Auftragsverarbeitungsvertrag (AVV)

Version: 2026-04-07

Im Falle von Widersprüchen zwischen der deutschen und der englischen Fassung dieses Auftragsverarbeitungsvertrags gilt die deutsche Fassung.

1. Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag ("AVV") gemäß Art. 28 DSGVO ergänzt die Allgemeinen Geschäftsbedingungen ("AGB") zwischen dem Auftraggeber ("Sie", "Verantwortlicher") und der Nuqo GmbH, Körnerstrasse 10, 13585 Berlin ("Nuqo", "Auftragsverarbeiter").

Der AVV gilt für die Dauer der Nutzung des Dienstes gemäß den AGB.

2. Art und Zweck der Verarbeitung

Nuqo verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erbringung der in den AGB beschriebenen Dienstleistungen, insbesondere:

Extraktion und Strukturierung von Stücklisten und Spezifikationen aus hochgeladenen Dokumenten
KI-gestützte Analyse technischer Dokumente
Speicherung und Verwaltung von Angebots- und Anfragedaten
Benutzerkontenverwaltung und Authentifizierung

3. Kategorien betroffener Personen

Mitarbeiter und Beauftragte des Verantwortlichen (Benutzerkonten)
Ansprechpartner in hochgeladenen Anfragedokumenten (Kontaktdaten in RFQs, Stücklisten, Zeichnungen)

4. Kategorien personenbezogener Daten

Kontodaten: Name, E-Mail-Adresse, Telefonnummer, Anmeldeinformationen
Organisationsdaten: Firmenname, Organisationseinstellungen
Dokumentdaten: In hochgeladenen Dateien enthaltene personenbezogene Daten (z. B. Ansprechpartner, Kontaktdaten)
Nutzungsdaten: IP-Adresse, Sitzungsdaten, Ereignisprotokolle

5. Pflichten des Auftragsverarbeiters

Nuqo verpflichtet sich:

Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
Sicherzustellen, dass sich zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet haben
Angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren
Nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Nuqo informiert den Verantwortlichen über beabsichtigte Änderungen und gibt ihm die Möglichkeit, Einspruch zu erheben.

Aktuelle Unterauftragsverarbeiter:

Dienstleister	Zweck	Standort
Hetzner Online GmbH	Server-Hosting	Deutschland
Neon Inc.	Datenbankhosting (PostgreSQL)	EU (aws-eu-central-1)
Cloudflare Inc.	Dateispeicherung (R2)	EU
Mailgun Technologies Inc.	Transaktionale E-Mails	EU-Endpunkt
OpenAI, LLC / Microsoft (Azure OpenAI)	KI-Dokumentenverarbeitung	USA / EU (Azure)
Google LLC (Gemini)	KI-Dokumentenverarbeitung	USA / EU
PostHog Inc.	Nutzungsanalyse	EU
GlitchTip (selbst gehostet)	Fehlerüberwachung	Deutschland (Hetzner)

7. Technische und organisatorische Maßnahmen

Nuqo ergreift insbesondere folgende Maßnahmen zum Schutz personenbezogener Daten:

Verschlüsselung der Datenübertragung mittels TLS/SSL
Verschlüsselung von Passwörtern mittels Argon2id
Zugriffskontrolle durch rollenbasierte Berechtigungen
Hosting auf Servern in Deutschland (Hetzner)
Regelmäßige Sicherheitsupdates und Überwachung
Sichere Sitzungsverwaltung (HttpOnly-Cookies, SameSite, Secure-Flag)

8. Übermittlung in Drittländer

Soweit Unterauftragsverarbeiter ihren Sitz in Drittländern haben (z. B. USA), erfolgt die Übermittlung auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, Standardvertragsklauseln (SCC) oder anderer anerkannter Garantien gemäß Art. 44 ff. DSGVO.

Bei der Nutzung von Azure OpenAI gelten die Microsoft-Datenschutzbedingungen. Kundendaten werden nicht zum Training von KI-Modellen verwendet.

9. Prüfrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch angemessene Maßnahmen zu überprüfen, einschließlich Audits. Nuqo stellt alle erforderlichen Informationen zur Verfügung und unterstützt bei Prüfungen.

10. Kontakt

Bei Fragen zu diesem AVV wenden Sie sich bitte an: info@nuqo.io