Auftragsverarbeitungsvertrag
1. Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt den Nutzungsvertrag zwischen dem Auftraggeber (Nutzer von Algorino) und dem Auftragnehmer (The Tackle Company UG (haftungsbeschränkt), Naumburger Str. 4, 90491 Nürnberg).
Der AVV gilt für die Dauer des Nutzungsvertrags. Er endet automatisch mit dessen Beendigung.
2. Art und Zweck der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zum Zweck der automatisierten Auswertung von Lieferantenangeboten. Die Verarbeitung umfasst: Entgegennahme und Speicherung von Angebotsdokumenten, Extraktion und Analyse von Inhalten mittels KI, Speicherung der Auswertungsergebnisse, Bereitstellung zum Download.
3. Art der personenbezogenen Daten
In den vom Auftraggeber hochgeladenen Angebotsdokumenten können folgende personenbezogene Daten enthalten sein:
- Namen und Kontaktdaten von Ansprechpartnern bei Lieferanten (E-Mail, Telefon, Anschrift)
- Unterzeichner von Angeboten
- Namen von Sachbearbeitern und Projektverantwortlichen
4. Kreis der Betroffenen
Betroffene sind Mitarbeiter und Ansprechpartner der Lieferanten, deren Angebote durch den Auftraggeber über Algorino ausgewertet werden.
5. Pflichten des Auftragnehmers
- Verarbeitung nur auf dokumentierte Weisung des Auftraggebers (die Nutzung von Algorino stellt eine solche Weisung dar).
- Gewährleistung der Vertraulichkeit: Alle Personen, die Zugang zu personenbezogenen Daten haben, sind zur Vertraulichkeit verpflichtet.
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen (siehe Abschnitt 7).
- Unterstützung des Auftraggebers bei der Erfüllung von Betroffenenrechten und bei Datenschutz-Folgenabschätzungen.
- Unverzügliche Meldung von Datenschutzverletzungen an den Auftraggeber.
- Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung des Auftrags, nach Wahl des Auftraggebers.
6. Unterauftragsverarbeiter
Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | Frankfurt (eu-central-1) |
| Amazon Web Services (Bedrock) | KI-Analyse (Claude-Modell) | Frankfurt (eu-central-1) |
| Cloudflare Inc. | Hosting, CDN, Sicherheit | EU-Rechenzentren |
| Resend Inc. | E-Mail-Versand (Magic Links) | Frankfurt (EU) |
Der Auftraggeber stimmt dem Einsatz der genannten Unterauftragsverarbeiter zu. Bei Wechsel oder Hinzufügung von Unterauftragsverarbeitern informiert der Auftragnehmer den Auftraggeber vorab. Der Auftraggeber kann innerhalb von 14 Tagen begründet widersprechen.
Keine der genannten Unterauftragsverarbeiter verwendet die verarbeiteten Daten zu eigenen Zwecken oder zum Modelltraining.
7. Technische und organisatorische Maßnahmen
- Verschlüsselung: TLS 1.3 für alle Verbindungen. AES-256-Verschlüsselung der gespeicherten Daten (at rest).
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle. Magic-Link-Authentifizierung. Kein Passwort-Management nötig.
- Protokollierung: Zugriffe auf personenbezogene Daten werden protokolliert.
- Datentrennung: Mandantentrennung auf Datenbankebene. Jeder Nutzer sieht ausschließlich eigene Daten.
- Verfügbarkeit: Tägliche Backups der Datenbank. Georedundante Speicherung innerhalb der EU.
- Löschkonzept: Nutzer können Auswertungen und Dokumente jederzeit selbst löschen. Bei Account-Löschung werden alle Daten innerhalb von 30 Tagen entfernt.
8. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die Einhaltung dieses AVV und der technischen und organisatorischen Maßnahmen zu überprüfen. Der Auftragnehmer stellt die dafür erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Umfang.
Als erste Maßnahme kann der Auftraggeber eine schriftliche Selbstauskunft des Auftragnehmers anfordern.
9. Haftung
Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den Regelungen im Nutzungsvertrag (AGB).
10. Laufzeit und Beendigung
Dieser AVV endet mit Beendigung des Nutzungsvertrags. Die Pflichten zur Löschung und Vertraulichkeit bestehen fort.
Kontakt
The Tackle Company UG (haftungsbeschränkt)
Dr. Tobias Clement, Geschäftsführer
Naumburger Str. 4, 90491 Nürnberg
tobias@thetacklecompany.de