# Anlage 2 zum AVV: Verzeichnis der Unterauftragsverarbeiter **gemäß Art. 28 Abs. 2, 4 DSGVO** **Auftragnehmer:** fmhconsulting · Qognio — Finn Malte Hinrichsen **Stand:** April 2026 --- ## 1. Vorbemerkung Dieses Verzeichnis dokumentiert alle Unterauftragsverarbeiter, die der Auftragnehmer im Rahmen der Auftragsverarbeitung gemäß dem Auftragsverarbeitungsvertrag (AVV) einsetzt. Es wird als Anlage 2 zum AVV geführt und bei jeder Änderung aktualisiert. Der Auftraggeber hat dem Auftragnehmer gemäß § 7 Abs. 1 des AVV eine allgemeine schriftliche Genehmigung zur Hinzuziehung von Unterauftragsverarbeitern erteilt. Der Auftragnehmer informiert den Auftraggeber gemäß § 7 Abs. 2 des AVV über jede beabsichtigte Änderung mindestens 14 Kalendertage im Voraus. --- ## 2. Aktuelle Unterauftragsverarbeiter Sämtliche **Kern-Verarbeitungsleistungen** erbringt der Auftragnehmer auf eigener Infrastruktur: - Die Sprachmodelle (Qwen 3.5, Qwen 3 Coder/VL, GPT-OSS, Granite, MiniMax) werden auf dedizierter, eigener GPU-Hardware betrieben (Self-Hosted, KI-Bunker). - Die Bot-Runtime (OpenClaw) läuft in eigenen containerisierten Umgebungen (LXC). - Datenbanken (PocketBase/SQLite) werden auf eigenen Servern betrieben. - Sämtliche Infrastrukturkomponenten befinden sich im **Rechenzentrum Schleswig-Holstein (Deutschland)**. - Es erfolgt **keine Nutzung externer Cloud-Anbieter** (kein AWS, Azure, GCP, Oracle Cloud o.ä.) für die Kern-Verarbeitung. Für die **Zahlungsabwicklung (Billing)** wird ein Unterauftragsverarbeiter eingesetzt (siehe Tabelle unten). Darüber hinaus können optionale **Content-Connectoren** zu vom Auftraggeber betriebenen bzw. beauftragten Drittsystemen (Cloud-Speicher, E-Mail, Web) aktiviert werden. Die Nutzung dieser Connectoren erfolgt ausschließlich auf aktive Entscheidung und mit den Zugangsdaten des Auftraggebers. --- ## 3. Tabellarisches Verzeichnis | Nr. | Name/Firma | Anschrift | Verarbeitungszweck | Art der Daten | Standort der Verarbeitung | Rechtsgrundlage Drittland | Vertragsstatus | Genehmigung AG | |-----|-----------|-----------|-------------------|--------------|--------------------------|---------------------------|----------------|----------------| | 1 | **Stripe Payments Europe, Ltd.** | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (EU-Zweigniederlassung von Stripe, Inc., USA) | Zahlungsabwicklung (Abo-Management, Rechnungserstellung, Kreditkartenverarbeitung) | Stammdaten (Name, E-Mail-Adresse), Rechnungsadresse, ggf. USt-IdNr, Zahlungsmittel-Metadaten (Stripe-Tokenisierung; Kartendaten selbst werden niemals an Qognio übertragen) | Primär EU (Stripe Ireland). Falls technisch bedingt Datentransfer in die USA erfolgt: Stripe ist unter dem **EU-US Data Privacy Framework (DPF)** zertifiziert. Zusätzlich Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. | Art. 45 DSGVO (Angemessenheitsbeschluss EU-US DPF) + Art. 46 DSGVO (SCC als Redundanzgarantie) | AVV via Stripes Data Processing Addendum ([stripe.com/legal/dpa](https://stripe.com/legal/dpa)) abgeschlossen | Erstgenehmigung durch Abschluss des Hauptvertrages mit Qognio | | 2 | **Dropbox, Inc.** (optional, nur bei Aktivierung des Dropbox-Connectors durch den Auftraggeber) | 1800 Owens Street, Suite 200, San Francisco, CA 94158, USA | Bereitstellung des vom Auftraggeber ausgewählten Dropbox-Speichers für den Content-Connector (Lesen und Indexieren von Dateien in einen Qognio-Bot) | Datei-Inhalte und Metadaten (Pfad, Name, Größe, mtime) aus den vom Auftraggeber **explizit freigegebenen** Ordnern/Apps; OAuth-Access-/Refresh-Token (AES-256-GCM verschlüsselt in PB) | USA | **EU-US Data Privacy Framework (DPF)** (Dropbox, Inc. ist zertifiziert); ergänzend Dropbox Business Data Processing Agreement mit SCC (Art. 46 DSGVO) | Dropbox DPA ([dropbox.com/business/trust/compliance/dpa](https://www.dropbox.com/business/trust/compliance/dpa)) abgeschlossen | Opt-In pro Bot durch den Auftraggeber (OAuth-Consent-Flow im Portal) | | 3 | **Microsoft Corporation** (optional, nur bei Aktivierung des SharePoint-/Microsoft-Graph-Connectors durch den Auftraggeber) | One Microsoft Way, Redmond, WA 98052, USA (EU-Repräsentant: Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland) | Bereitstellung des vom Auftraggeber ausgewählten SharePoint-Tenants/Drives für den Content-Connector über die Microsoft Graph API | Datei-Inhalte und Metadaten aus den vom Auftraggeber freigegebenen Sites/Drives/Ordnern; OAuth-Access-/Refresh-Token + Tenant-ID (AES-256-GCM verschlüsselt in PB) | EU-Datacenter (Standardeinstellung des Tenants), ggf. USA je nach Microsoft-365-Datenstandort-Konfiguration des Auftraggebers | **EU-US Data Privacy Framework (DPF)** (Microsoft Corporation ist zertifiziert); Microsoft Products and Services Data Protection Addendum (DPA) mit SCC (Art. 46 DSGVO) | Microsoft DPA gilt über die bestehende M365-Beziehung des Auftraggebers; Qognio agiert als Consuming-App mit OAuth-Scope | Opt-In pro Bot durch den Auftraggeber (OAuth-Consent-Flow im Portal) | **Hinweis zu E-Mail-Connector (IMAP) und HTTP-Web-Crawler:** - **E-Mail-Connector (IMAP):** Der Auftraggeber stellt eine bereits von ihm betriebene bzw. vertraglich abgesicherte Mailbox (eigener Mail-Provider) bereit. Qognio wird nicht Auftragsverarbeiter des Mail-Providers. Der AVV zwischen dem Auftraggeber und seinem Mail-Provider bleibt davon unberührt. Qognio verarbeitet lediglich die über IMAP abgerufenen Nachrichten im Rahmen des bestehenden AVV mit dem Auftraggeber. - **HTTP-Web-Crawler:** Zugriff erfolgt auf öffentlich verfügbare bzw. vom Auftraggeber benannte Web-Inhalte. Eine Auftragsverarbeiterbeziehung zu den abgerufenen Web-Zielen besteht nicht; Qognio agiert hier als technischer Abrufer im Auftrag des Auftraggebers. --- ## 4. Anforderungen an Unterauftragsverarbeiter Sollte der Auftragnehmer zukünftig Unterauftragsverarbeiter hinzuziehen, gelten folgende Anforderungen: **(1)** Jeder Unterauftragsverarbeiter muss vertraglich auf Datenschutzpflichten verpflichtet werden, die den Pflichten des AVV gleichwertig sind (Art. 28 Abs. 4 DSGVO). **(2)** Insbesondere müssen Unterauftragsverarbeiter: - Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO nachweisen, die mindestens dem Schutzniveau der Anlage 1 (TOMs) entsprechen - Daten ausschließlich innerhalb der EU/des EWR verarbeiten, es sei denn, ein angemessenes Datenschutzniveau im Drittland ist durch geeignete Garantien (Art. 46 DSGVO) oder einen Angemessenheitsbeschluss (Art. 45 DSGVO) sichergestellt - Sich zur Vertraulichkeit verpflichten - Den Auftragnehmer bei der Erfüllung von Betroffenenrechten unterstützen - Datenschutzverletzungen unverzüglich melden - Daten nach Beendigung der Unterauftragsverarbeitung löschen oder zurückgeben **(3)** Der Auftragnehmer überprüft die Einhaltung der datenschutzrechtlichen Pflichten durch Unterauftragsverarbeiter vor deren Einsatz und danach regelmäßig (mindestens jährlich). --- ## 5. Änderungsverfahren **(1)** Bei beabsichtigter Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters informiert der Auftragnehmer den Auftraggeber schriftlich (auch per E-Mail) unter Angabe von: - Name und Anschrift des Unterauftragsverarbeiters - Art und Zweck der Verarbeitung - Kategorien der verarbeiteten Daten - Standort der Verarbeitung - Getroffene Garantien **(2)** Der Auftraggeber kann innerhalb von **14 Kalendertagen** nach Zugang der Mitteilung begründeten Einspruch erheben (§ 7 Abs. 2 AVV). **(3)** Jede Änderung wird in diesem Verzeichnis dokumentiert und mit Datum versehen. Vorherige Versionen werden für die Dauer der Aufbewahrungsfrist archiviert. --- ## 6. Änderungshistorie | Datum | Änderung | Genehmigung AG | |-------|---------|----------------| | April 2026 | Erstfassung — Stripe Payments Europe als Unterauftragsverarbeiter für Billing | Erstgenehmigung mit AVV | | April 2026 | Ergänzung Content-Connectoren — Dropbox, Inc. (USA, DPF) und Microsoft Corporation (USA/EU, DPF) als **optionale** Unterauftragsverarbeiter, aktiv nur bei Opt-In durch den Auftraggeber; E-Mail-Connector (IMAP) und HTTP-Web-Crawler als Nicht-Unterauftragsverarbeiter-Hinweis ergänzt | Opt-In pro Bot durch den Auftraggeber via OAuth-Consent im Portal | --- **Letzte Überprüfung:** April 2026 **Nächste planmäßige Überprüfung:** April 2027 (halbjährlich bei Änderungen) --- _Dieses Verzeichnis ist Bestandteil des Auftragsverarbeitungsvertrages (AVV) zwischen den Parteien._