Zum Inhalt springen
Nuqo

Auftragsverarbeitungsvertrag (AVV)

Version: 2026-07-08

Im Falle von Widersprüchen zwischen der deutschen und der englischen Fassung dieses Auftragsverarbeitungsvertrags gilt die deutsche Fassung.

1. Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag ("AVV") gemäß Art. 28 DSGVO ergänzt die Allgemeinen Geschäftsbedingungen ("AGB") zwischen dem Auftraggeber ("Sie", "Verantwortlicher") und der Nuqo GmbH, Körnerstrasse 10, 13585 Berlin ("Nuqo", "Auftragsverarbeiter").

Der AVV gilt für die Dauer der Nutzung des Dienstes gemäß den AGB.

2. Art und Zweck der Verarbeitung

Nuqo verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erbringung der in den AGB beschriebenen Dienstleistungen, insbesondere:

  • Extraktion und Strukturierung von Stücklisten und Spezifikationen aus hochgeladenen Dokumenten
  • KI-gestützte Analyse technischer Dokumente
  • Speicherung und Verwaltung von Angebots- und Anfragedaten
  • Benutzerkontenverwaltung und Authentifizierung

3. Kategorien betroffener Personen

  • Mitarbeiter und Beauftragte des Verantwortlichen (Benutzerkonten)
  • Ansprechpartner in hochgeladenen Anfragedokumenten (Kontaktdaten in RFQs, Stücklisten, Zeichnungen)

4. Kategorien personenbezogener Daten

  • Kontodaten: Name, E-Mail-Adresse, Telefonnummer, Anmeldeinformationen
  • Organisationsdaten: Firmenname, Organisationseinstellungen
  • Dokumentdaten: In hochgeladenen Dateien enthaltene personenbezogene Daten (z. B. Ansprechpartner, Kontaktdaten)
  • Nutzungsdaten: IP-Adresse, Sitzungsdaten, Ereignisprotokolle

5. Pflichten des Auftragsverarbeiters

Nuqo verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Sicherzustellen, dass sich zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet haben
  • Angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
  • Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren
  • Nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Nuqo informiert den Verantwortlichen über beabsichtigte Änderungen und gibt ihm die Möglichkeit, Einspruch zu erheben.

Aktuelle Unterauftragsverarbeiter:

DienstleisterZweckStandort
Hetzner Online GmbHServer-HostingDeutschland
Neon Inc.Datenbankhosting (PostgreSQL)EU (aws-eu-central-1)
Cloudflare Inc.Dateispeicherung (R2)EU
Mailgun Technologies Inc.Transaktionale E-MailsEU-Endpunkt
Stripe Payments Europe, Ltd.Zahlungsabwicklung (Abonnement-Abrechnung)EU / USA (SCC)
Microsoft (Azure OpenAI Service)KI-DokumentenverarbeitungEU (Azure EU Data Zone)
Google (Gemini über Vertex AI)KI-DokumentenverarbeitungEU (Vertex AI, EU-Multiregion)
PostHog Inc.NutzungsanalyseEU
GlitchTip (eu.glitchtip.com)FehlerüberwachungEU

Umfang der Stripe-Verarbeitung: Stripe wird ausschließlich zur Rechnungs- und Zahlungsabwicklung eingesetzt und erhält nur die Rechnungskontaktdaten des Kunden sowie Zahlungsmittel-/Bankdaten. Stripe erhält keine hochgeladenen Dokumente, Stücklisten, Zeichnungen, Angebotsinhalte, Kalkulationsdaten oder Endkundendaten des Kunden — solche Daten werden niemals an Stripe weitergegeben.

7. Technische und organisatorische Maßnahmen

Nuqo ergreift insbesondere folgende Maßnahmen zum Schutz personenbezogener Daten:

  • Verschlüsselung der Datenübertragung mittels TLS/SSL
  • Verschlüsselung von Passwörtern mittels Argon2id
  • Zugriffskontrolle durch rollenbasierte Berechtigungen
  • Hosting auf Servern in Deutschland (Hetzner)
  • Regelmäßige Sicherheitsupdates und Überwachung
  • Sichere Sitzungsverwaltung (HttpOnly-Cookies, SameSite, Secure-Flag)

8. Übermittlung in Drittländer

Die KI-gestützte Verarbeitung hochgeladener Dokumente (Stücklisten, Zeichnungen, Spezifikationen) erfolgt ausschließlich über EU-Endpunkte — die Azure EU Data Zone bzw. Vertex AI in der EU-Multiregion. Diese Inhalte verlassen die EU nicht. Es gelten die Datenschutzbedingungen von Microsoft bzw. Google Cloud; Kundendaten werden nicht zum Training von KI-Modellen verwendet.

Eine Übermittlung in Drittländer findet allein bei der Zahlungsabwicklung über Stripe statt, die ausschließlich Abrechnungsdaten und keine Dokumenteninhalte umfasst. Sie erfolgt auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission, von Standardvertragsklauseln (SCC) oder anderer anerkannter Garantien gemäß Art. 44 ff. DSGVO.

9. Prüfrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch angemessene Maßnahmen zu überprüfen, einschließlich Audits. Nuqo stellt alle erforderlichen Informationen zur Verfügung und unterstützt bei Prüfungen.

10. Kontakt

Bei Fragen zu diesem AVV wenden Sie sich bitte an: [email protected]