Auftragsverarbeitung

Auftragsverarbeitungsvertrag

nach Art. 28 DSGVO — Anlage zum SaaS-Vertrag
Stand

DPA-Klauseln nach Art. 28 Abs. 3 DSGVO

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch Adjudon im Auftrag des Kunden (Verantwortlicher). Er folgt der Struktur von Art. 28 Abs. 3 lit. a-h DSGVO und ergänzt die Allgemeinen Geschäftsbedingungen. Die Verarbeitungsdetails (Anhang I) und die technischen und organisatorischen Maßnahmen (Anhang II) folgen in Abschnitt 3.

Vertragsparteien · Cardinal-Identity

Vertragsparteien dieses AVV sind: (a) als Verantwortlicher der Kunde gemäß SaaS-Hauptvertrag (siehe AGB) und (b) als Auftragsverarbeiter Dato Bitarishvili, der Adjudon als Einzelunternehmen ohne Handelsregistereintrag betreibt (Nobelstraße 48, 51107 Köln; siehe Anbieterkennzeichnung). Bei einer zukünftigen Umwandlung in eine UG (haftungsbeschränkt) erfolgt die Vertragsübernahme nach § 415 BGB mit Genehmigung des Kunden oder im Wege der Ausgliederung nach Umwandlungsgesetz.

§ 1

Geltungsbereich, Gegenstand und Dauer

Art. 28 Abs. 3 Satz 1 DSGVO

Dieser AVV regelt die Verarbeitung personenbezogener Daten durch Adjudon (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der Adjudon-Plattform-Nutzung. Der AVV ergänzt die Allgemeinen Geschäftsbedingungen und gilt für die gesamte Vertragslaufzeit. Bei Widersprüchen zwischen AVV und AGB hat der AVV in datenschutzrechtlichen Fragen Vorrang. Einzelheiten zu Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie zu Datenkategorien und Betroffenenkategorien ergeben sich aus Anhang I.

§ 2

Verarbeitung nur auf dokumentierte Weisung

Art. 28 Abs. 3 lit. a DSGVO

Adjudon verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden. Die Erbringung der vertraglichen Leistung gemäß AGB und die vom Kunden im Dashboard vorgenommene Plattform-Konfiguration gelten als dokumentierte Weisung. Zusätzliche Weisungen erfolgen in Textform. Adjudon weist den Kunden unverzüglich darauf hin, wenn nach seiner Auffassung eine Weisung gegen geltendes Datenschutzrecht verstößt (Art. 28 Abs. 3 letzter Satz DSGVO).

§ 3

Vertraulichkeit der zur Verarbeitung befugten Personen

Art. 28 Abs. 3 lit. b DSGVO

Adjudon stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Adjudon wird derzeit als Einzelunternehmen ohne weitere Mitarbeiter betrieben; die Vertraulichkeitsverpflichtung gilt für den Inhaber Dato Bitarishvili persönlich. Bei zukünftiger Erweiterung des Personalbestands wird die Vertraulichkeitsverpflichtung schriftlich fortgeschrieben. Externe Dienstleister werden ausschließlich als weitere Auftragsverarbeiter gemäß § 5 eingebunden.

§ 4

Sicherheit der Verarbeitung (TOMs)

Art. 28 Abs. 3 lit. c · Art. 32 DSGVO

Adjudon trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Die konkreten Maßnahmen sind in Anhang II beschrieben und umfassen insbesondere:

  • Verschlüsselung at-rest (AES-256) und in-transit (TLS 1.3)
  • SHA-256 Hash-Chain für Decision-Audit-Log und Operations-Audit-Log (append-only, RFC 8785 JCS, replay-verifizierbar)
  • PII-Pre-Storage-Scrubbing mit 13 Pattern-Klassen (nicht deaktivierbar)
  • Mandantentrennung über organizationId als harter Datenbank-Filter
  • Rollenbasierte Zugriffskontrolle (RBAC) mit JWT-Authentifizierung
  • Tägliche Merkle-Anchor-Aggregation der Hash-Chain-Leaves um 00:05 UTC
§ 5

Weitere Auftragsverarbeiter (Sub-Processors)

Art. 28 Abs. 3 lit. d · Art. 28 Abs. 2 DSGVO

Der Kunde erteilt Adjudon mit Vertragsschluss die vorherige allgemeine schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 Satz 1 DSGVO zur Inanspruchnahme der nachfolgend namentlich aufgeführten fünf Sub-Processors. Für die Hinzuziehung oder Ersetzung weiterer Sub-Processors gilt das Verfahren in den nachfolgenden Absätzen (30-Tage-Vorankündigung und Widerspruchsrecht). Die zum Stand dieses AVV beauftragten Sub-Processors sind:

  1. MongoDB AtlasMongoDB Inc., EU-Region Frankfurt eu-central-1 — Primärdatenbank.
  2. Fly.ioFly.io Inc., EU-Region Frankfurt — API-Server und TEI-Embedding-Sidecar (all-MiniLM-L6-v2).
  3. Cloudflare PagesCloudflare Inc., EU-Edge — statisches Hosting Landing-Page und Dashboard.
  4. Stripe Payments Europe Ltd.Dublin, Irland — Billing und Subscription-Management.
  5. ResendEU-Region — Transaktions-E-Mails.

Die vollständige aktuelle Liste mit Sitz, Verarbeitungs-Zweck und signedAt-Audit-Spur wird unter /subprozessoren öffentlich geführt und ist Bestandteil dieses AVV.

Adjudon informiert den Kunden in Textform mindestens 30 Tage vor jeder beabsichtigten Hinzuziehung oder Ersetzung eines Sub-Processors. Der Kunde ist berechtigt, einer solchen Änderung aus berechtigten Gründen innerhalb von 30 Tagen ab Zugang der Information in Textform zu widersprechen; in diesem Fall sind beide Parteien zur außerordentlichen Kündigung des Vertrags berechtigt.

§ 6

Keine Drittlandsübermittlung

Art. 44–49 DSGVO

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums findet im Rahmen der Plattform-Dienste nicht statt. Sämtliche Verarbeitung erfolgt in der EU: Primärdatenbank in Frankfurt (MongoDB Atlas eu-central-1), API-Server und TEI-Embedding-Sidecar in Frankfurt (Fly.io), Billing über Stripe Payments Europe Ltd. (Dublin, Irland), Transaktions-E-Mails über Resend (EU).

Historischer Hinweis: Bis zum 10. Mai 2026 war OpenAI L.L.C. (USA) als Sub-Processor für die Vector-Embedding-Funktion gelistet. Mit Wirkung zum 11. Mai 2026 wurde OpenAI aus der Sub-Processor-Liste entfernt und durch einen von Adjudon selbst betriebenen TEI-Sidecar im selben Fly.io-Rechenzentrum (Frankfurt) ersetzt. Die schriftliche Customer-Notice nach § 5 dieses AVV (30-Tage-Frist nach Art. 28 Abs. 3 lit. d DSGVO) an Bestandskunden mit Vertragsschluss vor dem 11. Mai 2026 befindet sich derzeit in Vorbereitung; betroffene Kunden werden im Zuge der nächsten AVV-Versionsaktualisierung gesondert benachrichtigt.

§ 7

Unterstützung bei Betroffenenrechten

Art. 28 Abs. 3 lit. e · Art. 15–22 DSGVO

Adjudon unterstützt den Kunden im Rahmen des technisch Möglichen bei der Beantwortung von Anfragen zur Wahrnehmung der Betroffenenrechte nach Art. 15-22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Die Plattform stellt entsprechende Funktionen zum Datenexport und zur Löschung im Dashboard bereit. Anfragen, die Adjudon direkt erreichen, werden ohne unangemessene Verzögerung an den Kunden weitergeleitet.

§ 8

Unterstützung bei Sicherheitspflichten

Art. 28 Abs. 3 lit. f · Art. 32–36 DSGVO

Adjudon unterstützt den Kunden bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Sicherheit der Verarbeitung, Datenschutzverletzungen, Datenschutz-Folgenabschätzung).

Wird Adjudon als Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, meldet Adjudon diese dem Kunden gemäß Art. 33 Abs. 2 DSGVO unverzüglich nach Kenntnisnahme und stellt die für die Risikobewertung und für eine etwaige Meldung des Kunden an die Aufsichtsbehörde erforderlichen Informationen bereit. Die Meldung erfolgt so rechtzeitig, dass der Kunde seine eigene Frist nach Art. 33 Abs. 1 DSGVO (72 Stunden ab eigener Kenntnis) wahren kann. Als Einzelunternehmen ohne durchgehende Rufbereitschaft kann Adjudon eine bestimmte Reaktionszeit innerhalb dieser Frist nicht vertraglich garantieren; die gesetzliche Unverzüglichkeitspflicht bleibt davon unberührt.

Die Unterstützung bei Sicherheitspflichten nach Art. 28 Abs. 3 lit. f DSGVO steht dem Kunden auf allen Plan-Tiers zur Verfügung. Der zusätzlich in der Plattform integrierte Multi-Clock Incident Hub automatisiert darüber hinaus die Meldefristen-Kontrolle für DSGVO Art. 33/34, DORA Art. 19, EU AI Act Art. 73, NIS2 und CRA bei Sicherheitsvorfällen und steht als Komfort-Automation auf den Plan-Tiers Governance, Enterprise und Custom zur Verfügung; das Recht des Verantwortlichen auf manuelle Erfüllung dieser Meldepflichten bleibt unberührt.

§ 9

Löschung und Rückgabe nach Vertragsende

Art. 28 Abs. 3 lit. g DSGVO

Nach Beendigung des Vertragsverhältnisses wird Adjudon nach Wahl des Kunden alle personenbezogenen Daten zurückgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Rückgabe erfolgt im Portable-Bundle-Format — manifest.json mit Hash-Chain-Segmenten, Merkle-Anchors, Signaturen und einem POSIX-Bash-Verifier, der das Bundle offline gegen den dokumentierten Algorithmus prüft. Die Löschung wird Adjudon dem Kunden in Textform bestätigen.

Die Löschung aus der Produktiv-Datenbank erfolgt unverzüglich nach Bestätigung der Löschungsanfrage (Art. 17 DSGVO-konform); ein Produktiv-Zugriff auf diese Daten ist ab diesem Zeitpunkt nicht mehr möglich. Backup-Kopien innerhalb des Standard-Wiederherstellungs-Fensters des Sub-Processors MongoDB Atlas (Point-in-Time-Restore bis zu 35 Tage) überschreiben sich im Backup-Rotationsverfahren selbsttätig und dienen ausschließlich der Disaster-Recovery; sie sind weder für Produktiv-Zugriffe noch für Auswertungen verfügbar. Gesetzliche Aufbewahrungspflichten für Billing-Daten nach § 257 HGB und § 147 AO (bis zu 10 Jahre) bleiben von der Löschung unberührt.

§ 10

Nachweis, Audit und Schlussbestimmungen

Art. 28 Abs. 3 lit. h DSGVO

Adjudon stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung dieser AVV-Pflichten zur Verfügung. Primärer Nachweis ist das replay-verifizierbare Portable-Bundle aus § 9, das ohne Adjudon-Login gegen den dokumentierten Hash-Chain-Algorithmus verifiziert werden kann; ein öffentlicher Verifier ist unter verify.adjudon.com erreichbar.

Externe Zertifizierungen (SOC 2 Type II, ISO 27001) sind derzeit nicht abgeschlossen und stehen ohne veröffentlichten Zeitplan auf der Roadmap. Sobald entsprechende Berichte verfügbar sind, werden sie dem Kunden zur Einsicht bereitgestellt.

Vor-Ort-Audits oder Audits durch einen vom Kunden beauftragten unabhängigen Prüfer sind nach vorheriger Ankündigung mit angemessener Frist und Vertraulichkeitsvereinbarung einmal jährlich möglich. Adjudon stellt im Zuge solcher Audits Auskunfts- und Einsichtsrechte in dem nach Art. 28 Abs. 3 lit. h DSGVO erforderlichen Umfang zur Verfügung.

Bei Widersprüchen zwischen AVV und AGB hat der AVV in datenschutzrechtlichen Fragen Vorrang. Im Übrigen gelten die Bestimmungen der AGB (anwendbares Recht, Gerichtsstand Köln, Salvatorische Klausel). Änderungen dieses AVV folgen § 10 der AGB (BGH XI ZR 26/20 B2B-Variante mit 6-Wochen-Widerspruchsfrist).

Anhänge zum AVV

Die folgenden Anhänge konkretisieren die AVV-Klauseln § 1 (Verarbeitungsdetails — Anhang I) und § 4 (TOMs — Anhang II). Anhang I beschreibt die Verarbeitung im Standard-Setup; abweichende Konfigurationen sind im gegengezeichneten AVV-Exemplar zu vermerken. Anhang II ist plattform-weit identisch für alle Kunden.

Anhang I · Art. 28 Abs. 3 Satz 1 DSGVO

Verarbeitungsdetails

GegenstandBereitstellung der Adjudon-Plattform (Decision Audit Layer) zur Compliance-Dokumentation von KI-Entscheidungen.
DauerVertragslaufzeit gemäß AGB; nach Vertragsende gilt § 9 dieses AVV (Löschung/Rückgabe).
Art der VerarbeitungErhebung, Speicherung, kryptografische Verkettung (SHA-256 Hash-Chain), Auswertung, Audit-Protokollierung, Export.
ZweckCompliance-Dokumentation nach EU AI Act, DORA, MDR/IVDR, DSGVO; Audit-Trail-Nachweis; Risikoanalyse durch den Verantwortlichen.
Personenbezogene DatenVom Verantwortlichen über die Plattform übermittelte Trace-Inhalte (inputContext, outputDecision); gegebenenfalls enthaltene Identifikationsdaten (vom Verantwortlichen zu pseudonymisieren); Konfigurations-Metadaten; Logfiles (IP, User-Agent, Zeitstempel).
Betroffene PersonenMitarbeiter, Endnutzer und Kunden des Verantwortlichen, soweit in den vom Verantwortlichen übermittelten Trace-Inhalten benannt.
Anhang II · Art. 32 DSGVO

Technische und organisatorische Maßnahmen

Adjudon trifft die nach Art. 32 DSGVO erforderlichen Maßnahmen, gegliedert nach den vier Kategorien der DSK-Orientierungshilfe.

1. VertraulichkeitArt. 32 Abs. 1 lit. a und b DSGVO
  • Verschlüsselung at-rest: AES-256 auf MongoDB Atlas Frankfurt eu-central-1.
  • Verschlüsselung in-transit: TLS 1.3, HTTPS am Fly.io-Edge erzwungen.
  • Mandantentrennung: jede Datenbank-Query trägt organizationId als harten Filter (Cardinal Rule #1, code- und middleware-seitig erzwungen; kein Cross-Org-Lesepfad existiert).
  • Zugriffskontrolle: rollenbasiert (RBAC) mit JWT (HS256, Signaturalgorithmus pinned).
  • Pseudonymisierung: PII-Scrubber entfernt 13 Pattern-Klassen (E-Mail, Telefon EU + international, IBAN, Kreditkarte, US-SSN, DE-Steuer-ID, DE-Sozialversicherungsnummer, FR-NIR, UK-NHS und weitere) vor Storage und vor jedem Output (Export, Webhook, Dashboard); der Default-Scrubber kann nicht deaktiviert werden.
2. IntegritätArt. 32 Abs. 1 lit. b DSGVO
  • Decision Audit-Log: SHA-256-Hash-Chain, append-only, RFC 8785 JCS-Kanonikalisierung, offline replay-verifizierbar.
  • Operations Audit-Log: separater SHA-256-Chain über Admin-Events (Policy-Änderungen, Nutzer-Einladungen, API-Key-Operationen).
  • Daily Merkle Anchor: tägliche Aggregation der Hash-Chain-Leaves zu einem per-(org, day) Merkle-Root um 00:05 UTC.
  • Cardinal Rule #5: Audit-Log-Einträge werden niemals geändert oder hard-deleted; bei DSGVO-Art.-17-Erasure-Anfragen wird der Payload nullifiziert, der Chain-Eintrag-Shell bleibt erhalten.
3. Verfügbarkeit und BelastbarkeitArt. 32 Abs. 1 lit. b und c DSGVO
  • Backup: MongoDB Atlas Continuous Backup mit Point-in-Time-Restore bis zu 35 Tage (Atlas-Standard, georedundant innerhalb der EU).
  • Fail-Open-Architektur: das Adjudon-SDK fällt bei Adjudon-Plattform-Ausfall auf einen Pass-Through-Modus zurück, sodass Kunden-Agenten durch Adjudon-Ausfälle nicht blockiert werden.
  • SLA: 99,9 % Verfügbarkeit im Monatsmittel auf den Plan-Tiers Scale und Governance; Sandbox-Nutzung ohne Verfügbarkeitszusage.
  • Idempotency-Store: MongoDB-backed mit 24-Stunden-TTL und atomaren findOneAndUpdate-Upserts (race-condition-sicher).
4. Verfahren zur regelmäßigen ÜberprüfungArt. 32 Abs. 1 lit. d DSGVO
  • Hash-Chain Replay-Verification: jederzeit offline möglich gegen den dokumentierten Algorithmus; öffentlicher Verifier unter verify.adjudon.com.
  • Multi-Clock Incident Hub: automatisierte Meldefristen-Kontrolle für DSGVO Art. 33/34, DORA Art. 19, EU AI Act Art. 73, NIS2 und CRA.
  • Externe Zertifizierungen (SOC 2 Type II, ISO 27001) sind Roadmap, kein veröffentlichter Zeitplan.
  • Unterstützung bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO gemäß § 8 dieses AVV.

Abschluss und Verweise

AVV-Vertragsabschluss · Anlage zum SaaS-Vertrag

Dieser AVV ist zwingender Bestandteil des SaaS-Hauptvertrags nach Art. 28 DSGVO. Mit Vertragsschluss (Annahme der AGB) erkennt der Kunde die hier veröffentlichten AVV-Bedingungen in der zum Zeitpunkt des Vertragsschlusses geltenden Fassung als verbindlich an; spätere Änderungen folgen § 10 der AGB (6-Wochen-Widerspruchsfrist). Eine gegengezeichnete Ausfertigung erhalten Sie auf Anfrage über [email protected] als PDF; eine elektronische Signatur über DocuSign oder vergleichbare Tools wird derzeit nicht angeboten. Die jeweils aktuelle Fassung steht auf dieser Seite zum Druck über die Drucken-Funktion des Browsers zur Verfügung.

Sub-Processor-Übersicht · § 5 dieses AVV

Die aktuelle Sub-Processor-Liste mit Sitz, Region und Verarbeitungs-Zweck wird unter /subprozessoren öffentlich geführt und ist Bestandteil dieses AVV. Änderungen werden gemäß § 5 dieses AVV mit 30-tägiger Vorankündigung in Textform mitgeteilt; das Widerspruchsrecht des Kunden bleibt unberührt.

Rechtsformwechsel · § 415 BGB / Umwandlungsgesetz

Adjudon plant die Umwandlung in eine UG (haftungsbeschränkt). Bei Vollzug wird der AVV entweder durch Vertragsübernahme nach § 415 BGB (Genehmigung des Kunden erforderlich) oder durch Eintragung Adjudons als eingetragener Kaufmann (e.K.) mit anschließender Ausgliederung nach dem Umwandlungsgesetz (partielle Gesamtrechtsnachfolge) auf die UG übertragen. Bestandskunden werden vor Vollzug in Textform informiert; die Wahl des Pfades erfolgt nach anwaltlicher Prüfung.

Stand · Version 1.0

28. Mai 2026.
Druckbare Version: über die Drucken-Funktion des Browsers.
Gegengezeichnetes Exemplar auf Anfrage über [email protected].

Hinweis: Dieser AVV wurde noch nicht durch einen Rechtsanwalt geprüft. Eine anwaltliche Prüfung ist bis 24.08.2026 geplant.