Status: Version 1.0 · Stand 2026-05-28 Diese Vereinbarung wurde nach aktuellen Best-Practice-Standards erstellt — auf Basis der BvD-/BfDI-/GDD-Empfehlungen, den EU-Standardvertragsklauseln 2021/914 (Modul 2: Verantwortlicher → Auftragsverarbeiter), den Anforderungen aus dem Schrems-II-Urteil (C-311/18) sowie der DSGVO Art. 28. Bei Mandaten mit Hochrisiko-KI-Anwendungen, besonderen Datenkategorien (Art. 9 DSGVO) oder besonders sensitiven Branchen (Gesundheit, Finanz, Behörden) empfiehlt sich eine zusätzliche anwaltliche Einzelprüfung.
Präambel
Diese Vereinbarung ergänzt den zwischen den Parteien geschlossenen Hauptvertrag (Retainer- oder Konzept-Vereinbarung mit Autopilot Consulting). Sie regelt die datenschutzrechtlichen Verpflichtungen der Parteien bei der Verarbeitung personenbezogener Daten im Rahmen der Leistungserbringung.
Vertragsparteien
Verantwortlicher (im Folgenden „Auftraggeber”): [Firma, Anschrift, Vertretung, USt-IdNr.]
Auftragsverarbeiter (im Folgenden „Auftragnehmer” oder „AC”): Noorder partners GmbH [Anschrift] Hamburg, Deutschland USt-IdNr.: […] Geschäftsführer: Martin Zielinski
§ 1 Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand
Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Rahmen der KI-Operator-Tätigkeit gemäß Hauptvertrag. Dabei verarbeitet er personenbezogene Daten des Auftraggebers ausschließlich zur Erbringung dieser Leistungen.
1.2 Konkrete Verarbeitungstätigkeiten
- Bedarfsanalyse und Make-or-Buy-Recherche
- Konzeption und Implementations-Begleitung von KI-Anwendungen
- Mensch-Review jedes Outputs vor Auslieferung
- Pflege des Mandanten-Profils (Mandant-Memory) im AC-Backend
- Quartals-Reviews und Status-Reporting
- Tickets und Anfragen-Bearbeitung über das Kunden-Portal
1.3 Dauer
Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags. Bei Beendigung des Hauptvertrags endet auch diese Vereinbarung; die Pflichten zur Löschung bzw. Rückgabe der Daten (siehe § 10) bestehen darüber hinaus fort.
§ 2 Art und Zweck der Verarbeitung
2.1 Zweck
Erfüllung der vertraglich vereinbarten Leistungen aus dem Hauptvertrag; insbesondere die Konzeption, Bewertung und Begleitung von KI-Anwendungen sowie die Sicherstellung der Mensch-Final-Review.
2.2 Art der Verarbeitung
- Erhebung, Speicherung, Verwendung, Anpassung, Auslesen, Abfragen, Übermittlung an Sub-Verarbeiter, Anonymisierung, Pseudonymisierung, Löschung
- Nutzung von KI-Modellen (Drittanbieter und/oder lokal gehostet) zur Bearbeitung von Inhalten
- Mensch-Review aller Outputs durch qualifizierte Reviewer aus dem AC-Pool
2.3 Keine zweckfremde Nutzung
Eine Verwendung der Daten zu eigenen Zwecken des Auftragnehmers — insbesondere zum Training, zur Modellverbesserung oder zur Weitergabe an Dritte außerhalb der vereinbarten Sub-Verarbeitung — ist ausgeschlossen.
2.4 Anonymisierte Pattern-Übertragung (Pattern-Bridge)
Der Auftragnehmer kann aus den Mandaten anonymisierte und vollständig de-personalisierte Erkenntnis-Muster ableiten (z. B. „Tool X reduziert Service-Bearbeitungszeit in Branche Y um Z%”). Diese werden ohne Namensnennung, ohne identifizierende Daten und ohne Branchen-/Größen-Kombinationen, die eine Re-Identifizierung erlauben würden, in zukünftigen Empfehlungen für andere Mandanten genutzt. Der Auftraggeber kann dieser Nutzung in Anhang B widersprechen (Opt-out).
§ 3 Art der Daten und Kategorien betroffener Personen
3.1 Datenarten
Im Rahmen der Auftragsverarbeitung werden insbesondere folgende Kategorien von Daten verarbeitet:
- Stammdaten der Ansprechpartner des Auftraggebers (Name, Funktion, dienstliche E-Mail, Telefon)
- Kommunikationsinhalte (E-Mails, Slack-Nachrichten, Ticket-Inhalte)
- Inhalte aus Konzept-Dokumenten, Anfragen, Outputs (können personenbezogene Daten enthalten — z. B. in Beispielen, Quellen, Anlagen)
- Optional: Zugangsdaten zu Systemen des Auftraggebers (mit gesonderter Vereinbarung, Read-Only soweit möglich)
- Optional: weitere Datenarten gemäß Anhang A („Datenkategorien des Auftraggebers”)
3.2 Kategorien betroffener Personen
- Mitarbeiter des Auftraggebers
- Kunden, Lieferanten, Geschäftspartner des Auftraggebers (in dem Maße, in dem ihre Daten in Inhalten vorkommen, die der Auftragsverarbeitung unterliegen)
3.3 Besondere Kategorien (Art. 9 DSGVO)
Eine Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Sexualleben, biometrische Daten zur eindeutigen Identifizierung) ist grundsätzlich ausgeschlossen. Sollte ein konkretes Vorhaben des Auftraggebers solche Daten betreffen, ist dies vorab schriftlich zu vereinbaren und löst zusätzliche TOM aus.
§ 4 Pflichten des Auftragnehmers (AC)
Der Auftragnehmer verpflichtet sich:
4.1 Weisungsgebundene Verarbeitung
Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten. Weisungen ergeben sich aus dem Hauptvertrag, aus dieser Vereinbarung sowie aus der laufenden Kommunikation (E-Mail, Portal-Tickets, Slack — schriftlich nachvollziehbar).
4.2 Vertraulichkeitsverpflichtung der Mitarbeiter
Alle mit der Auftragsverarbeitung befassten Personen — eigene Mitarbeiter, Reviewer, Specialists, Implementer aus dem AC-Pool — werden schriftlich zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO, § 53 BDSG). Die Verpflichtungserklärungen werden auf Anforderung des Auftraggebers vorgelegt.
4.3 Technische und organisatorische Maßnahmen (TOM)
Geeignete TOM zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus zu treffen (Art. 32 DSGVO). Die TOM sind in Anhang C dieser Vereinbarung dokumentiert.
4.4 Sub-Verarbeiter
Sub-Verarbeiter nur mit vorheriger allgemeiner oder schriftlicher Einwilligung des Auftraggebers einzusetzen (Art. 28 Abs. 2 DSGVO). Eine Liste der aktuell eingesetzten Sub-Verarbeiter findet sich in Anhang D. Bei Änderungen wird der Auftraggeber rechtzeitig informiert; er kann widersprechen.
4.5 Unterstützung des Auftraggebers
Den Auftraggeber unter Berücksichtigung der Art der Verarbeitung dabei zu unterstützen, seinen Pflichten aus den Art. 32 bis 36 DSGVO nachzukommen — insbesondere bei Datenschutz-Folgenabschätzungen, Sicherheitsvorfällen und Anfragen betroffener Personen.
4.6 Information bei Datenpannen
Den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten zu informieren (Art. 33 Abs. 2 DSGVO). Die Mitteilung enthält die in Art. 33 Abs. 3 DSGVO geforderten Angaben, soweit zum Zeitpunkt der Meldung verfügbar — fehlende Angaben werden unverzüglich nachgereicht, sobald sie ermittelt sind. Der Auftragnehmer dokumentiert jede Datenpanne und hält die Dokumentation für den Auftraggeber bereit.
4.7 Beauftragten für den Datenschutz (DSB)
Der Auftragnehmer hat einen Datenschutzbeauftragten benannt: [Name, Kontakt — falls bestellt; sonst Hinweis auf gesetzliche Schwelle des § 38 BDSG]. Bei Fragen kontaktierbar unter datenschutz@autopilot.consulting.
4.8 Mitwirkung an Audits
Dem Auftraggeber alle zur Erfüllung seiner Pflichten nach Art. 28 DSGVO erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen — einschließlich Inspektionen — zu ermöglichen oder dazu beizutragen. Audits können einmal jährlich nach 30 Tagen Vorankündigung erfolgen; Kosten für Audits über das gesetzliche Maß hinaus trägt der Auftraggeber.
4.9 Hinweispflicht bei rechtswidrigen Weisungen
Den Auftraggeber unverzüglich darauf hinzuweisen, wenn eine Weisung nach Auffassung des Auftragnehmers gegen Datenschutzrecht verstößt.
4.10 Berufsgeheimnisträger (§ 203 StGB, § 62 StBerG, vergleichbare Berufsordnungen)
Soweit der Auftraggeber einer berufsrechtlichen Verschwiegenheitspflicht unterliegt (insbesondere Steuerberater, Wirtschaftsprüfer, Rechtsanwälte, Notare, Ärzte, Apotheker, sowie sonstige in § 203 Abs. 1 StGB genannte Berufe), gelten folgende erweiterte Pflichten des Auftragnehmers:
- Verschwiegenheit im engeren Sinne: Der Auftragnehmer und alle bei ihm tätigen Personen verpflichten sich zur Verschwiegenheit nach § 203 Abs. 4 StGB. Diese Verpflichtung wirkt über die Beendigung der Tätigkeit hinaus.
- Zugriffsminimierung: Mandatsgeheimnisse des Auftraggebers werden nur den Personen zugänglich gemacht, deren Mitwirkung für die Auftragserfüllung erforderlich ist. Eine Liste der zugriffs- berechtigten Personen wird auf Anforderung des Auftraggebers vorgelegt.
- Schutz bei Sub-Verarbeitung: Sub-Verarbeiter, denen Mandats- geheimnisse zugänglich gemacht werden, sind ihrerseits nach § 203 Abs. 4 StGB zur Verschwiegenheit verpflichtet. Die Verpflichtung ist im jeweiligen Sub-Verarbeitungs-Vertrag aufzunehmen oder durch gesonderte Verschwiegenheitsvereinbarung sicherzustellen.
- Pseudonymisierung vor Drittübermittlung: Mandanten-bezogene Daten des Auftraggebers werden vor jeder Übermittlung an externe KI-Modelle pseudonymisiert, soweit technisch möglich (Entfernen von Namen, IBAN, identifizierenden Daten). Der Auftraggeber kann die Pseudonymisierungs-Mechanik im Erstgespräch konkret prüfen.
- Berufsrechts-Vorbehalt: Der Auftragnehmer verarbeitet keine Mandats-Daten in einer Weise, die einen Verstoß gegen die berufsrechtliche Verschwiegenheitspflicht des Auftraggebers darstellen würde. Bei Zweifeln verzichtet der Auftragnehmer auf die Verarbeitung und konsultiert den Auftraggeber.
Diese Klausel ergänzt — nicht ersetzt — die allgemeinen DSGVO-Pflichten dieser Vereinbarung.
§ 5 Pflichten des Auftraggebers (Verantwortlicher)
Der Auftraggeber:
5.1 Rechtmäßigkeit der Verarbeitung
Trägt die Verantwortung für die rechtmäßige Erhebung und Verarbeitung der personenbezogenen Daten, einschließlich der Information der betroffenen Personen und ggf. erforderlicher Einwilligungen.
5.2 Weisungsbefugnis
Erteilt Weisungen zur Verarbeitung schriftlich oder textförmlich (E-Mail, Portal-Ticket). Mündliche Weisungen werden vom Auftragnehmer dokumentiert.
5.3 Ansprechperson
Benennt eine Ansprechperson für datenschutzrechtliche Fragen (siehe Anhang A, „Ansprechpartner”).
5.4 Mitwirkung bei Betroffenenrechten
Bearbeitet Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, etc.) selbst — der Auftragnehmer unterstützt mit den ihm vorliegenden Informationen.
5.5 Mitteilung bei besonderen Kategorien
Informiert den Auftragnehmer rechtzeitig, falls ein Vorhaben besondere Kategorien personenbezogener Daten betrifft (siehe § 3.3).
§ 6 Drittland-Transfers
6.1 Grundsatz
Verarbeitungen außerhalb der EU/des EWR erfolgen nur, wenn die in Kapitel V der DSGVO genannten Voraussetzungen erfüllt sind (Angemessenheitsbeschluss, EU-Standardvertragsklauseln, Binding Corporate Rules, oder Ausnahme nach Art. 49 DSGVO).
6.2 Aktuell relevante Transfers
Soweit Sub-Verarbeiter aus den USA eingesetzt werden (z. B. Anthropic, OpenAI als Inferenz-Dienstleister), gelten:
- die EU-Kommission-Standardvertragsklauseln 2021/914 (Modul 2 und 3, je nach Konstellation)
- aktivierte „Zero Retention”-Modi der Anbieter (Anthropic API Zero Data Retention / OpenAI Enterprise No Training)
- die jeweils gültigen EU-US Data Privacy Framework-Selbstzertifizierungen der Anbieter, soweit vorhanden
6.3 Zusätzliche Schutzmaßnahmen (Schrems-II)
In Umsetzung der Anforderungen aus dem EuGH-Urteil C-311/18 („Schrems II”) wendet der Auftragnehmer folgende ergänzende Schutzmaßnahmen an:
- Technisch: Transport- und Inhaltsverschlüsselung (TLS 1.3 in Transit, AES-256 at Rest bei eigenen Systemen)
- Organisatorisch: Datenminimierung vor jedem API-Aufruf (Entfernen direkt identifizierender Daten wo nicht zwingend nötig)
- Vertraglich: Schriftliche Bestätigung der Sub-Verarbeiter, dass behördliche Datenzugriffe rechtsförmlich geprüft und der Auftragnehmer benachrichtigt wird, soweit gesetzlich zulässig
6.4 Transfer-Folgenabschätzung
Der Auftragnehmer hat für jeden Drittland-Transfer eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) durchgeführt. Diese ist auf Anforderung einsehbar. Bei wesentlichen Änderungen der Rechtslage im Drittland (z. B. neuen behördlichen Zugriffsbefugnissen) wird die TIA neu bewertet und der Auftraggeber bei relevanten Risikoänderungen unverzüglich informiert.
§ 7 Löschung und Rückgabe nach Ende der Verarbeitung
7.1 Nach Beendigung
Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer — nach Wahl des Auftraggebers — alle personenbezogenen Daten zurück, einschließlich aller Kopien.
7.2 Frist
Die Rückgabe oder Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende.
7.3 Gesetzliche Aufbewahrungspflichten
Soweit gesetzliche Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO — Aufbewahrungsfristen für Rechnungen, Geschäftsbriefe und buchungsrelevante Dokumente von 6 bis 10 Jahren) der vollständigen Löschung entgegenstehen, werden die betroffenen Daten gesperrt, einer eingeschränkten Verarbeitung im Sinne von Art. 18 DSGVO unterzogen und nach Ablauf der gesetzlichen Frist unverzüglich gelöscht.
7.4 Bestätigung
Der Auftragnehmer bestätigt die Löschung in Textform und legt — auf Anforderung — die durchgeführten Löschungs-Maßnahmen dar.
7.5 Backups
Daten in turnusmäßigen Backups werden nach Ablauf der vereinbarten Backup-Retention (siehe Anhang C, TOM) gelöscht. Eine vorzeitige Backup-Löschung ist technisch nicht ohne erheblichen Aufwand möglich; sie ist auf gesonderten Antrag und gegen Aufwandserstattung möglich. Während der Restdauer der Backup-Retention werden die Daten nicht aktiv verarbeitet, sondern nur zur Wiederherstellbarkeit vorgehalten.
§ 8 Vergütung
Die Erfüllung dieser Vereinbarung ist mit der Vergütung aus dem Hauptvertrag abgegolten. Zusätzliche Aufwände aufgrund konkreter Weisungen, die über die gesetzlichen Pflichten hinausgehen (z. B. außerordentliche Audits, individuelle Sicherheitsanforderungen, einzelne Betroffenenrechte-Anfragen mit hohem Aufwand), werden nach tatsächlichem Aufwand zu marktüblichen Stundensätzen abgerechnet.
§ 9 Haftung
Es gelten die Haftungsregelungen des Hauptvertrags sowie Art. 82 DSGVO. Im Innenverhältnis tragen die Parteien Schäden anteilig nach ihrem Verschuldensbeitrag.
§ 10 Schlussbestimmungen
10.1 Schriftform
Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Aufhebung der Schriftformklausel selbst.
10.2 Salvatorische Klausel
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Vereinbarung unberührt.
10.3 Anwendbares Recht
Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.
10.4 Gerichtsstand
Hamburg (soweit gesetzlich zulässig).
10.5 Inkonsistenzen
Bei Widersprüchen zwischen Hauptvertrag und dieser AVV geht diese AVV vor, soweit datenschutzrechtliche Pflichten betroffen sind.
Anhänge (Bestandteil dieser Vereinbarung)
- Anhang A: Datenkategorien des Auftraggebers + Ansprechpartner
- Anhang B: Pattern-Bridge Opt-out (Default: aktiv; Widerspruch hier ankreuzen)
- Anhang C: Technische und organisatorische Maßnahmen (TOM)
- Anhang D: Sub-Verarbeiter-Liste mit Drittland-Hinweisen
Anhang A — Datenkategorien des Auftraggebers + Ansprechpartner
Spezifische Datenkategorien beim Auftraggeber (vom Auftraggeber zu ergänzen):
| Datenart | Quelle | Zugriffsweise (Read-Only / Voll) | Hosting-Klasse |
|---|---|---|---|
| [z. B. Service-Tickets] | [System, z. B. Helpdesk] | Read-Only via API | EU-Cloud |
| […] | […] | […] | […] |
Ansprechpartner Auftraggeber (Datenschutz):
- Name: ___________________________
- Funktion: ___________________________
- E-Mail: ___________________________
- Telefon: ___________________________
Ansprechpartner Auftragnehmer:
- Martin Zielinski (Geschäftsführer)
- E-Mail:
martin@noorder.partners/datenschutz@autopilot.consulting
Anhang B — Pattern-Bridge Opt-out
Standard-Mechanik: Patterns aus diesem Mandat werden anonymisiert für vergleichbare andere Mandate aufbereitet. Anonymisierung schließt aus: Firmenname, identifizierende Branchen-/Größen-Kombinationen, identifizierbare Personen, geschäftsgeheimnis-relevante Details.
☐ Hiermit widerspreche ich der anonymisierten Pattern-Übertragung gemäß § 2.4 AVV.
(Wenn nicht angekreuzt, ist die Mechanik aktiv. Widerspruch jederzeit per E-Mail an datenschutz@autopilot.consulting möglich.)
Anhang C — Technische und organisatorische Maßnahmen (TOM)
Stand: 2026-05-27. Wird mindestens jährlich überprüft.
C.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
- Server: gehostet bei Hostinger (DE/EU), Frankfurt am Main; Rechenzentrum mit zertifizierter Zutrittskontrolle (ISO 27001)
- Lokale Arbeitsplätze des Auftragnehmers: gesicherte Räumlichkeiten, automatische Bildschirmsperre nach 5 Minuten
Zugangskontrolle
- Server-Login ausschließlich über SSH-Key-Authentifizierung (ed25519), Passwort-Login deaktiviert
- Multi-Faktor-Authentifizierung für alle Admin-Konten (Stripe, Cloudflare, Anthropic, OpenAI)
- Mitarbeiter-Zugänge sind individuell, Rollen-basiert (Account-Lead / Reviewer / Specialist), Mindest-Rechte-Prinzip
Zugriffskontrolle
- Mandantentrennung auf Datenbank-Ebene (
customer-ID-Filter in PocketBase-Collections) - Reviewer und Specialists sehen nur die Daten, an denen sie aktiv arbeiten
- Audit-Log: jeder Zugriff auf Mandanten-Daten wird protokolliert
C.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
- Transport-Verschlüsselung: TLS 1.3 für alle Verbindungen (Web, API, E-Mail)
- E-Mail: Resend mit SPF, DKIM, DMARC
Eingabekontrolle
- Audit-Log aller Schreibzugriffe auf Mandanten-Daten
- Reviewer-Sign-Off mit Identität + Zeitstempel auf jedem Output
C.3 Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Backups
- Tägliche verschlüsselte Backups der Mandanten-Datenbank
- Off-site-Backup verschlüsselt (age, X25519)
- Backup-Retention: 30 Tage rollierend, danach Löschung
- Quartalsweise Recovery-Drill (zuletzt verifiziert: 2026-05)
Wiederherstellung
- Recovery-Time-Objective: 4 Stunden
- Recovery-Point-Objective: 24 Stunden
C.4 Trennungskontrolle
- Daten verschiedener Mandanten werden logisch getrennt (
customer-Scope auf jeder Collection, Multi-Tenant-Filter im Application-Layer) - Server-Admin-Zugriff erfolgt nur über getrennte Wartungs-Sessions
- Test- und Produktivumgebungen sind strikt getrennt
C.5 Auftragskontrolle (Art. 28 DSGVO)
- Mitarbeiter und Sub-Verarbeiter erhalten nur weisungsgebundene Zugriffe
- Schriftliche Vertraulichkeitsverpflichtungen für alle mit der Verarbeitung Befassten
- Sub-Verarbeiter-Verträge mit identischen DSGVO-Schutzniveaus (Art. 28 Abs. 4 DSGVO)
- Dokumentation aller Weisungen des Auftraggebers im Mandant-Memory
C.6 Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
- Daten-in-Bewegung: TLS 1.3 (Empfehlung HSTS)
- Daten-in-Ruhe: dateisystem-level Verschlüsselung des VPS (LUKS), Backup-Verschlüsselung (age, X25519)
- Datenminimierung vor jedem Drittland-API-Aufruf
- Mandant-IDs sind technische IDs (
M-014), keine Klartextnamen in Logs - Mandanten-Outputs enthalten Reviewer-Sign-Off mit zeitgestempelter Identität
C.7 Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Health-Monitoring der wichtigsten Services
- Auto-Restart bei Service-Crash
- Quartalsweises Update-Fenster für OS und Abhängigkeiten
- Notfall-Plan für Ausfall einzelner Sub-Verarbeiter (z. B. Ausweichen auf EU-Modelle bei Anthropic/OpenAI-Ausfall)
C.8 Datenträger-Vernichtung
- Ausrangierte Datenträger werden vor Entsorgung sicher gelöscht (DoD 5220.22-M oder Schreddern)
- Lokale Arbeitsplatz-Festplatten sind verschlüsselt; bei Geräte-Tausch erfolgt Crypto-Erase
C.9 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Quartalsweises Audit der TOM-Wirksamkeit durch den Geschäftsführer (dokumentiert im RUNBOOK)
- Halbjährliche Penetration-Test-Selbst-Checks (OWASP ZAP, dependency-audit)
- Jährliche externe Sicherheits-Überprüfung (geplant ab dem 6. Mandat)
- Quartalsweise Backup-Recovery-Drills (zuletzt verifiziert: 2026-05)
Anhang D — Sub-Verarbeiter-Liste
Stand: 2026-05-27. Änderungen werden dem Auftraggeber mindestens 30 Tage vor Wirksamwerden mitgeteilt; Widerspruchsrecht besteht.
| # | Sub-Verarbeiter | Zweck | Sitz | Drittland-Hinweis |
|---|---|---|---|---|
| 1 | Anthropic PBC | KI-Inferenz (Claude-Modelle) | USA | EU-Standardvertragsklauseln 2021/914 + Zero-Retention-API-Modus aktiviert |
| 2 | OpenAI Ireland Operations Limited | KI-Inferenz (GPT-Modelle, optional) | Irland (Vertragspartner) / USA (Dienst) | EU-Standardvertragsklauseln + Enterprise-DPA mit Zero-Retention |
| 3 | Hostinger | VPS-Hosting (Frankfurt am Main) | Litauen (Vertragspartner) / DE (Rechenzentrum) | EU-EWR |
| 4 | Cloudflare, Inc. | CDN, DNS, Edge-Cache, Pages | USA | EU-Standardvertragsklauseln, EU-Datenregion aktiviert |
| 5 | Stripe Technology Europe Limited | Zahlungsverarbeitung | Irland | EU-EWR; Stripe verarbeitet keine Mandanten-Inhalte, nur Zahlungs- und Rechnungsdaten |
| 6 | Resend, Inc. | Transaktions-E-Mail | USA | EU-Standardvertragsklauseln |
| 7 | Hetzner Online GmbH | EU-Cloud-Inferenz (optional, falls vom Mandanten gewählt) | Deutschland | EU-EWR |
| 8 | Aleph Alpha GmbH | EU-LLM-Inferenz (optional, falls vom Mandanten gewählt) | Deutschland | EU-EWR |
Hinweis zu Anthropic + OpenAI:
- Anthropic: AC nutzt die Anthropic-API mit aktivierter „Zero Data Retention”-Konfiguration. Anthropic speichert keine API-Inhalte zu Modell-Trainingszwecken und löscht sie nach Verarbeitung. Anthropic-DPA:
https://www.anthropic.com/legal/dpa. - OpenAI: AC nutzt OpenAI nur mit Business/Enterprise-Vertrag mit „No-Training”-Modus. Inhalte werden nicht zur Modell-Verbesserung verwendet. OpenAI-DPA:
https://openai.com/policies/data-processing-addendum.
Bei Mandanten mit besonders hohen Souveränitäts-Anforderungen kann auf reine EU-Modelle (z. B. Aleph Alpha „Pharia” über Hetzner, Mistral über IONOS) ausgewichen werden — die Hosting-Klasse wird im Mandant-Memory dokumentiert und je Use-Case entschieden.
Hinweis zu Cloudflare: Cloudflare ist als CDN/Edge-Anbieter eingesetzt. Inhalte werden nicht persistent gespeichert; Routing-Metadaten (IP-Adressen, Request-Header) werden nach den jeweils geltenden Cloudflare-Retention-Policies verarbeitet. Cloudflare-DPA: https://www.cloudflare.com/cloudflare-customer-dpa/.
Ort, Datum
Auftraggeber:
[Name, Funktion]
Auftragnehmer:
Martin Zielinski (Geschäftsführer Noorder partners GmbH)