Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Abs. 3 Verordnung (EU) 2016/679 (DSGVO)
Vertragsparteien
Auftraggeber (Verantwortlicher):
[Firma/Name des Kunden] [Straße, PLZ Ort] [Vertreten durch: Name, Funktion]
— nachfolgend „Auftraggeber” —
Auftragnehmer (Auftragsverarbeiter):
Finn Malte Hinrichsen fmhconsulting · Qognio Gärtnerstraße 105 20253 Hamburg
USt-IdNr.: DE281644997 E-Mail: info@qognio.com Telefon: +49 176 88499977
— nachfolgend „Auftragnehmer” —
Auftraggeber und Auftragnehmer werden nachfolgend einzeln auch „Partei” und gemeinsam „Parteien” genannt.
Präambel
Der Auftragnehmer betreibt unter der Marke Qognio eine Plattform für souveräne KI-Assistenten (im Folgenden „Dienst” oder „Bot-Service”). Der Auftraggeber beabsichtigt, diesen Dienst für seine geschäftlichen Zwecke zu nutzen, wobei personenbezogene Daten im Auftrag des Auftraggebers verarbeitet werden.
Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien, die sich aus der Auftragsverarbeitung im Sinne von Art. 28 DSGVO ergeben. Er ergänzt den zwischen den Parteien geschlossenen Hauptvertrag über die Nutzung des Bot-Service (nachfolgend „Hauptvertrag”).
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand dieses Vertrages ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
- Bereitstellung und Betrieb eines KI-gestützten Assistenzsystems (Bot) auf der Qognio-Plattform
- Verarbeitung von Eingaben (Prompts), Konversationsverläufen und hochgeladenen Dokumenten des Auftraggebers bzw. dessen Nutzer
- Speicherung von Konversationsdaten, Konfigurationen und Nutzereinstellungen
- Anbindung an vom Auftraggeber benannte Drittsysteme (z. B. HR-Software, E-Mail, DMS) gemäß gesonderter Vereinbarung
(2) Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieses Vertrages keine darüberhinausgehenden Pflichten ergeben.
(3) Die Verarbeitung der Kerninhalte (Konversationsdaten, hochgeladene Dokumente, LLM-Inferenz, Datenbanken, Backups) findet ausschließlich innerhalb des Gebietes der Europäischen Union bzw. des Europäischen Wirtschaftsraums statt — konkret im Rechenzentrum des Auftragnehmers in Schleswig-Holstein (Deutschland). Eine Verarbeitung durch den Auftragnehmer selbst in einem Drittland erfolgt nicht.
Soweit der Auftraggeber optionale Content-Connectoren zu Drittsystemen aktiviert (siehe § 7 Abs. 6), kann hierdurch eine Datenübermittlung in ein Drittland erfolgen — insbesondere in die USA bei Dropbox und Microsoft SharePoint. Rechtsgrundlage ist dann der Angemessenheitsbeschluss unter dem EU-US Data Privacy Framework (Art. 45 DSGVO), ergänzt um Standardvertragsklauseln (Art. 46 DSGVO). Ebenso kann die Abwicklung über den Billing-Dienstleister Stripe zu einem Datentransfer in die USA führen (siehe Anlage 2).
§ 2 Art und Zweck der Verarbeitung
(1) Die Art der Verarbeitung umfasst:
- Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung (an den Auftraggeber), Abgleichen, Einschränken, Löschen und Vernichten von personenbezogenen Daten
(2) Zweck der Verarbeitung ist die Bereitstellung eines KI-Assistenten zur Unterstützung der Geschäftsprozesse des Auftraggebers, insbesondere im Bereich:
- Beantwortung von Anfragen durch Mitarbeitende und/oder Dritte
- Automatisierung von Geschäftsprozessen
- Dokumentenverarbeitung und -generierung
- Informationsrecherche und -aufbereitung
- Weitere vom Auftraggeber definierte Anwendungsfälle
§ 3 Kategorien betroffener Personen
Die Verarbeitung betrifft folgende Kategorien betroffener Personen:
- Mitarbeitende des Auftraggebers
- Bewerberinnen und Bewerber
- Kunden und Geschäftspartner des Auftraggebers
- Sonstige Personen, deren Daten vom Auftraggeber in den Dienst eingegeben werden
§ 4 Kategorien personenbezogener Daten
Folgende Datenkategorien sind Gegenstand der Verarbeitung:
- Stammdaten: Name, Vorname, Anrede, Titel
- Kontaktdaten: E-Mail-Adresse, Telefonnummer, Anschrift
- Beschäftigungsdaten: Abteilung, Position, Personalnummer, Vertragsdaten
- Kommunikationsdaten: Konversationsverläufe, Anfragen, Rückmeldungen
- Dokumentendaten: Hochgeladene Dokumente und deren Inhalte
- Nutzungsdaten: Zeitstempel, IP-Adressen (pseudonymisiert), Interaktionsverläufe
- Bewerbungsdaten: Lebenslaufdaten, Qualifikationen, Anschreiben (sofern vom Auftraggeber eingegeben)
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden grundsätzlich nicht verarbeitet. Sollte der Auftraggeber solche Daten eingeben (z. B. Gesundheitsdaten im Rahmen von Krankmeldungen), ist dies gesondert zu vereinbaren und eine Datenschutz-Folgenabschätzung durchzuführen (vgl. Anlage 4).
§ 5 Weisungsrecht des Auftraggebers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Die Weisungen werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form (auch per E-Mail) durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
(3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
(4) Weisungsberechtigte Personen des Auftraggebers:
| Name | Funktion | |
|---|---|---|
| [Einzutragen] | [Einzutragen] | [Einzutragen] |
(5) Weisungsempfangsberechtigte Personen des Auftragnehmers:
| Name | Funktion | |
|---|---|---|
| Finn Malte Hinrichsen | Inhaber | info@qognio.com |
§ 6 Pflichten des Auftragnehmers
(1) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(2) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 1 (Technische und Organisatorische Maßnahmen — TOMs) dokumentiert.
(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflicht des Auftraggebers zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen.
(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(5) Der Auftragnehmer löscht nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Auftraggebers alle personenbezogenen Daten oder gibt sie zurück, und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Das Löschkonzept ist in Anlage 3 dokumentiert.
(6) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, bei.
§ 6a Eingesetzte Open-Source-Agent-Frameworks
(1) Der Auftragnehmer nutzt die folgenden open-source-basierten Frameworks zur Umsetzung von KI-Assistenten im Dienst:
| Framework | Lizenz | Herkunft | Version (Stand: 2026-04-17) |
|---|---|---|---|
| OpenClaw | MIT | Peter Steinberger | v2026.4.15 |
| Hermes | MIT | Nous Research | v0.10 |
(2) Beide Frameworks werden ausschließlich auf den Qognio-Servern im Rechenzentrum Schleswig-Holstein (On-Premise) betrieben. Sie laufen in isolierten Linux-Containern auf der Bot-Server-Infrastruktur und sind nicht öffentlich zugänglich.
(3) Diese Frameworks sind Software-Komponenten, keine Unterauftragsverarbeiter. Es findet keine Weitergabe von Kundendaten an die Urheber oder Maintainer der Frameworks statt.
(4) Die Frameworks sind auf folgende zulässige Outbound-Verbindungen technisch eingeschränkt:
- LiteLLM Proxy-Cluster (Bunker-intern, eigene GPU-Infrastruktur im RZ Schleswig-Holstein) für LLM-Inferenz
- Vom Auftraggeber konfigurierte Chat-Kanäle (z. B. Mattermost, Telegram, Discord, Slack) gemäß separater Integrationsvereinbarung
(5) Folgende externe Datenverarbeitungsquellen sind technisch blockiert und nicht einsetzbar:
- Memory-Provider (Mem0, RetainDB, Supermemory, USA-basiert) — Memory-Persistenz ist auf interner Container-lokaler Speicherung gepinnt
- Search-Provider (Exa, Tavily, Firecrawl, USA-basiert) — Web-Search ist auf interne, selbst gehostete SearXNG-Instanz (search.qognio.com) beschränkt
(6) Alle Datenströme von und zu den Frameworks verbleiben innerhalb des Gebietes der Europäischen Union. Es findet keine automatisierte Übermittlung von Kundendaten an Drittländer statt.
(7) Die eingesetzten Versionen der Frameworks werden im internen System-Register dokumentiert und können vom Auftraggeber auf Anfrage eingesehen werden.
§ 7 Unterauftragsverarbeiter
(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsverarbeiter sind in Anlage 2 (Unterauftragsverarbeiter-Verzeichnis) aufgeführt.
(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter. Der Auftraggeber kann gegen derartige Änderungen innerhalb von 14 Kalendertagen nach Zugang der Mitteilung Einspruch erheben. Der Einspruch ist zu begründen.
(3) Erhebt der Auftraggeber berechtigten Einspruch, bemüht sich der Auftragnehmer, eine alternative Lösung zu finden. Gelingt dies nicht, steht dem Auftraggeber ein Sonderkündigungsrecht des Hauptvertrages mit einer Frist von 30 Tagen zu.
(4) Der Auftragnehmer legt dem Unterauftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.
(5) Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters.
(6) Optionale Content-Connectoren zu Drittsystemen: Der Auftragnehmer bietet dem Auftraggeber die Möglichkeit, externe Datenquellen als sogenannte Content-Connectoren an einen konkreten Bot anzubinden. Die Aktivierung jedes Connectors erfolgt ausschließlich auf aktive Entscheidung des Auftraggebers (Opt-In pro Bot) und unter Nutzung der vom Auftraggeber beigebrachten Zugangsdaten (OAuth-Consent bzw. IMAP-Credentials).
Dropbox (Dropbox, Inc., USA): Bei Aktivierung des Dropbox-Connectors agiert Dropbox, Inc. als Unterauftragsverarbeiter im Sinne dieses Vertrags. Dropbox ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten Standardvertragsklauseln (Art. 46 DSGVO). Näheres in Anlage 2.
Microsoft SharePoint / Microsoft Graph (Microsoft Corporation, USA; EU-Vertretung: Microsoft Ireland Operations Ltd.): Bei Aktivierung des SharePoint-Connectors agiert Microsoft Corporation als Unterauftragsverarbeiter im Sinne dieses Vertrags. Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten Standardvertragsklauseln (Art. 46 DSGVO). Näheres in Anlage 2.
E-Mail-Connector (IMAP): Der Auftraggeber bindet eine von ihm selbst bzw. einem von ihm beauftragten Mail-Provider betriebene Mailbox per IMAP an. Der Mail-Provider ist kein Unterauftragsverarbeiter von Qognio; die datenschutzrechtliche Beziehung zum Mail-Provider liegt ausschließlich beim Auftraggeber. Qognio verarbeitet die abgerufenen Nachrichten im Rahmen dieses AVV.
HTTP-Web-Crawler: Zugriff auf öffentlich verfügbare bzw. vom Auftraggeber benannte Webadressen. Eine Auftragsverarbeiter-Beziehung zu den abgerufenen Web-Zielen besteht nicht; der Auftraggeber verantwortet die Zulässigkeit des Abrufs (z. B. Beachtung von Nutzungsbedingungen).
(7) Der Auftragnehmer trifft besondere Schutzmaßnahmen für die Zugangsdaten der Connectoren (insbesondere verschlüsselte Speicherung, Minimal-Scopes, Widerruf durch den Auftraggeber jederzeit möglich). Einzelheiten regelt Anlage 1, Abschnitt 5a.
§ 8 Meldung von Datenschutzverletzungen
(1) Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung erfolgt an die in § 5 Abs. 4 genannten weisungsberechtigten Personen per E-Mail und — sofern die Schwere des Vorfalls es erfordert — zusätzlich telefonisch.
(2) Die Meldung enthält mindestens:
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Datenkategorien und Datensätze;
den Namen und die Kontaktdaten der Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(3) Der Auftragnehmer dokumentiert alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen.
§ 9 Datenschutzbeauftragter
(1) Der Auftragnehmer hat derzeit keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen (§ 38 BDSG) nicht erfüllt sind (weniger als 20 Personen mit regelmäßiger automatisierter Datenverarbeitung).
(2) Ansprechpartner für den Datenschutz beim Auftragnehmer ist:
Finn Malte Hinrichsen E-Mail: datenschutz@qognio.com Telefon: +49 176 88499977
(3) Sollte die Bestellung eines Datenschutzbeauftragten erforderlich werden, wird der Auftragnehmer den Auftraggeber unverzüglich informieren und die Kontaktdaten mitteilen.
§ 10 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrages.
§ 11 Laufzeit und Kündigung
(1) Dieser Vertrag tritt mit Unterzeichnung in Kraft und wird auf unbestimmte Zeit geschlossen. Er endet automatisch mit der Beendigung des Hauptvertrages.
(2) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragnehmer wesentliche Bestimmungen dieses Vertrages nicht einhält oder Weisungen des Auftraggebers nicht befolgen kann oder will.
(3) Nach Beendigung dieses Vertrages hat der Auftragnehmer sämtliche ihm überlassenen personenbezogenen Daten und deren Kopien nach Wahl des Auftraggebers zurückzugeben oder zu löschen. Die Löschung ist zu dokumentieren und dem Auftraggeber zu bestätigen.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für den Verzicht auf das Schriftformerfordernis.
(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so wird hierdurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, anstelle der unwirksamen Bestimmung eine wirksame Regelung zu treffen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Hamburg.
Anlagen
- Anlage 1: Technische und Organisatorische Maßnahmen (TOMs)
- Anlage 2: Verzeichnis der Unterauftragsverarbeiter
- Anlage 3: Löschkonzept
- Anlage 4: Datenschutz-Folgenabschätzung (DSFA)
Unterschriften
Auftraggeber:
Hamburg, den _______________
Name, Funktion
Auftragnehmer:
Hamburg, den _______________
Finn Malte Hinrichsen, fmhconsulting · Qognio