Zurück

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Stand: 25. März 2026

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV“) wird geschlossen zwischen dem Nutzer der Plattform Förderflink (nachfolgend „Verantwortlicher“ oder „Kunde“) und der Xdatagen LLC, 131 Continental Dr, Suite 305, Newark, DE 19713, USA (nachfolgend „Auftragsverarbeiter“ oder „Anbieter“).

Dieser AVV ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) und wird durch die aktive Zustimmung des Kunden bei Registrierung bzw. Vertragsabschluss elektronisch wirksam. Die Zustimmung (Opt-in) wird durch den Auftragsverarbeiter mit einem Zeitstempel serverseitig protokolliert, um den Nachweispflichten gem. Art. 28 Abs. 9 DSGVO zu genügen.

1. EU-Vertreter gemäß Art. 27 DSGVO

Da der Auftragsverarbeiter seinen Sitz außerhalb der Europäischen Union hat, hat er gemäß Art. 27 DSGVO folgenden Vertreter in der Union benannt, der als Anlaufstelle für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung der DSGVO dient:

Julius Eller
Achstraße 3
86316 Friedberg
Julius@foerderflink.com

2. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter erbringt für den Verantwortlichen Software-as-a-Service-Dienstleistungen zur Analyse von Fördermittelpotenzialen. Die Dauer dieses AVV richtet sich nach der Laufzeit des Hauptvertrages (Nutzung der Plattform).

3. Art und Zweck der Verarbeitung

Art der Verarbeitung: Erheben, Erfassen, Strukturieren, Speichern, Abgleichen (mittels KI-Algorithmen) und Auswerten von Daten.
Zweck der Verarbeitung: Identifikation, Strukturierung und Vorschlag von staatlichen Fördermitteln und Subventionen für die konkreten Vorhaben des Verantwortlichen.

4. Art der personenbezogenen Daten und Kategorien betroffener Personen

  • Art der Daten: Kontakt-/Stammdaten (Name, E-Mail), Unternehmensdaten (Branche, Mitarbeiterzahl, Gesellschaftsform), Projektdaten (Investitionsvolumen, Vorhaben), Abrechnungsdaten.
  • Kategorien Betroffener: Mitarbeiter, Vertreter oder Kontaktpersonen des Verantwortlichen (B2B-Kunden).

5. Pflichten des Auftragsverarbeiters und Weisungsrecht

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen. Er gewährleistet, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

6. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen (z. B. auf Auskunft, Berichtigung, Löschung oder Datenübertragbarkeit gemäß Kapitel III DSGVO) zu erfüllen.

7. Unterstützung bei Meldepflichten und Datenschutzverletzungen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der betroffenen Person, Datenschutz-Folgenabschätzung). Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, nachdem sie ihm bekannt geworden sind.

8. Kontrollrechte des Verantwortlichen (Audits)

Der Verantwortliche hat das Recht, die Einhaltung der gesetzlichen Vorgaben und der Regelungen dieses Vertrages durch den Auftragsverarbeiter zu kontrollieren. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen.

Der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen (TOMs) kann auch durch die Vorlage geeigneter, aktueller Testate, Berichte unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung) oder einer geeigneten Zertifizierung (z. B. ISO 27001) erbracht werden.

9. Unterauftragsverhältnisse (Sub-Dienstleister)

Der Verantwortliche stimmt der Einschaltung der folgenden initialen Unterauftragsverarbeiter (Sub-Dienstleister) zu:

  • Render Services Inc. (USA / Server in Frankfurt am Main, EU): Hosting- und API-Infrastruktur.
  • MongoDB Inc. (USA / Server in Frankfurt am Main, EU): Datenbank-Hosting.
  • xAI Corp. (USA / Server in Irland, EU): KI-Datenanalyse via API (Eingabedaten werden nicht zum KI-Training verwendet und nach spätestens 30 Tagen gelöscht).

Wechsel von Sub-Dienstleistern: Der Auftragsverarbeiter informiert den Verantwortlichen rechtzeitig (mindestens 14 Tage im Voraus) in Textform (z. B. per E-Mail) über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann der Änderung aus einem wichtigen datenschutzrechtlichen Grund widersprechen. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung zur Änderung als erteilt. Bei einem berechtigten Widerspruch ist der Auftragsverarbeiter berechtigt, das Vertragsverhältnis außerordentlich zu kündigen.

Der Auftragsverarbeiter schließt mit diesen Sub-Dienstleistern Verträge ab, die den Anforderungen von Art. 28 Abs. 4 DSGVO entsprechen, und legt ihnen dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind.

10. Datentransfer in Drittländer

Da der Auftragsverarbeiter (Xdatagen LLC) seinen Sitz in den USA hat, findet ein Datentransfer in ein Drittland statt.

Sofern der Auftragsverarbeiter oder der jeweilige Sub-Dienstleister unter dem EU-US Data Privacy Framework (DPF) zertifiziert ist, erfolgt der Datentransfer auf Basis des entsprechenden Angemessenheitsbeschlusses der EU-Kommission gem. Art. 45 DSGVO.

Sollte kein Angemessenheitsbeschluss vorliegen, vereinbaren die Parteien hiermit die Geltung der von der EU-Kommission erlassenen Standardvertragsklauseln (Standard Contractual Clauses - SCCs) für die Übermittlung an Auftragsverarbeiter in Drittländern gem. Art. 46 DSGVO. Die zugehörigen Anhänge der SCCs (Beschreibung der Übermittlung, Liste der TOMs) gelten durch diesen AVV als vereinbart. Der Auftragsverarbeiter setzt zudem priorisiert europäische Server (Frankfurt, Irland) der jeweiligen Sub-Dienstleister ein, um das Datenschutzniveau zusätzlich zu erhöhen.

11. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen ergriffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese umfassen insbesondere:

a) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Keine eigenen physischen Serverräume; Nutzung hochsicherer und zertifizierter Rechenzentren (z. B. nach ISO 27001) durch die Sub-Dienstleister. Sicherung der administrativen Arbeitsplätze.
  • Zugangskontrolle: Absicherung der internen IT-Systeme durch strenge Passwortrichtlinien, zwingende Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge zur Cloud-Infrastruktur und automatische Sperrung bei Inaktivität.
  • Zugriffskontrolle: Striktes Rollen- und Berechtigungskonzept (Need-to-Know-Prinzip). Mitarbeiter und Systeme haben nur auf die Daten Zugriff, die für die jeweilige Aufgabenerfüllung zwingend erforderlich sind.
  • Trennungsgebot: Logische Trennung der Mandantendaten auf Datenbankebene (z. B. durch Tenant-IDs). Strikte Trennung von Entwicklungs-, Test- und Produktivsystemen.
  • Kryptographische Maßnahmen: Durchgehende Verschlüsselung der Datenübertragung nach aktuellem Stand der Technik (Transportverschlüsselung via TLS 1.2/1.3) sowie Verschlüsselung ruhender Daten in den Datenbanken (Encryption at Rest, z. B. AES-256). Keine Verwendung kundenspezifischer Daten für KI-Trainingsmodelle.

b) Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: Verzicht auf physische Datenträger. Datenübermittlungen an APIs und Sub-Dienstleister erfolgen ausschließlich über gesicherte und verschlüsselte Netzwerkverbindungen.
  • Eingabekontrolle: Nachvollziehbarkeit von Dateneingaben, -änderungen und -löschungen durch serverseitiges System- und Application-Logging.

c) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

  • Verfügbarkeitskontrolle: Automatisierte, regelmäßige Backups der Datenbanken, Einsatz von DDoS-Schutzmaßnahmen und redundante Auslegung der Serverinfrastruktur (Load Balancing, Auto-Scaling).
  • Wiederherstellbarkeit: Etablierte Prozesse zur raschen Wiederherstellung der Systeme und Daten nach einem technischen Zwischenfall (Disaster Recovery).

d) Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Sensibilisierung: Verpflichtung aller Mitarbeiter auf das Datengeheimnis und regelmäßige Sensibilisierung für Datenschutz- und IT-Sicherheitsvorgaben.
  • Incident-Management: Etablierter Prozess zur schnellen Erkennung, Bewertung und vertragsgemäßen Meldung von Datenschutzverletzungen (Data Breaches).
  • Evaluierung: Regelmäßige Überprüfung und Anpassung der IT-Sicherheitsmaßnahmen und Software-Abhängigkeiten (z. B. durch automatisierte Vulnerability Scans in der CI/CD-Pipeline).

12. Löschung und Rückgabe

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. In der Regel werden Nutzerdaten und Analysen gelöscht, wenn der Kunde sein Konto löscht oder den Vertrag kündigt.

© 2026 Xdatagen LLC – Alle Rechte vorbehalten.