Diese deutsche Übersetzung dient ausschließlich der besseren Lesbarkeit. Maßgeblich ist die englische Originalfassung. Es gilt niederländisches Recht; ausschließlicher Gerichtsstand ist Amsterdam.
1. Parteien
Dieser AVV wird abgeschlossen zwischen:
Verantwortlicher: Der Kunde, der die Nutzungsbedingungen akzeptiert hat und den Dienst in der Eigenschaft als Verantwortlicher nutzt.
Auftragsverarbeiter: Alpha Digital B.V., handelnd als Custos AI — Stationsplein 26, 6512 AB Nijmegen, NL · KvK 72313129
Dieser AVV ist Bestandteil der Nutzungsbedingungen und in diese einbezogen. Er wird gemäß Artikel 28 DSGVO geschlossen.
2. Definitionen
- „Betroffene Person" — eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten im Rahmen dieses AVV verarbeitet werden.
- „Personenbezogene Daten" — alle Informationen, die sich auf eine betroffene Person beziehen und vom Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit dem Dienst verarbeitet werden.
- „Verarbeitung" — jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie in Artikel 4 Abs. 2 DSGVO definiert.
- „Sicherheitsvorfall" — eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.
- „Unterauftragsverarbeiter" — jeder Dritte, der vom Auftragsverarbeiter eingesetzt wird, um personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.
3. Gegenstand und Rollen
Dieser AVV gilt für alle Verarbeitungen personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Erbringung des Dienstes. Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen und gemäß den dokumentierten Weisungen des Verantwortlichen.
Hinweis zu LLM-Anbietern (BYOK): Dieser AVV gilt nicht für die Verarbeitung personenbezogener Daten durch Drittanbieter-LLM-Dienste. Im Rahmen des BYOK-Modells unterhält der Verantwortliche eine direkte Vertragsbeziehung mit jedem LLM-Anbieter über seine eigenen API-Schlüssel. Der Auftragsverarbeiter fungiert ausschließlich als technisches Übertragungsmedium, das die Anfragen des Verantwortlichen an die API des LLM-Anbieters weiterleitet; der Auftragsverarbeiter bestimmt nicht die Zwecke oder Mittel der Verarbeitung durch LLM-Anbieter.
4. Einzelheiten der Verarbeitung
Gegenstand
Die Bereitstellung einer Multi-LLM-Chat-Plattform, einschließlich Benutzerkontoverwaltung, Chat-Funktionalität, Datei-Upload und -speicherung, Team-Kollaborationsfunktionen und zugehörigen Support-Diensten.
Kategorien betroffener Personen
Mitarbeitende, Auftragnehmer, Vertreter und alle anderen Personen des Verantwortlichen, deren personenbezogene Daten vom Verantwortlichen oder in seinem Namen in den Dienst eingebracht werden.
Arten personenbezogener Daten
| Kategorie | Beispiele |
|---|---|
| Kontodaten | Name, E-Mail-Adresse, gehashtes Passwort, Sprachpräferenz, MFA-Konfiguration |
| Nutzungsdaten | Anmeldezeitstempel, Sitzungskennungen, IP-Adressen, Geräte- und Browser-Metadaten |
| Chat-Daten | Konversationsverlauf, Prompts, KI-generierte Antworten, ausgewähltes LLM-Modell pro Konversation |
| Hochgeladene Dateien | PDF-, DOCX-, XLSX-, Bild-, CSV- und TXT-Dateien, die von betroffenen Personen hochgeladen werden |
| Abrechnungsmetadaten | Abonnementplan, Abrechnungszeitraum, Stripe-Kundenkennung |
| Team- und Workspace-Daten | Organisationsname, Workspace-Mitgliedschaft, Benutzerrollen, gemeinsame Prompt-Vorlagen |
| Budget- und Kostendaten | Konfigurierte API-Budgetlimits, geschätzte Token-Nutzung und -Kosten pro Benutzer und Anbieter |
Besondere Kategorien von Daten
Der Auftragsverarbeiter verarbeitet absichtlich keine besonderen Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO. Der Verantwortliche darf keine besonderen Kategorien personenbezogener Daten in den Dienst einbringen, sofern der Verantwortliche nicht eine gültige Rechtsgrundlage und angemessene Schutzmaßnahmen gemäß Artikel 9 DSGVO sichergestellt hat.
5. Pflichten des Verantwortlichen
- Der Verantwortliche gewährleistet, dass er über eine gültige Rechtsgrundlage gemäß DSGVO für die Verarbeitung personenbezogener Daten über den Dienst verfügt.
- Der Verantwortliche ist dafür verantwortlich, betroffenen Personen angemessene Datenschutzhinweise zu erteilen und auf Anfragen betroffener Personen zu reagieren, mit Unterstützung des Auftragsverarbeiters.
- Der Verantwortliche ist dafür verantwortlich, die Rechtmäßigkeit aller Daten sicherzustellen, die über den Dienst an Drittanbieter-LLM-Dienste übermittelt werden, einschließlich des Abschlusses angemessener Auftragsverarbeitungsverträge mit diesen Anbietern.
- Der Verantwortliche erteilt dem Auftragsverarbeiter dokumentierte Weisungen zur Verarbeitung. Die Vereinbarung und dieser AVV stellen die anfänglichen dokumentierten Weisungen des Verantwortlichen dar.
6. Pflichten des Auftragsverarbeiters
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen.
- Der Auftragsverarbeiter stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet sind.
- Der Auftragsverarbeiter implementiert und pflegt angemessene technische und organisatorische Sicherheitsmaßnahmen.
- Der Auftragsverarbeiter beauftragt keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter), ohne die in Abschnitt 8 genannten Bedingungen zu erfüllen.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Verpflichtungen zur Beantwortung von Anfragen betroffener Personen zu ihren Rechten.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Gewährleistung der Einhaltung der Artikel 32 bis 36 DSGVO.
- Nach Wahl des Verantwortlichen löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten nach Beendigung der Dienstleistung zurück.
7. Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter implementiert und pflegt folgende Sicherheitsmaßnahmen:
| Bereich | Maßnahme |
|---|---|
| Verschlüsselung im Ruhezustand | AES-256 für alle gespeicherten Daten über Supabase; AES-256-GCM für API-Schlüssel |
| Verschlüsselung bei der Übertragung | TLS 1.2 oder höher bei allen Verbindungen |
| Authentifizierung | E-Mail + Passwort mit verpflichtender TOTP-Multi-Faktor-Authentifizierung |
| Zugriffskontrolle | Minimale Berechtigung, rollenbasierter Zugriff; mandantenübergreifende Isolierung über Supabase Row Level Security (RLS) auf Datenbankebene |
| Netzwerksicherheit | Nur HTTPS; HSTS; supabase-verwaltete Netzwerkisolierung auf Datenbankebene |
| Sicherheits-Header | HSTS, X-Content-Type-Options, X-Frame-Options, CSP, Referrer-Policy, Permissions-Policy |
| Backup | Täglich automatisierte verschlüsselte Backups über Supabase; Point-in-time-Recovery verfügbar; monatliche Wiederherstellungstests |
| Wiederherstellung | Ziel-RTO: 4 Stunden; Ziel-RPO: 24 Stunden (nicht-vertragliche operative Ziele) |
| Monitoring | Anwendungsüberwachung über Vercel Observability |
| Schwachstellenmanagement | OWASP Top 10-Bewertung; automatisiertes Abhängigkeits-Scanning (Dependabot); CodeQL-statische Analyse |
| Budgetdurchsetzung | LiteLLM-basierte harte Budgetlimits, die API-Aufrufe vor der Übertragung an LLM-Anbieter blockieren |
| Vorfallreaktion | Benachrichtigung des Verantwortlichen innerhalb von 48 Stunden nach einem Sicherheitsvorfall |
| Daten-Hosting | Ausschließlich innerhalb der EU: Frankfurt, Deutschland (Supabase) und Amsterdam, Niederlande (TransIP) |
8. Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung für den Einsatz der folgenden Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Supabase | Datenbank, Authentifizierung, Dateispeicherung | Frankfurt, Deutschland (EU) |
| TransIP B.V. | VPS-Hosting für LiteLLM-Proxy (Budgetdurchsetzung, LLM-Anfragen-Routing) | Amsterdam, Niederlande (EU) |
| Vercel, Inc. | Frontend und Edge-Computing (Website und Anwendung) | EU-Edge-Netzwerk |
| Lettermint | Transaktionale E-Mail-Zustellung | EU |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung und Stripe Tax | Dublin, Irland (EU) |
Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung betreffend die Hinzunahme oder den Austausch von Unterauftragsverarbeitern und gibt dem Verantwortlichen Gelegenheit, solchen Änderungen zu widersprechen. Die Benachrichtigung erfolgt mindestens 30 Tage vor Wirksamwerden der Änderung über die Unterauftragsverarbeiterliste unter custosai.eu/sub-processors.
9. Rechte betroffener Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß Kapitel III DSGVO ausüben (einschließlich Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch). Soweit technisch möglich, stellt der Auftragsverarbeiter dem Verantwortlichen die Mittel zur Verfügung, um solche Anfragen zu erfüllen, einschließlich durch Self-Service-Funktionalität in der Plattform.
10. Sicherheitsvorfälle
- Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 48 Stunden, nachdem ihm ein Sicherheitsvorfall bekannt geworden ist, der personenbezogene Daten betrifft, die im Auftrag des Verantwortlichen verarbeitet werden.
- Die Benachrichtigung umfasst: eine Beschreibung der Art des Sicherheitsvorfalls; den Namen und die Kontaktdaten des Ansprechpartners; eine Beschreibung der voraussichtlichen Folgen; und eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.
- Sofern nicht alle Informationen gleichzeitig bereitgestellt werden können, stellt der Auftragsverarbeiter die Informationen in Phasen ohne weitere ungebührliche Verzögerung bereit.
- Die Benachrichtigung über einen Sicherheitsvorfall ist nicht als Anerkennung von Schuld oder Haftung des Auftragsverarbeiters zu verstehen.
11. Prüfungen
- Der Auftragsverarbeiter stellt dem Verantwortlichen alle vernünftigerweise erforderlichen Informationen zur Verfügung, um die Einhaltung dieses AVV und Artikel 28 DSGVO nachzuweisen.
- Der Verantwortliche kann eine Prüfung vorbehaltlich folgender Bedingungen durchführen: mindestens 30 Tage vorherige schriftliche Ankündigung; maximal einmal pro Kalenderjahr (es sei denn, es ist ein Sicherheitsvorfall eingetreten); Prüfungen während der Geschäftszeiten; Kosten trägt der Verantwortliche.
- Der Auftragsverarbeiter kann Prüfungsanfragen durch Bereitstellung relevanter Drittanbieter-Prüfberichte oder Zertifizierungen (z. B. ISO 27001, SOC 2 Typ II) erfüllen, sofern verfügbar.
12. Rückgabe und Löschung von Daten
- Während der Laufzeit der Vereinbarung kann der Verantwortliche personenbezogene Daten jederzeit über die Self-Service-Exportfunktionalität (JSON- und CSV-Formate) exportieren.
- Nach Beendigung bewahrt der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen 30 Kalendertage lang auf, um den Datenexport zu ermöglichen.
- Nach Ablauf der 30-tägigen Aufbewahrungsfrist löscht der Auftragsverarbeiter alle personenbezogenen Daten und bestätigt die Löschung auf schriftliche Anfrage des Verantwortlichen.
- Hochgeladene Dateien werden standardmäßig 30 Kalendertage nach dem Upload automatisch gelöscht. Administratoren können einzelne Dateien anheften, um die automatische Löschung zu verhindern; angeheftete Dateien verbleiben bis zur ausdrücklichen Entfernung. Enterprise-Kunden können über ihren Vertrag individuelle Aufbewahrungsrichtlinien vereinbaren.
- Backup-Kopien mit personenbezogenen Daten werden gemäß dem Backup-Aufbewahrungsplan (30 Tage) gelöscht.
13. Internationale Datenübermittlungen
Der Auftragsverarbeiter speichert und verarbeitet alle Kundendaten der Anwendung (Kontodaten, Chat-Daten, hochgeladene Dateien) ausschließlich innerhalb des EWR: Datenbank und Dateispeicherung in Frankfurt, Deutschland (über Supabase); LLM-Anfragen-Proxy und Budgetdurchsetzung in Amsterdam, Niederlande (über TransIP).
Bestimmte Unterauftragsverarbeiter (Stripe, Vercel, Lettermint) können begrenzte Datenkategorien außerhalb des EWR verarbeiten. In jedem Fall stellt der Auftragsverarbeiter sicher, dass geeignete Übermittlungsmechanismen vorhanden sind, einschließlich der von der Europäischen Kommission angenommenen Standardvertragsklauseln.
14. Sonstiges
- Widersprüche: Im Falle eines Widerspruchs zwischen diesem AVV und der Vereinbarung hat dieser AVV hinsichtlich der Verarbeitung personenbezogener Daten Vorrang.
- Änderungen: Dieser AVV kann vom Auftragsverarbeiter geändert werden, um Änderungen des geltenden Datenschutzrechts widerzuspiegeln, mit einer Ankündigungsfrist von mindestens 30 Tagen für wesentliche Änderungen.
- Anwendbares Recht: Dieser AVV unterliegt dem Recht der Niederlande. Jede Streitigkeit ist dem zuständigen Gericht in Amsterdam vorzulegen.
- Sprache: This DPA is drafted in English. In the event of a conflict between any translated version and the English version, the English version shall prevail.
15. Kontakt
Bei Fragen zu diesem AVV wenden Sie sich an:
Alpha Digital B.V., handelnd als Custos AI
Stationsplein 26, 6512 AB Nijmegen, Niederlande
E-Mail: