Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag („AVV") ergänzt den Hauptvertrag („Hauptvertrag") zwischen:

Verantwortlicher: Der Kunde, der den Hauptvertrag zur Nutzung von QuoteXelerator abschließt („Verantwortlicher")

Auftragsverarbeiter: Nomadyr UG (haftungsbeschränkt), Kolonnenstraße 8, 10827 Berlin, HRB 280266 B, Amtsgericht Charlottenburg, vertreten durch den Geschäftsführer Benjamin S. Steinbüchel („Auftragsverarbeiter")

Dieser AVV konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien gemäß Art. 28 DSGVO. Im Falle eines Widerspruchs zwischen diesem AVV und dem Hauptvertrag geht dieser AVV in datenschutzrechtlichen Belangen vor.

Gegenstand: Der Auftragsverarbeiter stellt den SaaS-Dienst „QuoteXelerator" bereit, eine HubSpot-Marketplace-Anwendung betrieben von Nomadyr UG (haftungsbeschränkt), die es dem Verantwortlichen ermöglicht, externe Lieferantenangebote in konforme Deal Line Items innerhalb von HubSpot CRM umzuwandeln.

Dauer: Dieser AVV gilt für die Dauer des Hauptvertrags (SaaS-Abonnement). Nach Beendigung des Hauptvertrags bleibt dieser AVV in Kraft, bis alle personenbezogenen Daten gemäß §11 gelöscht oder zurückgegeben wurden.

Art und Zweck der Verarbeitung: Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Erbringung des QuoteXelerator-Dienstes. Die Verarbeitungstätigkeiten umfassen:

• Transformation externer Lieferantenangebote in kundengerechte Deal Line Items
• Währungsumrechnung und Margenberechnung anhand konfigurierter Rezepte
• Erstellung und Aktualisierung von Deal Line Items im HubSpot-Portal des Verantwortlichen via OAuth
• Audit-Protokollierung aller Verarbeitungsvorgänge, einschließlich Snapshots, Änderungserkennung und Compliance-Berichte
• Benutzerauthentifizierung und -autorisierung über HubSpot OAuth

Folgende Kategorien personenbezogener Daten können Gegenstand der Verarbeitung sein:

• Kontaktdaten (Namen, E-Mail-Adressen, Firmennamen) aus vom Verantwortlichen hochgeladenen Lieferantenangeboten
• Geschäftliche Kontaktdaten der Nutzer des Verantwortlichen (Name, E-Mail, HubSpot-Benutzer-ID)
• HubSpot-Portal-IDs und Deal-Owner-Kennungen
• Metadaten (Zeitstempel von Aktionen, Feature-Nutzungszähler)

Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet. Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass in hochgeladenen Angeboten keine Daten besonderer Kategorien enthalten sind.

• Mitarbeiter, Vertreter und Kontaktpersonen des Verantwortlichen, die QuoteXelerator nutzen
• Endkunden oder Kontaktpersonen des Verantwortlichen, deren Daten in Lieferantenangeboten enthalten sind
• Deal-Owner und andere HubSpot-Nutzer innerhalb des Portals des Verantwortlichen

Der Auftragsverarbeiter übernimmt folgende Verpflichtungen gemäß Art. 28 Abs. 3 DSGVO:

(1) Weisungsgebundene Verarbeitung (Art. 28 Abs. 3 lit. a): Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen. Der Hauptvertrag, dieser AVV und die Nutzung der QuoteXelerator-Funktionen durch den Verantwortlichen stellen solche dokumentierten Weisungen dar. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen der EU oder der Mitgliedstaaten verstößt, informiert er den Verantwortlichen unverzüglich.

(2) Vertraulichkeit (Art. 28 Abs. 3 lit. b): Der Auftragsverarbeiter gewährleistet, dass sich alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c): Der Auftragsverarbeiter trifft und erhält die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen aufrecht. Diese Maßnahmen sind in der TOM-Anlage dokumentiert und bilden einen integralen Bestandteil dieses AVV.

(4) Unterauftragsverarbeiter (Art. 28 Abs. 3 lit. d): Der Auftragsverarbeiter nimmt keine weiteren Auftragsverarbeiter ohne Einhaltung der in §7 dieses AVV festgelegten Bedingungen in Anspruch.

(5) Betroffenenrechte (Art. 28 Abs. 3 lit. e): Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Art. 15–22 DSGVO.

(6) Sicherheits- und Meldepflichten (Art. 28 Abs. 3 lit. f): Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO. Dies umfasst die Unterstützung bei der Meldung von Datenschutzverletzungen (§8), bei Sicherheitsmaßnahmen und bei Datenschutz-Folgenabschätzungen, soweit zutreffend.

(7) Löschung und Rückgabe (Art. 28 Abs. 3 lit. g): Nach Wahl des Verantwortlichen löscht oder gibt der Auftragsverarbeiter nach Abschluss der Erbringung der Dienstleistungen alle personenbezogenen Daten zurück und löscht vorhandene Kopien, es sei denn, nach dem Recht der Union oder der Mitgliedstaaten besteht eine Pflicht zur Speicherung der personenbezogenen Daten. Einzelheiten in §11.

(8) Prüfung und Nachweis (Art. 28 Abs. 3 lit. h): Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen. Einzelheiten in §9.

(1) Der Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO und den geltenden Datenschutzgesetzen erfolgt, einschließlich des Vorliegens einer Rechtsgrundlage für die Verarbeitung.

(2) Der Verantwortliche erteilt dokumentierte Weisungen für die Verarbeitung personenbezogener Daten. Weisungen, die über den Umfang des Hauptvertrags hinausgehen, bedürfen einer gesonderten schriftlichen Vereinbarung.

(3) Der Verantwortliche ist für die Erfüllung der Betroffenenrechte verantwortlich. Der Auftragsverarbeiter leistet Unterstützung gemäß §5 Abs. 5.

(4) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

(1) Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern. Die vollständige, versionierte Liste der genehmigten Unterauftragsverarbeiter ist in Anlage 3 (v1.0; 17. Mai 2026) aufgeführt. Änderungsbenachrichtigungen abonnieren unter legal@quotexelerator.com.

Anlage 3; Genehmigte Unterauftragsverarbeiter · v1.0 · 17. Mai 2026

Anmerkung zu US-Übermittlungen. Ihre eigentlichen Anwendungsdaten (Angebotsinhalte, Deal-Datensätze, Line Items, Audit-Logs, Kundeninformationen) werden ausschließlich in der EU (Frankfurt / Dublin) verarbeitet und nicht an US-Server gesendet. Bei US-Unterauftragsverarbeitern werden jeweils nur die folgenden Daten in die USA übermittelt:

• Vercel: nur Verbindungs-Metadaten (IP-Adresse, HTTP-Request-Header, Edge-Zugriffsprotokolle) für DDoS-Schutz und Web Application Firewall (WAF), also zur Abwehr von Cyberangriffen.
• Resend: Account-, Log- und E-Mail-Metadaten (Empfänger-Adresse, Betreff, Zustellstatus) werden in den USA gespeichert. Der ausgehende SMTP-Versand erfolgt aus EU (Irland).
• Anthropic: nur bereinigte technische Vorfalls-Metadaten (Fehler-Codes, Stack-Traces ohne PII, Request-Pfade) für die KI-gestützte Vorfallsuntersuchung; keine Kundendaten, keine Angebotsinhalte, keine Klartext-E-Mails (siehe §7b).
• GitHub: Repository-Inhalte und bereinigte Workflow-Logs des Investigator-Workflows.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Kalendertage im Voraus per E-Mail an die hinterlegte Administrator-Adresse, bevor ein neuer Unterauftragsverarbeiter hinzugefügt oder ein bestehender ausgetauscht wird.

(3) Der Verantwortliche kann der Änderung innerhalb von 10 Werktagen nach Erhalt der Mitteilung schriftlich aus wichtigem Grund widersprechen.

(4) Bei berechtigtem Widerspruch kann der Verantwortliche (a) den betreffenden Service-Bestandteil oder den Hauptvertrag zum Ende des laufenden Abrechnungszeitraums kündigen und (b) seine Daten auf schriftliche Anfrage an legal@quotexelerator.com innerhalb von 30 Tagen in einem strukturierten, gängigen und maschinenlesbaren Format erhalten. Eine Rückerstattung bereits gezahlter Gebühren (einschließlich vorausbezahlter Zeiträume) erfolgt nicht.

(5) Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter durch datenschutzrechtliche Verpflichtungen gebunden ist, die nicht weniger schützend sind als die in diesem AVV festgelegten, gemäß Art. 28 Abs. 4 DSGVO. Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters im Rahmen der in den AGB § 10 festgelegten Haftungsbegrenzung, soweit nach DSGVO zulässig. Zwingende Haftungsregeln der DSGVO (insbesondere Art. 82 DSGVO) sowie Vorsatz und grobe Fahrlässigkeit bleiben unberührt.

Bestimmte mit dem Dienst verbundene Verarbeitungen erfolgen nicht im Auftrag, sondern durch eigenständige Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Diese Stellen sind keine Unterauftragsverarbeiter und nicht Teil der Anlage 3:

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin D02 H210, Irland; selbständiger Verantwortlicher für Zahlungsabwicklung, Betrugs- und Geldwäscheprävention sowie regulatorische Compliance (KYC/AML). Hinweis: ggf. zusätzlich Stripe Technology Company Limited (STC) als weitere EMEA-/APAC-Verantwortliche ab Januar 2026. Die Datenverarbeitung durch Stripe richtet sich nach der eigenständigen Stripe-Datenschutzvereinbarung unter stripe.com/legal/dpa und ist nicht Gegenstand dieses AVV. Nomadyr UG übermittelt an Stripe ausschließlich die zur Zahlung erforderlichen Daten (Rechnungsadresse, Zahlungsmittel, Kunden-ID, Betrag, Beleg).

Zur Untersuchung von Systemvorfällen (Incident Investigator) verwendet QuoteXelerator das Large-Language-Model Claude des Anbieters Anthropic, PBC. Gemäß Art. 50 KI-VO (Verordnung (EU) 2024/1689) werden Nutzerinnen und Nutzer hierüber durch diesen AVV sowie die Datenschutzerklärung informiert. Der Investigator interagiert nicht direkt mit Endnutzern, sondern verarbeitet ausschließlich bereinigte technische Vorfalls-Metadaten im Backend.

Anthropic verwendet die übermittelten Eingaben gemäß Anthropic Commercial Terms NICHT zum Training oder zur Verbesserung seiner Modelle. Standard-Retention: 30 Tage (API-Inferenz-Logs), 7 Tage (Trust-and-Safety-Logs).

Vor Übermittlung an Anthropic durchlaufen Vorfallsdetails eine pattern-basierte Bereinigungsroutine, die auf gängige PII- und Geheimnis-Muster (E-Mail-Adressen, Bearer-Tokens, Stripe-Keys, HubSpot-PATs, JWTs, lange Hex-Strings) abzielt. Die Bereinigung ist als Datenminimierungs-Maßnahme ausgestaltet und nicht als formale Garantie; ein verbleibendes Restrisiko der Übermittlung untypischer Token wird durch organisatorische und vertragliche Maßnahmen (No-Training-Klausel, kurze Retention, TIA) ergänzend abgedeckt.

Eine Transfer-Impact-Analyse (TIA) gemäß Schrems II liegt für die Anthropic-Übermittlung vor und wird auf Anfrage zur Verfügung gestellt.

Wann der Investigator läuft: Bei einem Produktionsfehler werden bereinigte technische Kontextdaten (Fehler-Stacks, Vorfalls-Metadaten) zur automatisierten Diagnose an Anthropic übertragen. Klartext-Kundennamen, E-Mails, Angebotsinhalte oder Deal-/Line-Item-Daten werden nicht gezielt übertragen.

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich nach Kenntniserlangung eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, gemäß Art. 33 Abs. 2 DSGVO.

(2) Die Meldung enthält, soweit verfügbar:

• Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze
• Den Namen und die Kontaktdaten der Ansprechperson des Auftragsverarbeiters für weitere Informationen
• Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
• Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

(3) Soweit die Informationen nicht gleichzeitig bereitgestellt werden können, stellt der Auftragsverarbeiter die Informationen ohne unangemessene weitere Verzögerung schrittweise bereit.

(4) Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und unternimmt angemessene Schritte zur Unterstützung bei der Untersuchung, Eindämmung und Behebung der Verletzung.

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen auf angemessene Anfrage die zum Nachweis der Einhaltung der Pflichten aus diesem AVV und Art. 28 DSGVO erforderliche eigene Dokumentation zur Verfügung. Dies umfasst insbesondere die in der TOM-Anlage dokumentierten technischen und organisatorischen Maßnahmen.

(2) Für Zertifizierungen und Berichte der Unterauftragsverarbeiter (z. B. SOC-2-Type-2-Berichte) verweist der Auftragsverarbeiter auf die öffentlichen Trust- bzw. Compliance-Seiten der jeweiligen Anbieter. Diese Berichte unterliegen den Vertraulichkeitsbestimmungen des jeweiligen Anbieters und werden direkt durch diesen bereitgestellt; der Auftragsverarbeiter ist nicht zur Weitergabe verpflichtet, soweit dies durch Vertraulichkeitsvereinbarungen mit dem Unterauftragsverarbeiter ausgeschlossen ist.

(3) Der Auftragsverarbeiter beantwortet angemessene Dokumentationsanfragen des Verantwortlichen zeitnah, in jedem Fall innerhalb von 30 Tagen.

(1) Die primäre Anwendungsinfrastruktur des Auftragsverarbeiters (Datenbank, serverlose Funktionen) ist in der Europäischen Union (Frankfurt, Deutschland) fixiert. Anwendungsdaten (Angebotsinhalte, Deal-Datensätze, Line Items, Audit-Logs, Kundeninformationen) werden ausschließlich in der EU verarbeitet und nicht an US-Server gesendet. Pro Zeile in Anlage 3 (§7) ist der jeweilige Übermittlungsmechanismus für etwaige Metadaten- oder Service-bezogene US-Übermittlungen ausgewiesen. Konkret: bei Vercel durchlaufen ausschließlich Verbindungs-Metadaten (IPs, Request-Header, Edge-Zugriffsprotokolle) das US-Edge zum DDoS- und WAF-Schutz; keine Anwendungsdaten; bei Resend werden Account-Daten, Logs und E-Mail-Metadaten in den USA gespeichert, auch wenn der Sendebereich EU ist; LLM-Inferenz bei Anthropic verarbeitet ausschließlich bereinigte technische Metadaten (US-Standard). Siehe Anlage 3 für den jeweiligen Übermittlungsmechanismus.

(2) Sofern ein Unterauftragsverarbeiter seinen Sitz in einem Drittland hat und keine Angemessenheitsentscheidung gilt, schließt der Auftragsverarbeiter mit dem Unterauftragsverarbeiter die EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914, Modul 3 (Auftragsverarbeiter zu Unterauftragsverarbeiter) ab. Eine Transfer-Impact-Analyse (TIA) gemäß Schrems II liegt vor und wird auf Anfrage zur Verfügung gestellt.

(3) Anerkennung eines Restrisikos: Trotz EU-Standardvertragsklauseln und ergänzender Maßnahmen kann ein Restrisiko durch US-Überwachungsgesetze (insbesondere FISA 702, EO 12333, Cloud Act) bei Übermittlungen an US-Unterauftragsverarbeiter nicht vollständig ausgeschlossen werden. Der Auftragsverarbeiter begrenzt dieses Risiko durch Datenminimierung, pattern-basierte Bereinigung personenbezogener Daten vor Übertragung an externe KI-Anbieter (siehe §7b), kurze Retention, vertragliche No-Training-Zusage für KI-Inferenz sowie eine dokumentierte Transfer-Impact-Analyse, die auf Anfrage einsehbar ist.

(4) Der Verantwortliche kann auf angemessene schriftliche Anfrage Kopien der einschlägigen Übermittlungsgarantien (insbesondere EU-Standardvertragsklauseln) anfordern. Der Auftragsverarbeiter beantwortet solche Anfragen innerhalb von 30 Tagen. Soweit die Übermittlungsgarantien öffentlich auf den Trust- bzw. Compliance-Seiten der jeweiligen Unterauftragsverarbeiter verfügbar sind, ist der Verweis auf diese Seiten ausreichend.

(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten innerhalb von 90 Tagen, mit folgenden Ausnahmen aufgrund zwingender gesetzlicher Aufbewahrungspflichten:

• Zahlungs- und Rechnungsdaten: 10 Jahre gemäß § 147 AO und § 257 HGB (deutsche Steuer- und Handelsgesetzgebung).
• Audit-Protokolle: Vertragsdauer + 90 Tage, danach automatische Löschung.
• Weitere zwingende Aufbewahrungspflichten nach dem Recht der Union oder der Mitgliedstaaten, soweit zum Zeitpunkt der Vertragsbeendigung anwendbar.

(2) Vor Vertragsende kann der Verantwortliche einen Datenexport in einem strukturierten, gängigen und maschinenlesbaren Format anfordern.

(3) Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage des Verantwortlichen schriftlich.

(1) Jede Partei haftet für Schäden, die durch eine gegen die DSGVO verstoßende Verarbeitung verursacht werden, gemäß Art. 82 DSGVO.

(2) Der Auftragsverarbeiter haftet für den durch die Verarbeitung verursachten Schaden nur, soweit er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder er unter Missachtung der rechtmäßig erteilten Weisungen des Verantwortlichen oder gegen diese Weisungen gehandelt hat.

(3) Die Haftungsregelungen des Hauptvertrags, insbesondere die Haftungsbegrenzung in AGB § 10, gelten ergänzend, soweit sie nicht im Widerspruch zur DSGVO stehen. Die Haftungsbegrenzung ist ausgeschlossen bei Vorsatz, grober Fahrlässigkeit, Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) sowie bei zwingenden Haftungsregeln der DSGVO (insbesondere Art. 82 DSGVO).

(1) Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft und gilt für die Dauer des Hauptvertrags.

(2) Dieser AVV kann nicht unabhängig vom Hauptvertrag gekündigt werden, außer wie in §7 Abs. 4 (Widerspruch gegen Unterauftragsverarbeiter) vorgesehen.

(3) Die Pflichten aus diesem AVV, die ihrer Natur nach über die Beendigung hinaus fortgelten sollen (insbesondere §§ 8, 11, 12 und 14), gelten bis zur vollständigen Löschung aller personenbezogenen Daten fort.

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss der kollisionsrechtlichen Bestimmungen.

(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Berlin, Deutschland.

Die gemäß Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen sind in der TOM-Anlage dokumentiert, die integraler Bestandteil dieses AVV ist, regelmäßig überprüft und aktualisiert wird sowie öffentlich abrufbar ist. Bei Rückfragen: legal@quotexelerator.com.