschland, statt und die Sprache des Schiedsverfahrens ist Deutsch.
10.4 Kosten: Jede Partei trägt ihre eigenen Kosten, die aus den Mediations- und Schiedsverfahren entstehen, es sei denn, die Parteien vereinbaren etwas anderes oder der Schiedsrichter entscheidet anders.
10.5 Vertraulichkeit: Alle Verhandlungen, Mediations- und Schiedsverfahren im Zusammenhang mit dem Streit sind vertraulich und dürfen ohne vorherige schriftliche Zustimmung der anderen Partei nicht an Dritte weitergegeben werden, es sei denn, dies ist gesetzlich vorgeschrieben.
11. Sonstige Bestimmungen
11.1 Auf alle aus diesem Vertrag oder im Zusammenhang damit entstehenden Rechtsfragen zwischen den Vertragspartnern findet ausschließlich die DSGVO in deutschsprachiger Fassung sowie im Übrigen das Recht der Bundesrepublik Deutschland unter Ausschluss des Kollisionsrechts Anwendung.
11.2 Vorbehaltlich eines anderweitigen zwingenden Gerichtsstands ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder in Verbindung mit diesem Vertrag Bremen.
11.3 Sollten einzelne Bestimmungen dieses Vertrages inkl. seiner Anlagen unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. An die Stelle der unwirksamen Bestimmung setzen die Parteien einvernehmlich eine solche Ersatzregelung, die dem mit der unwirksamen Bestimmung angestrebten Zweck möglichst nahekommt. Entsprechendes gilt im Falle etwaiger Lücken im Vertrag.
Bremen, den 29.07.2025
______________________________________
Benjamin von Ardenne
Geschäftsführer lector.ai GmbH
Der Kunde hat seine Willenserklärung zum Abschluss des Vertrages elektronisch am 29.07.2025 über die IP-Adresse 127.0.0.1 abgegeben.
Anlage 1: Beschreibung der Datenverarbeitung von lector.ai
Stand: 29. Juli 2025
Umfang, Art und Zweck:
Verarbeitung von Dokumenten unterschiedlicher Kategorien; insbesondere Kategorisierung und Informations-Extraktion.
Arten von Daten:
Jegliche durch den Kunden im Dienst gespeicherte Daten, insbesondere von ihrer Endkundschaft, Lieferant:innen oder Mitarbeitenden, nämlich Name, Anschrift, E-Mail-Adressen, ggf. Telefonnummer, sowie Details zu getätigten Bestellungen.
Betroffene:
Endkundschaft, Lieferant:innen, Mitarbeitende.
Anlage 2: Checkliste technische und organisatorische Maßnahmen im Rahmen der Auftragsverarbeitung
Stand: 29. Juli 2025
Die nachfolgende Checkliste umfasst technische und organisatorische Maßnahmen, die im Rahmen der Auftragsverarbeitung umgesetzt werden können. Die Auswahl und Umsetzung der Maßnahmen erfolgt unter Berücksichtigung der spezifischen Anforderungen und Gegebenheiten des Auftraggebers und Auftragnehmers.
Kontakt Datenschutzbeauftragte:
Tel.: +49 421 40887928
E-Mail: <datenschutz@jaai-group.com>Die in diesem Dokument beschriebenen technischen und organisatorischen Maßnahmen beziehen sich ausschließlich auf die Datenverarbeitung durch lector.ai und gelten nicht für externe Dienstleister, insbesondere Cloud-Dienstleister.
Bei der Beantwortung der Fragen wird in der Spalte “Erfüllt?” aus folgenden Werten gewählt:
- “Ja”, “Ja (gem. Zertifikat)” oder “Nein” entsprechend des aktuellen Umsetzungsstandes,
- “n/a”, wenn diese Maßnahme nicht zutrifft oder nicht sinnvoll ist
- ein Umsetzungsdatum, wenn die Maßnahme zwar als sinnvoll angesehen wird, aber erst zum angegebenen Datum umgesetzt wird.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle
| Maßnahme | Erfüllt? |
|---|---|
| Ausweistragepflicht für Besucher | Ja |
| Ausweistragepflicht für Mitarbeiter | Ja |
| Personenkontrolle am Eingang | Ja |
| Protokollierung der Besucher (Besucherbuch) | Ja |
| Protokollierung der Schlüsselausgabe (Schlüsselbuch) | Ja |
| Sorgfältige Auswahl des Reinigungspersonals | Ja |
| Einrichtung von Schutz- und Sicherheitszonen | Ja |
| Festlegung der zugangsberechtigten Personen | Ja |
| Absicherung von Gebäudeschächten | n/a |
| Alarmanlage | Ja |
| Automatisches Zugangskontrollsystem | Nein |
| Bewegungsmelder | Ja |
| Manuelles Schließsystem | Ja |
| Schließsystem mit Zugangscode | Nein |
| Sicherheitsschlösser | Ja |
| Videoüberwachung der Zugänge | Ja |
| Protokollierung der Zu- und Abgänge | Nein |
Zugangskontrolle
| Maßnahme | Erfüllt? |
|---|---|
| Revisionsfähigkeit der Zugangsberechtigungen | Ja |
| Passwortrichtlinie (Regelung von Passwortregeln und Wechsel) | Ja |
| Multi-Faktor-Authentifizierung | Ja |
| Zertifizierte Dienstleister für Akten- und Datenvernichtung | Ja |
| Regelungen zur Verlustmeldung und Reaktionen auf Datenträgerverlust | Ja |
| Netzwerksegmentierung | Nein |
| NAC - Network Access Control | Ja |
| Automatische Bildschirmsperre | Ja |
| Cloud-Zugangskontrolle über IAM | Ja |
Zugriffskontrolle
| Maßnahme | Erfüllt? |
|---|---|
| Minimierte Anzahl von Administratoren | Ja |
| Sichere Aufbewahrung von Datenträgern | Ja |
| Sichere Verwaltung von Benutzerrechten | Ja |
| Regelmäßige Überprüfung der Berechtigungen | Ja |
| Revisionsfähiges Rollen-, Berechtigungs- und Nutzerkonzept | Ja |
| Datenträger-Vernichtung nach DIN 66399 | Ja |
| Externer Aktenvernichter (DIN 32757) | Ja |
| Physische Löschung von Datenträgern vor Wiederverwendung | Nein |
| Protokollierung der Datenvernichtung | Ja |
| Protokollierung der Eingabe, Veränderung und Löschung von Daten | Ja |
| Verschlüsselung von Datenträgern | Ja |
| Verschlüsselung von mobilen Geräten | Ja |
| Beschränkung der freien Abfragemöglichkeiten von Datenbanken | Ja |
| Zeitliche Begrenzung der Zugriffsmöglichkeiten | Ja |
Trennbarkeit von Daten
| Maßnahme | Erfüllt? |
|---|---|
| Trennung von Datenbanken durch Berechtigungen | Ja |
| Berechtigungskonzept für Anwendungen, Laufwerke und Dateien | Ja |
| Organisatorische Berücksichtigung der Mandantentrennung | Ja |
| Datensätze sind mit Zweckattributen versehen | Ja |
| Trennung von Produktiv- und Testsystem | Ja |
| Mandantenfähigkeit relevanter Anwendungen, inkl. Cloud-Ressourcen | Ja |
| Physikalisch getrennte Systeme | Nein |
| Logische Trennung der Cloud-Instanzen | Ja |
| Trennung durch getrennte Verschlüsselung | Ja |
| Verwendung von Software, die eine buchhalterische Mandantentrennung ermöglicht | Ja |
Pseudonymisierung
| Maßnahme | Erfüllt? |
|---|---|
| Interne Anweisung, personenbezogene Daten im Falle der Weitergabe oder nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren/pseudonymisieren | Ja |
| Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System | Nein |
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Weitergabekontrolle
| Maßnahme | Erfüllt? |
|---|---|
| Festlegung der Übermittlungswege und der Datenempfänger | Ja |
| Organisatorische Regelungen zur Einrichtung und Befristung von Fernzugriffen (z. B. VPN) | Ja |
| Regelungen zum datenschutzgerechten Einsatz mobiler Datenträger | Ja |
| Regelungen zum datenschutzgerechten E-Mail-Versand | Ja |
| Nutzung von Cloud-Anbietern (z. B. Office365, Google Cloud) | Ja |
| Nutzung der OVH Cloud als primäre Hosting-Infrastruktur | Ja |
| Nutzung einer eigenen Serverinfrastruktur | Nein |
| Nutzung von hosted Servern eines Dienstleisters | Ja |
| Dokumentation der Abruf- und Übermittlungsvorgänge | Ja |
| Dokumentation der Datenempfänger, Überlassungs- und Löschfristen | Ja |
| Automatisierte Überwachung nach außen offener Ports, Protokolle und Dienste | Ja |
| Protokollierung der Datenübermittlung inkl. Abrufe und Empfänger | Ja |
| Einrichtung von VPN-Tunneln | Ja |
| E-Mail-Verschlüsselung | Nein |
| Sicheres Löschen | Ja |
| Überprüfung von Datenträgern auf Virenbefall | Ja |
| Zeitbegrenzung von Zugriffsmöglichkeiten | Ja |
| Protokollierung der autorisierten Weitergabe und Entfernung von Datenträgern | Ja |
| Protokollierung der Kopie von Datenträgern | Ja |
| Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger | Ja |
Datenintegrität
| Maßnahme | Erfüllt? |
|---|---|
| Sicherung der Software durch digitale Signaturen oder Hashwerte | Ja |
| Verschlüsselung der Datenträger | Ja |
| Verschlüsselung der internen Übertragungswege | Ja |
| Verschlüsselung von Dateien und Datenbanken | Ja |
| Kontrolle und Trennung von System- und User-Aktivitäten | Ja |
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Verfügbarkeitskontrolle
| Maßnahme | Erfüllt? |
|---|---|
| Notfallplan für die eingesetzten Systeme | Ja |
| Backup- und Recovery-Konzept | Ja |
| Kontrolle des Sicherungsvorgangs | Ja |
| Test der Datenwiederherstellung | Ja |
| Automatisierte Systemüberwachung und Alarmierung | Ja |
| Feuer- und Rauchmeldeanlagen | Ja |
| USV - Unterbrechungsfreie Stromversorgung | Ja |
| Trennung von Produktiv- und Testsystem | Ja |
| Nutzung der OVH Cloud-Infrastruktur mit SLA für Hochverfügbarkeit | Ja |
| Geografisch verteilte Rechenzentren des Cloud-Anbieters | Ja |
| Cloud-basiertes Backup- und Recovery-Konzept | Ja |
| Datenverarbeitung ausschließlich in EU-Rechenzentren | Ja |
4. Wiederherstellbarkeit und Zuverlässigkeit (Art. 32 Abs. 1 lit. c DS-GVO)
Wiederherstellbarkeit
Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
| Maßnahme | Erfüllt? |
|---|---|
| Notfallplan | Ja |
| Mehrstufiges Backup- und Restorekonzept | Ja |
| Sicherheits-Vorfall-Management | Ja |
| Notfallkonzept | Ja |
| Backup- und Restoreautomatisierung | Ja |
| Nutzung der Cloud-Anbieter-Disaster-Recovery-Funktionen | Ja |
| Regelmäßige Tests der Wiederherstellungsprozesse in der Cloud-Umgebung | Ja |
Zuverlässigkeit
Gewährleistet das zuverlässige Funktionieren der Datenverarbeitungssysteme
| Maßnahme | Erfüllt? |
|---|---|
| Mindestens jährliche und dokumentierte Überprüfung der TOM | Ja |
| Regelung zur Reaktion auf Störungen | Ja |
| SLA für IT-Leistungen | Ja |
| Zentrale Beschaffung von Hard- und Software | Nein |
| Virenschutz | Ja |
| Malwarescan | Ja |
| Penetrationstests | Nein |
| Regelmäßiges und zeitnahes Patch-Management | Ja |
| MDM (Mobile Device Management) - Umfassendes System zur zentralen Verwaltung, Sicherung und Überwachung von mobilen Endgeräten inklusive Durchsetzung von Sicherheitsrichtlinien, Fernlöschung, Verschlüsselungsmanagement und Anwendungskontrolle | Ja |
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Auftragskontrolle
Gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
| Maßnahme | Erfüllt? |
|---|---|
| Auftragsverarbeitungsvertrag (AVV) | Ja |
| Laufende Überprüfung des Auftragnehmers | Ja |
| Prüfung der TOM des Auftragnehmers vor erstmaliger Datenübertragung | Ja |
| Sichere Datenvernichtung nach Auftragsende | Ja |
| Vereinbarung von Kontrollrechten | Ja |
| Vereinbarung von Kontrollrechten für lector.ai | Ja |
| Vereinbarung von Vertragsstrafen | Nein |
| Verpflichtung der Mitarbeiter des Auftragnehmers auf die Vertraulichkeit nach DSGVO | Ja |
| Sorgfältige Auswahl des Auftragnehmers | Ja |
| Sorgfältige Vertragsgestaltung | Ja |
| Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber | Ja |
| Schriftliche Weisungen an den Auftragnehmer | Ja |
| Regelungen zum Einsatz weiterer Subunternehmer | Ja |
| Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags | Ja |
| Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus bei längerer Zusammenarbeit | Ja |
| Protokollierung und Kontrolle der ordnungsgemäßen Vertragsausführung | Ja |
Datenschutz-Management
Gewährleistet die Einhaltung der DSGVO durch die Etablierung entsprechender Prozesse
| Maßnahme | Erfüllt? |
|---|---|
| Interner/externer Datenschutzbeauftragter (Kontaktdaten in AVV) | Ja |
| Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet | Ja |
| Regelmäßige Sensibilisierung der Mitarbeiter (mindestens jährlich) | Ja |
| Interner Informationssicherheitsbeauftragter | Ja |
| Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt | Ja |
| Die Organisation kommt den Informationspflichten nach Art. 13, 14 DSGVO nach | Ja |
| Formaler Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener | Ja |
| Software-Lösungen für Datenschutz-Management im Einsatz | Nein |
| Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz | Ja |
| Sicherheitszertifizierung nach ISO 27001, BSI IT Grundschutz oder ISIS12 | Nein |
| Alternatives Informationssicherheitskonzept | Ja |
| Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen (mindestens jährlich) | Ja |
| Berücksichtigung der ISO 27001, 27017, 27018 Zertifizierungen des Cloud-Anbieters | Ja |
| Abschluss eines AVV mit dem Cloud-Anbieter OVH | Ja |
| Jährliche Überprüfung der Compliance des Cloud-Anbieters | Ja |
Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen
| Maßnahme | Erfüllt? |
|---|---|
| Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/Datenpannen | Ja |
| Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen | Ja |
| Einbindung von DSB in Sicherheitsvorfälle und Datenpannen | Ja |
| Einbindung von ISB in Sicherheitsvorfälle und Datenpannen | Ja |
| Dokumentation von Sicherheitsvorfällen und Datenpannen, z.B. via Ticketsystem | Ja |
| Formaler Prozess zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen | Ja |
| Einsatz von Firewall und regelmäßige Aktualisierung | Ja |
| Einsatz von Spamfilter und regelmäßige Aktualisierung | Ja |
| Einsatz von Virenscanner und regelmäßige Aktualisierung | Ja |
| Intrusion Detection System (IDS) | Ja |
| Intrusion Prevention System (IPS) | Ja |
Datenschutzfreundliche Voreinstellungen
Gemäß Art. 25 Abs. 2 DSGVO
| Maßnahme | Erfüllt? |
|---|---|
| Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Maßnahmen | Nein |
| Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind | Ja |
Die Richtigkeit der Angaben wird bestätigt:
Benjamin von Ardenne
Geschäftsführer der lector.ai GmbH
Bremen, 29.07.2025
Anlage 3: Genehmigte Subunternehmer
Info: Diese Anlage ist Bestandteil der Auftragsverarbeitungsvereinbarung (AVV) und listet alle genehmigten Subunternehmer auf. Die Serverstandorte sind bewusst auf EU/DE-Regionen beschränkt, um DSGVO-Konformität zu gewährleisten. Der Stand des Dokuments und die Subunternehmer-Liste werden regelmäßig auf Aktualität überprüft.
Stand: 29. Juli 2025
Zum Zeitpunkt der Beauftragung genehmigt der Auftraggeber den Einsatz folgender Subunternehmer für die nachfolgend dargestellten Tätigkeiten:
| Name/Firma | Anschrift | Serverstandort(e) | Tätigkeit |
|---|---|---|---|
| Google Cloud EMEA Limited**1 | Gordon House, Barrow Street, Dublin 4, D04 E5W5, Ireland | Frankfurt (europe-west3), Belgien (europe-west1) | Hosting von virtuellen Maschinen für Entwicklung, Monitoring und Betriebs-Support, Optional Betrieb von LLM-Modellen (u.a. Anthropic, Gemini und Llama Modelle) über Vertex Ai. |
| OVH GmbH**2 | Oskar-Jäger-Str. 173/K6, 50825 Köln, Deutschland | Frankfurt (DE), Graveline (FR) | Betrieb der lector.ai Platform-as-a-Service und der LLM-Proxy-Services. |
| Azure OpenAI Service**3 | Microsoft Ireland South County Business Park, One Microsoft Place, Carmanhall and Leopardstown, Dublin 18, D18 P521, Ireland | Deutschland (Germany West Central) | Betrieb von DSGVO-konformen GPT-4 und ähnlichen Large Language Models über den Azure OpenAI Service. |
| n8n GmbH**4 | Novalisstr. 10, 10115, Berlin, Germany | Frankfurt (DE) | Optional: Betrieb der n8n-Workflow-Automatisierungsplattform für die Integration von Geschäftsprozessen und Datenflüssen. |
| HubSpot Ireland Limited**5 | One Dockland Central, Guild Street, Dublin 1, Ireland | Frankfurt (EU Central) | CRM-System, Kundenkommunikation, Marketing E-Mails und Verwaltung von Kundenbeziehungen. |
| Stripe Payments Europe Ltd.**6 | The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland | Europa (EU-Region, Dublin) | Abrechnung und Zahlungsabwicklung für die Dienste von lector.ai. |
Die Auftragsverarbeitung durch den Subunternehmer Google LLC wird durch das Data Processing Agreement https://cloud.google.com/terms/data-processing-terms geregelt und fällt unter die Standard-Datenschutz-Klauseln (SDK) https://cloud.google.com/terms/sccs/eu-c2p. Zusätzlich ist Google Cloud seit Oktober 2023 nach dem EU-US Data Privacy Framework zertifiziert, was einen weiteren Rechtsrahmen für den Datentransfer zwischen der EU und den USA bietet.
Für die Nutzung der Google Cloud Vertex AI gelten die Zusatzbedingungen der Gemini API (https://ai.google.dev/gemini-api/terms?hl=de). Für diese kostenpflichtigen Dienste gilt insbesondere: „Wenn Sie kostenpflichtige Dienste nutzen, verwendet Google Ihre Prompts (einschließlich zugehöriger Systemanweisungen, im Cache gespeicherter Inhalte und Dateien wie Bilder, Videos oder Dokumente) oder Antworten nicht, um die Produkte von Google zu verbessern, und verarbeitet Ihre Prompts und Antworten in Übereinstimmung mit dem Zusatz zur Datenverarbeitung für Produkte, bei denen Google ein Datenauftragsverarbeiter ist (Google Data Processing Addendum for Products Where Google is a Data Processor). Diese Daten können in jedem Land, in dem Google oder seine Vertreter Einrichtungen unterhalten, vorübergehend oder im Cache gespeichert werden.”
Google Cloud verschlüsselt die Daten standardmäßig serverseitig, bevor sie auf ein Laufwerk geschrieben werden. Bei der Übertragung von und zum Server findet TLS-Verschlüsselung statt, inaktive Daten werden seitens des Cloud Anbieters via AES256 verschlüsselt. Das Verschlüsselungsschlüsselmanagement wird von lector.ai verwaltet (Cloud Key Management Service).
Google ist nach ISO27018 zertifiziert und wird jährlich auditiert. Weitere Informationen finden Sie unter: https://cloud.google.com/security/compliance/iso-27018?hl=de Zertifikate können über den Compliance Reports Manager heruntergeladen werden: https://cloud.google.com/security/compliance/compliance-reports-manager#/ReportType=Certificate&ProductArea=Google_Cloud
Lector.ai bietet über Google Vertex Ai verschiedene LLM Modelle an, die ausschließlich auf Servern innerhalb der Europäischen Union betrieben werden. Auf der Plattform ist eindeutig gekennzeichnet, wo die jeweils ausgewählten Modelle betrieben werden. Es liegt in der Wahl des Kunden, welche Modelle und EU-Standorte gewählt werden.
Die Auftragsverarbeitung durch den Subunternehmer OVH GmbH wird durch das Data Processing Agreement https://us.ovhcloud.com/legal/data-processing-agreement/ geregelt.
Lector.ai bleibt alleiniger Eigentümer der von ihm im Rahmen der OVH Dienstleistungen gespeicherten Daten. OVH greift weder auf diese Daten zu noch werden sie verwendet, solange dies nicht für die korrekte Ausführung der Dienstleistungen notwendig ist, und auch dann nur innerhalb der technischen Grenzen dieser Dienstleistungen. OVH ist es untersagt, die genannten Daten weiterzuverkaufen oder für eigene Zwecke (zum Beispiel Datamining, Profiling oder Direktmarketing) zu verwenden.
OVH ist nach ISO 27001, ISO 27017 und ISO 27018 zertifiziert. Weitere Informationen finden Sie unter: https://www.ovhcloud.com/de/compliance/iso-27001-27017-27018/
Im Fall von OpenAI API-Diensten (wie dem Microsoft Azure OpenAI Service), werden keine Daten für das Training von Modellen oder für andere Zwecke von OpenAI verwendet, es sei denn, es wurde ausdrücklich eine Erlaubnis dazu erteilt. Bei der Nutzung über Azure wird die Datenverarbeitung durch Microsofts Datenschutzrichtlinien (s. Microsoft DPA in Anhang 2) geregelt. Microsoft speichert und verarbeitet die Daten nicht für eigene Zwecke und sichert zu, dass die Kundendaten vertraulich behandelt werden.
Quelle: https://learn.microsoft.com/de-de/legal/cognitive-services/openai/data-privacy (Stand: 23. September 2024)
Wichtige Datenschutzaspekte des Azure OpenAI Service:
- Alle Daten werden ausschließlich in der EU-Region (Germany West Central) verarbeitet
- Microsoft implementiert strenge Zugriffskontrollen und Protokollierung für Systemadministratoren
- Automatische Verschlüsselung der Daten im Ruhezustand (Storage) und während der Übertragung (TLS 1.2)
- Keine Speicherung von Prompts oder Antworten nach Abschluss der Verarbeitung
- Konformität mit ISO 27001, SOC 1/2/3, und DSGVO-Anforderungen
- Microsoft bietet standardmäßig Customer Managed Keys (CMK) für zusätzliche Kontrolle
- Regelmäßige Sicherheitsaudits und Penetrationstests durch unabhängige Dritte
- Transparente Incident Response und Breach Notification Prozesse gemäß DSGVO
Die Auftragsverarbeitung durch den optionalen Subunternehmer n8n GmbH wird durch das Data Processing Agreement https://n8n.io/legal/#data geregelt. Die n8n GmbH ist ein in Deutschland ansässiges Unternehmen, das eine Workflow-Automatisierungsplattform bereitstellt. Sämtliche Datenverarbeitung findet in der EU statt, speziell im Rechenzentrum in Frankfurt.
Die n8n-Plattform kann optional zur Automatisierung von Geschäftsprozessen und zur Integration verschiedener Systeme eingesetzt werden. Die Daten werden während der Übertragung mittels TLS 1.2/1.3 und im Ruhezustand mittels AES-256 verschlüsselt. n8n ist nach ISO 27001 zertifiziert und wird regelmäßig auf Sicherheitsstandards überprüft.
Die Nutzung der n8n-Plattform ist optional und erfolgt nur nach expliziter Beauftragung durch den Kunden.
Die Auftragsverarbeitung durch den Subunternehmer HubSpot Ireland Limited wird durch das Data Processing Agreement https://legal.hubspot.com/dpa geregelt. HubSpot ist nach ISO 27001, SOC 2 Typ II und verschiedenen anderen Sicherheitsstandards zertifiziert.
HubSpot wird für die Verwaltung von Kundenbeziehungen (CRM), für Marketing-E-Mails und für die Kommunikation mit Kunden eingesetzt. Die Datenverarbeitung findet ausschließlich in der EU statt (Rechenzentrum in Frankfurt).
Die Daten werden während der Übertragung mit TLS 1.2 und im Ruhezustand mit AES-256 verschlüsselt. HubSpot bietet umfangreiche Kontrollen zum Schutz personenbezogener Daten gemäß DSGVO und stellt entsprechende Funktionen zur Erfüllung von Betroffenenrechten bereit.
Die HubSpot-Plattform respektiert die EU-Standardvertragsklauseln (SCCs) und ermöglicht die Löschung oder Anonymisierung von Kundendaten gemäß den geltenden Datenschutzbestimmungen.
Die Auftragsverarbeitung durch den Subunternehmer Stripe Payments Europe Ltd. wird durch das Data Processing Agreement https://stripe.com/de/legal/dpa geregelt. Stripe ist nach PCI DSS Level 1, ISO 27001, SOC 1 Typ II und SOC 2 Typ II zertifiziert.
Stripe wird für die Abrechnung und Zahlungsabwicklung der lector.ai-Dienste eingesetzt. Die Datenverarbeitung erfolgt in der EU-Region (Dublin). Stripe implementiert branchenführende Sicherheitsmaßnahmen zum Schutz von Zahlungsdaten und personenbezogenen Daten.
Die Daten werden während der Übertragung mit TLS 1.2+ und im Ruhezustand mit AES-256 verschlüsselt. Stripe erfüllt alle Anforderungen der DSGVO und stellt Tools zur Verfügung, um Betroffenenrechte zu gewährleisten.
Stripe behandelt alle Daten vertraulich und verwendet sie ausschließlich zur Bereitstellung der Zahlungsdienste, ohne sie für eigene Zwecke zu nutzen oder weiterzuverkaufen.
Informationen zum EU-AI Act und lector.ai
Stand: 20. März 2025
1. Anwendbarkeit und Relevanz des EU-AI Acts
Der EU-AI Act stellt einen umfassenden regulatorischen Rahmen für künstliche Intelligenz in der Europäischen Union dar. Für lector.ai als KI-gestützte Plattform zur Dokumentenklassifikation und Informationsextraktion ergibt sich folgende Einschätzung:
- Der AI Act ist grundsätzlich für lector.ai anwendbar.
- Die Regulierungen folgen einem risikobasierten Ansatz, der KI-Systeme entsprechend ihres konkreten Einsatzbereiches kategorisiert.
2. Risikoklassifizierung
Nach eingehender Prüfung des AI Acts ergibt sich folgende klare Einordnung:
- lector.ai fällt nicht in die Kategorie der „Hochrisiko-Systeme“, da keine sensiblen Anwendungsbereiche (wie öffentliche Sicherheit, Justiz, Bildung oder Migration) berührt werden.
- Unsere Lösungen beschränken sich ausschließlich auf die Klassifikation und Extraktion von Informationen aus Dokumenten. Für diesen Anwendungsfall sieht der AI Act explizite Ausnahmen vor (siehe Erwägungsgrund 53).
- Sprachmodelle werden von uns nicht eigenständig entscheidungsunterstützend eingesetzt, sondern ausschließlich zweckgebunden zur Dokumentenverarbeitung.
3. Bezug zum EU-AI Act: Erwägungsgrund 53
Besonders relevant ist Erwägungsgrund 53 (Link), der exakt den Anwendungsfall von lector.ai adressiert:
„Wenn KI-Systeme eingesetzt werden, die die Entscheidungsfindung nicht wesentlich beeinflussen, z.B. ein KI-System, das eingehende Dokumente in Kategorien einordnet […], ist von geringem Risiko auszugehen.“
Daraus folgt konkret:
- lector.ai fällt eindeutig in die Kategorie minimales Risiko.
- Es bestehen keine zusätzlichen regulatorischen Verpflichtungen (wie Zertifizierungen oder unabhängige Audits).
- Die Kernfunktionalitäten (Dokumentenklassifikation und -extraktion) haben keinerlei Einfluss auf autonome Entscheidungsprozesse.
- Menschliche Kontrolle und Korrektur sind im operativen Einsatz ausdrücklich vorgesehen.
Diese Einschätzung entspricht auch unseren internen Datenschutzfolgeabschätzungen, welche bestätigen, dass weder Klassifikation noch Informationsextraktion durch lector.ai die eigentliche Entscheidungsfindung beeinflussen.
4. Verwendung von Sprachmodellen und Compliance
Unsere Plattform verwendet spezialisierte Sprachmodelle für klar definierte Aufgaben:
- Kein Finetuning: lector.ai nutzt Sprachmodelle ausschließlich durch Prompt Engineering, ohne Modelle individuell zu trainieren oder zu verändern.
- Die eingesetzten Modelle sind zweckgebunden und werden ausschließlich für die Verarbeitung von Dokumenten verwendet.
- Der Einsatz fortschrittlicher Sprachmodelle ändert nichts an der Einstufung in die minimale Risikokategorie, solange die Verarbeitung keinen Einfluss auf eigenständige Entscheidungen oder sensible Datenbereiche hat.
Sollte lector.ai künftig Open-Source Vision LLMs intern feinjustieren (finetunen), ändert dies unserer Einschätzung nach nichts an der Einordnung als Anbieter. Solange die feinjustierten Modelle nur intern verwendet und nicht extern vermarktet oder zur Verfügung gestellt werden, bleibt lector.ai weiterhin außerhalb der Anbieterdefinition des AI Acts.
Zudem verwendet lector.ai als Anbieter ausschließlich Drittmodelle. Die Kunden haben jederzeit die volle Kontrolle über die verwendeten Prompts. lector.ai übernimmt daher keine Haftung für Ergebnisse der Dokumentenklassifikation und -extraktion, insbesondere nicht für Fehler, die in diesen Verarbeitungsschritten auftreten können.
Das minimale Risiko ergibt sich daraus, dass:
- keine autonomen Entscheidungen getroffen werden,
- die Lösung auf Klassifikation und Informationsextraktion begrenzt bleibt,
- menschliche Überprüfung und Korrektur vorgesehen sind,
- keinerlei wesentlicher Einfluss auf Entscheidungsprozesse besteht.
5. Kontinuierliche Compliance-Überwachung
Zukünftige Entwicklungen werden kontinuierlich auf mögliche Compliance-Auswirkungen geprüft:
- Bei Erweiterung oder Anpassung der Anwendungsfälle oder Technologien erfolgt eine Neubewertung gemäß Artikel 51.
- Regelmäßige interne Compliance-Prüfungen sind erforderlich, insbesondere bei Einführung neuer Funktionen.
- Die Weiterentwicklung des AI Acts und relevanter Interpretationen wird aktiv beobachtet und bewertet.
6. Zusammenfassung
lector.ai erfüllt vollständig die Anforderungen des EU-AI Acts und weist keinerlei Compliance-Risiken auf, da:
- die Plattform nicht in die Hochrisiko-Kategorie fällt,
- keine sensitiven oder personenbezogenen Daten entscheidungsrelevant verarbeitet werden,
- keine Modelle trainiert oder individuell angepasst werden (aktuell kein Finetuning),
- die Datenverarbeitung ausschließlich innerhalb der EU erfolgt,
- bestehende Vertragswerke die rechtskonforme Verarbeitung gewährleisten.
Diese Einschätzung erfolgt regelmäßig neu, um eine dauerhafte Compliance sicherzustellen.
Detaillierte Datenschutzbestimmungen für die Nutzung von Anthropic Claude 3.5/3.7 über Vertex AI
Stand: 29. Juli 2025
Überblick
Anthropics Claude 3.7 wird von Google Cloud durch Vertex AI als verwalteter Dienst gehostet und betrieben. Dieses Dokument erläutert die Rollen, Datenschutzbestimmungen und regulatorische Compliance, die für EU-basierte Nutzende, insbesondere in Deutschland, relevant sind.
Betreiber: Google Cloud vs. Anthropic
- Google Cloud betreibt Claude 3.7 vollständig. Anthropic stellt lediglich die zugrundeliegende Modelltechnologie bereit.
- Anthropic erklärt ausdrücklich, dass es keine Kundeneingaben oder -ausgaben von Vertex AI erhält.
- Google Cloud stellt sicher, dass die Daten innerhalb seiner kontrollierten Infrastruktur bleiben und teilt Ihre Daten nicht mit Anthropic.
Datenresidenz & Speicherung
- Claude 3.7 via Vertex AI unterstützt die EU-Region: europe-west1 (Belgien).
- Kundendaten werden innerhalb der ausgewählten Google Cloud-Region verarbeitet und gespeichert.
- Die Daten bleiben im Ruhezustand und während der Übertragung verschlüsselt.
Verwendung von Daten für Training & Feinabstimmung
- Google verbietet ausdrücklich die Verwendung von Kundendaten für das Training oder die Feinabstimmung von Modellen ohne Zustimmung der Nutzenden.
- Anthropic verbietet ebenfalls ausdrücklich die Verwendung von Eingabeaufforderungen oder Antworten für das Training, was in ihrer Richtlinie und den Vertex-spezifischen Bedingungen klar angegeben ist.
- Weder Eingaben noch Ausgaben werden standardmäßig zur Verbesserung der Anthropic-Modelle verwendet.
DSGVO-Konformität
- Google Cloud fungiert als Auftragsverarbeiter, wobei die Kundschaft als Verantwortliche die Kontrolle behält.
- Googles Cloud Data Processing Addendum (CDPA) integriert DSGVO-Anforderungen, einschließlich Standardvertragsklauseln (SCCs) für internationale Datenübertragungen.
- Anthropic fungiert als Unterauftragsverarbeiter, verarbeitet oder speichert jedoch keine personenbezogenen Kundeninhalte direkt über Vertex.
Besondere Klauseln & Bedingungen für EU-Kundschaft
- Anthropic Claude (ab Version 3.5) unterstützt seit 2024 EU-basierte Datenresidenz explizit für die Einhaltung regulatorischer Vorschriften.
- Keine speziellen Geoblocks oder besonderen EU-Anforderungen über die Standard-DSGVO-Einhaltung hinaus.
- Vertragliche Bedingungen sowohl von Google als auch von Anthropic gewährleisten eine transparente und DSGVO-konforme Datenverarbeitung.
- Alle verfügbaren Claude-Versionen über Vertex AI folgen denselben Datenschutzprinzipien.
Empfehlungen für lector.ai Kunden
Die folgenden Empfehlungen richten sich an Kunden von lector.ai, die Claude-Modelle über die lector.ai Plattform nutzen:
- Nutzen Sie ausschließlich EU-basierte Modelle, die lector.ai anbietet, um EU-Datenresidenz zu garantieren.
- Beachten Sie die auf der lector.ai-Plattform angezeigten Standort-Kennzeichnungen bei der Modellauswahl.
- Überprüfen Sie regelmäßig, ob Ihre organisatorischen Datenschutzvereinbarungen mit den Bedingungen von lector.ai und den zugrundeliegenden Anbietern übereinstimmen.
- Bei Fragen zur DSGVO-Konformität oder spezifischen Compliance-Anforderungen kontaktieren Sie den lector.ai-Support.
