Auftragsverarbeitungsvertrag (AVV)

zwischen dem Kunden der Nexoria-Plattform (nachfolgend „Auftraggeber" oder „Verantwortlicher") und

Nexoria Systems GbR
Lievelingsweg 94, 53119 Bonn
E-Mail: datenschutz@nexoria-systems.de
(nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter")

Der Auftraggeber und der Auftragnehmer werden nachfolgend gemeinsam als „Parteien" und einzeln als „Partei" bezeichnet.

§1 Gegenstand und Dauer der Verarbeitung

(1) Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien im Zusammenhang mit der Nutzung der Nexoria-Plattform (nachfolgend „Hauptvertrag"). Er wird mit Abschluss des Hauptvertrags (Registrierung und Annahme der AGB) wirksam.

(2) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung und des Betriebs der Nexoria SaaS-Plattform. Die Verarbeitung erfolgt ausschließlich auf Weisung des Auftraggebers, es sei denn, der Auftragnehmer ist nach Unionsrecht oder dem Recht der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet.

(3) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags. Nach Beendigung des Hauptvertrags gelten die Regelungen in §10 dieses AVV zur Löschung und Rückgabe der Daten.

§2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung personenbezogener Daten durch den Auftragnehmer erfolgt zum Zweck der:

• Bereitstellung und Betrieb der KI-gestützten Wissens- und Prozessplattform
• Speicherung und Verwaltung von Dokumenten in der Wissensbasis
• Verarbeitung von Anfragen an den KI-Chat-Assistenten
• Durchführung automatisierter Geschäftsprozesse (Flowbooks)
• Bereitstellung von Analytics und Auswertungen
• Verwaltung von Benutzerkonten und Zugriffsberechtigungen
• Erstellung und Verwaltung von DataStore-Einträgen
• Anbindung externer Datenquellen über Konnektoren
• Erstellung von Audit-Logs zu Sicherheits- und Compliance-Zwecken

(2) Die Art der Verarbeitung umfasst: Erhebung, Speicherung, Organisation, Strukturierung, Anpassung, Abfrage, Verwendung, Bereitstellung durch Übermittlung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung personenbezogener Daten.

§3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind folgende Arten personenbezogener Daten:

• Stammdaten (Vorname, Nachname, Firmenbezeichnung)
• Kontaktdaten (E-Mail-Adresse)
• Authentifizierungsdaten (Passwort-Hashes, Token)
• Nutzungsdaten (IP-Adressen, Zugriffszeitpunkte, Audit-Logs)
• Inhaltsdaten (Dokumente, Chat-Verläufe, Prozessdaten, DataStore-Einträge)
• Konfigurationsdaten (Benutzereinstellungen, Rollenzuweisungen)
• Metadaten (Zeitstempel, Dateitypen, Dokumentengrößen)

Die konkret verarbeiteten personenbezogenen Daten hängen davon ab, welche Daten der Auftraggeber und seine Benutzer in die Plattform eingeben. Der Auftragnehmer hat keinen Einfluss darauf, welche Kategorien personenbezogener Daten der Auftraggeber über die Plattform verarbeitet.

Soweit besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet werden sollen, liegt dies in der alleinigen Verantwortung des Auftraggebers. Der Auftraggeber hat in diesem Fall sicherzustellen, dass eine Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO vorliegt.

§4 Kategorien betroffener Personen

Von der Verarbeitung können folgende Kategorien betroffener Personen betroffen sein:

• Mitarbeiter und Benutzer des Auftraggebers (Administratoren, Teammitglieder, Betrachter)
• Kunden und Geschäftspartner des Auftraggebers (soweit deren Daten in die Plattform eingegeben werden)
• Mitarbeiter von Mandanten des Auftraggebers (bei Nutzung des Pro-/Partner-Tarifs)
• Sonstige Personen, deren personenbezogene Daten der Auftraggeber in die Plattform eingibt oder hochlädt

§5 Pflichten des Auftragsverarbeiters

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung der Plattform und die Konfiguration durch den Auftraggeber gelten als Weisungen im Sinne dieser Vereinbarung.

(2) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den Art. 15-22 DSGVO genannten Rechte der betroffenen Personen.

(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32-36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

(6) Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten (Datenpannen) unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält mindestens:

• eine Beschreibung der Art der Verletzung
• die Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
• eine Beschreibung der wahrscheinlichen Folgen
• eine Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen
• den Namen und die Kontaktdaten des Ansprechpartners

§6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer setzt folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

6.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Hosting in einem zertifizierten Rechenzentrum der Netcup GmbH in Deutschland mit physischer Zutrittskontrolle
• Zugangskontrolle: SSH-Schlüssel-Authentifizierung für Serverzugriff, Passwort-basierter Zugang deaktiviert
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (RBAC), JWT-basierte Authentifizierung mit kurzen Token-Laufzeiten
• Trennungskontrolle: Mandantentrennung durch isolierte Datenbanken und Vektorspeicher je Kunde (Tenant-Isolierung)
• Pseudonymisierung: Optionaler PII-Filter zur Anonymisierung personenbezogener Daten vor der Übermittlung an LLM-Anbieter

6.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle: TLS 1.3 für alle Datenübertragungen, verschlüsselte Datenbankverbindungen
• Eingabekontrolle: Umfassende Audit-Logs aller sicherheitsrelevanten Aktionen (Anmeldungen, Änderungen, Löschungen) mit Zeitstempel, Benutzer-ID und IP-Adresse

6.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

• Verfügbarkeit: Angestrebte Verfügbarkeit von 99,5 % im Jahresmittel
• Datensicherung: Tägliche automatisierte Backups aller Datenbanken (PostgreSQL, Qdrant), getrennt je Mandant
• Wiederherstellbarkeit: Dokumentiertes Wiederherstellungsverfahren, regelmäßige Überprüfung der Backup-Integrität
• Belastbarkeit: Rate-Limiting, automatische Skalierung der Datenbankverbindungen, LRU-Cache für Tenant-Pools

6.4 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen
• Kontinuierliche Systemüberwachung und automatische Alarmierung bei Anomalien
• Dokumentierte Prozesse für Incident-Response und Datenpannenmeldung
• Regelmäßige Sicherheitsupdates des Betriebssystems und aller Softwarekomponenten

§7 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Auftraggeber die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.

(2) Zum Zeitpunkt des Abschlusses dieses AVV setzt der Auftragnehmer folgende Unterauftragsverarbeiter ein:

(3) Die LLM-Anbieter (Mistral AI, OpenAI, Anthropic, Google) werden nur dann als Unterauftragsverarbeiter tätig, wenn der Auftraggeber den jeweiligen Anbieter in den KI-Einstellungen der Plattform aktiv konfiguriert hat. Der Auftraggeber entscheidet selbst, welchen Anbieter er nutzt. Nexoria empfiehlt aus DSGVO-Gründen die Nutzung von Mistral AI (EU-Standort).

(3a) Der Auftragsverarbeiter Telnyx LLC (bzw. Telnyx Ireland Limited für die EU-Verarbeitung) wird ausschließlich im Rahmen des optionalen VoiceBot-Zusatzprodukts tätig. Telnyx stellt die gesamte VoiceBot-Infrastruktur bereit: Telefonie, Spracherkennung (STT) und Sprachsynthese (TTS). Ohne Abschluss eines VoiceBot-Abonnements durch den Auftraggeber werden keine Daten an Telnyx übermittelt. Die Datenverarbeitung durch Telnyx erfolgt ausschließlich auf EU-Servern in Frankfurt (AnchorSite). Telnyx ist ein US-amerikanisches Unternehmen mit EU-Niederlassung in Dublin, Irland. Grundlage der Datenübermittlung sind EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Kernplattform (KI-Assistent, Wissensbasis, Dokumente, Prozesse) ist vom VoiceBot vollständig getrennt und wird ausschließlich auf deutschen Servern mit Mistral AI (EU) betrieben. DPA-Referenz: telnyx.com/company/data-privacy

(4) Bei der Hinzuziehung von Unterauftragsverarbeitern in Drittländern stellt der Auftragnehmer sicher, dass geeignete Garantien gemäß Art. 46 DSGVO vorliegen (insbesondere Standardvertragsklauseln der EU-Kommission). Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die entsprechenden Nachweise zur Verfügung.

(5) Der Auftragnehmer verpflichtet jeden Unterauftragsverarbeiter vertraglich dazu, dieselben Datenschutzpflichten einzuhalten, die in diesem AVV festgelegt sind. Der Auftragnehmer bleibt dem Auftraggeber gegenüber für die Einhaltung der Pflichten durch den Unterauftragsverarbeiter verantwortlich.

§8 Rechte der Betroffenen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen nach Art. 15-22 DSGVO. Soweit betroffene Personen Ansprüche direkt gegenüber dem Auftragnehmer geltend machen, leitet der Auftragnehmer diese unverzüglich an den Auftraggeber weiter.

(2) Die Plattform stellt dem Auftraggeber technische Funktionen zur Verfügung, um Betroffenenrechte zu erfüllen:

• Auskunft (Art. 15): Export-Funktionen für Benutzerdaten und Inhaltsdaten
• Berichtigung (Art. 16): Bearbeitungsfunktionen für Profil- und Inhaltsdaten
• Löschung (Art. 17): Löschfunktionen für Benutzerkonten, Dokumente und Chat-Verläufe
• Einschränkung (Art. 18): Möglichkeit zur Deaktivierung von Benutzerkonten
• Datenübertragbarkeit (Art. 20): Datenexport in maschinenlesbaren Formaten

(3) Der Auftragnehmer stellt sicher, dass die technischen Maßnahmen eine zeitnahe Bearbeitung von Betroffenenanfragen ermöglichen (in der Regel innerhalb von 72 Stunden nach Eingang der Anfrage beim Auftragnehmer).

§9 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen sowie der sonstigen vertraglichen Pflichten des Auftragnehmers zu überzeugen. Dies kann erfolgen durch:

• Einholung von Auskünften und Nachweisen beim Auftragnehmer
• Einsicht in aktuelle Bescheinigungen oder Berichte unabhängiger Prüfer
• Vor-Ort-Inspektionen nach vorheriger Ankündigung (mindestens 14 Tage im Voraus) und unter Berücksichtigung der Geschäftsgeheimnisse des Auftragnehmers

(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die zur Durchführung einer Kontrolle erforderlichen Informationen zur Verfügung und unterstützt den Auftraggeber bei der Durchführung von Überprüfungen.

(3) Der Auftragnehmer ist berechtigt, dem Auftraggeber aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Datenschutzauditoren) vorzulegen, sofern diese die Überprüfung der Einhaltung dieses AVV ermöglichen.

(4) Der Auftraggeber trägt die Kosten einer von ihm verlangten Vor-Ort-Inspektion, sofern bei der Überprüfung keine Mängel festgestellt werden. Werden Mängel festgestellt, trägt der Auftragnehmer die Kosten der Überprüfung.

§10 Löschung und Rückgabe der Daten

(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht nach Unionsrecht oder dem Recht des betreffenden Mitgliedstaats eine Verpflichtung zur Speicherung besteht.

(2) Vor der Löschung wird dem Auftraggeber eine Frist von 30 Tagen eingeräumt, um einen Export seiner Daten durchzuführen. Die Plattform stellt hierfür geeignete Export-Funktionen bereit.

(3) Die Löschung umfasst:

• Alle Daten in den isolierten Mandantendatenbanken (PostgreSQL)
• Alle Vektoreinbettungen in der Wissensbasis (Qdrant)
• Alle hochgeladenen Dokumente und Dateien
• Alle Chat-Verläufe und Prozessdaten
• Alle DataStore-Einträge
• Alle Konnektoren-Konfigurationen und zwischengespeicherte Daten
• Backups der mandantenspezifischen Daten (nach Ablauf der Backup-Rotation)

(4) Der Auftragnehmer bestätigt dem Auftraggeber auf Anfrage schriftlich die vollständige Löschung der Daten.

(5) Daten, die aufgrund gesetzlicher Aufbewahrungspflichten nicht gelöscht werden können (z. B. Rechnungsdaten), werden für die Dauer der Aufbewahrungspflicht gesperrt und anschließend gelöscht. Der Auftraggeber wird über den Umfang der zurückbehaltenen Daten informiert.

§11 Haftung

(1) Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO. Jede Partei haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird.

(2) Der Auftragnehmer haftet für Schäden, die durch eine Verarbeitung verursacht werden, die nicht im Einklang mit den speziell an Auftragsverarbeiter gerichteten Pflichten der DSGVO oder den rechtmäßigen Weisungen des Auftraggebers steht.

(3) Der Auftragnehmer wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DSGVO).

(4) Im Innenverhältnis zwischen den Parteien stellt der Auftraggeber den Auftragnehmer von Ansprüchen Dritter frei, soweit der Auftragnehmer den Schaden nicht zu vertreten hat. Dies gilt insbesondere für Schäden, die daraus resultieren, dass der Auftraggeber personenbezogene Daten ohne ausreichende Rechtsgrundlage in die Plattform eingegeben hat.

(5) Weitergehende Haftungsregelungen ergeben sich aus den AGB des Hauptvertrags.

§12 Laufzeit und Beendigung

(1) Dieser AVV tritt mit Abschluss des Hauptvertrags (Registrierung und Annahme der AGB) in Kraft und gilt für die gesamte Dauer des Hauptvertrags.

(2) Eine gesonderte Kündigung dieses AVV ist nicht möglich. Er endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Verpflichtungen zur Löschung oder Rückgabe der Daten gemäß §10.

(3) Das Recht zur außerordentlichen Kündigung des Hauptvertrags aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund zur Kündigung liegt insbesondere vor, wenn der Auftragnehmer gegen wesentliche Bestimmungen dieses AVV verstößt und den Verstoß trotz Aufforderung nicht innerhalb einer angemessenen Frist behebt.

(4) Bestimmungen, die ihrer Natur nach über die Beendigung hinaus gelten (insbesondere Vertraulichkeit, Löschung, Haftung), behalten auch nach Beendigung dieses AVV ihre Gültigkeit.

(5) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.