Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO — Stand: Maerz 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

• Verantwortlicher: Der Kunde (nachfolgend „Auftraggeber")
• Auftragsverarbeiter: NeuronForge UG (haftungsbeschränkt), Brillenburgsweg 7, 21614 Buxtehude (nachfolgend „Auftragnehmer")

Der AVV ergänzt die Allgemeinen Geschäftsbedingungen (Hauptvertrag) und tritt mit Abschluss des Hauptvertrags in Kraft.

§ 1 Gegenstand und Dauer

(1) Gegenstand: Bereitstellung der SaaS-Plattform StreamLain zur Speicherung und Verarbeitung von Workspace-Daten im Auftrag des Auftraggebers.

(2) Dauer: Dieser AVV gilt für die Laufzeit des Hauptvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Pflichten zur Löschung und Rückgabe gemäß § 11.

§ 2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der:

• Speicherung und Verarbeitung von Workspace-Daten (Dokumente, Canvas, Datenbanken, Dateien)
• Bereitstellung von KI-Funktionen (Copilot, AI-Nodes) auf Weisung des Nutzers
• Automatisierung von Workflows (n8n-basierte Automations)
• Echtzeit-Kollaboration zwischen Workspace-Mitgliedern
• Authentifizierung und Zugriffskontrolle

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Stammdaten: Name, E-Mail-Adresse, Profilbild
• Inhaltsdaten: Dokumente, Datenbank-Einträge, Dateien, Canvas-Elemente
• Nutzungsdaten: IP-Adresse (gekürzt), Browser, Zugriffszeiten
• Kommunikationsdaten: Kommentare, Benachrichtigungen
• Zahlungsdaten: Rechnungsadresse, Zahlungsmethode (über Stripe)

§ 4 Kategorien betroffener Personen

• Mitarbeiter und Mitglieder des Auftraggebers
• Gäste (eingeladene externe Nutzer mit eingeschränktem Zugang)
• Dritte, deren personenbezogene Daten in Workspace-Inhalten gespeichert werden

§ 5 Pflichten des Auftraggebers

Der Auftraggeber ist verantwortlich für:

• Die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Betroffenenrechte
• Die Erteilung von Weisungen an den Auftragnehmer
• Die unverzügliche Information des Auftragnehmers bei Feststellung von Fehlern oder Unregelmäßigkeiten
• Die Benennung eines Ansprechpartners für Datenschutzfragen

§ 6 Weisungsbindung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Weisungen werden in der Regel durch die Nutzung der Plattformfunktionen erteilt.

(2) Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der Weisung bis zur Bestätigung durch den Auftraggeber auszusetzen.

(3) Weisungen, die über die vertragliche Leistung hinausgehen, sind schriftlich oder per E-Mail zu erteilen.

§ 7 Vertraulichkeit

(1) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Zugang zu personenbezogenen Daten des Auftraggebers erhalten ausschließlich Mitarbeiter, die diesen zur Erfüllung ihrer Aufgaben benötigen.

§ 8 Technisch-organisatorische Maßnahmen

Der Auftragnehmer setzt die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um. Der Auftragnehmer überprüft diese Maßnahmen regelmäßig und passt sie dem Stand der Technik an.

§ 9 Unterauftragsverarbeiter

(1) Der Auftraggeber stimmt dem Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter zu.

(2) Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor einem beabsichtigten Wechsel oder einer Hinzunahme von Unterauftragsverarbeitern. Der Auftraggeber kann dem Wechsel aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen.

(3) Der Auftragnehmer schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der mindestens die gleichen Datenschutzpflichten vorsieht wie dieser AVV.

§ 10 Unterstützung bei Betroffenenrechten

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.

(2) Eingehende Anfragen von betroffenen Personen leitet der Auftragnehmer unverzüglich, spätestens innerhalb von 48 Stunden, an den Auftraggeber weiter.

§ 11 Meldepflichten bei Datenpannen

(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).

(2) Die Meldung umfasst alle relevanten Informationen gemäß Art. 33 Abs. 3 DSGVO, insbesondere Beschreibung der Art der Verletzung, Kategorien und Anzahl der betroffenen Personen, wahrscheinliche Folgen und ergriffene Abhilfemaßnahmen.

§ 12 Unterstützung bei DSGVO-Pflichten

Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und der vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO) durch Bereitstellung relevanter Informationen.

§ 13 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags stellt der Auftragnehmer die Daten des Auftraggebers für 30 Tage zum Export bereit.

(2) Nach Ablauf der 30-Tage-Frist werden sämtliche personenbezogenen Daten des Auftraggebers unwiderruflich gelöscht, einschließlich aller Kopien und Backups.

(3) Der Auftragnehmer bestätigt die Löschung auf Anfrage schriftlich.

§ 14 Nachweispflichten und Kontrollen

(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Der Auftragnehmer ermöglicht und unterstützt Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden. Überprüfungen sind mit angemessener Vorankündigung (mindestens 14 Tage) durchzuführen.

Anlage 1: Technisch-organisatorische Maßnahmen

Vertraulichkeit

• Zutrittskontrolle: Server bei Hetzner Online GmbH in zertifizierten deutschen Rechenzentren (ISO 27001)
• Zugangskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) auf drei Ebenen (Workspace → Folder → Dokument)
• Zugriffskontrolle: PostgreSQL Row-Level Security (RLS), Zwei-Faktor-Authentifizierung (TOTP), Device Trust
• Trennungskontrolle: Mandantenfähige Architektur mit logischer Datentrennung per Workspace

Integrität

• Eingabekontrolle: Protokollierung sicherheitsrelevanter Vorgänge zur Nachvollziehbarkeit
• Weitergabekontrolle: TLS 1.3 für alle Datenübertragungen, HMAC-SHA256 für Payload-Verification

Verfügbarkeit und Belastbarkeit

• Verfügbarkeit: 99,5% SLA-Ziel (Jahresmittel), Kubernetes-Cluster für Ausfallsicherheit
• Belastbarkeit: Auto-Scaling der Anwendungsschicht
• Wiederherstellbarkeit: Tägliche Datenbank-Backups, getestete Restore-Prozeduren

Verschlüsselung

• Transportverschlüsselung: TLS 1.3 für alle Verbindungen
• Verschlüsselung at rest: AES-256-GCM für sensible Daten (API-Keys, TOTP-Secrets, Zertifikate)
• Passwörter: bcrypt-Hashing (OWASP-konform), kein Klartext-Speicherung

Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Sicherheitsaudits und Code-Reviews
• Automatisierte Dependency-Scans auf bekannte Schwachstellen
• Überwachung und Alarmierung bei sicherheitsrelevanten Ereignissen

Anlage 2: Unterauftragsverarbeiter

Hetzner Online GmbH

Zweck: Server-Hosting, Datenbank, Object Storage

Standort: Deutschland (Nürnberg/Falkenstein)

Garantie: AVV

Amazon Web Services EMEA SARL

Zweck: KI-Inferenz via Bedrock (Claude)

Standort: Luxemburg / eu-central-1 Frankfurt

Garantie: AWS DPA

Google Cloud EMEA Limited

Zweck: KI-Inferenz via Vertex AI (Gemini), OAuth-Authentifizierung

Standort: Irland / europe-west3 Frankfurt

Garantie: GCP CDPA

Stripe Ireland Limited

Zweck: Zahlungsabwicklung

Standort: Irland (EU-US DPF)

Garantie: Stripe DPA

Cloudflare, Inc.

Zweck: DNS, CDN, DDoS-Schutz

Standort: USA (EU-US DPF)

Garantie: Cloudflare DPA + SCCs

BunnyWay d.o.o. (bunny.net)

Zweck: CDN, DDoS-Schutz

Standort: Slowenien (EU)

Garantie: Individuell unterzeichnete DPA

Änderungen an der Unterauftragsverarbeiter-Liste werden dem Auftraggeber mindestens 30 Tage vor Wirksamwerden mitgeteilt. Die aktuelle Liste ist stets auf dieser Seite einsehbar.

Kontakt für Datenschutzanfragen: hello@streamlain.de