Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag („AVV“) wird abgeschlossen zwischen:

• Auftragsverarbeiter: KI·SUM·AI - Kisum GmbH, Sonnwendjochstr. 6, 81825 München, Deutschland (HRB 199159 München, USt-IdNr. DE 284483293) — die juristische Person, die den ComplianceLint-Dienst betreibt.
• Verantwortlicher: die juristische Person, die sich beim ComplianceLint-Dienst registriert hat oder diesen anderweitig nutzt („Kunde“).

Der Auftragsverarbeiter und der Verantwortliche werden einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

Dieser AVV gilt ausschließlich für die Verarbeitung personenbezogener Daten im Auftrag des Kunden. Soweit der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet — insbesondere für Vertragsdurchführung, Rechnungslegung, gesetzliche Aufbewahrungspflichten, IT-Sicherheit und Missbrauchsprävention — handelt der Auftragsverarbeiter insoweit als eigenständiger Verantwortlicher; hierfür ist die Datenschutzerklärung maßgeblich.

Großgeschriebene Begriffe in diesem AVV haben die Bedeutung gemäß Verordnung (EU) 2016/679 („DSGVO“), sofern hier nicht abweichend definiert. Insbesondere:

• „Personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „weiterer Auftragsverarbeiter“ (im Industrie-Sprachgebrauch auch „Unterauftragsverarbeiter“), „betroffene Person“, „Verletzung des Schutzes personenbezogener Daten“ und „Aufsichtsbehörde“ haben die Bedeutung gemäß Art. 4 DSGVO.
• „Dienst“ bezeichnet das ComplianceLint-SaaS-Dashboard und den IDE-angebundenen Scanner, betrieben durch den Auftragsverarbeiter unter compliancelint.com / compliancelint.dev und zugehörigen Domains.
• „Standardvertragsklauseln“ oder „Standarddatenschutzklauseln“ bezeichnet die für die Übermittlung personenbezogener Daten in Drittländer als geeignete Garantien nach Art. 46 DSGVO anerkannten Klauseln, insbesondere die durch Durchführungsbeschluss (EU) 2021/914 der Kommission angenommenen Klauseln (englische Abkürzung: „SCC“).
• „Liste der weiteren Auftragsverarbeiter“ bezeichnet die aktuelle Liste der weiteren Auftragsverarbeiter, geführt unter /legal/sub-processors.

Der Kunde ist der Verantwortliche für die personenbezogenen Daten, die im Zusammenhang mit der Nutzung des Dienstes durch den Kunden verarbeitet werden. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Kunden gemäß diesem AVV, der Dienst-Bestellung oder den Nutzungsbedingungen und den dokumentierten Weisungen des Kunden.

Dieser AVV gilt, soweit der Auftragsverarbeiter personenbezogene Daten im Auftrag des Kunden verarbeitet, die der DSGVO oder gleichwertigen Datenschutzgesetzen der EU/EWR-Mitgliedstaaten, des Vereinigten Königreichs oder der Schweiz unterliegen.

Gegenstand. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung, Sicherung, Fehlerbehebung, Performance-Optimierung, Missbrauchs- prävention und produktinternen Qualitätskontrolle des Dienstes gemäß den Nutzungsbedingungen und den dokumentierten Weisungen des Kunden. Eine Nutzung der im Auftrag verarbeiteten personenbezogenen Daten zu Training, Fine-Tuning oder Marketing-Analyse ist ohne gesonderte Rechtsgrundlage oder ausdrückliche Weisung des Verantwortlichen ausgeschlossen.

Dauer. Dieser AVV bleibt so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des Kunden gemäß den Nutzungsbedingungen verarbeitet, und überdauert die Kündigung der Nutzungsbedingungen, soweit der Auftragsverarbeiter weiterhin personenbezogene Daten des Kunden hält (z.B. während des in §13 definierten Wind-Down- und Löschungs-Zeitraums).

Zweck. Die konkreten Verarbeitungszwecke sind: Kontoerstellung und Authentifizierung; Durchführung automatisierter und menschlich unterstützter Compliance-Bewertungen anhand von Metadaten, die das Software-Projekt des Kunden beschreiben; Speicherung und Darstellung der resultierenden Befunde; Verwaltung der Teammitgliedschaft und Berechtigungen; Versand transaktionaler E-Mails; Zahlungsabwicklung; sowie Betrieb, Sicherung und Unterstützung des Dienstes.

Kategorien betroffener Personen: Mitarbeitende, Auftragnehmer:innen, Teammitglieder und autorisierte Vertreter:innen des Kunden, die den Dienst im Auftrag des Kunden nutzen; sowie Personen, deren personenbezogene Daten in Compliance-Befunden beiläufig referenziert werden können (z.B. in den Metadaten aufgeführte Projektinhaber:innen).

Kategorien personenbezogener Daten:

• Konto-Identifikatoren: E-Mail-Adresse, Name, optionale Profildaten
• Authentifizierungs-Artefakte: gehashte Session-Tokens, Magic-Link-Tokens (kurzlebig), API-Schlüssel (gehasht)
• Nutzungs-Metadaten: IP-Adresse (in Logs auf /24-Präfix gekürzt), User-Agent, Zeitstempel, Seitenaufrufe
• Dienst-Inhalte: Compliance-Befunde (JSON-Klassifikationen — niemals Quellcode), Repository-Metadaten, Evidenz-Referenzen
• Abrechnungs-Daten: Abonnement-Stufe, Tarif-Historie, Abrechnungs-Ereignis-Identifikatoren. Vollständige Zahlungsdaten werden vom Zahlungsdienstleister (Merchant of Record) verarbeitet, der je nach Dienstmodell als eigenständig Verantwortlicher oder als weiterer Auftragsverarbeiter handeln kann; Details siehe Datenschutzerklärung §5 und /legal/sub-processors
• Betriebs-Logs: Fehler-Ereignisse, Audit-Log-Einträge, Diagnose-Metadaten gemäß Datenschutzerklärung §6a

Der Auftragsverarbeiter verarbeitet wissentlich keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO, keine Daten zu strafrechtlichen Verurteilungen im Sinne des Art. 10 DSGVO und keine personenbezogenen Daten von Kindern im Sinne des Art. 8 DSGVO.

Zusätzlich zu den durch die DSGVO und sonstiges geltendes Datenschutzrecht auferlegten Pflichten verpflichtet sich der Auftragsverarbeiter:

• (a) Dokumentierte Weisungen. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, auch in Bezug auf Übermittlungen personenbezogener Daten in Drittländer oder an internationale Organisationen, es sei denn, er ist hierzu durch Unions- oder Mitgliedstaaten-Recht verpflichtet, dem der Auftragsverarbeiter unterliegt; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, das betreffende Recht verbietet eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses.
• (b) Vertraulichkeit. Sicherzustellen, dass sich die zur Verarbeitung personenbezogener Daten berechtigten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
• (c) Sicherheit. Alle gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung) erforderlichen Maßnahmen zu ergreifen — siehe §7 unten.
• (d) Weitere Auftragsverarbeiter. Die in Art. 28 Abs. 2 und Art. 28 Abs. 4 DSGVO festgelegten Bedingungen für die Einschaltung weiterer Auftragsverarbeiter einzuhalten — siehe §8 unten.
• (e) Unterstützung bei Betroffenenrechten. Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen nach Möglichkeit dabei zu unterstützen, seinen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Personen nachzukommen.
• (f) Compliance-Unterstützung. Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen (Sicherheit, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung, vorherige Konsultation).
• (g) Rückgabe / Löschung. Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der mit der Verarbeitung zusammenhängenden Dienstleistungen zu löschen oder zurückzugeben sowie vorhandene Kopien zu löschen, sofern nicht Unions- oder Mitgliedstaaten-Recht eine Speicherung der personenbezogenen Daten vorschreibt — siehe §13 unten.
• (h) Audit-Informationen. Dem Verantwortlichen alle für den Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen — einschließlich Inspektionen — die vom Verantwortlichen oder einem anderen von ihm beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen — siehe §11 unten.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt (Art. 28 Abs. 3 letzter Satz DSGVO).

Der Auftragsverarbeiter unterhält geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich, soweit angemessen:

• Transportverschlüsselung über TLS 1.2+ (HTTPS) für alle kundenseitigen Endpunkte und den Datenverkehr zwischen Diensten
• Verschlüsselung im Ruhezustand der Anwendungsdatenbank über LUKS2 (Verschlüsselung AES-XTS-Plain64, 512-Bit-Schlüssel) auf dem Produktionsserver. Die Master-Passphrase wird nach einem dokumentierten Schlüsselverwaltungsverfahren durch eine hierzu autorisierte Person auf Seiten des Auftragsverarbeiters verwahrt und nicht automatisch beim Boot geladen
• Zugriffskontrolle einschließlich authentifizierter Sessions, rollenbasierter Zugriff auf administrative Funktionen und Audit-Logging aller zustandsändernden Vorgänge
• Pseudonymisierung identifizierender Metadaten in Betriebs-Logs (gekürzte IP-Präfixe /24, mit Salt versehene SHA-256-Hashes für Einwilligungs-Aufzeichnungen; niemals vollständige Klartext-IP)
• Netzwerk-Isolation der Produktionssysteme von Entwicklungsumgebungen
• Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluation der Wirksamkeit technischer und organisatorischer Maßnahmen

Eine aktuelle, detaillierte Beschreibung der technischen und organisatorischen Maßnahmen wird unter /legal/tom gepflegt und ist Bestandteil dieses AVV. Ergänzende Detailinformationen sind auf schriftliche Anfrage des autorisierten Vertreters des Verantwortlichen unter info@compliancelint.com erhältlich. Der Auftragsverarbeiter darf seine technischen und organisatorischen Maßnahmen von Zeit zu Zeit aktualisieren, sofern eine solche Aktualisierung das Schutzniveau personenbezogener Daten nicht wesentlich verringert.

Der Kunde erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Einschaltung weiterer Auftragsverarbeiter zur Unterstützung der Diensterbringung, vorbehaltlich dieses §8.

Die aktuelle Liste der weiteren Auftragsverarbeiter wird unter /legal/sub-processors geführt und ist Bestandteil dieses AVV. Der Auftragsverarbeiter wird den Kunden schriftlich — per E-Mail an die im Kundenkonto hinterlegte Adresse oder per bestätigungspflichtiger Ankündigung im Produkt — mindestens 14 Tage im Voraus über jede beabsichtigte Ergänzung oder Ersetzung eines weiteren Auftragsverarbeiters informieren, es sei denn, die Änderung ist aufgrund einer dringenden Sicherheits- oder regulatorischen Notwendigkeit erforderlich; in diesem Fall wird der Auftragsverarbeiter eine den Umständen nach vertretbare Mitteilung machen.

Der Kunde kann der Einschaltung eines neuen weiteren Auftragsverarbeiters innerhalb der Frist aus vertretbaren datenschutzrechtlichen Gründen widersprechen. Im Falle eines berechtigten Widerspruchs vereinbaren die Parteien zunächst eine angemessene Alternativlösung, etwa die Nichtnutzung des neuen Subprozessors für die Daten des betroffenen Kunden. Ist eine solche Lösung nicht möglich, kann der Kunde den betroffenen Teil des Dienstes mit anteiliger Rückerstattung vorausbezahlter Gebühren kündigen.

Der Auftragsverarbeiter stellt sicher, dass jeder weitere Auftragsverarbeiter durch einen schriftlichen Vertrag gebunden ist, der datenschutzrechtliche Pflichten gleichwertig zu denen dieses AVV auferlegt, und haftet gegenüber dem Kunden vollumfänglich für die Erfüllung der Pflichten jedes weiteren Auftragsverarbeiters.

Soweit personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt werden, erfolgt die Übermittlung nur nach Maßgabe von Kapitel V DSGVO.

Bei Empfängern in Ländern mit einem anwendbaren Angemessenheitsbeschluss erfolgt die Übermittlung auf Grundlage von Art. 45 DSGVO. Für Übermittlungen an US-Empfänger kann dies insbesondere die EU-US Data Privacy Framework-Angemessenheitsentscheidung (Durchführungsbeschluss (EU) 2023/1795) sein, sofern der jeweilige Empfänger eine aktive und für die betroffenen Datenkategorien einschlägige Zertifizierung besitzt.

Liegt kein anwendbarer Angemessenheitsbeschluss vor, erfolgt die Übermittlung nur auf Grundlage geeigneter Garantien nach Art. 46 DSGVO, insbesondere der Standardvertragsklauseln / Standarddatenschutzklauseln gemäß Durchführungsbeschluss (EU) 2021/914, einschließlich erforderlicher Transfer Impact Assessments und ergänzender technischer und organisatorischer Schutzmaßnahmen, soweit erforderlich.

Für Transfers, die dem UK GDPR unterliegen, werden das UK International Data Transfer Addendum bzw. die UK International Data Transfer Agreement angewendet. Für Transfers nach Schweizer Datenschutzrecht erfolgen die jeweils nach revDSG erforderlichen Anpassungen.

Der Kunde ermächtigt den Auftragsverarbeiter, die jeweils erforderlichen Transfer-Mechanismen im Namen des Kunden abzuschließen, soweit dies für die Nutzung der unter /legal/sub-processors aufgelisteten weiteren Auftragsverarbeiter erforderlich ist.

Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter den Kunden durch geeignete technische und organisatorische Maßnahmen bei:

• Der Beantwortung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte nach Kapitel III DSGVO (insbesondere können die Administrator:innen des Kunden die produktinternen Datenexport- und Kontolöschungs-Funktionen nutzen, um Anträge nach Art. 15 / Art. 17 / Art. 20 DSGVO für die Endnutzer:innen des Kunden zu erfüllen)
• Der Sicherstellung der Einhaltung der Art. 32 (Sicherheit), Art. 33 / 34 (Meldung von Verletzungen des Schutzes personenbezogener Daten), Art. 35 (Datenschutz-Folgenabschätzung) und Art. 36 (vorherige Konsultation) DSGVO, soweit anwendbar

Der Auftragsverarbeiter darf eine angemessene Gebühr für Unterstützung erheben, die wesentlich über die Standard-Produktfunktionalitäts-Kanäle hinausgeht und als maßgeschneidertes Engagement angefragt wird. Standard-Produktfunktionalitäts-Kanäle (produktinterner Export, Löschung, Kommunikation mit betroffenen Personen) werden ohne zusätzliche Kosten bereitgestellt. Gesetzlich erforderliche, angemessene Unterstützung wird unabhängig von Gebührenregelungen nicht verweigert.

Der Auftragsverarbeiter stellt dem Kunden Informationen bereit, die zum Nachweis der Einhaltung dieses AVV und des Art. 28 DSGVO vernünftigerweise erforderlich sind, in folgenden Formen (in Reihenfolge der Bevorzugung):

• Schriftliche Antworten auf einen angemessenen, vom Kunden oder seinem Prüfer eingereichten Audit-Fragebogen
• Aktuelle Kopien der Informationssicherheits-Dokumentation, der technischen und organisatorischen Maßnahmen, der Liste der weiteren Auftragsverarbeiter und der einschlägigen Zertifizierungen des Auftragsverarbeiters
• Soweit das Vorstehende vernünftigerweise nicht ausreicht und die Audit-Pflichten nach Art. 28 Abs. 3 lit. h DSGVO unerfüllt bleiben, ein Vor-Ort-Audit durch einen einvernehmlich benannten Drittprüfer unter vertretbaren Vertraulichkeitsbedingungen, auf Kosten des Kunden, durchgeführt höchstens einmal pro Zwölfmonatszeitraum und mit mindestens 30 Tagen schriftlicher Vorankündigung (außer im Falle einer bestätigten wesentlichen Verletzung des Schutzes personenbezogener Daten betreffend die Daten des Kunden; in diesem Fall kann die Frist einvernehmlich verkürzt werden). Können sich die Parteien nicht innerhalb von 15 Arbeitstagen auf einen Drittprüfer einigen, darf der Kunde einen qualifizierten, unabhängigen, zur Vertraulichkeit verpflichteten Prüfer benennen.

Behördliche Audit- und Inspektionsrechte sowie zwingende Rechte betroffener Personen bleiben durch diese Regelung unberührt.

Der Auftragsverarbeiter benachrichtigt den Kunden ohne unangemessene Verzögerung, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, welche die personenbezogenen Daten des Kunden betrifft. Die Benachrichtigung beschreibt, soweit zu diesem Zeitpunkt bekannt: die Art der Verletzung einschließlich der Kategorien und ungefähren Zahlen betroffener Personen und betroffener Datensätze; die wahrscheinlichen Folgen der Verletzung; sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Minderung ihrer möglichen nachteiligen Folgen.

Der Auftragsverarbeiter unterhält ein dokumentiertes Verfahren zur Meldung von Verletzungen des Schutzes personenbezogener Daten in Anlehnung an Art. 33 DSGVO; weitere Details sind auf schriftliche Anfrage unter info@compliancelint.com erhältlich.

Mit Beendigung der Erbringung der mit der Verarbeitung zusammenhängenden Dienstleistungen gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurück oder löscht sie, einschließlich vorhandener Kopien, soweit keine Speicherung nach Unionsrecht oder dem Recht eines Mitgliedstaats vorgeschrieben ist (Art. 28 Abs. 3 lit. g DSGVO).

Der Kunde kann die Rückgabe oder Löschung über die produktinternen Datenexport- (/api/v1/user/export oder gleichwertige UI-Steuerung) und Kontolöschungs- Funktionen (/api/v1/user/delete oder gleichwertige UI-Steuerung) vornehmen oder eine entsprechende Weisung schriftlich an den Auftragsverarbeiter richten.

Trifft der Verantwortliche innerhalb von 30 Tagen nach Vertragsende keine Wahl, gilt die Löschung gemäß dem jeweils geltenden Lösch- und Aufbewahrungskonzept als dokumentierte Weisung des Verantwortlichen.

Personenbezogene Daten, die Bestandteil von Vertrags-, Rechnungs-, Buchhaltungs- oder Steuerunterlagen sind und aufgrund gesetzlicher Aufbewahrungspflichten, insbesondere nach § 257 HGB, § 147 AO oder § 14b UStG, aufzubewahren sind, werden für die Dauer der jeweiligen gesetzlichen Aufbewahrungsfrist gesperrt bzw. zugriffsbeschränkt gespeichert und nicht weiter für operative Dienstzwecke verarbeitet (Art. 17 Abs. 3 lit. b DSGVO). Nach Ablauf der gesetzlichen Aufbewahrungsfrist werden diese Daten gelöscht, soweit keine weitere gesetzliche Pflicht zur Aufbewahrung besteht.

Die Haftung jeder Partei aus oder im Zusammenhang mit diesem AVV, sei es vertraglich, deliktisch oder aus einer anderen Anspruchsgrundlage, unterliegt den Haftungsbeschränkungs-Regelungen der Nutzungsbedingungen. In keinem Fall sind die Haftungsbeschränkungen der Nutzungsbedingungen so auszulegen, dass sie (i) die Haftung einer Partei für direkt gegen diese Partei von einer Aufsichtsbehörde verhängte Bußgelder beschränken, (ii) eine nach geltendem Recht unbeschränkbare Haftung beschränken oder (iii) Ansprüche, Haftung oder Regress nach Art. 82 DSGVO, einschließlich gesamtschuldnerischer Haftung nach Art. 82 Abs. 4 DSGVO, beschränken, soweit eine solche Beschränkung gesetzlich unzulässig ist.

Dieser AVV tritt in Kraft, wenn der Kunde sich zum ersten Mal beim Dienst registriert, oder, bei Bestandskunden, am oben angegebenen Wirksamkeitsdatum. Er endet automatisch mit der Beendigung der zugrunde liegenden Nutzungsbedingungen, mit der Ausnahme, dass §7 (Sicherheit), §11 (Audits), §12 (Verletzung des Schutzes personenbezogener Daten), §13 (Rückgabe und Löschung) und §14 (Haftung) so lange fortbestehen, wie der Auftragsverarbeiter personenbezogene Daten des Kunden hält, einschließlich solcher Daten, die aufgrund gesetzlicher Aufbewahrungspflichten gesperrt gespeichert sind.

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss seiner Kollisionsnormen und des UN-Kaufrechts (CISG). Ausschließlicher Gerichtsstand ist München, Deutschland, soweit gesetzlich zulässig.

Soweit die zugrunde liegenden Nutzungsbedingungen ein abweichendes anwendbares Recht oder einen abweichenden Gerichtsstand vorsehen, gelten die datenschutzrechtlichen Pflichten der DSGVO unabhängig von dieser Rechtswahl weiter, soweit dies nach Art. 3 DSGVO erforderlich ist.

Im Falle von Widersprüchen zwischen diesem AVV, den Nutzungsbedingungen und einem Anhang gilt folgende Rangfolge: (i) ausdrücklich von den Parteien für internationale Transfers übernommene Standardvertragsklauseln oder andere gesetzlich vorgeschriebene Klauseln; (ii) dieser AVV; (iii) die Nutzungsbedingungen.

Der Auftragsverarbeiter unterzeichnet diesen AVV vorab in eigenem Namen zum oben angegebenen Versionsdatum. Der Kunde gilt als Vertragspartei und nimmt diesen AVV in eigenem Namen und im Namen seiner berechtigten verbundenen Unternehmen mit der Registrierung beim Dienst oder dessen fortgesetzter Nutzung an.

Der Kunde kann eine gegengezeichnete PDF-Ausfertigung per E-Mail an info@compliancelint.com anfordern, unter Angabe des juristischen Namens, der eingetragenen Anschrift und der zeichnungsberechtigten Person des Kunden.

Vorab unterzeichnet durch den Auftragsverarbeiter:
KI·SUM·AI - Kisum GmbH
Sonnwendjochstr. 6, 81825 München, Deutschland
Zeichnungsberechtigt: der Geschäftsführer der KI·SUM·AI - Kisum GmbH
Wirksamkeitsdatum: April 2026 (Version 1.0)

Bei Fragen zu diesem AVV, Anforderung einer gegengezeichneten Ausfertigung oder Anforderung weiterer Dokumentation wenden Sie sich bitte an info@compliancelint.com mit dem Betreff „AVV-Anfrage“.