Auftragsverarbeitungsvertrag (AVV)

Name: KlugBüro Klein & Pro
Brand: KlugBüro
Price: 99 EUR
Availability: InStock

zwischen

Auftraggeber (Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO)

KlugBüro (Grigorii Sardarian)

Melsunger Straße 3

60389 Frankfurt am Main, Deutschland

und

Auftragnehmer (Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO)

KlugBüro (Grigorii Sardarian)

Melsunger Straße 3

60389 Frankfurt am Main, Deutschland

datenschutz@klugbuero.de (Übergangsadresse; info@klugbuero.de aktiv nach MX-Konfiguration)

1. Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung der KlugBüro-Plattform für den Auftraggeber, im Einzelnen:

Bereitstellung einer plattformseitig betriebenen KI-Inferenz-Schnittstelle (KI-Modelle europäischer Anbieter) über EU-Subdienstleister (Mistral AI La Plateforme, EU-Hosting; OVHcloud; IONOS) in EU-Rechenzentren; einschließlich des Produkt-Assistenten „Maja"
Multi-Tenant-Verwaltungsoberfläche (Kabinett) inkl. Mitarbeiter-, Budget- und Schulungsverwaltung
Premium-Chat-Funktion mit serverseitiger Speicherung der Chat-Verläufe (Prompts, Antworten, Anhang-Pointer) in Supabase EU (Frankfurt) zur Verlaufsanzeige je Nutzer und Compliance-Nachweis
Datei-Upload-Funktion mit Speicherung der Datei-Bytes in Supabase Storage, EU-Region eu-central-1 (Frankfurt am Main), sowie der Metadaten in Supabase EU
Audit-Log-Führung für Admin- und Compliance-Aktionen
Generierung und Pflege des Rechtspakets (AVV, Datenschutzerklärung, AGB, KI-Richtlinie etc.)
Rechnungsabbildung und Stripe-Vertragsverwaltung

Hinweis: KlugBüro speichert Chat-Inhalte (Texte und Anhang-Metadaten) während der vereinbarten Aufbewahrungsfristen — siehe §5. Die KI-Inferenz selbst läuft plattformseitig zwischen dem Cabinet-Server und KI-Modellen europäischer Anbieter in EU-Rechenzentren (siehe §8); KlugBüro-Personal liest die Inhalte im Regelbetrieb nicht ein.

Die Vertragsdauer entspricht der Laufzeit des Hauptvertrags und endet mit dessen Beendigung.

2. Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers ausschließlich:

Konto- und Nutzerstammdaten zur Authentifizierung
Verbrauchsdaten (Token-Counts, Kosten in EUR) zur Limit-Kontrolle und Abrechnung
Audit-Log-Einträge zu Admin-Aktionen für Compliance-Nachweise
Chat-Verläufe (Prompts und Antworten) zur Verlaufsanzeige für den jeweiligen Nutzer; Speicherung in Supabase EU (Frankfurt), Zugriff per Row Level Security auf den jeweiligen Mandanten beschränkt
Hochgeladene Dateien (Metadaten + Storage-Pointer) — die Datei-Bytes selbst liegen in Supabase Storage, EU-Region eu-central-1 (Frankfurt am Main)

Die Inhalte verlassen nie die EU. Die KI-Inferenz läuft plattformseitig zwischen dem Cabinet-Server und KI-Modellen europäischer Anbieter in EU-Rechenzentren (siehe §8) — KlugBüro-Personal liest die Inhalte im Regelbetrieb nicht ein.

3. Art der personenbezogenen Daten

E-Mail-Adressen, Namen, Rolle der eingeladenen Mitarbeiter
IP-Adresse und User-Agent bei Akzeptanz von Rechtsdokumenten
Verbrauchszähler je Nutzer
Inhalte von Chat-Anhängen (Dateien) — gespeichert in Supabase Storage,

EU-Region eu-central-1 (Frankfurt am Main); Zugriff per Row Level

Security auf den jeweiligen Mandanten beschränkt

OAuth-Tokens für externe Systeme (DATEV, Microsoft 365, Google Workspace,

Lexware, Slack, SharePoint, RA-MICRO) zum Zugriff auf vom Auftraggeber

ausgewählte Mandantendaten — verschlüsselt gespeichert via pgsodium AEAD

(Migration 0010), Tenant-bindend, jederzeit widerrufbar

4. Kategorien betroffener Personen

Mitarbeiter des Auftraggebers mit Zugang zum KlugBüro-System.

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

Daten nur weisungsgebunden zu verarbeiten
Vertraulichkeit aller mit der Verarbeitung befassten Personen sicherzustellen (Art. 28 Abs. 3 lit. b DSGVO)
Geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO umzusetzen
Den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten zu informieren (Art. 33 DSGVO)
Auf Wunsch des Auftraggebers an Datenschutz-Folgenabschätzungen mitzuwirken (Art. 35 DSGVO)
Nach Beendigung Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)

6. Technische und organisatorische Maßnahmen

Standort der Daten:

- Plattform-DB, Authentifizierung, Vault: Supabase EU (Frankfurt)

- Cabinet/Landing-Hosting: Contabo Deutschland (Frankfurt)

- Datei-Speicherung (Datei-Bytes): Supabase Storage, EU-Region eu-central-1 (Frankfurt am Main)

- KI-Inferenz (primär): KI-Modelle europäischer Anbieter in EU-Rechenzentren, plattformseitig durch KlugBüro betrieben — Vertragspartner Mistral AI SAS (La Plateforme, EU-Hosting) mit Auftragsverarbeitung gemäß Art. 28 DSGVO

- KI-Inferenz (Failover) sowie Produkt-Assistent „Maja": EU-Subdienstleister OVHcloud und IONOS SE in EU-Rechenzentren (siehe §8) — Auftragsverarbeitung gemäß Art. 28 DSGVO

Verschlüsselung sensibler Geheimnisse (OAuth-Tokens externer Systeme) mit pgsodium AEAD in Supabase Vault, Firma-ID als Authenticated Data (Schutz gegen Cross-Tenant-Verwechslung)
Multi-Tenant-Isolation auf DB-Ebene durch Row Level Security
TLS 1.2+ für alle Verbindungen
Audit-Log aller administrativen Aktionen mit IP, User-Agent und Hash

7. Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

Kerninfrastruktur (immer aktiv):

Supabase — Datenbank, Authentifizierung, Storage, Vault (pgsodium AEAD). Region EU (Frankfurt). AVV abgeschlossen am Standard-DPA von Supabase akzeptiert mit Vertragsabschluss; finales AVV-Datum wird vor Markteintritt ergänzt.
Stripe Payments Europe Limited, Dublin, Irland — Zahlungsabwicklung. EU-Vertragsentität; Cloud-Act-Restrisiko über Mutterkonzern Stripe Inc. (USA), gedeckt durch SCCs nach Art. 46 DSGVO im Stripe-DPA. AVV abgeschlossen am Standard-DPA von Stripe Payments Europe Ltd. akzeptiert mit Account-Anlage; finales AVV-Datum wird vor Markteintritt ergänzt.
Sendinblue SAS d/b/a Brevo, Paris, Frankreich — transaktionale E-Mails. EU-Region (api.brevo.com). AVV abgeschlossen am Standard-DPA von Sendinblue SAS d/b/a Brevo akzeptiert mit Account-Anlage; finales AVV-Datum wird vor Markteintritt ergänzt.
Contabo GmbH, München, Deutschland — Hosting der Cabinet- und Landing-Anwendungen, einschließlich der KlugBüro-internen Sub-Surfaces (Open-WebUI auf chat.klugbuero.de, LiteLLM-Proxy auf litellm.klugbuero.de — beide auf demselben Contabo-VPS, keine separaten Sub-Auftragsverarbeiter). AVV abgeschlossen am Standard-DPA von Contabo GmbH akzeptiert mit Vertragsabschluss; finales AVV-Datum wird vor Markteintritt ergänzt.
Mistral AI SAS (La Plateforme, EU-Hosting), Paris, Frankreich — primäre KI-Inferenz mit KI-Modellen europäischer Anbieter, plattformseitig durch KlugBüro betrieben (im Konto von KlugBüro, nicht des Auftraggebers). Verarbeitungsstandort: EU-Rechenzentren. Auftragsverarbeitung gemäß Art. 28 DSGVO. AVV abgeschlossen am Auftragsverarbeitung gemäß Art. 28 DSGVO mit EU-Subdienstleistern akzeptiert mit Vertragsabschluss; finales AVV-Datum wird vor Markteintritt ergänzt.
OVHcloud (OVH SAS), Roubaix, Frankreich — KI-Inferenz als Failover sowie für den Produkt-Assistenten „Maja" in EU-Rechenzentren; Auftragsverarbeitung gemäß Art. 28 DSGVO. AVV abgeschlossen am Auftragsverarbeitung gemäß Art. 28 DSGVO mit EU-Subdienstleistern akzeptiert mit Vertragsabschluss; finales AVV-Datum wird vor Markteintritt ergänzt. Verarbeitungsstandorte:

- KI-Inferenz: in EU-Rechenzentren von OVHcloud. Routing pro Modell, alle Standorte innerhalb der EU.

IONOS SE, Montabaur, Deutschland — KI-Modelle europäischer Anbieter in EU-Rechenzentren als zusätzlicher EU-Subdienstleister der KI-Inferenz. Verarbeitungsstandort: EU (Deutschland). Auftragsverarbeitung gemäß Art. 28 DSGVO; Modell-Inferenz erfolgt vollständig innerhalb der EU.
Functional Software, Inc. d/b/a Sentry, San Francisco, USA — Fehler- und Performance-Telemetrie der Cabinet- und Landing-Anwendungen. Bei Verwendung von eu.sentry.io: EU-Datenresidenz, SCCs nach Art. 46 DSGVO über Sentry Inc.-Vertragskette. Standard-DPA von Sentry akzeptiert. Vor Versand werden URL-Parameter und sensitive Header durch scrubSentryEvent entfernt (siehe packages/lib/observability/index.ts). AVV abgeschlossen am Standard-DPA von Functional Software, Inc. d/b/a Sentry akzeptiert mit Account-Anlage; finales AVV-Datum wird vor Markteintritt ergänzt.
Intuition Machines, Inc. d/b/a hCaptcha, San Francisco, USA — Spam- und Bot-Schutz auf den Lead-Magnet- und Kontaktformularen der Landing-Page. Verarbeitet IP-Adresse, User-Agent und ein anonymisiertes Token zur Bot-Erkennung. Cloud-Act-Restrisiko über US-Mutterkonzern, gedeckt durch SCCs nach Art. 46 DSGVO. Keine produktive personenbezogene Verarbeitung des Auftraggebers — das Captcha-Modul ist auf den öffentlichen Landing-Pages aktiv, nicht im Cabinet. AVV abgeschlossen am Standard-DPA von Intuition Machines, Inc. d/b/a hCaptcha akzeptiert mit Account-Anlage; finales AVV-Datum wird vor Markteintritt ergänzt.

Indirekt über die Vertragskette:

Cloudflare, Inc., San Francisco, USA — Bot-Schutz für Stripe-Checkout. Cloudflare wird nicht direkt vom Auftragnehmer eingesetzt; das Stripe-Checkout-Modul lädt Cloudflare-Cookies (__cf_bm) im Rahmen der Stripe-Vertragskette. Vertragsgrundlage: Stripe-DPA + SCCs. Sollte ein direkter Cloudflare-Account aktiviert werden (z. B. CDN, WAF), wäre Cloudflare als regulärer Sub-Auftragsverarbeiter zu listen.

Optionale Integrationen (nur nach ausdrücklicher Aktivierung durch den Auftraggeber):

DATEV eG, Nürnberg, Deutschland — bei Aktivierung der DATEV-Integration. Reine EU-Verarbeitung ohne Drittstaatenbezug.
Microsoft Ireland Operations Limited, Dublin — Vertragspartner für Microsoft-365- und SharePoint-Integration. Drittstaatenrisiko: Mutterkonzern Microsoft Corporation (USA) unterliegt dem US Cloud Act; Microsoft Graph API kann Anfragen zur Verarbeitung an Microsoft-Regionen außerhalb der EU leiten und protokolliert OAuth-Tokens in den USA. Standardvertragsklauseln (SCCs, Beschluss 2021/914) sind im Microsoft-Online-Services-DPA enthalten. Der Auftraggeber bestätigt mit der Aktivierung, dass er das Cloud-Act-Restrisiko zur Kenntnis genommen hat und die Integration nicht für Daten unter Berufsgeheimnis (§ 203 StGB, BRAO, StBerG) oder besonders schutzwürdige Daten (Art. 9 DSGVO) verwendet.
Google Ireland Ltd., Dublin — Vertragspartner für Google-Workspace-Integration. Mutterkonzern Alphabet Inc. (USA), Cloud Act anwendbar; SCCs vorhanden. Vergleichbare Risikoabwägung wie bei Microsoft empfohlen.
Haufe-Lexware GmbH & Co. KG, Freiburg, Deutschland — bei Aktivierung der Lexware-Integration. Reine EU-Verarbeitung.
Slack Technologies Limited, Dublin — Vertragspartner für Slack-Integration. Mutterkonzern Salesforce Inc. (USA), Cloud Act anwendbar; SCCs vorhanden.
RA-MICRO Software AG, Berlin, Deutschland — bei Aktivierung der RA-MICRO-Integration. Reine EU-Verarbeitung.

Optionale Unterauftragsverarbeiter werden erst nach **expliziter Einwilligung

des Auftraggebers** in der Cabinet-Oberfläche („Verbinden"-Schritt mit

Consent-Bestätigung) eingebunden. Die Einwilligung ist freiwillig, jederzeit

widerrufbar und wird im Audit-Log dokumentiert.

Eine Änderung der Kern-Unterauftragnehmer bedarf der Information mit 30 Tagen

Vorlauf. Optionale Integrationen können vom Auftraggeber jederzeit aktiviert

oder deaktiviert werden — die Aktivierung weiterer optionaler Integrationen

unterliegt nicht der 30-Tage-Vorlauffrist, da sie individuell vom Auftraggeber

ausgelöst wird.

8. Drittlandsuebermittlung

Es findet keine Verarbeitung ausserhalb der EU/EWR statt. Die KI-Inferenz

laeuft primaer ueber KI-Modelle europaeischer Anbieter in EU-Rechen-

zentren — Vertragspartner Mistral AI SAS (La Plateforme, EU-Hosting),

Paris, Frankreich, mit Auftragsverarbeitung gemaess Art. 28 DSGVO. Als

Failover sowie fuer den Produkt-Assistenten „Maja" werden die EU-Sub-

dienstleister OVHcloud (OVH SAS, Roubaix, Frankreich) und IONOS SE

(Montabaur, Deutschland) in EU-Rechenzentren genutzt — jeweils mit

Auftragsverarbeitung gemaess Art. 28 DSGVO. Datei-Bytes werden in

Supabase Storage, EU-Region eu-central-1 (Frankfurt am Main),

gespeichert.

Die konkrete EU-Region wird serverseitig pro Modell gepinnt. Routing

zwischen den EU-Subdienstleistern (Mistral AI als primaerer Anbieter,

OVHcloud und IONOS als Failover) kann sich aufgrund von Modell-

Verfuegbarkeit, Kapazitaet oder Resilienz-Anforderungen dynamisch

anpassen — die Verarbeitung bleibt jedoch in jedem Fall innerhalb der EU.

Eine implizite Umleitung in eine Nicht-EU-Region findet nicht statt; bei

vollstaendiger EU-Erschoepfung wird der Aufruf abgelehnt, nicht in ein

Drittland umgeleitet.

Da die KI-Inferenz nunmehr vollstaendig plattformseitig durch KlugBüro

in EU-Regionen betrieben wird (kein Modell „eigene Cloud des

Auftraggebers" mehr), entfaellt eine Mitwirkungspflicht des Auftraggebers

zur Quota-Freischaltung; KlugBüro verantwortet die Region-Konfiguration.

Eine vollstaendige Liste der aktuell genutzten EU-Endpoints sowie der

verfuegbaren Modelle ist im Auftraggeber-Kabinett unter /status

einsehbar.

9. Kontrollrechte

Der Auftraggeber kann sich vom Einhalten der vereinbarten Massnahmen vor Ort oder durch Einsicht in Berichte unabhaengiger Stellen ueberzeugen.

10. Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers.

---

Stand: 23.6.2026 · Version 2026-05-29

Stand: 23.6.2026 · AVV-Anfragen / individueller Vertragsabschluss: datenschutz@klugbuero.de