Anlage 2 zum AVV: Verzeichnis der Unterauftragsverarbeiter
gemäß Art. 28 Abs. 2, 4 DSGVO
Auftragnehmer: fmhconsulting · Qognio — Finn Malte Hinrichsen Stand: April 2026
1. Vorbemerkung
Dieses Verzeichnis dokumentiert alle Unterauftragsverarbeiter, die der Auftragnehmer im Rahmen der Auftragsverarbeitung gemäß dem Auftragsverarbeitungsvertrag (AVV) einsetzt. Es wird als Anlage 2 zum AVV geführt und bei jeder Änderung aktualisiert.
Der Auftraggeber hat dem Auftragnehmer gemäß § 7 Abs. 1 des AVV eine allgemeine schriftliche Genehmigung zur Hinzuziehung von Unterauftragsverarbeitern erteilt. Der Auftragnehmer informiert den Auftraggeber gemäß § 7 Abs. 2 des AVV über jede beabsichtigte Änderung mindestens 14 Kalendertage im Voraus.
2. Aktuelle Unterauftragsverarbeiter
Sämtliche Kern-Verarbeitungsleistungen erbringt der Auftragnehmer auf eigener Infrastruktur:
- Die Sprachmodelle (Qwen 3.5, Qwen 3 Coder/VL, GPT-OSS, Granite, MiniMax) werden auf dedizierter, eigener GPU-Hardware betrieben (Self-Hosted, KI-Bunker).
- Die Bot-Runtime (OpenClaw) läuft in eigenen containerisierten Umgebungen (LXC).
- Datenbanken (PocketBase/SQLite) werden auf eigenen Servern betrieben.
- Sämtliche Infrastrukturkomponenten befinden sich im Rechenzentrum Schleswig-Holstein (Deutschland).
- Es erfolgt keine Nutzung externer Cloud-Anbieter (kein AWS, Azure, GCP, Oracle Cloud o.ä.) für die Kern-Verarbeitung.
Für die Zahlungsabwicklung (Billing) wird ein Unterauftragsverarbeiter eingesetzt (siehe Tabelle unten). Darüber hinaus können optionale Content-Connectoren zu vom Auftraggeber betriebenen bzw. beauftragten Drittsystemen (Cloud-Speicher, E-Mail, Web) aktiviert werden. Die Nutzung dieser Connectoren erfolgt ausschließlich auf aktive Entscheidung und mit den Zugangsdaten des Auftraggebers.
3. Tabellarisches Verzeichnis
| Nr. | Name/Firma | Anschrift | Verarbeitungszweck | Art der Daten | Standort der Verarbeitung | Rechtsgrundlage Drittland | Vertragsstatus | Genehmigung AG |
|---|---|---|---|---|---|---|---|---|
| 1 | Stripe Payments Europe, Ltd. | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (EU-Zweigniederlassung von Stripe, Inc., USA) | Zahlungsabwicklung (Abo-Management, Rechnungserstellung, Kreditkartenverarbeitung) | Stammdaten (Name, E-Mail-Adresse), Rechnungsadresse, ggf. USt-IdNr, Zahlungsmittel-Metadaten (Stripe-Tokenisierung; Kartendaten selbst werden niemals an Qognio übertragen) | Primär EU (Stripe Ireland). Falls technisch bedingt Datentransfer in die USA erfolgt: Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. | Art. 45 DSGVO (Angemessenheitsbeschluss EU-US DPF) + Art. 46 DSGVO (SCC als Redundanzgarantie) | AVV via Stripes Data Processing Addendum (stripe.com/legal/dpa) abgeschlossen | Erstgenehmigung durch Abschluss des Hauptvertrages mit Qognio |
| 2 | Dropbox, Inc. (optional, nur bei Aktivierung des Dropbox-Connectors durch den Auftraggeber) | 1800 Owens Street, Suite 200, San Francisco, CA 94158, USA | Bereitstellung des vom Auftraggeber ausgewählten Dropbox-Speichers für den Content-Connector (Lesen und Indexieren von Dateien in einen Qognio-Bot) | Datei-Inhalte und Metadaten (Pfad, Name, Größe, mtime) aus den vom Auftraggeber explizit freigegebenen Ordnern/Apps; OAuth-Access-/Refresh-Token (AES-256-GCM verschlüsselt in PB) | USA | EU-US Data Privacy Framework (DPF) (Dropbox, Inc. ist zertifiziert); ergänzend Dropbox Business Data Processing Agreement mit SCC (Art. 46 DSGVO) | Dropbox DPA (dropbox.com/business/trust/compliance/dpa) abgeschlossen | Opt-In pro Bot durch den Auftraggeber (OAuth-Consent-Flow im Portal) |
| 3 | Microsoft Corporation (optional, nur bei Aktivierung des SharePoint-/Microsoft-Graph-Connectors durch den Auftraggeber) | One Microsoft Way, Redmond, WA 98052, USA (EU-Repräsentant: Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland) | Bereitstellung des vom Auftraggeber ausgewählten SharePoint-Tenants/Drives für den Content-Connector über die Microsoft Graph API | Datei-Inhalte und Metadaten aus den vom Auftraggeber freigegebenen Sites/Drives/Ordnern; OAuth-Access-/Refresh-Token + Tenant-ID (AES-256-GCM verschlüsselt in PB) | EU-Datacenter (Standardeinstellung des Tenants), ggf. USA je nach Microsoft-365-Datenstandort-Konfiguration des Auftraggebers | EU-US Data Privacy Framework (DPF) (Microsoft Corporation ist zertifiziert); Microsoft Products and Services Data Protection Addendum (DPA) mit SCC (Art. 46 DSGVO) | Microsoft DPA gilt über die bestehende M365-Beziehung des Auftraggebers; Qognio agiert als Consuming-App mit OAuth-Scope | Opt-In pro Bot durch den Auftraggeber (OAuth-Consent-Flow im Portal) |
Hinweis zu E-Mail-Connector (IMAP) und HTTP-Web-Crawler:
- E-Mail-Connector (IMAP): Der Auftraggeber stellt eine bereits von ihm betriebene bzw. vertraglich abgesicherte Mailbox (eigener Mail-Provider) bereit. Qognio wird nicht Auftragsverarbeiter des Mail-Providers. Der AVV zwischen dem Auftraggeber und seinem Mail-Provider bleibt davon unberührt. Qognio verarbeitet lediglich die über IMAP abgerufenen Nachrichten im Rahmen des bestehenden AVV mit dem Auftraggeber.
- HTTP-Web-Crawler: Zugriff erfolgt auf öffentlich verfügbare bzw. vom Auftraggeber benannte Web-Inhalte. Eine Auftragsverarbeiterbeziehung zu den abgerufenen Web-Zielen besteht nicht; Qognio agiert hier als technischer Abrufer im Auftrag des Auftraggebers.
4. Anforderungen an Unterauftragsverarbeiter
Sollte der Auftragnehmer zukünftig Unterauftragsverarbeiter hinzuziehen, gelten folgende Anforderungen:
(1) Jeder Unterauftragsverarbeiter muss vertraglich auf Datenschutzpflichten verpflichtet werden, die den Pflichten des AVV gleichwertig sind (Art. 28 Abs. 4 DSGVO).
(2) Insbesondere müssen Unterauftragsverarbeiter:
- Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO nachweisen, die mindestens dem Schutzniveau der Anlage 1 (TOMs) entsprechen
- Daten ausschließlich innerhalb der EU/des EWR verarbeiten, es sei denn, ein angemessenes Datenschutzniveau im Drittland ist durch geeignete Garantien (Art. 46 DSGVO) oder einen Angemessenheitsbeschluss (Art. 45 DSGVO) sichergestellt
- Sich zur Vertraulichkeit verpflichten
- Den Auftragnehmer bei der Erfüllung von Betroffenenrechten unterstützen
- Datenschutzverletzungen unverzüglich melden
- Daten nach Beendigung der Unterauftragsverarbeitung löschen oder zurückgeben
(3) Der Auftragnehmer überprüft die Einhaltung der datenschutzrechtlichen Pflichten durch Unterauftragsverarbeiter vor deren Einsatz und danach regelmäßig (mindestens jährlich).
5. Änderungsverfahren
(1) Bei beabsichtigter Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters informiert der Auftragnehmer den Auftraggeber schriftlich (auch per E-Mail) unter Angabe von:
- Name und Anschrift des Unterauftragsverarbeiters
- Art und Zweck der Verarbeitung
- Kategorien der verarbeiteten Daten
- Standort der Verarbeitung
- Getroffene Garantien
(2) Der Auftraggeber kann innerhalb von 14 Kalendertagen nach Zugang der Mitteilung begründeten Einspruch erheben (§ 7 Abs. 2 AVV).
(3) Jede Änderung wird in diesem Verzeichnis dokumentiert und mit Datum versehen. Vorherige Versionen werden für die Dauer der Aufbewahrungsfrist archiviert.
6. Änderungshistorie
| Datum | Änderung | Genehmigung AG |
|---|---|---|
| April 2026 | Erstfassung — Stripe Payments Europe als Unterauftragsverarbeiter für Billing | Erstgenehmigung mit AVV |
| April 2026 | Ergänzung Content-Connectoren — Dropbox, Inc. (USA, DPF) und Microsoft Corporation (USA/EU, DPF) als optionale Unterauftragsverarbeiter, aktiv nur bei Opt-In durch den Auftraggeber; E-Mail-Connector (IMAP) und HTTP-Web-Crawler als Nicht-Unterauftragsverarbeiter-Hinweis ergänzt | Opt-In pro Bot durch den Auftraggeber via OAuth-Consent im Portal |
Letzte Überprüfung: April 2026 Nächste planmäßige Überprüfung: April 2027 (halbjährlich bei Änderungen)
Dieses Verzeichnis ist Bestandteil des Auftragsverarbeitungsvertrages (AVV) zwischen den Parteien.