--- name: klauselvorschlaege description: "Liefere konkrete Mustertexte fuer Vertragsklauseln mit dem KI-Anbieter. Bausteine Verschwiegenheit Belehrung §§ 203 204 StGB Subunternehmer no training Zero-Retention EU-Hosting Audit-Recht Loeschkonzept Professional Secrecy Addendum fuer US-Anbieter Gerichtsstand Anlage Normtext. Bausteine sind Vorlagen keine fertigen Vertraege." --- # Klauselvorschläge — Bausteine ## Disclaimer Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die Mustertexte sind Verhandlungsmaterial, kein fertiger Vertrag. Vor Unterzeichnung ist eine anwaltliche Prüfung im konkreten Vertragsumfeld erforderlich. ## Aufbau Die folgenden Klauselvorschläge sind modular. Sie können einzeln oder als Paket in den Vertrag aufgenommen werden. Sie sind so formuliert, dass sie der Pflichtenstruktur der jeweiligen Dienstleisterregelung entsprechen (BRAO StBerG WPO PAO BNotO). ## Baustein 1 — Verschwiegenheit > Der Anbieter ist gegenüber jedermann zur Verschwiegenheit über alle Tatsachen verpflichtet, die ihm im Rahmen der Vertragserfüllung über die Mandanten, Beteiligten oder Mandate des Auftraggebers bekannt werden. Die Verschwiegenheitspflicht gilt zeitlich unbegrenzt und besteht über das Vertragsende hinaus fort. Sie erfasst sämtliche Tatsachen, auf die sich die Verschwiegenheitspflicht des Auftraggebers gemäß [Norm-Adapter einsetzen: § 43a Abs. 2 BRAO bzw. § 57 Abs. 1 StBerG bzw. § 43 WPO bzw. § 39a Abs. 2 PAO bzw. § 18 BNotO] bezieht. Ausnahmen bestehen nur, soweit eine gesetzliche Offenbarungspflicht besteht oder der Mandant beziehungsweise Beteiligte ausdrücklich in die Offenbarung eingewilligt hat. ## Baustein 2 — Strafrechtliche Belehrung > Der Anbieter ist über die strafrechtlichen Folgen einer Verletzung der Verschwiegenheitspflicht nach § 203 Abs. 4 StGB und § 204 StGB belehrt. Der Anbieter verpflichtet seine eigenen Mitarbeiter und alle eingebundenen Subunternehmer in Textform (§ 126b BGB) zur Verschwiegenheit und belehrt sie ebenfalls über §§ 203, 204 StGB. Die Belehrung umfasst auch die gewerbsmäßige Variante nach § 203 Abs. 6 StGB. Der Normtext der §§ 203, 204 StGB ist als Anlage 1 Bestandteil dieses Vertrags. ## Baustein 3 — Erforderlichkeitsschwelle Kenntnis > Der Anbieter verschafft sich nur insoweit Kenntnis von den ihm anvertrauten oder bekanntgewordenen Tatsachen, als dies zur Vertragserfüllung erforderlich ist. Der Anbieter trifft technische und organisatorische Maßnahmen, um die Einhaltung dieser Erforderlichkeitsschwelle sicherzustellen, insbesondere rollenbasierte Zugriffskontrolle und Audit-Logs. ## Baustein 4 — Subunternehmer > Der Anbieter ist befugt, weitere Personen zur Erfüllung des Vertrags heranzuziehen. Die aktuelle, abschließende Liste der Subunternehmer ist als Anlage 2 Bestandteil dieses Vertrags. Sie umfasst pro Subunternehmer Name, Sitz, Funktion und Verarbeitungsstandort. > > Vor Hinzunahme eines weiteren Subunternehmers oder Wechsel eines bestehenden Subunternehmers informiert der Anbieter den Auftraggeber mindestens 30 Tage im Voraus in Textform. Der Auftraggeber kann der Hinzunahme oder dem Wechsel innerhalb von 14 Tagen aus berufsrechtlichen Gründen widersprechen. > > Der Anbieter verpflichtet jeden Subunternehmer in Textform zur Verschwiegenheit und belehrt ihn über §§ 203, 204 StGB. Inhaltliche Anforderungen sind mindestens diejenigen, die für den Anbieter selbst gelten (Bausteine 1, 2 und 3). ## Baustein 5 — no training > Der Anbieter verarbeitet die vom Auftraggeber eingegebenen Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistung. Eine Verwendung der Daten zum Training, Fine-Tuning, zur Verbesserung oder Bewertung von KI-Modellen — gleich ob eigene Modelle oder Drittmodelle — findet nicht statt. Dies gilt auch für aggregierte oder anonymisierte Verwendung. Der Anbieter sichert diese Beschränkung auch in seinen Verträgen mit Modellanbietern und Hostern vertraglich ab. ## Baustein 6 — Zero Retention > Der Anbieter speichert die vom Auftraggeber eingegebenen Daten nicht länger als für die Erbringung der konkreten Leistung erforderlich. Eingaben werden nach Abschluss der jeweiligen Verarbeitung unverzüglich gelöscht, spätestens innerhalb von 24 Stunden. Eine Speicherung in Logfiles erfolgt nur in pseudonymisierter Form und nicht länger als sieben Tage. ## Baustein 7 — EU-Hosting > Die Verarbeitung und Speicherung der Daten erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Dies gilt auch für Backups und Logs. Eine Verarbeitung außerhalb von EU oder EWR — gleich ob beim Anbieter selbst oder bei Subunternehmern — bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. ## Baustein 8 — Verschlüsselung > Die Übertragung der Daten erfolgt verschlüsselt nach dem aktuellen Stand der Technik (mindestens TLS in einer aktuellen Version). Daten im Ruhezustand werden mit AES 256 oder gleichwertig verschlüsselt. Schlüssel werden in einem Schlüsselverwaltungssystem nach BSI-Empfehlung verwahrt. ## Baustein 9 — Audit-Recht und Zertifizierung > Der Anbieter hält ein zertifiziertes Informationssicherheitsmanagement nach ISO 27001 vor und legt das aktuelle Testat dem Auftraggeber unaufgefordert jährlich vor. Bei Cloud-Anbietern zusätzlich ein BSI-C5-Typ-2-Testat. Der Auftraggeber kann auf eigene Kosten und nach Voranmeldung von 30 Tagen Audits durchführen oder durch einen unabhängigen Dritten durchführen lassen. ## Baustein 10 — Löschung > Bei Vertragsende sowie auf Anforderung des Auftraggebers löscht der Anbieter alle vom Auftraggeber eingegebenen Daten unverzüglich, spätestens innerhalb von 30 Tagen. Die Löschung umfasst alle Speicherorte, einschließlich Backups und Logs. Der Anbieter bestätigt die Löschung schriftlich und liefert ein Löschprotokoll. ## Baustein 11 — Strafprozessuale Vorkehrungen > Der Anbieter ist verpflichtet, behördlichen Auskunftsverlangen, Durchsuchungs- oder Beschlagnahmeanordnungen mit Hinweis auf §§ 53a, 97 StPO entgegenzutreten und Rechtsmittel einzulegen, soweit nicht offensichtlich unzulässig. Der Anbieter informiert den Auftraggeber unverzüglich vorab über jedes derartige Verlangen, soweit gesetzlich zulässig. ## Baustein 12 — Meldepflicht > Der Anbieter meldet dem Auftraggeber jeden Sicherheitsvorfall, jede Datenpanne und jede Behördenanfrage unverzüglich, spätestens innerhalb von 24 Stunden ab Kenntnis. Die Meldung erfolgt in Textform mit Beschreibung des Vorfalls, der betroffenen Daten und der getroffenen Maßnahmen. ## Baustein 13 — Professional Secrecy Addendum (für US-Anbieter) > Soweit der Anbieter unter US-Recht (insbesondere CLOUD Act, FISA) Auskunftsverlangen ausgesetzt ist, gilt zusätzlich: > > (a) Der Anbieter ficht jedes US-Auskunftsverlangen, das Mandatsdaten des Auftraggebers betrifft, mit den verfügbaren Rechtsmitteln an, soweit nicht offensichtlich unzulässig. > (b) Der Anbieter informiert den Auftraggeber unverzüglich, soweit gesetzlich zulässig (auch bei Gag Order: soweit zulässig allgemeine Information oder Statistik). > (c) Daten und Backups werden nicht in die USA übertragen. > (d) Der Anbieter führt keine US-seitigen Support-Zugriffe auf Mandatsdaten durch. ## Baustein 14 — Gerichtsstand und anwendbares Recht > Auf diesen Vertrag findet ausschließlich deutsches Recht Anwendung. Gerichtsstand für alle Streitigkeiten ist [Sitz des Auftraggebers]. Eine Schiedsklausel oder ein ausländischer Gerichtsstand sind ausgeschlossen. ## Anlage 1 — Normtext (Vorlage) ``` Anlage 1 zum Vertrag — Strafrechtliche Belehrung § 203 StGB Verletzung von Privatgeheimnissen — Auszug (Abs. 1, Abs. 3 Satz 2, Abs. 4, Abs. 6) — vollständiger Normtext einfügen § 204 StGB Verwertung fremder Geheimnisse — vollständiger Normtext einfügen ``` ## Hinweise zur Verhandlung - Anbieter weichen häufig auf "Trust Center"-Versprechen aus. Die Klauseln müssen im Vertragstext stehen. - Bei US-Anbietern ist Baustein 13 typischer Verhandlungspunkt — wird nicht immer akzeptiert. - Beim Subunternehmer-Zustimmungsvorbehalt (Baustein 4) wehren sich Anbieter, weil ihre Lieferkette dann statisch wird; ein Widerspruchsrecht mit kurzer Frist ist ein realistischer Kompromiss. - "no training" (Baustein 5) ist heute Marktstandard und sollte verbindlich werden, nicht nur Default-Setting in einem Account. ## Output Markdown-Datei mit ausgewählten oder allen Bausteinen. Bei Bedarf in das Vertragsdokument einarbeiten lassen.