Rechtliches
Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO
Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") wird zwischen David Proga, handelnd unter der Geschäftsbezeichnung „Simple.Grow", c/o Impressumservice Dein-Impressum, Stettiner Straße 41, 35410 Hungen, david.proga@simplegrow.io (im Folgenden „Auftragsverarbeiter") und dem Kunden (im Folgenden „Auftraggeber"), der die Dienste des Auftragsverarbeiters in Anspruch nimmt, geschlossen.
Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung von Simple.Grow und wird mit Vertragsschluss Bestandteil der Vereinbarung.
1. Gegenstand und Dauer der Verarbeitung
1.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung und Betreuung von KI-Mitarbeitern. Dies umfasst insbesondere:
- Bereitstellung und Betrieb von KI-Mitarbeitern (KI-Agenten) für den Beratungsalltag des Auftraggebers
- Verarbeitung von Daten durch KI-Modelle (AWS Bedrock Claude) zur Aufgabenausführung gemäß Stellenprofil
- Speicherung und Verwaltung von Arbeitsergebnissen, Feedback und Performance-Daten
- Automatisierte Erstellung von Content, Recherchen, Reports und Analysen
1.2 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (siehe AGB §6).
2. Art und Zweck der Verarbeitung
2.1 Art der Daten: Im Rahmen der Dienstleistung können folgende Kategorien personenbezogener Daten verarbeitet werden:
- Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Firmenname)
- Geschäftsdaten (Branche, Position, Unternehmensgröße)
- Kommunikationsdaten (E-Mail-Inhalte, Chat-Verläufe, Feedback)
- Kundendaten des Auftraggebers (Daten seiner Endkunden, soweit im Aufgabenbereich des KI-Mitarbeiters)
- Nutzungsdaten (Performance-Metriken, Freigabe-Historien)
2.2 Kategorien betroffener Personen:
- Mitarbeitende des Auftraggebers
- Kunden und Geschäftspartner des Auftraggebers
- Kontakte und Leads des Auftraggebers
2.3 Zweck der Verarbeitung: Die Verarbeitung erfolgt ausschließlich zur Erbringung der vereinbarten Dienstleistung gemäß dem jeweiligen Stellenprofil des KI-Mitarbeiters.
3. Pflichten des Auftragsverarbeiters
3.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist gesetzlich zu einer anderen Verarbeitung verpflichtet.
3.2 Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet sind.
3.3 Der Auftragsverarbeiter stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten nach Art. 28 DSGVO nachzuweisen.
3.4 Der Auftragsverarbeiter verwendet personenbezogene Daten nicht für eigene Zwecke und gibt sie nicht an Dritte weiter, sofern dies nicht ausdrücklich vereinbart oder gesetzlich erforderlich ist.
3.5 Kein KI-Modell-Training: Die eingesetzten KI-Modelle (AWS Bedrock Claude) sind so konfiguriert, dass vom Auftraggeber bereitgestellte Daten nicht für das Training der Modelle verwendet werden. Kundendaten werden ausschließlich zur Erbringung der vereinbarten Dienstleistung verarbeitet.
4. Pflichten des Auftraggebers
4.1 Der Auftraggeber ist verantwortlich dafür, dass die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter auf einer gültigen Rechtsgrundlage beruht.
4.2 Der Auftraggeber stellt sicher, dass betroffene Personen über die Datenverarbeitung informiert sind (Art. 13/14 DSGVO) und erforderliche Einwilligungen vorliegen.
4.3 Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.
5. Technische und organisatorische Maßnahmen (TOMs)
5.1 Der Auftragsverarbeiter hat folgende Maßnahmen zum Schutz personenbezogener Daten implementiert:
Vertraulichkeit:
- Zugriffskontrolle über API-Keys, Rollenmanagement und individuelle Benutzerkonten
- Row Level Security (RLS) auf Datenbankebene zur Mandantentrennung: Daten eines Auftraggebers sind für andere Auftraggeber nicht einsehbar
- Verschlüsselung bei Übertragung (TLS 1.2+) und Speicherung (AES-256)
Integrität:
- Eingabekontrolle durch dokumentierte Freigabe-Workflows
- Protokollierung von Datenänderungen und Zugriffen
- Regelmäßige Sicherheitsupdates der eingesetzten Infrastruktur
Verfügbarkeit:
- Regelmäßige automatisierte Backups der Datenbank
- Redundante Infrastruktur durch Cloud-Hosting (Supabase, AWS)
- Monitoring und Alerting bei Systemausfällen
Belastbarkeit:
- Skalierbare Cloud-Infrastruktur
- Disaster-Recovery-Verfahren dokumentiert
Datenminimierung bei KI-Verarbeitung:
- Nur die für den jeweiligen Aufgabenbereich erforderlichen Daten werden an KI-Modelle übermittelt
- Anonymisierung und Pseudonymisierung vor der Übermittlung, soweit technisch möglich
- Ausschließlich API-Nutzung (kein Web-Interface der KI-Anbieter)
6. Subunternehmer
6.1 Der Auftragsverarbeiter setzt folgende Subunternehmer (Sub-Auftragsverarbeiter) ein:
| Subunternehmer | Zweck | Serverstandort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | AWS eu-central-1 (Frankfurt) |
| Amazon Web Services (AWS Bedrock) | KI-Modell-Verarbeitung (Claude) | eu-central-1 (Frankfurt) |
| Hetzner Online GmbH | Server-Infrastruktur (n8n, Trigger.dev) | Deutschland |
| Vercel Inc. | Website-Hosting, API-Routes | Edge-Network (global, CDN) |
| Cal.com Inc. | Terminbuchung | EU |
6.2 Alle Subunternehmer unterliegen vergleichbaren Datenschutzpflichten wie der Auftragsverarbeiter. Der Auftragsverarbeiter stellt sicher, dass mit jedem Subunternehmer eine Vereinbarung besteht, die den Anforderungen des Art. 28 DSGVO entspricht.
6.3 Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung der Subunternehmer-Liste. Der Auftraggeber kann einer solchen Änderung innerhalb von 14 Tagen widersprechen.
7. Datenübermittlung in Drittländer
7.1 Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der EU/des EWR. Der primäre Verarbeitungsstandort ist Frankfurt am Main (eu-central-1).
7.2 Soweit Subunternehmer mit Sitz außerhalb der EU eingesetzt werden (Supabase Inc., Vercel Inc., Cal.com Inc.), stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Art. 46 DSGVO vorliegen (insbesondere EU-Standardvertragsklauseln und/oder Angemessenheitsbeschluss der EU-Kommission).
7.3 Die KI-Verarbeitung über AWS Bedrock erfolgt ausschließlich über EU Inference Profiles mit Serverstandort Frankfurt. Kundendaten verlassen die EU bei der KI-Verarbeitung nachweislich nicht.
8. Rechte betroffener Personen
8.1 Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung der Pflichten nach Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
8.2 Richtet eine betroffene Person ein Ersuchen direkt an den Auftragsverarbeiter, leitet dieser das Ersuchen unverzüglich an den Auftraggeber weiter.
8.3 Der Auftraggeber bleibt für die Beantwortung von Betroffenenanfragen verantwortlich.
9. Meldepflicht bei Datenschutzverletzungen
9.1 Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich (spätestens innerhalb von 24 Stunden) nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.
9.2 Die Meldung enthält mindestens: Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen und ergriffene Abhilfemaßnahmen.
10. Löschung und Rückgabe der Daten
10.1 Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
10.2 Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format zurückgegeben.
10.3 Der Auftragsverarbeiter bestätigt dem Auftraggeber schriftlich die vollständige Löschung der Daten.
11. Prüfrecht des Auftraggebers
11.1 Der Auftraggeber hat das Recht, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen, einschließlich Inspektionen vor Ort nach angemessener Vorankündigung.
11.2 Der Auftragsverarbeiter stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung.
12. Haftung
12.1 Die Haftung richtet sich nach den Regelungen in den Allgemeinen Geschäftsbedingungen (§11).
12.2 Der Auftraggeber haftet für alle rechtlichen Konsequenzen, die aus einer rechtswidrigen Verarbeitung resultieren, für die er die Rechtsgrundlage bereitstellt.
13. Schlussbestimmungen
13.1 Dieser AVV unterliegt deutschem Recht.
13.2 Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
13.3 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit des übrigen AVV unberührt.
13.4 Gerichtsstand ist der Sitz des Auftragsverarbeiters, soweit gesetzlich zulässig.
Stand: 03.03.2026