Klauselvorschläge — Bausteine

Klauselvorschläge — Bausteine

Disclaimer

Diese Forprüfung ist keine Rechtsberatung, sondern strukturierte Argumentationshilfe für das Anbietergespräch. Die Mustertexte sind Verhandlungsmaterial, kein fertiger Vertrag. Vor Unterzeichnung ist eine anwaltliche Prüfung im konkreten Vertragsumfeld erforderlich.

Aufbau

Die folgenden Klauselvorschläge sind modular. Sie können einzeln oder als Paket in den Vertrag aufgenommen werden. Sie sind so formuliert, dass sie der Pflichtenstruktur der jeweiligen Dienstleisterregelung entsprechen (BRAO StBerG WPO PAO BNotO).

Baustein 1 — Verschwiegenheit

Der Anbieter ist gegenüber jedermann zur Verschwiegenheit über alle Tatsachen verpflichtet, die ihm im Rahmen der Vertragserfüllung über die Mandanten, Beteiligten oder Mandate des Auftraggebers bekannt werden. Die Verschwiegenheitspflicht gilt zeitlich unbegrenzt und besteht über das Vertragsende hinaus fort. Sie erfasst sämtliche Tatsachen, auf die sich die Verschwiegenheitspflicht des Auftraggebers gemäß [Norm-Adapter einsetzen: § 43a Abs. 2 BRAO bzw. § 57 Abs. 1 StBerG bzw. § 43 WPO bzw. § 39a Abs. 2 PAO bzw. § 18 BNotO] bezieht. Ausnahmen bestehen nur, soweit eine gesetzliche Offenbarungspflicht besteht oder der Mandant beziehungsweise Beteiligte ausdrücklich in die Offenbarung eingewilligt hat.

Baustein 2 — Strafrechtliche Belehrung

Der Anbieter ist über die strafrechtlichen Folgen einer Verletzung der Verschwiegenheitspflicht nach § 203 Abs. 4 StGB und § 204 StGB belehrt. Der Anbieter verpflichtet seine eigenen Mitarbeiter und alle eingebundenen Subunternehmer in Textform (§ 126b BGB) zur Verschwiegenheit und belehrt sie ebenfalls über §§ 203, 204 StGB. Die Belehrung umfasst auch die gewerbsmäßige Variante nach § 203 Abs. 6 StGB. Der Normtext der §§ 203, 204 StGB ist als Anlage 1 Bestandteil dieses Vertrags.

Baustein 3 — Erforderlichkeitsschwelle Kenntnis

Der Anbieter verschafft sich nur insoweit Kenntnis von den ihm anvertrauten oder bekanntgewordenen Tatsachen, als dies zur Vertragserfüllung erforderlich ist. Der Anbieter trifft technische und organisatorische Maßnahmen, um die Einhaltung dieser Erforderlichkeitsschwelle sicherzustellen, insbesondere rollenbasierte Zugriffskontrolle und Audit-Logs.

Baustein 4 — Subunternehmer

Der Anbieter ist befugt, weitere Personen zur Erfüllung des Vertrags heranzuziehen. Die aktuelle, abschließende Liste der Subunternehmer ist als Anlage 2 Bestandteil dieses Vertrags. Sie umfasst pro Subunternehmer Name, Sitz, Funktion und Verarbeitungsstandort.

Vor Hinzunahme eines weiteren Subunternehmers oder Wechsel eines bestehenden Subunternehmers informiert der Anbieter den Auftraggeber mindestens 30 Tage im Voraus in Textform. Der Auftraggeber kann der Hinzunahme oder dem Wechsel innerhalb von 14 Tagen aus berufsrechtlichen Gründen widersprechen.

Der Anbieter verpflichtet jeden Subunternehmer in Textform zur Verschwiegenheit und belehrt ihn über §§ 203, 204 StGB. Inhaltliche Anforderungen sind mindestens diejenigen, die für den Anbieter selbst gelten (Bausteine 1, 2 und 3).

Baustein 5 — no training

Der Anbieter verarbeitet die vom Auftraggeber eingegebenen Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistung. Eine Verwendung der Daten zum Training, Fine-Tuning, zur Verbesserung oder Bewertung von KI-Modellen — gleich ob eigene Modelle oder Drittmodelle — findet nicht statt. Dies gilt auch für aggregierte oder anonymisierte Verwendung. Der Anbieter sichert diese Beschränkung auch in seinen Verträgen mit Modellanbietern und Hostern vertraglich ab.

Baustein 6 — Zero Retention

Der Anbieter speichert die vom Auftraggeber eingegebenen Daten nicht länger als für die Erbringung der konkreten Leistung erforderlich. Eingaben werden nach Abschluss der jeweiligen Verarbeitung unverzüglich gelöscht, spätestens innerhalb von 24 Stunden. Eine Speicherung in Logfiles erfolgt nur in pseudonymisierter Form und nicht länger als sieben Tage.

Baustein 7 — EU-Hosting

Die Verarbeitung und Speicherung der Daten erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Dies gilt auch für Backups und Logs. Eine Verarbeitung außerhalb von EU oder EWR — gleich ob beim Anbieter selbst oder bei Subunternehmern — bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers.

Baustein 8 — Verschlüsselung

Die Übertragung der Daten erfolgt verschlüsselt nach dem aktuellen Stand der Technik (mindestens TLS in einer aktuellen Version). Daten im Ruhezustand werden mit AES 256 oder gleichwertig verschlüsselt. Schlüssel werden in einem Schlüsselverwaltungssystem nach BSI-Empfehlung verwahrt.

Baustein 9 — Audit-Recht und Zertifizierung

Der Anbieter hält ein zertifiziertes Informationssicherheitsmanagement nach ISO 27001 vor und legt das aktuelle Testat dem Auftraggeber unaufgefordert jährlich vor. Bei Cloud-Anbietern zusätzlich ein BSI-C5-Typ-2-Testat. Der Auftraggeber kann auf eigene Kosten und nach Voranmeldung von 30 Tagen Audits durchführen oder durch einen unabhängigen Dritten durchführen lassen.

Baustein 10 — Löschung

Bei Vertragsende sowie auf Anforderung des Auftraggebers löscht der Anbieter alle vom Auftraggeber eingegebenen Daten unverzüglich, spätestens innerhalb von 30 Tagen. Die Löschung umfasst alle Speicherorte, einschließlich Backups und Logs. Der Anbieter bestätigt die Löschung schriftlich und liefert ein Löschprotokoll.

Baustein 11 — Strafprozessuale Vorkehrungen

Der Anbieter ist verpflichtet, behördlichen Auskunftsverlangen, Durchsuchungs- oder Beschlagnahmeanordnungen mit Hinweis auf §§ 53a, 97 StPO entgegenzutreten und Rechtsmittel einzulegen, soweit nicht offensichtlich unzulässig. Der Anbieter informiert den Auftraggeber unverzüglich vorab über jedes derartige Verlangen, soweit gesetzlich zulässig.

Baustein 12 — Meldepflicht

Der Anbieter meldet dem Auftraggeber jeden Sicherheitsvorfall, jede Datenpanne und jede Behördenanfrage unverzüglich, spätestens innerhalb von 24 Stunden ab Kenntnis. Die Meldung erfolgt in Textform mit Beschreibung des Vorfalls, der betroffenen Daten und der getroffenen Maßnahmen.

Baustein 13 — Professional Secrecy Addendum (für US-Anbieter)

Soweit der Anbieter unter US-Recht (insbesondere CLOUD Act, FISA) Auskunftsverlangen ausgesetzt ist, gilt zusätzlich:

(a) Der Anbieter ficht jedes US-Auskunftsverlangen, das Mandatsdaten des Auftraggebers betrifft, mit den verfügbaren Rechtsmitteln an, soweit nicht offensichtlich unzulässig. (b) Der Anbieter informiert den Auftraggeber unverzüglich, soweit gesetzlich zulässig (auch bei Gag Order: soweit zulässig allgemeine Information oder Statistik). (c) Daten und Backups werden nicht in die USA übertragen. (d) Der Anbieter führt keine US-seitigen Support-Zugriffe auf Mandatsdaten durch.

Baustein 14 — Gerichtsstand und anwendbares Recht

Auf diesen Vertrag findet ausschließlich deutsches Recht Anwendung. Gerichtsstand für alle Streitigkeiten ist [Sitz des Auftraggebers]. Eine Schiedsklausel oder ein ausländischer Gerichtsstand sind ausgeschlossen.

Anlage 1 — Normtext (Vorlage)

Anlage 1 zum Vertrag — Strafrechtliche Belehrung

§ 203 StGB Verletzung von Privatgeheimnissen — Auszug
(Abs. 1, Abs. 3 Satz 2, Abs. 4, Abs. 6) — vollständiger Normtext einfügen

§ 204 StGB Verwertung fremder Geheimnisse — vollständiger Normtext einfügen

Hinweise zur Verhandlung

• Anbieter weichen häufig auf "Trust Center"-Versprechen aus. Die Klauseln müssen im Vertragstext stehen.
• Bei US-Anbietern ist Baustein 13 typischer Verhandlungspunkt — wird nicht immer akzeptiert.
• Beim Subunternehmer-Zustimmungsvorbehalt (Baustein 4) wehren sich Anbieter, weil ihre Lieferkette dann statisch wird; ein Widerspruchsrecht mit kurzer Frist ist ein realistischer Kompromiss.
• "no training" (Baustein 5) ist heute Marktstandard und sollte verbindlich werden, nicht nur Default-Setting in einem Account.

Output

Markdown-Datei mit ausgewählten oder allen Bausteinen. Bei Bedarf in das Vertragsdokument einarbeiten lassen.

Aktuelle Rechtsprechung zur AGB-Kontrolle

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Zentrale Normen (Paragrafenkette)

• §§ 305–310 BGB — AGB-Kontrolle; § 307 BGB (Unangemessene Benachteiligung)
• § 126b BGB — Textform für Verpflichtungserklärungen
• §§ 43e Abs. 3, 62a Abs. 3, 50a Abs. 3, 39c Abs. 3, 26a Abs. 3 — Vertragsinhalt Dienstleisterregelung
• § 203 Abs. 4 Satz 2 Nr. 1 StGB — Sekundärpflicht des Dienstleisters

Quellenregel

Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.

Triage zu Beginn

1. Welche Bausteine sind prioritär? (Verschwiegenheit und Belehrung immer; Drittstaat nur bei US-Anbieter)
2. Liegt ein US-Anbieter vor? → Baustein 13 Professional Secrecy Addendum verpflichtend
3. Ist ein Unterauftragnehmer-Zustimmungsvorbehalt verhandelbar? → Widerspruchsfrist als Kompromiss
4. Sind "no training" (Baustein 5) und Zero Retention (Baustein 6) bereits im Standardvertrag enthalten?

Output-Template — Verhandlungsprotokoll Klauselverhandlung

Adressat: Kanzlei intern / Anbieter — Tonfall: sachlich-fristsetzend

Verhandlungsprotokoll Vertragsklauseln [DATUM]
Anbieter: [NAME] | Produkt: [PRODUKT]

Anforderung: Aufnahme folgender Klauseln bis [FRIST]:

Nr. | Baustein                    | Status       | Anbieter-Antwort
----|-----------------------------|--------------|------------------
 1  | Verschwiegenheit            | offen        |
 2  | Strafrechtl. Belehrung      | offen        |
 3  | Erforderlichkeitsschwelle   | offen        |
 4  | Subunternehmer-Vorbehalt    | offen        |
 5  | No training                 | [vorhanden/offen] |
 6  | Zero Retention              | offen        |
 7  | EU-Hosting                  | offen        |
 9  | Audit-Recht / ISO 27001     | offen        |
10  | Loeschkonzept               | offen        |
13  | Prof. Secrecy Addendum (US) | entfaellt/offen |

Bei Nichtunterzeichnung bis [FRIST]: Vertragskuendigung zum [DATUM].