Stand: 2026-04-15 · Sprache: de

Auftragsverarbeitungsvereinbarung (AVV/DPA)

nach Art. 28 DSGVO — Stand: 15. April 2026

Diese Auftragsverarbeitungsvereinbarung („AVV" oder „DPA") regelt die Verarbeitung personenbezogener Daten im Auftrag zwischen:

Auftraggeber (im Folgenden „Verantwortlicher"): der jeweilige Nutzer/Kunde der Plattform (Tenant)
Auftragnehmer (im Folgenden „Auftragsverarbeiter"): Foxcon GmbH, Hofheim am Taunus (siehe Impressum)

Diese AVV ergänzt die Nutzungsbedingungen (Terms) und die Datenschutzerklärung und wird durch Annahme der Nutzungsbedingungen Vertragsbestandteil.

1. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten des Verantwortlichen zur Bereitstellung der KI-gestützten Business-Assistenz-Plattform. Die Verarbeitung erfolgt für die Dauer des Hauptvertragsverhältnisses.

2. Art und Zweck der Verarbeitung

Art: Erhebung, Speicherung, Analyse, Weitergabe an Sub-Prozessoren, Löschung
Zweck: Bereitstellung der Plattform-Funktionen (Chat, Aktionen, Prozesse, Wissensmanagement, Abrechnung)

3. Art der personenbezogenen Daten

Stammdaten (Name, E-Mail, Unternehmen, Rolle)
Kommunikationsinhalte (Chat, hochgeladene Dokumente, Prompt-Eingaben)
Nutzungsdaten (Aktions-Protokoll, Zeitstempel, Session-Daten)
Zahlungs-Metadaten (kein vollständiger Kartendatensatz — Abwicklung durch Stripe)

4. Kategorien betroffener Personen

Nutzer des Verantwortlichen (Mitarbeiter, Kollaborateure, eingeladene Externe)
Ansprechpartner von Kunden/Leads, die der Verantwortliche in die Plattform einpflegt

5. Weisungen

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit nicht zur Erfüllung rechtlicher Verpflichtungen erforderlich. Der Auftragnehmer nimmt keine eigene inhaltliche Bewertung oder Moderation der durch den Verantwortlichen generierten Ausgaben vor.

Weisungen erfolgen primär über die Plattform-Konfiguration (Einstellungen, Aktions-Ausführung, Retention-Konfiguration). Ergänzende Weisungen werden in Textform erteilt.

6. Technisch-organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft angemessene Maßnahmen nach Art. 32 DSGVO. Die wesentlichen TOM:

Vertraulichkeit: Zugriffs- und Rollenkonzept mit Mandantentrennung (Tenant-ID in jeder Abfrage; Row-Level-Security).
Integrität: Strukturierte Audit-Logs, Versionierung relevanter Entities, Input-Validation.
Verfügbarkeit: Tägliche Datenbank-Backups (netcup, Deutschland), Off-site-Kopie, Disaster-Recovery-Plan.
Belastbarkeit: Rate-Limiting (Tier-basiert), Circuit-Breaker für externe KI-Provider, Monitoring.
Verschlüsselung: TLS 1.2+ für Transport, Authenticated-Storage für Secrets (credentials/core.env), Datenbank-Backups verschlüsselt.
Regelmäßige Überprüfung: Security-Audits nach Feature-Releases, Dependency-Scan.

Details zu TOM stellt der Auftragnehmer auf Anfrage bereit.

7. Unterauftragsverarbeiter (Sub-Prozessoren)

Der Verantwortliche erteilt dem Auftragnehmer die allgemeine Zustimmung zum Einsatz der in der Sub-Prozessor-Liste genannten Unterauftragsverarbeiter. Änderungen werden mindestens 14 Tage vor Inkrafttreten per E-Mail oder im Produkt angekündigt; der Verantwortliche kann binnen dieser Frist widersprechen (Widerspruchsfolge: außerordentliches Kündigungsrecht).

8. Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15-22 DSGVO) durch bereitgestellte Self-Service-Funktionen (Datenexport, Account-Löschung) sowie durch Bearbeitung von Anfragen an privacy@mynd-iq.com.

9. Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Verantwortlichen Datenschutzverletzungen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis. Die Meldung erfolgt per E-Mail an die im Account hinterlegte Adresse.

10. Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Auftragnehmer die Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Verlangen erhält der Verantwortliche vorher einen Datenexport (maschinenlesbar, JSON oder PDF).

11. Nachweise und Audit

Der Auftragnehmer stellt dem Verantwortlichen auf Anfrage die erforderlichen Nachweise zur Einhaltung der in dieser AVV genannten Pflichten zur Verfügung. Ein Vor-Ort-Audit ist nach Abstimmung (Frist: 4 Wochen) und unter Wahrung berechtigter Interessen (Geschäftsgeheimnisse, andere Tenants) einmal jährlich möglich.

12. Haftung

Die Haftung richtet sich nach den Bestimmungen der DSGVO sowie nach den Nutzungsbedingungen.

13. Schlussbestimmungen

Änderungen dieser AVV bedürfen der Textform. Es gilt das Recht der Bundesrepublik Deutschland. Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag hat die AVV hinsichtlich datenschutzrechtlicher Fragen Vorrang.

Unterzeichnung: Diese AVV gilt als durch den Verantwortlichen angenommen mit Abschluss bzw. Fortsetzung des Hauptvertrags. Eine gesondert unterzeichnete Fassung (qualifizierte elektronische Signatur oder Schriftform) stellen wir auf Anfrage bereit.

Kontakt für AVV-Fragen: privacy@mynd-iq.com

← Home