Auftragsverarbeitungsvertrag
Stand: 27. April 2026
Version: 0.1
Auftragnehmer: NAISTEC OG
Stand: 27. April 2026
Version: 0.1
Verantwortlicher / Auftraggeber: der jeweilige Kunde gemäß Bestellung oder Hauptvertrag
Auftragsverarbeiter / Auftragnehmer: NAISTEC OG, Offene Gesellschaft, FN 674768g, ATU83175546, Embelgasse 33/3 1050 Wien, David Novakovic, Fabio Pernegger
Produkt: NAIS, erreichbar insbesondere über https://app.na-is.de und die zugehörige API unter https://api.na-is.de
Dienst: NAIS, SaaS zur professionellen Nachlassverwaltung
1. Gegenstand und Rangfolge
1.1 Dieser Auftragsverarbeitungsvertrag ("AVV") regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers gemäß Art. 28 DSGVO im Zusammenhang mit der Bereitstellung von NAIS.
1.2 Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen, das Bestellformular und sonstige Hauptverträge über NAIS ("Hauptvertrag"). Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht dieser AVV für datenschutzrechtliche Fragen vor, soweit zwingendes Datenschutzrecht betroffen ist.
1.3 Dieser AVV gilt nur für Verarbeitungsvorgänge, bei denen der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet. Verarbeitungsvorgänge, bei denen der Auftragnehmer eigenständig Verantwortlicher ist, sind nicht Gegenstand dieses AVV.
2. Rollen der Parteien
2.1 Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO für die in NAIS verarbeiteten Kundendaten, insbesondere für Nachlass-, Dokumenten-, Kontakt-, Bank-, Erben-, Berichts-, Termin-, Tätigkeits- und Korrespondenzdaten.
2.2 Der Auftragnehmer verarbeitet personenbezogene Daten in NAIS als Auftragsverarbeiter im Sinne von Art. 4 Z 8 DSGVO, soweit er Kundendaten hostet, speichert, verarbeitet, sichert, überträgt, darstellt, analysiert oder im Rahmen von Support, Wartung, Fehlerbehebung, OCR-/KI-Verarbeitung und technischer Betriebsführung verarbeitet.
2.3 Der Auftragnehmer verarbeitet bestimmte Daten als eigener Verantwortlicher, insbesondere:
1. Vertrags-, Rechnungs- und Zahlungsdaten;
2. Kundenkontakt- und Kommunikationsdaten;
3. Daten zur Vertragserfüllung, Forderungsdurchsetzung und Compliance;
4. Sicherheits-, Missbrauchs-, Login-, Betriebs- und Produktadministrationsdaten, soweit sie nicht ausschließlich Kundendaten im Auftrag betreffen;
5. gesetzlich erforderliche Nachweise.
2.4 Soweit der Auftraggeber selbst gegenüber Dritten als Auftragsverarbeiter handelt, stellt er sicher, dass er zur Beauftragung des Auftragnehmers als weiterem Auftragsverarbeiter berechtigt ist.
3. Gegenstand, Dauer, Art und Zweck der Verarbeitung
3.1 Gegenstand der Verarbeitung ist die Bereitstellung, der Betrieb, die Wartung, Absicherung und Weiterentwicklung von NAIS als mandantenfähige SaaS-Lösung für professionelle Nachlassverwaltung.
3.2 Dauer der Verarbeitung ist die Laufzeit des Hauptvertrags einschließlich etwaiger Export-, Abwicklungs-, Lösch-, Backup- und gesetzlicher Aufbewahrungsfristen.
3.3 Art der Verarbeitung umfasst insbesondere:
1. Erheben durch Upload oder Eingabe durch den Auftraggeber;
2. Speichern in Datenbank und Dateispeicher;
3. Strukturieren, Ordnen, Normalisieren und Verknüpfen;
4. Auslesen, Anzeigen, Abrufen und Bereitstellen;
5. Übermitteln zwischen Frontend, Backend, Datenbank, Dateispeicher, Queue, OCR-Worker und Subunternehmern;
6. OCR-Erkennung, Dokumententrennung, Klassifikation, Extraktion und Validierungsvorbereitung;
7. Berechnen, insbesondere Salden, Transaktionslisten, Tätigkeitskosten, Nutzungskennzahlen und Exporte;
8. Exportieren als PDF, Excel oder andere Formate;
9. Sichern, Wiederherstellen, Protokollieren und Löschen;
10. Support, Fehleranalyse, Missbrauchserkennung und Sicherheitsmaßnahmen.
3.4 Zwecke der Verarbeitung sind insbesondere:
1. Verwaltung von Nachlassfällen;
2. Verarbeitung eingehender Dokumente und Bankauszüge;
3. Erstellung und Verwaltung von Berichten, Rechnungslegung, Belegverknüpfungen und Ausgangsschreiben;
4. Kontakt-, Adress-, Erben- und Terminverwaltung;
5. Tätigkeits- und Zeiterfassung;
6. technische Bereitstellung, Wartung, Sicherheit, Support und Abrechnung der SaaS.
3.5 Der Auftragnehmer nimmt keine eigenständige fachliche, rechtliche oder steuerliche Bewertung von Kundendaten vor. OCR-/KI-Ergebnisse sind technische Verarbeitungsergebnisse zur Prüfung durch den Auftraggeber.
4. Kategorien betroffener Personen
Die Verarbeitung kann folgende Kategorien betroffener Personen umfassen:
1. Nutzer, Administratoren, Mitarbeiter, freie Mitarbeiter und Beauftragte des Auftraggebers;
2. Erben, potentielle Erben, Vermächtnisnehmer, Pflichtteilsberechtigte und deren Vertreter;
3. Angehörige, Kontaktpersonen, gesetzliche Vertreter, Bevollmächtigte und Betreuer;
4. Gläubiger, Schuldner, Vertragspartner, Mieter, Vermieter, Versicherer, Banken, Arbeitgeber, Bestatter, Dienstleister und sonstige Dritte eines Nachlasses;
5. Ansprechpartner bei Gerichten, Behörden, Banken, Versicherungen, Finanzämtern, Krankenkassen und sonstigen Institutionen;
6. Absender und Empfänger von Dokumenten und Korrespondenz;
7. sonstige Personen, deren Daten in hochgeladenen Dokumenten, Bankunterlagen, Berichten, Notizen, Vorlagen, Tätigkeiten oder Kommunikationsinhalten enthalten sind.
Hinweis: Daten verstorbener Personen unterliegen nicht in jedem Fall dem Anwendungsbereich der DSGVO. Da Nachlassakten regelmäßig Daten lebender Personen enthalten und besonderen Geheimhaltungsinteressen unterliegen können, behandelt der Auftragnehmer Kundendaten nach den Schutzstandards dieses AVV.
5. Kategorien personenbezogener Daten
Die Verarbeitung kann insbesondere folgende Datenkategorien umfassen:
1. Nutzer- und Kontodaten: Name, E-Mail-Adresse, Passwort-Hash, Rolle, Tenant-Zuordnung, Avatar, 2FA-Status, Login- und Sitzungsdaten.
2. Tenant- und Organisationsdaten: Name der Organisation, Einstellungen, Branding, Logos, Vorlagen, Abrechnungseinstellungen.
3. Nachlassdaten: Name, Geburtsdatum, Sterbedatum, letzte Adresse, Aktenzeichen, Gericht, Nachlassstatus, Fristen, Notizen, Archivstatus.
4. Erbendaten: Name, Geburtsname, Geburtsdatum, Sterbedatum, Geburtsort, Verwandtschaftsverhältnis, Erbquote, Vollmachten, gesetzliche Vertreter, Kontaktinformationen, Notizen.
5. Kontaktdaten: Namen, Adressen, Telefonnummern, E-Mail-Adressen, Kategorien, Notizen, globale Kontaktkennzeichen.
6. Dokumentendaten: PDF-Dateien, Dateinamen, OCR-Text, Absender, Betreff, Dokumentenkategorie, erkannte Adressen, Ansprechpartner, Fristen, Prioritäten, Validierungsstatus, Beleg-/Inventarkennzeichen, Korrekturdaten.
7. Bank- und Finanzdaten: IBAN, Bankname, Kontoinhaber, Währung, Anfangs- und Endsalden, Buchungsdaten, Transaktionsbeschreibungen, Beträge, Belegverknüpfungen.
8. Berichts- und Rechnungslegungsdaten: Erstberichte, jährliche Rechnungslegungen, Schlussberichte, Fristen, Einreichungsdaten, Report-PDFs, PDF-Exporte.
9. Inventar- und Vermögensdaten: Aktiva, Passiva, Kategorien, Werte, Forderungen, Verbindlichkeiten, Schmuck, Kunst, Fahrzeuge, Immobilien, Beteiligungen, Notizen.
10. Tätigkeits- und Abrechnungsdaten: Tätigkeitsbeschreibungen, Datum, Minuten, Fahrtkosten, Porto, Kopien, Stundensätze, Abrechnungsstatus, Excel-Exporte.
11. Termindaten: Termine, Fristen, Kalendereinträge, Beschreibungen, Zuordnungen zu Dokumenten, Berichten oder Nachlässen.
12. Kommunikations- und Ausgangsdokumente: Vorlagen, HTML-Inhalte, Platzhalter, Empfängeradressen, erzeugte PDFs, Druck- und Versandinformationen, soweit in NAIS geführt.
13. Technische Daten: IP-Adresse, User-Agent, Zeitstempel, Authentifizierungs- und Autorisierungsdaten, Audit- und Sicherheitslogs, Fehlerprotokolle, Job-IDs, OCR-Status, Systemmetriken.
14. Zahlungs- und Vertragsmetadaten: Stripe Customer IDs, Subscription IDs, Rechnungsstatus, Nutzungskennzahlen; Zahlungsdetails selbst werden grundsätzlich vom Zahlungsdienstleister verarbeitet.
6. Besondere Kategorien und sensible Daten
6.1 Der Auftraggeber kann in Nachlassakten und Dokumenten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO verarbeiten lassen, etwa Gesundheitsdaten, Sozialversicherungsdaten, religiöse Informationen, Pflege- und Betreuungsdaten, Daten aus Versicherungs-, Steuer-, Gerichts- oder Behördenunterlagen sowie hochsensible Finanzdaten.
6.2 Der Auftraggeber ist dafür verantwortlich, dass für solche Verarbeitungen eine geeignete Rechtsgrundlage besteht und zusätzliche berufsrechtliche, gerichtliche, mandatsbezogene oder gesetzliche Geheimhaltungspflichten eingehalten werden.
6.3 Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen gemäß Anlage 2. Soweit der Auftraggeber besondere zusätzliche Schutzanforderungen hat, sind diese vor Verarbeitung gesondert zu vereinbaren.
7. Weisungen des Auftraggebers
7.1 Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, soweit nicht Unionsrecht oder Recht eines Mitgliedstaats eine Verarbeitung vorschreibt.
7.2 Weisungen ergeben sich insbesondere aus:
1. dem Hauptvertrag;
2. diesen AVV-Bestimmungen;
3. der Produktnutzung durch autorisierte Nutzer;
4. Konfigurationen, Uploads, Eingaben, Löschungen, Exporte und API-Nutzungen in NAIS;
5. dokumentierten Support- oder Sicherheitsanfragen des Auftraggebers.
7.3 Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Der Auftragnehmer darf offensichtlich rechtswidrige Weisungen aussetzen und den Auftraggeber hierüber informieren.
7.4 Weisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, können gesondert vergütungspflichtig sein.
8. Vertraulichkeit und Personal
8.1 Der Auftragnehmer stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8.2 Zugriffe auf Kundendaten werden auf Personen beschränkt, die diese zur Leistungserbringung, Wartung, Support, Sicherheit, Fehlerbehebung oder gesetzlichen Pflichterfüllung benötigen.
8.3 Der Auftragnehmer unterrichtet mit der Verarbeitung befasste Personen über Datenschutz- und Sicherheitsanforderungen in angemessenem Umfang.
9. Technische und organisatorische Maßnahmen
9.1 Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen ("TOMs") gemäß Art. 32 DSGVO, wie in Anlage 2 beschrieben.
9.2 Die Parteien sind sich bewusst, dass technische und organisatorische Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Der Auftragnehmer darf TOMs ändern, sofern das Schutzniveau insgesamt nicht wesentlich unterschritten wird.
9.3 Der Auftragnehmer berücksichtigt insbesondere:
1. Vertraulichkeit;
2. Integrität;
3. Verfügbarkeit und Belastbarkeit;
4. Fähigkeit zur Wiederherstellung;
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung;
6. Mandantentrennung;
7. Zugriffskontrolle;
8. sichere Datei- und Dokumentenverarbeitung.
10. Subunternehmer
10.1 Der Auftraggeber genehmigt den Einsatz der in Anlage 3 genannten Subunternehmer. Der Auftragnehmer darf weitere Subunternehmer einsetzen oder bestehende ersetzen, sofern er den Auftraggeber vorab in Textform oder über eine geeignete Subunternehmerliste informiert.
10.2 Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Kalendertagen nach Mitteilung widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn der neue Subunternehmer kein angemessenes Datenschutzniveau bietet oder zwingende rechtliche Vorgaben des Auftraggebers verletzt würden.
10.3 Kann ein berechtigter Widerspruch nicht ausgeräumt werden, ist der Auftragnehmer berechtigt, die betroffene Leistung nicht bereitzustellen oder den Hauptvertrag hinsichtlich der betroffenen Leistung zu kündigen, soweit eine Leistungserbringung ohne den Subunternehmer nicht zumutbar möglich ist.
10.4 Der Auftragnehmer verpflichtet Subunternehmer vertraglich auf Datenschutzpflichten, die den Pflichten dieses AVV im Wesentlichen entsprechen. Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Erfüllung der Datenschutzpflichten der Subunternehmer verantwortlich.
11. Drittlandübermittlungen
11.1 Eine Verarbeitung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ("EWR") erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
11.2 Als geeignete Garantien können insbesondere Angemessenheitsbeschlüsse, EU-Standardvertragsklauseln, das EU-U.S. Data Privacy Framework, zusätzliche technische und organisatorische Maßnahmen sowie Transfer Impact Assessments herangezogen werden.
11.3 Nach der dokumentierten Produktionsarchitektur erfolgt der primäre Betrieb in Azure-Regionen innerhalb des EWR, insbesondere Germany West Central sowie für PostgreSQL zeitweise Netherlands/North Europe. Azure OpenAI ist in Germany West Central mit EU Data Zone Verarbeitung vorgesehen. Der Auftraggeber nimmt zur Kenntnis, dass Cloud-Support, Zahlungsabwicklung, Monitoring oder Sicherheitsprozesse global verteilte Unterstützungsleistungen einschließen können, soweit diese durch geeignete Garantien abgesichert sind.
11.4 Details zu Subunternehmern und Drittlandbezug sind in Anlage 3 zu dokumentieren und aktuell zu halten.
12. Unterstützung des Auftraggebers
12.1 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen angemessen bei der Erfüllung seiner Pflichten nach der DSGVO, insbesondere hinsichtlich:
1. Betroffenenrechten nach Art. 12 bis 23 DSGVO;
2. Sicherheit der Verarbeitung nach Art. 32 DSGVO;
3. Meldung von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 und 34 DSGVO;
4. Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO;
5. vorheriger Konsultation nach Art. 36 DSGVO.
12.2 Soweit der Auftraggeber Informationen oder Unterstützung benötigt, stellt er eine konkrete Anfrage. Aufwand, der über die Standardfunktionen, Dokumentation oder übliche Unterstützung hinausgeht, kann nach vorheriger Information angemessen vergütet werden, sofern der Unterstützungsbedarf nicht durch eine Pflichtverletzung des Auftragnehmers verursacht wurde.
12.3 Der Auftragnehmer beantwortet Anfragen betroffener Personen grundsätzlich nicht selbst inhaltlich, sofern erkennbar ist, dass sie Kundendaten betreffen, sondern leitet sie an den Auftraggeber weiter oder verweist die betroffene Person an den Auftraggeber, soweit rechtlich zulässig.
13. Verletzungen des Schutzes personenbezogener Daten
13.1 Der Auftragnehmer informiert den Auftraggeber unverzüglich, möglichst binnen 24 Stunden und spätestens binnen 48 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten, die Kundendaten betreffen.
13.2 Die Meldung enthält, soweit verfügbar:
1. Art der Verletzung;
2. betroffene Datenkategorien und Kategorien betroffener Personen;
3. ungefähre Anzahl betroffener Datensätze;
4. wahrscheinliche Folgen;
5. ergriffene oder vorgeschlagene Maßnahmen;
6. Ansprechpartner;
7. verfügbare Protokolle oder technische Informationen, soweit deren Herausgabe keine Sicherheit oder Rechte Dritter gefährdet.
13.3 Der Auftragnehmer ergreift angemessene Maßnahmen zur Eindämmung, Untersuchung und Behebung der Verletzung und unterstützt den Auftraggeber bei erforderlichen Meldungen an Behörden oder betroffene Personen.
13.4 Eine Information nach diesem Abschnitt stellt kein Anerkenntnis einer Pflichtverletzung oder Haftung dar.
14. Audits und Nachweise
14.1 Der Auftragnehmer stellt dem Auftraggeber auf Anfrage angemessene Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung, insbesondere TOM-Beschreibungen, Subunternehmerinformationen, Sicherheitsdokumentation, Zertifizierungen, Auditberichte oder sonstige geeignete Nachweise, soweit vorhanden.
14.2 Vor-Ort-Audits sind nur zulässig, wenn dokumentenbasierte Nachweise nicht ausreichen, ein begründeter Anlass besteht oder zwingendes Recht dies erfordert. Audits sind mindestens 14 Kalendertage vorher anzukündigen, während üblicher Geschäftszeiten durchzuführen und auf das erforderliche Maß zu beschränken.
14.3 Audits dürfen Sicherheit, Betriebsgeheimnisse, personenbezogene Daten anderer Kunden, Systemstabilität und Verfügbarkeit nicht gefährden. Der Auftragnehmer kann verlangen, dass Audits durch unabhängige, zur Verschwiegenheit verpflichtete Prüfer durchgeführt werden.
14.4 Der Auftraggeber trägt seine Auditkosten und die angemessenen Aufwände des Auftragnehmers, sofern das Audit keine wesentliche Verletzung dieses AVV durch den Auftragnehmer nachweist.
15. Löschung und Rückgabe
15.1 Während der Vertragslaufzeit kann der Auftraggeber Kundendaten über verfügbare Export-, Download-, API- oder Supportprozesse abrufen, soweit dies technisch unterstützt wird.
15.2 Nach Ende des Hauptvertrags stellt der Auftragnehmer Kundendaten für 30 Kalendertage zum Export bereit, sofern keine offenen Forderungen, Sicherheitsrisiken oder gesetzlichen Einschränkungen entgegenstehen.
15.3 Nach Ablauf der Exportfrist löscht oder anonymisiert der Auftragnehmer personenbezogene Kundendaten grundsätzlich binnen 90 Kalendertagen aus produktiven Systemen, soweit keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweisinteressen, Streitigkeiten oder technischen Backup-Zyklen entgegenstehen.
15.4 Backup-, Archiv-, Log- und Sicherheitskopien werden nach den jeweiligen Löschzyklen überschrieben oder gelöscht. Sie werden nach Vertragsende nicht aktiv zur produktiven Verarbeitung verwendet, außer dies ist zur Wiederherstellung, Sicherheit, gesetzlichen Pflicht oder Streitbeilegung erforderlich.
15.5 Der Auftragnehmer kann eine Löschbestätigung in Textform bereitstellen, soweit technisch und organisatorisch möglich.
16. Eigenständige Verantwortlichkeit des Auftraggebers
16.1 Der Auftraggeber bleibt verantwortlich für:
1. Rechtmäßigkeit der Verarbeitung;
2. Auswahl und Konfiguration von NAIS;
3. Berechtigungskonzepte seiner Nutzer;
4. Einhaltung von Informationspflichten;
5. Bearbeitung von Betroffenenrechten;
6. Prüfung der OCR-/KI-Ergebnisse;
7. Einhaltung beruflicher Verschwiegenheitspflichten;
8. Aufbewahrung, Löschung und Archivierung nach fachlichem oder gesetzlichem Bedarf;
9. Datenschutz-Folgenabschätzungen, soweit erforderlich.
16.2 Der Auftraggeber darf keine Weisungen erteilen, die den Auftragnehmer zu einem Verstoß gegen Datenschutzrecht, Berufsrecht, Sanktionsrecht oder sonstige zwingende Vorschriften verpflichten würden.
17. Haftung
17.1 Die Haftung der Parteien für Datenschutzverstöße richtet sich nach Art. 82 DSGVO und den Haftungsregelungen des Hauptvertrags, soweit diese wirksam und anwendbar sind.
17.2 Jede Partei haftet für Schäden, die durch ihr eigenes Verschulden, ihre eigenen Verstöße oder die Verstöße der von ihr eingesetzten Personen verursacht werden, nach Maßgabe des anwendbaren Rechts.
17.3 Der Auftraggeber hält den Auftragnehmer von Ansprüchen frei, die aus rechtswidrigen Weisungen, fehlenden Rechtsgrundlagen, unzureichenden Informationen an betroffene Personen, unzulässigen Kundendaten oder fehlerhaften Berechtigungskonzepten des Auftraggebers resultieren, soweit der Auftragnehmer hierfür nicht verantwortlich ist.
18. Vertragsdauer und Beendigung
18.1 Dieser AVV gilt für die Dauer des Hauptvertrags.
18.2 Das Recht zur außerordentlichen Kündigung des Hauptvertrags oder dieses AVV aus wichtigem Grund bleibt unberührt.
18.3 Nach Beendigung gelten die Bestimmungen zu Löschung, Rückgabe, Vertraulichkeit, Nachweisen und Haftung fort, soweit dies zur Abwicklung, Rechtsverteidigung oder Erfüllung gesetzlicher Pflichten erforderlich ist.
19. Schlussbestimmungen
19.1 Änderungen dieses AVV bedürfen der Textform oder eines elektronisch dokumentierten Vertragsprozesses.
19.2 Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
19.3 Es gilt österreichisches Recht, soweit Datenschutzrecht der Europäischen Union oder zwingendes nationales Datenschutzrecht nicht vorrangig ist.
Anlage 1: Beschreibung der Verarbeitung
A. Produkt- und Verarbeitungskontext
NAIS ist eine mandantenfähige SaaS für professionelle Nachlassverwaltung. Die Software unterstützt Kunden insbesondere bei der Anlage und Verwaltung von Nachlassfällen, Dokumentenverarbeitung, OCR-Extraktion, Posteingang, Bankauszugserfassung, Belegverknüpfung, Berichtswesen, Fristenverwaltung, Kontakt-/Erbenverwaltung, Inventar, Ausgangsdokumenten, Tätigkeits- und Zeiterfassung sowie Abrechnung.
B. Hauptverarbeitungsvorgänge
1. Nutzerregistrierung, Anmeldung und rollenbasierter Zugriff.
2. Upload, Speicherung und Anzeige von PDF-Dokumenten.
3. OCR-Verarbeitung, Rotationserkennung, Textlayer-Erstellung, Trennung mehrerer Dokumente, Klassifikation und strukturierte Extraktion.
4. Validierung und Korrektur erkannter Dokumente, Bankauszüge und Transaktionen.
5. Zuordnung von Dokumenten zu Nachlassfällen, Kontakten, Adressen, Berichten, Konten, Belegen und Terminen.
6. Verwaltung von Erben, Kontakten, Nachlassdaten, Bankdaten, Tätigkeiten und Inventareinträgen.
7. Erstellung von Ausgangsschreiben aus Vorlagen, PDF-Generierung und Branding.
8. Export von Daten als PDF, Excel oder vergleichbare Formate.
9. Speicherung, Sicherung, Wiederherstellung, Protokollierung und Löschung.
10. Betrieb, Monitoring, Abrechnung, Support und Fehlerbehebung.
C. Datenquellen
1. Direkte Eingabe durch Nutzer.
2. Upload von PDF-Dateien und sonstigen Dokumenten.
3. OCR- und KI-Extraktion aus Dokumenten.
4. Systemgenerierte Metadaten, Protokolle und Statuswerte.
5. Zahlungs- und Abonnementdaten aus Stripe.
6. Support- und Administrationsvorgänge.
D. Speicherkontext
1. Produktivdaten in PostgreSQL.
2. Dokumente, Berichte, Bankauszüge, Ausgangsdokumente, Legacy-Dokumente und Branding-Dateien in tenant-separiertem Dateispeicher oder Azure Blob Storage.
3. Temporäre Vorschauen und Verarbeitungskopien in Cache- oder Temp-Bereichen.
4. OCR-Jobs und Statusdaten in Queue, Datenbank und Worker-Prozessen.
Anlage 2: Technische und organisatorische Maßnahmen
Die folgenden TOMs beschreiben den angestrebten und dokumentierten Sicherheitsrahmen für NAIS. Konkrete Implementierungsstände sind regelmäßig mit dem Produktivbetrieb abzugleichen.
1. Zugriffskontrolle und Authentifizierung
1. Zugriff auf NAIS nur über authentifizierte Nutzerkonten.
2. JWT Bearer Token für API-Zugriffe.
3. Rollen- und Berechtigungsmodell, insbesondere Administratoren und Standardnutzer; dokumentiert sind auch admin/editor/viewer-Rollen.
4. Möglichkeit zur Nutzersperre und Mandantenverwaltung.
5. Passwortspeicherung als Hash, dokumentiert mit bcrypt/passlib.
6. Unterstützung oder Datenmodell für Zwei-Faktor-Status.
7. Administrativer Zugriff nur für berechtigte Personen.
2. Autorisierung und Mandantentrennung
1. Tenant-Isolation über tenant_id in allen nutzerbezogenen Datenbanktabellen.
2. Verpflichtende Tenant-Filter in CRUD-Operationen.
3. Ressourcenbezogene Zugriffskontrollen über Auth-Dependencies und Tenant-Prüfung.
4. Composite Foreign Keys zur Absicherung mandanteninterner Beziehungen.
5. Keine kundenübergreifende Dateiauslieferung ohne Tenant-Prüfung.
6. Bulk-Löschungen nur mit Administratorrolle und ausdrücklicher Bestätigung.
3. Datei- und Dokumentensicherheit
1. Tenant-separierte Dateipfade.
2. UUID-basierte Dateinamen zur Vermeidung von Kollisionen und Pfadmanipulation.
3. Kein statisches ungeschütztes Serving von Dokumenten.
4. Dateiabruf über authentifizierte API-Endpunkte.
5. Validierung von Dateipfaden und Schutz gegen Path Traversal.
6. Vorschauen nur über authentifizierte Endpunkte oder token-geschützte Fetch-Prozesse.
7. Beschränkungen für Dateigröße, Seitenzahl und Verarbeitungsumfang.
4. Transport- und Speichersicherheit
1. TLS/HTTPS über Azure Ingress und Managed Certificates im Produktivbetrieb.
2. PostgreSQL-Verbindungen produktiv mit SSL (sslmode=require).
3. Verschlüsselung ruhender Daten durch Azure Storage und Azure PostgreSQL mit Azure-managed Encryption, soweit Azure eingesetzt wird.
4. Geheimnisse über Azure Container Apps Secrets, Key Vault oder gleichwertig geschützte Secret Stores.
5. Keine bewusste Offenlegung direkter interner Speicherpfade gegenüber Endnutzern.
5. Betriebs- und Infrastrukturmaßnahmen
1. Getrennte Frontend-, Backend- und OCR-Worker-Komponenten.
2. OCR-Verarbeitung asynchron über Queue und Worker, um API-Stabilität zu schützen.
3. Skalierbare Azure Container Apps / Container Apps Jobs Architektur.
4. Nicht-root Container-Nutzer im produktiven Containerbetrieb laut Dokumentation.
5. CORS-Allowlist für zugelassene Frontend-Ursprünge.
6. IP-Zugriffsbeschränkungen im Pre-Launch-Betrieb, soweit aktiviert.
7. Monitoring und Alerts für API-Ausfälle, 5xx-Spikes, Datenbank-Speicher und OCR-Worker-Fehler.
6. Verfügbarkeit, Backup und Wiederherstellung
1. Azure PostgreSQL automatisierte Backups nach Plattformkonfiguration.
2. Dokumentierte Backup- und Restore-Verfahren.
3. Blob Storage Soft Delete oder Lifecycle Policies, soweit aktiviert.
4. Temporäre Dateien und Verarbeitungskopien werden nach definierten Zyklen gelöscht, soweit produktiv konfiguriert.
5. OCR-Jobs haben Status, Fortschritt, Retry- und Failure-Code-Tracking.
6. Stale OCR-Jobs können reconciled werden.
7. Eingabe-, Weitergabe- und Integritätskontrolle
1. Protokollierung wesentlicher System-, Fehler- und Verarbeitungsereignisse.
2. OCR-Jobs mit Job-ID, Tenant-ID, Nutzer-ID, Status und Zeitpunkten.
3. Validierungsworkflows für OCR-Ergebnisse vor fachlicher Nutzung.
4. Korrekturprozesse für Merge, Split, Reclassification und Page Removal.
5. Eindeutige Zuordnung von Dokumenten, Bankauszügen, Transaktionen und Belegen.
8. Datenschutzfreundliche Voreinstellungen
1. Mandantentrennung als Grundarchitektur.
2. Archivierung abgeschlossener Nachlässe zur Reduktion aktiver Auswahl- und Verarbeitungsbereiche.
3. Beschränkung von Datei- und Dokumentenzugriffen auf authentifizierte Endpunkte.
4. Technische Limits für große Dokumente und OCR-Prompts.
5. Trennung von produktiven Daten und temporären Verarbeitungskopien.
9. Unterauftragnehmer- und Transferkontrolle
1. Dokumentation eingesetzter Subunternehmer.
2. Vertragliche Einbindung von Subunternehmern mit Datenschutzpflichten.
3. Einsatz von EU/EWR-Regionen und EU Data Zone, soweit verfügbar.
4. Transfermechanismen für Drittlandbezug gemäß Art. 44 ff. DSGVO.
10. Organisationsmaßnahmen
1. Vertraulichkeitsverpflichtung befugter Personen.
2. Need-to-know-Prinzip für Support und Administration.
3. Deployment- und Rollback-Prozesse über CI/CD.
4. Dokumentierte Incident-Response-Abläufe.
5. Dokumentierte Wartungs-, Backup- und Betriebsprozesse.
Anlage 3: Genehmigte Subunternehmer
A. Derzeitige technische Subunternehmer
1. Microsoft Ireland Operations Ltd. / Microsoft Azure
Gegenstand der Verarbeitung / Leistungen: Bereitstellung von Hosting-Infrastruktur und zugehörigen Cloud-Diensten, insbesondere Container Apps, Blob Storage, Storage Queue, PostgreSQL, Azure OpenAI, Monitoring, Secrets/Key Vault sowie Azure Communication Services (soweit genutzt)
Art der verarbeiteten Daten: Kundendaten, Dokumente, OCR-Inhalte, technische Protokolldaten (Logs) sowie E-Mail-Metadaten (soweit genutzt)
Ort der Verarbeitung: EWR, insbesondere Region Germany West Central; PostgreSQL in North Europe; Azure Communication Services mit Data Location Europe
Rechtsgrundlagen / Garantien: Abschluss eines Auftragsverarbeitungsvertrags (Microsoft DPA) sowie Nutzung der EU Data Boundary / Data Zone (soweit anwendbar)
2. Stripe Payments Europe, Ltd. und verbundene Stripe-Gesellschaften
Gegenstand der Verarbeitung / Leistungen: Zahlungsabwicklung, Bereitstellung von Checkout, Customer Portal, Subscription Management, Webhooks sowie Rechnungsstellung
Art der verarbeiteten Daten: Vertrags-, Zahlungs-, Nutzungs-, Abonnement- und Rechnungsmetadaten; grundsätzlich keine Nachlassdokumente
Ort der Verarbeitung: EU, USA sowie weitere Drittstaaten je nach eingesetztem Stripe-Service
Rechtsgrundlagen / Garantien: Abschluss eines Auftragsverarbeitungsvertrags (Stripe DPA), Standardvertragsklauseln (SCCs) sowie ggf. Teilnahme am EU-U.S. Data Privacy Framework (DPF) bzw. sonstige Angemessenheitsmechanismen
3. GitHub, Inc. / GitHub B.V.
Gegenstand der Verarbeitung / Leistungen: Bereitstellung von CI/CD, Repository-Hosting und Deployment-Workflows
Art der verarbeiteten Daten: Quellcode, Deployment-Metadaten sowie technische Protokolldaten; Kundendaten nur im Ausnahmefall (z. B. bei Fehlkonfiguration oder als Testdaten)
Ort der Verarbeitung: EU, USA sowie weitere Drittstaaten
Rechtsgrundlagen / Garantien: Abschluss eines Auftragsverarbeitungsvertrags (DPA), Standardvertragsklauseln (SCCs) sowie ggf. Teilnahme am EU-U.S. Data Privacy Framework (DPF)
Hinweis: Produktive Kundendaten werden nicht in Repositories verarbeitet
4. E-Mail-Dienstleister [Azure Communication Services / SMTP-Provider / Resend konkretisieren]
Gegenstand der Verarbeitung / Leistungen: Versand transaktionaler E-Mails (z. B. Passwort-Reset, Verarbeitungsbenachrichtigungen)
Art der verarbeiteten Daten: E-Mail-Adresse, Name, technische Zustellmetadaten sowie Inhalte der versendeten E-Mails
Ort der Verarbeitung: Abhängig vom eingesetzten Anbieter
Rechtsgrundlagen / Garantien: Abschluss eines Auftragsverarbeitungsvertrags (DPA) sowie geeignete Garantien für Drittlandübermittlungen (z. B. SCCs / DPF), soweit erforderlich
5. Domain- und DNS-Anbieter [IONOS / Azure DNS konkretisieren]
Gegenstand der Verarbeitung / Leistungen: Bereitstellung und Betrieb von DNS-Diensten sowie Domainverwaltung
Art der verarbeiteten Daten: Grundsätzlich keine Kundendaten; ggf. technische DNS-Daten sowie personenbezogene Daten im Rahmen von Support- oder Accountprozessen
Ort der Verarbeitung: EU bzw. abhängig vom eingesetzten Anbieter
Rechtsgrundlagen / Garantien: Soweit anwendbar Abschluss eines Auftragsverarbeitungsvertrags (DPA)
Hinweis: Verarbeitung personenbezogener Daten erfolgt nur, soweit dies im Rahmen von Support- oder Accountdaten erforderlich ist
B. Genehmigungsverfahren für neue Subunternehmer
1. Der Auftragnehmer informiert den Auftraggeber über neue oder ersetzende Subunternehmer mindestens 14 Kalendertage vor Einsatz, soweit keine dringenden Sicherheits-, Stabilitäts- oder Compliance-Gründe einen früheren Einsatz erfordern.
2. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
3. Der Auftragnehmer stellt sicher, dass Subunternehmer nur im erforderlichen Umfang Zugriff auf personenbezogene Daten erhalten.
4. Der Auftragnehmer hält eine aktuelle Subunternehmerliste bereit.
Anlage 4: Lösch-, Aufbewahrungs- und Exportkonzept
1. Während der Vertragslaufzeit
1. Der Auftraggeber kann verfügbare Export-, Download- und Löschfunktionen in NAIS nutzen.
2. Einzelne Dokumente, Kontakte, Nachlässe, Berichte, Tätigkeiten oder andere Entitäten können je nach Produktfunktion gelöscht, archiviert oder reaktiviert werden.
3. Archivierung ist nicht zwingend Löschung. Archivierte Nachlässe können weiterhin gespeichert bleiben und bei Bedarf reaktiviert oder angezeigt werden.
2. Nach Vertragsende
1. Exportfenster: grundsätzlich 30 Kalendertage.
2. Produktive Löschung oder Anonymisierung: grundsätzlich binnen 90 Kalendertagen nach Ablauf des Exportfensters.
3. Backup-/Log-Löschung: nach technischen Lösch- und Überschreibzyklen; kein produktiver Zugriff außer für Wiederherstellung, Sicherheit, gesetzliche Pflicht oder Streitfall.
3. Abweichende gesetzliche oder fachliche Aufbewahrung
1. Der Auftraggeber ist für berufs-, steuer-, unternehmens-, gerichtliche und sonstige Aufbewahrungspflichten seiner Nachlassakten verantwortlich.
2. Der Auftragnehmer kann Daten länger aufbewahren, soweit dies zur Erfüllung gesetzlicher Pflichten, Abrechnung, Rechtsverteidigung, Sicherheitsnachweisen oder Missbrauchsbekämpfung erforderlich ist.
3. Daten verstorbener Personen können außerhalb des DSGVO-Anwendungsbereichs liegen, werden aber nach denselben technischen Schutzstandards behandelt, soweit sie in Kundendaten enthalten sind.
4. Temporäre Dateien und Verarbeitungskopien
1. Temporäre Vorschauen, Upload-Staging-Dateien und OCR-Arbeitskopien werden nach technischen Zyklen gelöscht, soweit produktiv konfiguriert.
2. Vorschau-Caches können serverseitig gespeichert bleiben, um Performance zu verbessern, sind aber tenant- und zugriffsgeschützt.
3. Queue-Nachrichten werden nach erfolgreicher Verarbeitung gelöscht oder nach Fehler-/Retry-Regeln behandelt.