Auftragsverarbeitungsvertrag (AVV)
Version: 2026-07-08
Im Falle von Widersprüchen zwischen der deutschen und der englischen Fassung dieses Auftragsverarbeitungsvertrags gilt die deutsche Fassung.
1. Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag ("AVV") gemäß Art. 28 DSGVO ergänzt die Allgemeinen Geschäftsbedingungen ("AGB") zwischen dem Auftraggeber ("Sie", "Verantwortlicher") und der Nuqo GmbH, Körnerstrasse 10, 13585 Berlin ("Nuqo", "Auftragsverarbeiter").
Der AVV gilt für die Dauer der Nutzung des Dienstes gemäß den AGB.
2. Art und Zweck der Verarbeitung
Nuqo verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erbringung der in den AGB beschriebenen Dienstleistungen, insbesondere:
- Extraktion und Strukturierung von Stücklisten und Spezifikationen aus hochgeladenen Dokumenten
- KI-gestützte Analyse technischer Dokumente
- Speicherung und Verwaltung von Angebots- und Anfragedaten
- Benutzerkontenverwaltung und Authentifizierung
3. Kategorien betroffener Personen
- Mitarbeiter und Beauftragte des Verantwortlichen (Benutzerkonten)
- Ansprechpartner in hochgeladenen Anfragedokumenten (Kontaktdaten in RFQs, Stücklisten, Zeichnungen)
4. Kategorien personenbezogener Daten
- Kontodaten: Name, E-Mail-Adresse, Telefonnummer, Anmeldeinformationen
- Organisationsdaten: Firmenname, Organisationseinstellungen
- Dokumentdaten: In hochgeladenen Dateien enthaltene personenbezogene Daten (z. B. Ansprechpartner, Kontaktdaten)
- Nutzungsdaten: IP-Adresse, Sitzungsdaten, Ereignisprotokolle
5. Pflichten des Auftragsverarbeiters
Nuqo verpflichtet sich:
- Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
- Sicherzustellen, dass sich zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet haben
- Angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
- Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
- Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren
- Nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben
6. Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Nuqo informiert den Verantwortlichen über beabsichtigte Änderungen und gibt ihm die Möglichkeit, Einspruch zu erheben.
Aktuelle Unterauftragsverarbeiter:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting | Deutschland |
| Neon Inc. | Datenbankhosting (PostgreSQL) | EU (aws-eu-central-1) |
| Cloudflare Inc. | Dateispeicherung (R2) | EU |
| Mailgun Technologies Inc. | Transaktionale E-Mails | EU-Endpunkt |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung (Abonnement-Abrechnung) | EU / USA (SCC) |
| Microsoft (Azure OpenAI Service) | KI-Dokumentenverarbeitung | EU (Azure EU Data Zone) |
| Google (Gemini über Vertex AI) | KI-Dokumentenverarbeitung | EU (Vertex AI, EU-Multiregion) |
| PostHog Inc. | Nutzungsanalyse | EU |
| GlitchTip (eu.glitchtip.com) | Fehlerüberwachung | EU |
Umfang der Stripe-Verarbeitung: Stripe wird ausschließlich zur Rechnungs- und Zahlungsabwicklung eingesetzt und erhält nur die Rechnungskontaktdaten des Kunden sowie Zahlungsmittel-/Bankdaten. Stripe erhält keine hochgeladenen Dokumente, Stücklisten, Zeichnungen, Angebotsinhalte, Kalkulationsdaten oder Endkundendaten des Kunden — solche Daten werden niemals an Stripe weitergegeben.
7. Technische und organisatorische Maßnahmen
Nuqo ergreift insbesondere folgende Maßnahmen zum Schutz personenbezogener Daten:
- Verschlüsselung der Datenübertragung mittels TLS/SSL
- Verschlüsselung von Passwörtern mittels Argon2id
- Zugriffskontrolle durch rollenbasierte Berechtigungen
- Hosting auf Servern in Deutschland (Hetzner)
- Regelmäßige Sicherheitsupdates und Überwachung
- Sichere Sitzungsverwaltung (HttpOnly-Cookies, SameSite, Secure-Flag)
8. Übermittlung in Drittländer
Die KI-gestützte Verarbeitung hochgeladener Dokumente (Stücklisten, Zeichnungen, Spezifikationen) erfolgt ausschließlich über EU-Endpunkte — die Azure EU Data Zone bzw. Vertex AI in der EU-Multiregion. Diese Inhalte verlassen die EU nicht. Es gelten die Datenschutzbedingungen von Microsoft bzw. Google Cloud; Kundendaten werden nicht zum Training von KI-Modellen verwendet.
Eine Übermittlung in Drittländer findet allein bei der Zahlungsabwicklung über Stripe statt, die ausschließlich Abrechnungsdaten und keine Dokumenteninhalte umfasst. Sie erfolgt auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, von Standardvertragsklauseln (SCC) oder anderer anerkannter Garantien gemäß Art. 44 ff. DSGVO.
9. Prüfrechte
Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch angemessene Maßnahmen zu überprüfen, einschließlich Audits. Nuqo stellt alle erforderlichen Informationen zur Verfügung und unterstützt bei Prüfungen.
10. Kontakt
Bei Fragen zu diesem AVV wenden Sie sich bitte an: [email protected]