Auftragsverarbeitungsvertrag (AVV)
Stand: 15. Juni 2026
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Auftragsverarbeiter: Audinero AI UG (haftungsbeschränkt)
Geschäftsführer: Anil Colak, Jannik Wienecke
Sitz: Hamburg, Deutschland Ladungsfähige
Anschrift: wird nach Gründung unverzüglich ergänzt
Registergericht / HRB: wird nach Eintragung unverzüglich ergänzt USt-IdNr.: wird nach Erteilung unverzüglich ergänzt
Telefon: wird nach Gründung unverzüglich ergänzt
E-Mail: hello@audinero.de
Security-Kontakt: security@audinero.de
Auftraggeber: Der Kunde (nachfolgend „Verantwortlicher") gemäß SaaS-Nutzungsvertrag / AGB
Dieser AVV wird automatisch Bestandteil des Vertrags zwischen dem Verantwortlichen und Audinero AI mit Akzeptanz der AGB bei Registrierung auf www.audinero.de.
§ 1 Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform Audinero AI. Gegenstand der Verarbeitung ist die Bereitstellung einer KI-gestützten Compliance-Audit-Plattform gemäß den AGB.
1.2 Dauer
Die Verarbeitung beginnt mit der Registrierung und endet 30 Tage nach Beendigung des SaaS-Nutzungsvertrags (Datenexport-Frist gem. AGB §11). Danach werden sämtliche personenbezogenen Daten unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
1.3 Art und Zweck der Verarbeitung
Nutzerverwaltung - Speicherung und Verwaltung von Nutzerkonten, Authentifizierung, Rollenzuweisung Dokumentenverarbeitung - Speicherung, Analyse und KI-gestützte Auswertung von Audit-Dokumenten
KI-Analyse (Nero-Ki) - Verarbeitung von Dokumenten und Nutzeranfragen über die OpenAI API (gpt-4.1-nano, gpt-4.1-mini, gpt-4o), Region eu-central-1 (Frankfurt), zur Compliance-Bewertung
Web-Recherche - KI-basierte Web-Recherche für Checklisten über Tavily (Unterauftragsverarbeiter)
Zahlungsabwicklung - Weiterleitung an Polar (Unterauftragsverarbeiter)
Support & Kommunikation - Bearbeitung von Supportanfragen per E-Mail
1.4 Art der personenbezogenen Daten
- Stammdaten: Name, E-Mail-Adresse, Unternehmen, Rolle
- Nutzungsdaten: Session-Daten (via Convex Auth SDK), technische Metadaten (z. B. IP-Adressen über Sentry im Rahmen der Fehleranalyse)
- Inhaltsdaten: Vom Kunden hochgeladene Audit-Dokumente
- KI-Interaktionsdaten: Chat-Verläufe mit Nero-Ki
- Zahlungsreferenzdaten: Polar-Kunden-ID, Abonnement-Status. Zahlungsdaten (Kreditkartendaten) werden ausschließlich von Polar verarbeitet und nicht an Audinero übermittelt.
1.5 Kategorien betroffener Personen
- Mitarbeiter und Beauftragte des Verantwortlichen (Nutzer der Plattform)
- Drittbetroffene, deren Daten in hochgeladenen Dokumenten enthalten sind
§ 2 Weisungsgebundenheit
1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der Plattform gemäß AGB gilt als allgemeine Weisung.
2) Weisungen, die über die Nutzung der Plattform hinausgehen, bedürfen der Schriftform (E-Mail ausreichend) an hello@audinero.de.
3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).
§ 3 Pflichten des Auftragsverarbeiters
- Verarbeitung personenbezogener Daten ausschließlich im Rahmen der dokumentierten Weisungen
- Gewährleistung, dass sich alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO)
- Ergreifung aller gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1: TOMs) - Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)
- Unterstützung bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit, Meldepflichten, DPIA)
- Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung der Verarbeitung (Art. 28 Abs. 3 lit. g DSGVO)
- Bereitstellung aller Informationen, die zur Erfüllung der Nachweispflichten erforderlich sind, und Ermöglichung von Überprüfungen/Audits (Art. 28 Abs. 3 lit. h DSGVO)
§ 4 Pflichten des Verantwortlichen
1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen verantwortlich.
2) Der Verantwortliche erteilt alle Weisungen und ist für deren Rechtmäßigkeit verantwortlich.
3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
§ 5 Unterauftragsverarbeiter
1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen (Art. 28 Abs. 2 DSGVO).
2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus per E-Mail über jede geplante Änderung (Hinzunahme oder Ersetzung) von Unterauftragsverarbeitern. Der Verantwortliche hat 14 Tage nach Zugang der Mitteilung Zeit, begründeten Einspruch zu erheben. Erhebt der Verantwortliche berechtigten Einspruch und kann keine einvernehmliche Lösung gefunden werden, steht dem Verantwortlichen ein Sonderkündigungsrecht zum Zeitpunkt der geplanten Änderung zu.
3) Folgende Unterauftragsverarbeiter sind zum Zeitpunkt des Vertragsschlusses genehmigt:
Convex, Inc. — USA (Server: EU/Irland) — Backend-Infrastruktur, Datenspeicherung, Authentifizierung — EU-US DPF, SCCs, SOC 2
OpenAI, L.P. — USA — KI-Verarbeitung für Nero-Ki (gpt-4.1-nano, gpt-4.1-mini, gpt-4o), Region eu-central-1 (Frankfurt) — EU-US DPF, SCCs, DPA
Polar — USA — Zahlungsabwicklung — EU-US DPF, SCCs, AVV, PCI DSS Level 1
Resend, Inc. — USA — Transaktions-E-Mail-Versand — EU-US DPF, SCCs
Sentry / Functional Software, Inc. — USA — Fehler-Monitoring/Session-Replay (Text maskiert) — EU-US DPF, SCCs
Tavily, Inc. — USA — Web-Recherche für Checklisten — EU-US DPF, SCCs
4) Der Auftragsverarbeiter stellt sicher, dass jedem Unterauftragsverarbeiter mindestens die gleichen Datenschutzpflichten auferlegt werden wie in diesem AVV.
§ 6 Drittlandsübermittlung
1) Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur im Einklang mit Kapitel V DSGVO.
2) Drittlandsübermittlungen betreffen Convex, Inc. (USA, mit EU-Servern in Irland), OpenAI, L.P. (USA), Polar (USA), Resend, Inc. (USA), Sentry / Functional Software, Inc. (USA) und Tavily, Inc. (USA). Grundlage ist der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) sowie ergänzend Standard Contractual Clauses (SCCs).
3) Die KI-Verarbeitung erfolgt über die OpenAI API in der Region eu-central-1 (Frankfurt). Audinero nutzt die von OpenAI bereitgestellten Datenschutzmaßnahmen einschließlich des EU-US Data Privacy Framework (DPF) und ergänzender Standard Contractual Clauses (SCCs). OpenAI verarbeitet Daten gemäß ihrer Data Processing Addendum (DPA), wonach Kundendaten nicht für Modelltraining verwendet werden.
4) Soweit personenbezogene Daten von Personen in der Schweiz betroffen sind, erfolgt die Übermittlung in die USA zusätzlich auf Grundlage des Swiss-US Data Privacy Framework sowie ergänzender Standard Contractual Clauses (SCCs). Das revidierte Schweizer Datenschutzgesetz (revDSG) findet insoweit ergänzend zur DSGVO Anwendung (siehe §12).
§ 7 Meldung von Datenschutzverletzungen
1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Meldepflichten nach Art. 33 und 34 DSGVO.
2) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, an security@audinero.de.
3) Die Meldung enthält mindestens: - Art der Verletzung und betroffene Datenkategorien - Ungefähre Anzahl betroffener Personen und Datensätze - Wahrscheinliche Folgen der Verletzung - Ergriffene und vorgeschlagene Abhilfemaßnahmen
§ 8 Kontrollrechte des Verantwortlichen
1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und der DSGVO zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Dies umfasst: - Einsichtnahme in aktuelle Zertifizierungen und Auditberichte (z. B. SOC 2, ISO 27001) - Schriftliche Auskünfte und Nachweise - Vor-Ort-Inspektionen nach angemessener Vorankündigung (mindestens 14 Werktage)
2) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage aktuelle SOC-2- oder ISO-27001-Berichte sowie die TOM-Dokumentation (Anlage 1) zur Verfügung.
§ 9 Löschung und Rückgabe von Daten
1) Nach Beendigung des Nutzungsvertrags stellt der Auftragsverarbeiter dem Verantwortlichen innerhalb von 30 Tagen eine Datenexport-Funktion zur Verfügung (gem. AGB §11).
2) Nach Ablauf der 30-Tage-Frist löscht der Auftragsverarbeiter innerhalb von 7 Werktagen die personenbezogenen Daten des Verantwortlichen, einschließlich: Nutzerkonten, Mitgliedschaften, Benachrichtigungen sowie Workspace-Daten (bei alleinigem Eigentum des Verantwortlichen). Infrastruktur-Backups werden gemäß den Standardrichtlinien des Hosting-Anbieters (Convex) gelöscht. Daten bei Unterauftragsverarbeitern (z. B. Sentry, Resend) werden gemäß deren jeweiliger Datenaufbewahrungsrichtlinie gelöscht. Es gilt keine gesetzliche Aufbewahrungspflicht vorbehalten.
3) Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage schriftlich.
§ 10 Haftung
1) Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für den Schaden, der durch eine nicht DSGVO-konforme Verarbeitung verursacht wird.
2) Die Haftungsbeschränkungen aus den AGB gelten ergänzend, soweit diese nicht im Widerspruch zu Art. 82 DSGVO stehen.
§ 11 Schlussbestimmungen
1) Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform (E-Mail ausreichend).
2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Hamburg.
4) Datenschutzbeauftragter (DSB): Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen gemäß §38 BDSG (regelmäßig mindestens 20 Personen mit automatisierter Datenverarbeitung) noch nicht erfüllt sind. Bei Erreichen der gesetzlichen Schwelle wird unverzüglich ein DSB benannt und dem Verantwortlichen mitgeteilt. Ansprechpartner für Datenschutzfragen ist bis dahin: hello@audinero.de. Zuständige Aufsichtsbehörde ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI).
5) Dieser AVV tritt mit Akzeptanz der AGB durch den Verantwortlichen in Kraft und gilt für die Dauer des SaaS-Nutzungsvertrags.
§ 12 Ergänzende Hinweise für Personen in der Schweiz
Soweit personenbezogene Daten von Personen in der Schweiz im Auftrag verarbeitet werden, gilt ergänzend das revidierte Schweizer Datenschutzgesetz (revDSG, in Kraft seit 01.09.2023) neben der DSGVO. Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Datenübermittlungen in die USA stützen sich auf das Swiss-US Data Privacy Framework sowie ergänzende SCCs. Soweit erforderlich, ist ein Vertreter in der Schweiz nach Art. 14 revDSG zu benennen.
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
gemäß Art. 32 DSGVO
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren:
- Cloud-only Infrastruktur — keine eigenen Server oder Rechenzentren
- Convex Cloud (EU/Irland) — ISO 27001, SOC 2, C5-zertifizierte Rechenzentren
- Physische Sicherheit wird vollständig durch den Infrastrukturanbieter Convex gewährleistet
1.2 Zugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden:
- Multi-Faktor-Authentifizierung (MFA) für alle Admin-Zugänge
- Individuelle Benutzerkennungen (keine Shared Accounts)
- Sitzungsverwaltung über Convex Auth SDK (serverseitige Session-Kontrolle)
- Passwort-Policy: Mindestlänge von 8 Zeichen
- Least-Privilege-Prinzip für alle Systemzugänge
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihrem Profil unterliegenden Daten zugreifen:
- Role-Based Access Control (RBAC) auf Plattformebene
- Mandantentrennung (logische Isolation auf Datenbankebene)
- Protokollierung von Zugriffen auf Anwendungsebene
- Regelmäßige Überprüfung der Zugriffsrechte (organisatorisch)
1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Strikte Mandantentrennung auf Datenbankebene
- Separate Speicherbereiche pro Kunde in der Convex-Datenbank
- Keine mandantenübergreifende Datenanalyse
- Testdaten und Produktivdaten vollständig getrennt
2. Integrität
(Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Maßnahmen, die verhindern, dass Daten bei Übertragung unbefugt gelesen, kopiert oder verändert werden:
- TLS-Verschlüsselung für alle Datenübertragungen (in transit), bereitgestellt durch die Infrastruktur von Convex
- AES-256-GCM für API-Schlüssel und sensible Konfigurationsdaten; Infrastrukturverschlüsselung at-rest durch Convex für alle übrigen Daten
- Schlüsselverwaltung durch die Convex-Infrastruktur
- HTTPS-only für alle API-Endpunkte und Web-Interfaces
- Kein unverschlüsselter Datentransfer
2.2 Eingabekontrolle
Maßnahmen, die nachträglich prüfbar machen, ob und von wem Daten eingegeben, verändert oder entfernt wurden:
- Protokollierung von Dokumentenaktivitäten und Nutzeraktionen auf Anwendungsebene
- Audit-Logs mit Zeitstempel, Benutzer-ID und Aktion
- Speicherung der Logs in der Convex-Datenbank
- Dokumentenversionierung auf Anwendungsebene
3. Verfügbarkeit und Belastbarkeit
Art. 32 Abs. 1 lit. b, c DSGVO)
- Hochverfügbare Cloud-Infrastruktur über Convex Cloud (EU/Irland)
- Automatisierte Backups gemäß Convex-Infrastrukturrichtlinien
- DDoS-Schutz durch die Infrastruktur von Convex
- Health Checks und automatisches Failover (gemäß Convex-Plattform)
- Monitoring und Alerting über Sentry (Fehlererkennung)
- Verfügbarkeitsziel: 99,5% (gemäß AGB §8), abhängig von der Verfügbarkeit der Convex-Infrastruktur
4. Verfahren zur regelmäßigen Überprüfung
(Art. 32 Abs. 1 lit. d DSGVO)
- Jährliche Überprüfung und Aktualisierung der TOMs
- Regelmäßige Sicherheitsupdates und Dependency-Scanning
- Code-Reviews für alle sicherheitsrelevanten Änderungen
- Regelmäßige Penetrationstests (geplant)
- Incident-Response-Verfahren gem. Art. 33/34 DSGVO
- Datenschutzschulung für alle Mitarbeiter
5. KI-spezifische Maßnahmen
- OpenAI API (gpt-4.1-nano, gpt-4.1-mini, gpt-4o), Region eu-central-1 (Frankfurt): Kundendaten werden NICHT für Modelltraining verwendet (gemäß OpenAI DPA)
- Die KI-Verarbeitung erfolgt über die OpenAI API unter Nutzung des EU-US Data Privacy Framework und SCCs
- Keine persistente Speicherung von Prompts oder KI-Outputs bei OpenAI (Zero Data Retention Policy)
- Isolation der KI-Verarbeitung pro Mandant
- KI-Ergebnisse als Unterstützung deklariert (kein Ersatz für Rechtsberatung)
- Transparenzhinweise gem. EU AI Act in AGB §15
- Bildanalyse über gpt-4o: Bilddaten werden an OpenAI übermittelt und nach Verarbeitung nicht dauerhaft gespeichert
- Die BYOM-Funktion ist auf die Tiers Unlimited und Enterprise beschränkt
