eve.ai

Allgemeine Geschäftsbedingungen (AGB)

eve.AI GmbH · Stand: 20.04.2026

§ 1 – Geltungsbereich

1.1 Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB") gelten für die Nutzung der Plattform www.eve-ai.de sowie für alle Verträge zwischen der eve.AI GmbH, Schanzenstraße 36, 51063 Köln (nachfolgend „Anbieter") und den Nutzern (nachfolgend „Nutzer").

1.2 Das Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB. Verbraucher im Sinne des § 13 BGB sind von der Nutzung ausgeschlossen.

1.3 Entgegenstehende, abweichende oder ergänzende Allgemeine Geschäftsbedingungen des Nutzers werden nicht Bestandteil des Vertrages, auch wenn der Anbieter ihnen nicht ausdrücklich widerspricht. Dies gilt auch, wenn der Anbieter in Kenntnis entgegenstehender AGB des Nutzers Leistungen vorbehaltlos erbringt.

1.4 Ergänzend zu diesen AGB gelten das als Anlage 1 beigefügte Service Level Agreement (SLA) sowie der als Anlage 2 beigefügte Auftragsverarbeitungsvertrag (AVV).

§ 2 – Leistungsbeschreibung

2.1 Der Anbieter stellt eine Online-Plattform zur Verfügung, über die Nutzer Analysen durchführen können.

2.2 Die Nutzung erfolgt auf Basis eines Credits-Systems (siehe § 7).

2.3 Die bereitgestellten Analyseergebnisse dienen ausschließlich Informationszwecken und stellen keine verbindliche Empfehlung oder Beratung dar.

2.4 Der Anbieter ist berechtigt, die Plattform weiterzuentwickeln, zu ändern und zu verbessern, sofern die vertraglich geschuldete Kernfunktionalität erhalten bleibt.

§ 3 – Registrierung und Account

3.1 Die Nutzung der Plattform erfordert eine Registrierung.

3.2 Nutzer sind verpflichtet, wahrheitsgemäße Angaben zu machen und ihre Zugangsdaten vertraulich zu behandeln.

3.3 Der Nutzer ist für alle Aktivitäten verantwortlich, die über seinen Account erfolgen. Der Nutzer hat den Anbieter unverzüglich zu informieren, wenn er Kenntnis vom Missbrauch seines Accounts erlangt.

3.4 Der Anbieter behält sich vor, Accounts bei Verstößen gegen diese AGB zu sperren oder zu löschen.

§ 4 – Vertragsschluss

4.1 Die Darstellung der Credits und Leistungen auf der Plattform stellt kein verbindliches Angebot dar, sondern eine Aufforderung zur Abgabe eines Angebots (invitatio ad offerendum).

4.2 Der Nutzer gibt durch Klick auf den Bestell-Button ein verbindliches Angebot zum Kauf von Credits ab.

4.3 Der Vertrag kommt mit Zugang der Bestellbestätigungs-E-Mail des Anbieters an den Nutzer zustande.

4.4 Der Vertragstext wird vom Anbieter gespeichert und dem Nutzer zusammen mit der Bestellbestätigung per E-Mail zugesandt.

§ 5 – Vertraulichkeit

5.1 Beide Parteien verpflichten sich, alle im Rahmen der Vertragsbeziehung erlangten vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und nicht unbefugt an Dritte weiterzugeben.

5.2 Diese Verpflichtung gilt nicht für Informationen, die:

  • öffentlich bekannt sind oder ohne Verschulden der empfangenden Partei öffentlich bekannt werden
  • der empfangenden Partei bereits vor Erhalt rechtmäßig bekannt waren
  • von Dritten rechtmäßig und ohne Vertraulichkeitsverpflichtung erlangt wurden
  • von der empfangenden Partei unabhängig entwickelt wurden

5.3 Die Weitergabe vertraulicher Informationen ist zulässig, soweit dies erforderlich ist:

  • an Erfüllungsgehilfen, Subunternehmer und Dienstleister der jeweiligen Partei (z. B. Steuerberater, Buchhalter, Rechnungsdienstleister, Hosting-Anbieter, Zahlungsdienstleister), sofern diese ihrerseits zur Vertraulichkeit verpflichtet sind
  • an Rechts- und Steuerberater im Rahmen der Mandatsbeziehung
  • an Wirtschaftsprüfer im Rahmen gesetzlicher Prüfungspflichten
  • aufgrund gesetzlicher Verpflichtung, behördlicher oder gerichtlicher Anordnung

5.4 Die offenlegende Partei stellt sicher, dass die in § 5.3 genannten Empfänger mindestens gleichwertigen Vertraulichkeitspflichten unterliegen.

5.5 Die Vertraulichkeitsverpflichtung besteht über die Beendigung des Vertrages hinaus fort.

§ 6 – Preise und Zahlungsbedingungen

6.1 Alle auf der Plattform angegebenen Preise verstehen sich als Nettopreise zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer.

6.2 Die Zahlung erfolgt auf Rechnung. Der Nutzer erhält eine Rechnung in elektronischer Form (PDF) an die hinterlegte E-Mail-Adresse.

6.3 Die Zahlung ist innerhalb von 7 Tagen ab Rechnungsdatum ohne Abzug fällig. Die Gewährung von Skonti bedarf einer gesonderten schriftlichen Vereinbarung.

6.4 Die erworbenen Credits werden dem Nutzerkonto nach Eingang der vollständigen Zahlung gutgeschrieben und können ab diesem Zeitpunkt genutzt werden.

6.5 Gerät der Nutzer in Zahlungsverzug, ist der Anbieter berechtigt:

  • Verzugszinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz (§ 288 Abs. 2 BGB) zu verlangen
  • eine Mahnpauschale in Höhe von 40 Euro (§ 288 Abs. 5 BGB) zu erheben, unbeschadet der Geltendmachung weitergehender Verzugsschäden
  • den Zugang zur Plattform einzuschränken oder zu sperren
  • bereits gutgeschriebene Credits zu sperren oder deren Nutzung zu unterbinden

6.6 Die Sperrung wird aufgehoben, sobald sämtliche offenen Forderungen einschließlich Verzugszinsen und Mahnpauschale vollständig beglichen sind.

6.7 Der Nutzer kann nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen. Ein Zurückbehaltungsrecht kann nur wegen Gegenansprüchen aus demselben Vertragsverhältnis geltend gemacht werden.

6.8 Der Anbieter behält sich vor, die Preise für Credits zu ändern. Preisänderungen gelten nur für zukünftige Käufe und nicht für bereits erworbene Credits.

§ 7 – Credits-System

7.1 Credits berechtigen zur Nutzung bestimmter Leistungen innerhalb der Plattform.

7.2 Der Verbrauch von Credits erfolgt bei Durchführung einer Analyse.

7.3 Erworbene Credits sind ab dem Zeitpunkt des Erwerbs 12 Monate gültig. Nicht innerhalb dieser Frist verbrauchte Credits verfallen ersatzlos.

7.4 Eine Rückerstattung von erworbenen Credits ist ausgeschlossen, es sei denn:

  • es liegt ein technischer Fehler oder eine nachweisbare Fehlfunktion der Plattform vor
  • es liegt eine offensichtliche Falschbuchung vor
  • ein Missbrauch oder unberechtigter Zugriff nachweislich zu Lasten des Nutzers erfolgt ist

7.5 Credits sind nicht übertragbar und können nicht ausgezahlt werden.

§ 8 – Leistungserbringung

8.1 Die Leistung gilt als erbracht, sobald die Analyse dem Nutzer auf der Plattform zur Verfügung gestellt wurde.

8.2 Die Analyse erfolgt automatisiert auf Basis von durch den Nutzer bereitgestellten Daten oder durch Abgleich mit einer hinterlegten Datenbank.

§ 9 – Nutzungsrechte

9.1 Die im Rahmen der Nutzung der Plattform bereitgestellten Analyseergebnisse dürfen vom Nutzer für eigene geschäftliche Zwecke verwendet werden.

9.2 Der Nutzer erhält ein einfaches, nicht übertragbares und nicht unterlizenzierbares Nutzungsrecht an den bereitgestellten Ergebnissen.

9.3 Die Weitergabe der Analyseergebnisse an Dritte ist zulässig. Der Nutzer ist jedoch allein dafür verantwortlich, wie und zu welchem Zweck die Ergebnisse verwendet werden. Der Anbieter übernimmt keine Haftung für die Nutzung durch Dritte.

9.4 Der Anbieter bleibt Inhaber sämtlicher Rechte an der Plattform, den zugrunde liegenden Technologien sowie den verwendeten Datenbanken und Algorithmen.

§ 10 – Pflichten der Nutzer / Zulässige Nutzung

10.1 Der Nutzer verpflichtet sich, die Plattform ausschließlich im Rahmen der geltenden Gesetze und dieser AGB zu nutzen.

10.2 Insbesondere ist es untersagt:

  • rechtswidrige, beleidigende oder sonst unzulässige Inhalte hochzuladen oder zu verarbeiten
  • die Plattform missbräuchlich zu nutzen oder zu überlasten
  • automatisierte Zugriffe (z. B. Bots, Scraping) ohne Zustimmung des Anbieters vorzunehmen
  • Sicherheitsmechanismen der Plattform zu umgehen oder zu beeinträchtigen
  • Analyseergebnisse systematisch auszulesen, zu kopieren oder die Plattform zu Zwecken der Wettbewerbsanalyse, des Benchmarkings oder zur Entwicklung eigener oder fremder konkurrierender Produkte zu nutzen

10.3 Der Anbieter ist berechtigt, bei Verstößen geeignete Maßnahmen zu ergreifen, insbesondere Inhalte zu entfernen sowie Nutzerkonten vorübergehend oder dauerhaft zu sperren.

§ 11 – Haftung

11.1 Die vom Anbieter bereitgestellten Analyseergebnisse und Bewertungen dienen ausschließlich Informationszwecken und stellen keine verbindliche Empfehlung oder Beratung dar. Sie ersetzen keine eigene Prüfung durch den Nutzer. Der Anbieter übernimmt keine Haftung für Entscheidungen, die auf Grundlage der bereitgestellten Ergebnisse getroffen werden.

11.2 Der Anbieter übernimmt keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Ergebnisse. Die Nutzung der Analyseergebnisse erfolgt auf eigene Verantwortung des Nutzers.

11.3 Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit.

11.4 Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung des Anbieters auf den vertragstypischen, vorhersehbaren Schaden begrenzt, höchstens jedoch auf die Höhe der vom Nutzer in den letzten 12 Monaten vor dem schädigenden Ereignis gezahlten Vergütung.

11.5 Die Haftung für Datenverlust wird auf den typischen Wiederherstellungsaufwand begrenzt, der bei regelmäßiger und gefahrentsprechender Anfertigung von Sicherungskopien eingetreten wäre.

§ 12 – Kündigung und Sperrung

12.1 Der Nutzer kann seinen Account jederzeit per E-Mail an hello@eve-ai.de kündigen.

12.2 Der Anbieter kann Nutzerkonten bei Verstößen gegen diese AGB mit sofortiger Wirkung sperren oder kündigen.

12.3 Der Anbieter ist zudem berechtigt, Nutzerkonten bei Zahlungsverzug vorübergehend zu sperren, bis offene Forderungen vollständig beglichen sind.

12.4 Beide Parteien können den Vertrag aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen. Ein wichtiger Grund liegt insbesondere vor, wenn die jeweils andere Partei trotz schriftlicher Abmahnung wesentliche Vertragspflichten verletzt.

12.5 Nach Beendigung des Vertrages wird der Anbieter die Nutzerdaten im Rahmen der gesetzlichen Vorgaben löschen oder sperren, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 13 – Verfügbarkeit und Wartung

13.1 Die Einzelheiten zur Verfügbarkeit, zu Wartungsarbeiten, zum Support und zu Reaktionszeiten ergeben sich aus dem als Anlage 1 beigefügten Service Level Agreement (SLA).

13.2 Der Anbieter ist berechtigt, die Plattform für Wartungsarbeiten vorübergehend außer Betrieb zu nehmen. Geplante Wartungsarbeiten werden mit einer Frist von mindestens 24 Stunden per E-Mail angekündigt.

§ 14 – Datenschutz

14.1 Der Anbieter verarbeitet personenbezogene Daten des Nutzers gemäß den geltenden Datenschutzgesetzen. Einzelheiten ergeben sich aus der Datenschutzerklärung.

14.2 Einzelheiten zur Auftragsverarbeitung ergeben sich aus dem als Anlage 2 beigefügten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

§ 15 – Höhere Gewalt

15.1 Der Anbieter haftet nicht für die Nichterfüllung von Pflichten, soweit die Nichterfüllung auf Umstände zurückzuführen ist, die außerhalb seiner zumutbaren Kontrolle liegen (höhere Gewalt). Hierzu zählen insbesondere: Naturkatastrophen, Pandemien, Cyberangriffe, Störungen der Telekommunikationsinfrastruktur, behördliche Anordnungen sowie Ausfälle von Drittanbietern.

15.2 Im Falle höherer Gewalt ruhen die Leistungspflichten des Anbieters für die Dauer der Störung. Dauert die Störung länger als 60 Tage an, steht beiden Parteien ein Sonderkündigungsrecht zu. Bereits gezahlte Vergütung für nicht erbrachte Leistungen wird anteilig erstattet.

§ 16 – Änderungen der AGB

16.1 Der Anbieter behält sich vor, diese AGB mit Wirkung für die Zukunft zu ändern, sofern dies für den Nutzer zumutbar ist.

16.2 Der Anbieter wird den Nutzer mindestens 30 Tage vor Inkrafttreten der Änderungen in Textform (E-Mail) über die geplanten Änderungen informieren.

16.3 Der Nutzer hat das Recht, den Änderungen innerhalb von 30 Tagen nach Zugang der Mitteilung in Textform zu widersprechen. Ein Widerspruch bedarf keiner Begründung.

16.4 Widerspricht der Nutzer, steht beiden Parteien ein Sonderkündigungsrecht zum Zeitpunkt des Inkrafttretens der Änderungen zu. Bis zur Beendigung des Vertrages gelten die bisherigen AGB fort. Nicht verbrauchte Credits werden gemäß § 12.5 anteilig erstattet.

16.5 Änderungen an der Anlage 2 (AVV) sowie an der Anlage 1 (SLA) erfolgen ausschließlich in Textform und nur in dem Umfang, in dem dies datenschutzrechtlich zulässig ist. Im Falle von Änderungen des AVV (Anlage 2) wird der Anbieter dem Nutzer die geänderte Fassung rechtzeitig vor Inkrafttreten übermitteln; der Nutzer kann den Vertrag bis zum Inkrafttreten kündigen bzw. widersprechen, sofern die Änderungen die datenschutzrechtlichen Pflichten wesentlich betreffen.

§ 17 – Schlussbestimmungen

17.1 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

17.2 Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz des Anbieters.

17.3 Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

17.4 Mündliche Nebenabreden bestehen nicht. Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.

Anlage 1: Service Level Agreement (SLA)

Stand: 20.04.2026

1. Geltungsbereich

Dieses Service Level Agreement (SLA) ist Bestandteil der Allgemeinen Geschäftsbedingungen der eve.AI GmbH und gilt für die Nutzung der Plattform www.eve-ai.de. Bei Widersprüchen zwischen diesem SLA und den AGB gehen die Regelungen der AGB vor, sofern im SLA nichts Abweichendes bestimmt ist.

2. Verfügbarkeit

2.1 Der Anbieter gewährleistet eine monatliche Verfügbarkeit der Plattform von 95 %.

2.2 Die Verfügbarkeit berechnet sich wie folgt:

Verfügbarkeit (%) = ((Gesamtminuten im Monat − Ausfallminuten) / Gesamtminuten im Monat) × 100

2.3 Nicht als Ausfallzeit gelten:

  • Geplante Wartungsarbeiten (siehe Ziffer 3)
  • Störungen, die auf höhere Gewalt zurückzuführen sind
  • Störungen durch Drittanbieter, auf die der Anbieter keinen Einfluss hat
  • Störungen, die durch den Nutzer verursacht wurden

3. Wartung und Updates

3.1 Der Anbieter ist berechtigt, Wartungsarbeiten und Updates durchzuführen.

3.2 Geplante Wartungsarbeiten werden dem Nutzer mindestens 48 Stunden vorher per E-Mail angekündigt.

3.3 Geplante Wartungsarbeiten finden bevorzugt außerhalb der Geschäftszeiten statt, nach Möglichkeit im Wartungsfenster: Samstag 02:00 – 06:00 Uhr CET.

3.4 Die maximale geplante Wartungsdauer beträgt 8 Stunden pro Monat.

3.5 Notfall-Wartungen (z. B. bei Sicherheitsvorfällen) können ohne Vorankündigung durchgeführt werden.

4. Support

4.1 Der Anbieter bietet Support während folgender Zeiten: Montag bis Freitag, 09:00 – 15:00 Uhr CET (ausgenommen gesetzliche Feiertage am Sitz des Anbieters). Support-Anfragen können per E-Mail an hello@eve-ai.de gestellt werden.

4.2 Die Reaktionszeit ist die Zeitspanne zwischen Eingang der Störungsmeldung und der ersten qualifizierten Rückmeldung des Supports. Lösungszeiten sind Zielwerte, keine garantierten Zeiten.

5. Störungen und Incident-Kommunikation

5.1 Beide Parteien verpflichten sich, alle im Rahmen der Vertragsbeziehung erlangten vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und nicht an Dritte weiterzugeben.

5.2 Diese Verpflichtung gilt nicht für Informationen, die öffentlich bekannt sind, rechtmäßig von Dritten erlangt wurden oder aufgrund gesetzlicher Verpflichtung offengelegt werden müssen.

5.3 Die Vertraulichkeitsverpflichtung besteht über die Beendigung des Vertrages hinaus fort.

6. Kompensation bei Nichterreichung der Verfügbarkeit

Ein Anspruch des Nutzers auf Kompensation bei Nichterreichen der vereinbarten Verfügbarkeit besteht nicht. Der Anbieter kann im Einzelfall nach eigenem Ermessen eine Kompensation gewähren, insbesondere in Form von Service-Credits oder sonstigen Gutschriften. Eine solche freiwillige Kompensation begründet keinen zukünftigen Anspruch.

7. Änderungen des SLA

7.1 Für Änderungen dieses Service Level Agreements gelten die Regelungen zur Änderung der Allgemeinen Geschäftsbedingungen (§ 16 der AGB) entsprechend.

Anlage 2: Auftragsverarbeitungsvertrag (AVV)

Dieser AVV gilt zwischen der eve.AI GmbH, Schanzenstraße 36, 51063 Köln (nachfolgend „Auftragnehmer" / „Auftragsverarbeiter") und dem jeweiligen Nutzer der Plattform www.eve-ai.de (nachfolgend „Auftraggeber" / „Verantwortlicher"), nachfolgend einzeln auch „Partei" und gemeinsam „Parteien" genannt. Der AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen und kommt mit Abschluss des Hauptvertrages gemäß § 4 der AGB zustande.

§ 1 – Gegenstand und Dauer

1.1 Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der Plattform www.eve-ai.de gemäß den Allgemeinen Geschäftsbedingungen (Hauptvertrag).

1.2 Der AVV tritt mit Abschluss des Hauptvertrages in Kraft und endet automatisch mit dessen Beendigung.

1.3 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich im Rahmen der in diesem AVV beschriebenen Zwecke und Weisungen.

§ 2 – Art und Zweck der Verarbeitung

2.1 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers zum Zweck von:

  • Bereitstellung und Betrieb der Plattform www.eve-ai.de
  • Durchführung von Analysen auf Basis der vom Auftraggeber bereitgestellten Daten
  • Speicherung und Verwaltung der Nutzerdaten
  • Technischer Support

2.2 Die Art der Verarbeitung umfasst: Erheben, Erfassen, Speichern, Anpassen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen.

§ 3 – Art der personenbezogenen Daten

Gegenstand der Verarbeitung können folgende Arten personenbezogener Daten sein:

  • Kontaktdaten (z. B. Name, E-Mail, Telefonnummer, Firma)
  • Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit)
  • Nutzungsdaten (z. B. Zugriffszeiten, IP-Adressen, Credit-Verbrauch)
  • Inhaltsdaten (Daten, die der Auftraggeber zur Analyse hochlädt)

§ 4 – Kategorien betroffener Personen

Von der Verarbeitung können folgende Kategorien betroffener Personen betroffen sein:

  • Mitarbeiter und Beschäftigte des Auftraggebers
  • Kunden und Geschäftspartner des Auftraggebers
  • Lieferanten des Auftraggebers

§ 5 – Weisungsrecht

5.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung der Plattform gemäß den AGB und diesem AVV gilt als allgemeine Weisung.

5.2 Einzelweisungen, die über den Rahmen der allgemeinen Weisung hinausgehen, sind in Textform (E-Mail genügt) an folgende Adresse zu richten: hello@eve-ai.de

5.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Ausführung der entsprechenden Weisung bis zu einer Bestätigung oder Änderung durch den Auftraggeber auszusetzen.

§ 6 – Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich insbesondere zu:

  • 6.1 Verarbeitung der Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers
  • 6.2 Sicherstellung, dass die mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • 6.3 Ergreifung aller gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 8)
  • 6.4 Einhaltung der Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern (siehe § 7)
  • 6.5 Unterstützung des Auftraggebers bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) im Rahmen seiner technischen Möglichkeiten
  • 6.6 Unterstützung des Auftraggebers bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung)
  • 6.7 Unverzügliche Information des Auftraggebers bei Kenntnis von Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO), spätestens innerhalb von 48 Stunden
  • 6.8 Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung des Vertrages (siehe § 10)
  • 6.9 Bereitstellung aller Informationen, die zur Durchführung von Überprüfungen erforderlich sind (siehe § 9)

§ 7 – Unterauftragsverarbeiter

7.1 Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern.

7.2 Die derzeit eingesetzten Unterauftragsverarbeiter sind in der Datenschutzerklärung (Abschnitt „Einsatz von Drittanbietern") im Einzelnen aufgeführt.

7.3 Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor einem beabsichtigten Wechsel oder einer Hinzuziehung eines Unterauftragsverarbeiters in Textform.

7.4 Der Auftraggeber kann der Beauftragung eines neuen Unterauftragsverarbeiters aus berechtigten Gründen widersprechen. Können sich die Parteien nicht einigen, steht dem Auftraggeber ein Sonderkündigungsrecht zu.

7.5 Der Auftragnehmer verpflichtet Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten, die in diesem AVV festgelegt sind. Der Auftragnehmer haftet für die Einhaltung durch seine Unterauftragsverarbeiter.

§ 8 – Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer trifft insbesondere folgende Maßnahmen gemäß Art. 32 DSGVO:

8.1 Vertraulichkeit

  • Zutrittskontrolle: Physischer Zutritt zu den Servern liegt ausschließlich bei Google (zertifizierte Rechenzentren in Frankfurt a. M. / Deutschland, europe-west3). Zugangssicherung nach ISO 27001, ISO 27017, ISO 27018, SOC 2. Eine eigene Serverinfrastruktur wird nicht betrieben.
  • Zugangskontrolle: Login via Firebase Authentication mit Magic-Link-Verfahren (passwortlos) und/oder Google-SSO. Admin-Zugriff auf die Compute-Engine-VM ausschließlich über Google Identity-Aware Proxy (IAP-Tunnel) – keine öffentliche IP, kein öffentlicher SSH-Port. Administrator-Accounts werden durch die Google-Workspace-MFA-Pflicht gesichert. Secrets (API-Keys, DB-Credentials) liegen in GitHub Secrets bzw. GCP Secret Manager, nie im Code.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept in der Applikation auf Mandanten-Ebene (company_id als Tenant-Identifier, Admin/User-Rollen). GCP-Dienstkonten folgen dem Prinzip der geringsten Privilegien (dediziertes Service-Account pro Cloud-Run-Service, separate Artifact-Registry-/Storage-/Vertex-AI- Rollen).
  • Trennungskontrolle: Mandantenfähige Datenhaltung in MongoDB: alle Geschäftsdaten tragen eine company_id, Queries werden serverseitig zwingend auf diese eingeschränkt. Entwicklungs- und Produktionsumgebung sind getrennt (eigene GCP-Projekte und eigene Datenbanken).

8.2 Integrität

Weitergabekontrolle: Sämtliche Kommunikation außerhalb des Google-VPC-Backbones erfolgt verschlüsselt per TLS 1.2+ / HTTPS (REST-API, alle externen KI-APIs, E-Mail-Versand, Datenbankverbindung). Interner Traffic zwischen Cloud Run und der Worker-VM bleibt über Serverless VPC Egress komplett im privaten Google-Backbone. Die Worker-VM hat keine öffentliche IP.

Eingabekontrolle: Änderungen an Geschäftsdaten werden über authentifizierte API-Endpunkte vollzogen. Die API protokolliert Zugriffe und Fehler in Google Cloud Logging (strukturierte Logs, Audit-Fähigkeit). Administrative Eingriffe durchlaufen dedizierte Admin-Endpunkte mit erhöhter Autorisierung.

8.3 Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle: Die API läuft auf Google Cloud Run mit automatischer horizontaler Skalierung (0 → N) in der Region europe-west3. Der Audio-Worker ist ein separater Cloud-Run-Service, sodass CPU-intensive Medienverarbeitung die API nicht blockieren kann. Celery-Worker laufen auf einer Compute-Engine-Instanz mit automatischem Neustart. Rate-Limiting via Redis Token-Bucket verhindert Überlastung nachgelagerter Dienste. Audio-Rohdaten und verarbeitete Medien liegen in Google Cloud Storage mit Google-eigener Redundanz.

Rasche Wiederherstellbarkeit: RTO (Recovery Time Objective) 4 Stunden für die API, 24 Stunden für Worker/Hintergrund-Tasks.

8.4 Verfahren zur regelmäßigen Überprüfung

  • Automatisierte Code-Qualitätsprüfung in der CI/CD-Pipeline (Linting in GitHub Actions und Google Cloud Build).
  • Dokumentierte Incident-Response-Prozeduren inkl. Meldekette nach Art. 33 DSGVO.

Die TOMs werden bei Bedarf aktualisiert und dem Auftraggeber auf Anfrage in aktueller Fassung zur Verfügung gestellt.

§ 9 – Kontrollrechte und Audits

9.1 Der Auftraggeber hat das Recht, die Einhaltung dieses AVV und der datenschutzrechtlichen Bestimmungen durch den Auftragnehmer zu überprüfen. Dies kann erfolgen durch:

  • Einholung von Auskünften und Nachweisen
  • Inspektionen vor Ort aus berechtigtem Anlass und mit angemessener Vorankündigungsfrist
  • Vorlage von Zertifizierungen oder Prüfberichten Dritter (z. B. SOC 2, ISO 27001)

9.2 Der Auftragnehmer unterstützt den Auftraggeber bei der Durchführung von Audits und stellt die erforderlichen Informationen bereit.

9.3 Kosten für Audits trägt grundsätzlich der Auftraggeber, es sei denn, die Überprüfung ergibt Verstöße des Auftragnehmers.

§ 10 – Löschung und Rückgabe von Daten

10.1 Nach Beendigung des Hauptvertrages löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 60 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten oder technische Gründe entgegenstehen.

10.2 Auf Wunsch des Auftraggebers gibt der Auftragnehmer die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format zurück.

10.3 Der Auftragnehmer bestätigt die vollständige Löschung auf Verlangen des Auftraggebers in Textform.

§ 11 – Haftung

11.1 Die Haftung der Parteien richtet sich nach Art. 82 DSGVO.

11.2 Im Übrigen gelten die Haftungsregelungen des Hauptvertrages (§ 11 der AGB).

§ 12 – Schlussbestimmungen

12.1 Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Der Anbieter übermittelt die geänderte Fassung rechtzeitig vor Inkrafttreten an den Nutzer.

12.2 Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.

12.3 Es gilt das Recht der Bundesrepublik Deutschland.

12.4 Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen. Im Falle von Widersprüchen hinsichtlich datenschutzrechtlicher Regelungen gehen die Regelungen dieses AVV den übrigen Anlagen (einschließlich SLA) und den AGB vor; im Übrigen gelten die Regelungen der AGB.

Zurück