Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO — Stand: April 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

• Verantwortlicher: Der Kunde (nachfolgend „Auftraggeber")
• Auftragsverarbeiter: NeuronForge UG (haftungsbeschränkt), Brillenburgsweg 7, 21614 Buxtehude (nachfolgend „Auftragnehmer")

Der AVV ergänzt die Allgemeinen Geschäftsbedingungen (Hauptvertrag) und tritt mit Abschluss des Hauptvertrags in Kraft.

§ 1 Gegenstand und Dauer

(1) Gegenstand: Bereitstellung der SaaS-Plattform StreamLain zur Speicherung und Verarbeitung von Workspace-Daten im Auftrag des Auftraggebers.

(2) Dauer: Dieser AVV gilt für die Laufzeit des Hauptvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, unbeschadet der Pflichten zur Löschung und Rückgabe gemäß § 11.

§ 2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der:

• Speicherung und Verarbeitung von Workspace-Daten (Dokumente, Canvas, Datenbanken, Dateien)
• Bereitstellung von KI-Funktionen (Copilot, AI-Nodes) auf Weisung des Nutzers
• Automatisierung von Workflows (n8n-basierte Automations)
• Echtzeit-Kollaboration zwischen Workspace-Mitgliedern
• Authentifizierung und Zugriffskontrolle

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Stammdaten: Name, E-Mail-Adresse, Profilbild
• Inhaltsdaten: Dokumente, Datenbank-Einträge, Dateien, Canvas-Elemente
• Nutzungsdaten: IP-Adresse (gekürzt), Browser, Zugriffszeiten
• Kommunikationsdaten: Kommentare, Benachrichtigungen
• Zahlungsdaten: Rechnungsadresse, Zahlungsmethode (über Stripe)

§ 4 Kategorien betroffener Personen

• Mitarbeiter und Mitglieder des Auftraggebers
• Gäste (eingeladene externe Nutzer mit eingeschränktem Zugang)
• Dritte, deren personenbezogene Daten in Workspace-Inhalten gespeichert werden

§ 5 Pflichten des Auftraggebers

Der Auftraggeber ist verantwortlich für:

• Die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Betroffenenrechte
• Die Erteilung von Weisungen an den Auftragnehmer
• Die unverzügliche Information des Auftragnehmers bei Feststellung von Fehlern oder Unregelmäßigkeiten
• Die Benennung eines Ansprechpartners für Datenschutzfragen

§ 6 Weisungsbindung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Weisungen werden in der Regel durch die Nutzung der Plattformfunktionen erteilt.

(2) Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der Weisung bis zur Bestätigung durch den Auftraggeber auszusetzen.

(3) Weisungen, die über die vertragliche Leistung hinausgehen, sind schriftlich oder per E-Mail zu erteilen.

§ 7 Vertraulichkeit

(1) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Zugang zu personenbezogenen Daten des Auftraggebers erhalten ausschließlich Mitarbeiter, die diesen zur Erfüllung ihrer Aufgaben benötigen.

§ 8 Technisch-organisatorische Maßnahmen

Der Auftragnehmer setzt die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um. Der Auftragnehmer überprüft diese Maßnahmen regelmäßig und passt sie dem Stand der Technik an.

§ 9 Unterauftragsverarbeiter

(1) Der Auftraggeber stimmt dem Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter zu.

(2) Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor einem beabsichtigten Wechsel oder einer Hinzunahme von Unterauftragsverarbeitern. Der Auftraggeber kann dem Wechsel aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen.

(3) Der Auftragnehmer schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der mindestens die gleichen Datenschutzpflichten vorsieht wie dieser AVV.

§ 10 Unterstützung bei Betroffenenrechten

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen.

(2) Eingehende Anfragen von betroffenen Personen leitet der Auftragnehmer unverzüglich, spätestens innerhalb von 48 Stunden, an den Auftraggeber weiter.

§ 11 Meldepflichten bei Datenpannen

(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).

(2) Die Meldung umfasst alle relevanten Informationen gemäß Art. 33 Abs. 3 DSGVO, insbesondere Beschreibung der Art der Verletzung, Kategorien und Anzahl der betroffenen Personen, wahrscheinliche Folgen und ergriffene Abhilfemaßnahmen.

§ 12 Unterstützung bei DSGVO-Pflichten

Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und der vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO) durch Bereitstellung relevanter Informationen.

§ 13 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags stellt der Auftragnehmer die Daten des Auftraggebers für 30 Tage zum Export bereit.

(2) Nach Ablauf der 30-Tage-Frist werden sämtliche personenbezogenen Daten des Auftraggebers unwiderruflich gelöscht, einschließlich aller Kopien und Backups.

(3) Der Auftragnehmer bestätigt die Löschung auf Anfrage schriftlich.

§ 14 Nachweispflichten und Kontrollen

(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Der Auftragnehmer ermöglicht und unterstützt Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden. Überprüfungen sind mit angemessener Vorankündigung (mindestens 14 Tage) durchzuführen.

Anlage 1: Technisch-organisatorische Maßnahmen

Vertraulichkeit

• Zutrittskontrolle: Server bei Hetzner Online GmbH in zertifizierten deutschen Rechenzentren (ISO 27001), Standorte Nürnberg und Falkenstein
• Zugangskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) auf drei Ebenen (Workspace → Folder → Dokument), Zwei-Faktor-Authentifizierung (TOTP), Device Trust, individuelle Account-Sperren bei Fehlversuchen
• Zugriffskontrolle: PostgreSQL Row-Level Security (RLS) für mandantenscharfe Datenisolation, dedizierter Authentifizierungsdienst, sensible Daten (API-Keys, TOTP-Secrets, Zertifikate) AES-256-GCM-verschlüsselt at rest
• Trennungskontrolle: Mandantenfähige Architektur mit logischer Datentrennung per Workspace, getrennte Datenbankschemas für Stamm-, Inhalts- und Abrechnungsdaten

Pseudonymisierung und Anonymisierung

• IP-Anonymisierung: IP-Adressen werden in Logs gekürzt gespeichert
• Token-Trennung: Session-Tokens und API-Keys sind nicht ohne Datenbankzugriff mit Stammdaten verknüpfbar
• Trial-Eligibility: Prüfung der Testphasen-Berechtigung erfolgt ausschließlich über gesalzene SHA-256-Hashes der E-Mail-Adresse, kein Klartext gespeichert
• Hinweis: Eine Pseudonymisierung der Workspace-Inhaltsdaten ist im SaaS-Betriebsmodell technisch nicht möglich, da der Auftraggeber unmittelbaren Klartextzugriff auf seine Inhalte benötigt. Schutz erfolgt durch die unter „Vertraulichkeit" beschriebenen Maßnahmen.

Integrität

• Eingabekontrolle: Protokollierung sicherheitsrelevanter Vorgänge (Login, Berechtigungsänderungen, Datenexporte) zur Nachvollziehbarkeit
• Weitergabekontrolle: TLS 1.3 für alle Datenübertragungen, HMAC-SHA256 für Payload-Verifikation, signierte Webhooks

Verfügbarkeit und Belastbarkeit

• Verfügbarkeit: 99,5% SLA-Ziel (Jahresmittel), Hochverfügbarkeits-Kubernetes-Cluster über mehrere Standorte (Nürnberg/Falkenstein) mit redundanten Datenbank-Replikaten
• Belastbarkeit: Horizontales Auto-Scaling der Anwendungs- und Authentifizierungsschicht, Rate-Limiting gegen Überlast
• Wiederherstellbarkeit: Kontinuierliche WAL-basierte Backups (Point-in-Time-Recovery, RPO Sekunden, RTO ca. 2–5 Minuten), tägliche Voll-Backups, geo-redundante Replikation der Backups, libsodium-verschlüsselt, regelmäßig getestete Restore-Prozeduren

Verschlüsselung

• Transportverschlüsselung: TLS 1.3 für alle externen und internen Verbindungen
• Verschlüsselung at rest: AES-256-GCM für sensible Anwendungsdaten (API-Keys, TOTP-Secrets, Zertifikate); libsodium-verschlüsselte Datenbank-Backups; LUKS-Festplattenverschlüsselung auf Cluster-Nodes
• Passwörter: Speicherhartes Hashing-Verfahren nach BSI TR-02102 und OWASP Password Storage Cheat Sheet (argon2id) mit individuellem Salt und serverseitigem Pepper. Eine Klartext-Speicherung erfolgt zu keinem Zeitpunkt.

Auftragskontrolle

• Sub-Auftragsverarbeiter: Mit allen in Anlage 2 genannten Unterauftragsverarbeitern bestehen vertragliche Vereinbarungen nach Art. 28 DSGVO (DPA/AVV)
• Weisungsbindung: Mitarbeiter sind auf Vertraulichkeit und weisungsgebundene Verarbeitung verpflichtet
• EU-Datenresidenz: Sämtliche Datenverarbeitung — einschließlich KI-Inferenz — erfolgt ausschließlich in EU-Rechenzentren (Frankfurt, Nürnberg, Falkenstein)
• Drittlandtransfer: Soweit nicht vermeidbar (z.B. Cloudflare DNS, Stripe), abgesichert über DPA und Standardvertragsklauseln (SCCs) sowie das EU-US Data Privacy Framework

Datenschutz-Management

• Verarbeitungsverzeichnis: Geführt gemäß Art. 30 DSGVO
• Datenschutz-Folgenabschätzungen: Durchgeführt für risikobehaftete Verarbeitungen (z.B. KI-Funktionen, Trial-Missbrauchsprüfung)
• Verantwortlichkeiten: Benannter Ansprechpartner für Datenschutzfragen (Kontakt siehe unten)
• Schulung: Mitarbeiter werden regelmäßig zu Datenschutz und Informationssicherheit unterwiesen
• Privacy by Default: Voreinstellungen sind datenschutzfreundlich gewählt (kein Tracking ohne Einwilligung, AI-Funktionen opt-in, Workspaces standardmäßig privat)

Incident-Response-Management

• Erkennung: Kontinuierliche Überwachung und Alarmierung bei sicherheitsrelevanten Ereignissen (Logins, Fehlerraten, ungewöhnliche Zugriffsmuster)
• Reaktion: Definierte Eskalationsprozeduren, dokumentierte Runbooks für Datenbank-, Cluster- und Anwendungsstörungen
• Meldung: Datenpannen werden gemäß § 11 dieses AVV unverzüglich, spätestens innerhalb von 24 Stunden, an den Auftraggeber gemeldet
• Nachbereitung: Post-Mortem-Analyse mit Ursachen- und Maßnahmenkatalog

Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Sicherheitsaudits und Code-Reviews
• Automatisierte Dependency-Scans auf bekannte Schwachstellen
• Kontinuierliche Überwachung und Alarmierung bei sicherheitsrelevanten Ereignissen
• Regelmäßige Überprüfung und Anpassung der TOMs an den Stand der Technik

Anlage 2: Unterauftragsverarbeiter

Hetzner Online GmbH

Zweck: Server-Hosting, Datenbank, Object Storage

Standort: Deutschland (Nürnberg/Falkenstein)

Garantie: AVV

Amazon Web Services EMEA SARL

Zweck: KI-Inferenz via Bedrock (Claude)

Standort: Luxemburg / eu-central-1 Frankfurt

Garantie: AWS DPA

Google Cloud EMEA Limited

Zweck: KI-Inferenz via Vertex AI (Gemini), OAuth-Authentifizierung

Standort: Irland / europe-west3 Frankfurt

Garantie: GCP CDPA

Stripe Ireland Limited

Zweck: Zahlungsabwicklung

Standort: Irland (EU-US DPF)

Garantie: Stripe DPA

Cloudflare, Inc.

Zweck: DNS-Resolution (kein Proxy/CDN/DDoS-Schutz; sämtliche Records sind „Grey Cloud", DNS-only)

Standort: USA (EU-US DPF)

Garantie: Cloudflare DPA + SCCs

BunnyWay d.o.o. (bunny.net)

Zweck: CDN, DDoS-Schutz

Standort: Slowenien (EU)

Garantie: Individuell unterzeichnete DPA

Änderungen an der Unterauftragsverarbeiter-Liste werden dem Auftraggeber mindestens 30 Tage vor Wirksamwerden mitgeteilt. Die aktuelle Liste ist stets auf dieser Seite einsehbar.

Kontakt für Datenschutzanfragen: hello@streamlain.de