AVV-PDFs sind verfügbar. Geschäftskunden erhalten nach Registrierung automatisch die passende AVV-Variante. Bei konkreter Anfrage vorab: Kontakt.
Rechtliches · AVV

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO stellen wir für jede Kunden-Kategorie einen passenden Auftragsverarbeitungsvertrag bereit. Download als PDF — oder beim Onboarding-Gespräch digital signiert.

Keine US-Datenübermittlung ohne Ihre ausdrückliche Aktivierung.

Daten werden an US-Unternehmen ausschließlich dann übermittelt, wenn Sie selbst eine entsprechende optionale Funktion im Produkt aktivieren. Ohne eine solche Aktivierung erfolgt keinerlei Übermittlung in die USA — auch nicht für Analyse- oder Marketingzwecke. Die Kern-Plattform (Hosting, Auth, Zahlung, Mail, KI-Basisverarbeitung) läuft vollständig in der EU bzw. der Schweiz.

AVV — Privat (B2C)

für Privat-Abos

Standard-AVV für Privatkunden mit Document Center, Legal Center oder Health Center.

PDF herunterladen

AVV — Business (B2B)

für Business-Abos

AVV für Selbstständige und Unternehmen, mit Multi-Firma-Regelung und erweitertem TOM-Katalog.

PDF herunterladen

AVV — Kanzlei / Multi-Mandant

für Steuerberater, Rechtsanwälte, Holdings

Kanzlei-spezifische AVV mit §49b BRAO-Klauseln, Mandanten-Trennung und Verschwiegenheits-Anforderungen.

PDF herunterladen

AVV — Affiliate-Partner

für Publisher- und Advertiser-Flow

AVV für Affiliate-Partner mit Click-ID-Verarbeitung und UWG-konformer Label-Pflicht.

PDF herunterladen

Anhang: Eingesetzte Sub-Auftragsverarbeiter

Die nachfolgende Liste entspricht dem Stand der Datenschutzerklärung (§ 14a) und ist integraler Bestandteil aller AVV-Varianten.

Kern-Plattform (EU / Schweiz — immer aktiv)

Die folgenden Auftragsverarbeiter sind stets aktiv und verarbeiten Daten ausschließlich innerhalb der EU bzw. der Schweiz (Angemessenheitsbeschluss):

  • IONOS SE (Ernst-Abbe-Str. 1, 07743 Jena, DE) — Web-Hosting, DE-Serverstandort
  • Scaleway SAS (8 rue de la Ville l'Évêque, 75008 Paris, FR) — Objektspeicher (S3-kompatibel) und Datenbankdienste, EU-Serverstandorte
  • Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, DE) — verschlüsselte Backups
  • ZITADEL (CAOS AG) (Teufener Strasse 19, 9000 St. Gallen, Schweiz — Angemessenheitsbeschluss; Betrieb in EU-Region eu1) — Authentifizierung und Identitätsverwaltung
  • Mollie B.V. (Keizersgracht 313, 1016 EE Amsterdam, NL) — Zahlungsabwicklung (B2C und B2B); kein Drittlandtransfer
  • Quaderno (Recrea Systems S.L.) (Spanien, EU) — Umsatzsteuerberechnung und Rechnungsstellung
  • Brevo SAS (55 rue d'Amsterdam, 75008 Paris, FR) — Transaktionsmails und Inbound-Mail-Routing
  • Mailjet SAS (4 Rue Jules Lefebvre, 75009 Paris, FR — EU) — Weiterleitung eingehender E-Mails (Inbound-Verarbeitung)
  • Migadu GmbH (Schweiz; Angemessenheitsbeschluss EU-Kommission) — E-Mail-Hosting und -Verwaltung
  • Gcore S.A. (Luxemburg, EU) — Content Delivery Network (CDN) für den Webauftritt
  • Mistral AI SAS (15 Rue du Louvre, 75001 Paris, FR — EU) — KI-LLM, EU-Verarbeitung

Optionale US-Dienste — Einsatz NUR nach ausdrücklicher Aktivierung durch den Kunden

Die nachfolgenden Auftragsverarbeiter mit Sitz bzw. Muttergesellschaft in den USA werden ausschließlich dann eingesetzt, wenn der Auftraggeber (Kunde) die jeweilige optionale Funktion im Produkt selbst aktiviert. Die Aktivierung durch den Kunden gilt als dokumentierte Weisung im Sinne des Art. 28 Abs. 3 lit. a DSGVO. Lakeware weist den Kunden bei der Aktivierung im Produkt ausdrücklich auf den damit verbundenen Drittlandtransfer hin. Ohne eine solche Aktivierung findet keinerlei Datenübermittlung an diese Anbieter statt — auch nicht für Analyse- oder Marketingzwecke.

  • Anthropic Ireland Ltd. (Irland; Muttergesellschaft Anthropic PBC, San Francisco, USA) — KI-LLM für Legal- und Document-Analyse; wird eingesetzt, wenn der Kunde explizit ein Anthropic-Modell auswählt
  • OpenAI Ireland Ltd. (Irland; Muttergesellschaft OpenAI LLC, San Francisco, USA) — KI-LLM; wird eingesetzt, wenn der Kunde explizit ein OpenAI-Modell auswählt
  • Google Ireland Ltd. (Irland; Muttergesellschaft Google LLC, Mountain View, USA) — Gemini-API (KI-LLM) sowie Google Drive-Import; wird eingesetzt, wenn der Kunde explizit die Google-Integration aktiviert
  • Microsoft Ireland Operations Ltd. (Irland; Muttergesellschaft Microsoft Corp., Redmond, USA) — M365-/SharePoint-Import sowie Azure Document Intelligence (Dokument-OCR); wird eingesetzt, wenn der Kunde explizit die Microsoft-Integration aktiviert

Drittlandübermittlung

Für die Kern-Plattform (EU/Schweiz) findet keine Übermittlung in Drittländer außerhalb des EWR statt. Die Schweiz gilt aufgrund des Angemessenheitsbeschlusses der Europäischen Kommission als sicheres Drittland; dies betrifft Migadu GmbH und ZITADEL/CAOS AG.

Soweit optionale US-Dienste nach Kundenaktivierung eingesetzt werden, erfolgt die Drittlandübermittlung auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und — soweit das jeweilige Unternehmen zertifiziert ist — des EU-US Data Privacy Framework (Art. 45 DSGVO). Die Aktivierung durch den Kunden gilt zugleich als ausdrückliche Weisung gemäß Art. 28 Abs. 3 lit. a DSGVO und als informierte Einwilligung in die damit verbundene Drittlandübermittlung. Die Rechtsgrundlage der Übermittlung ist im jeweiligen Aktivierungshinweis im Produkt benannt.

Fragen vor Vertragsabschluss?

Bei konkreter Anfrage — insbesondere bei erweiterten TOM-Anforderungen, DPIA-Support oder Behörden-Setups — schreib uns an datenschutz@lakeware.ai oder buche ein Onboarding-Gespräch über Kontakt.

Stand: 2026-06-12 · Subprozessoren-Anhang aktualisiert (Stefan-Order: US-Übermittlung nur bei Kundenaktivierung). Fachanwaltliche Prüfung ausstehend — Stefan-Action.