Auftragsverarbeitungsvertrag (AVV)

Version 1.5 – Stand: 26. Januar 2026

Für kostenpflichtige TensorPM-Dienste (KI-Proxy und Cloud Sync)

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Nutzungsbedingungen ("Vertrag") zwischen Simon Schwer ("Auftragsverarbeiter" oder "Dienstleister") und dem abonnierenden Nutzer von kostenpflichtigen TensorPM-Diensten (Cloud und Pro) ("Verantwortlicher" oder "Kunde").

1. Definitionen

Die in diesem AVV verwendeten Begriffe haben die in diesem AVV festgelegte Bedeutung. Großgeschriebene Begriffe, die nicht anderweitig definiert sind, haben die ihnen im Vertrag zugewiesene Bedeutung. In diesem AVV gelten die folgenden Definitionen:

"DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

"Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die vom Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Erbringung der Dienste verarbeitet werden; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

"Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

"Dienste" bezeichnet die kostenpflichtigen TensorPM-Dienste (Cloud und Pro), die dem Kunden vom Dienstleister im Rahmen des Vertrags bereitgestellt werden (einschließlich KI-Proxy-Funktionen und Cloud Sync-Funktionen).

"Unterauftragsverarbeiter" ist jeder Datenverarbeiter (einschließlich Dritter), der vom Auftragsverarbeiter ernannt wird, um personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.

"Standardvertragsklauseln" sind die von der Europäischen Kommission gemäß dem Beschluss 2021/914/EU angenommenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittländern niedergelassene Auftragsverarbeiter oder eine nachfolgende Version davon.

2. Umfang und Zweck

Dieser AVV gilt für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Erbringung der Dienste gemäß dem Vertrag. Der Zweck der Verarbeitung ist die Bereitstellung von Pro-Funktionen, einschließlich KI-gestützter Funktionen über den Proxy-Dienst sowie – sofern durch den Verantwortlichen aktiviert – Cloud Sync zur Synchronisierung ausgewählter Projektdaten zwischen Geräten.

3. Dauer

Dieser AVV tritt an dem Tag in Kraft, an dem der Verantwortliche den TensorPM Pro Abonnement-Dienst abonniert, und gilt bis zur Kündigung des Abonnements. Nach Beendigung des Abonnements bleibt dieser AVV so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen gemäß den in der Datenschutzerklärung festgelegten Aufbewahrungsfristen speichert.

4. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur in dem Umfang, der zur Erbringung der Dienste gemäß dem Vertrag erforderlich ist, und gemäß den dokumentierten Anweisungen des Verantwortlichen.

Der Hauptzweck der Verarbeitung ist die Ermöglichung eines KI-gestützten Projektmanagements, insbesondere:

  • Übermittlung von Projektdaten und Kontextinformationen an Drittanbieter von KI-Diensten über den Proxy-Server des Auftragsverarbeiters
  • Vorübergehende Verarbeitung von Projektdaten zur Erfüllung von KI-Anfragen
  • Authentifizierung und Kontoverwaltung
  • Versand von Authentifizierungs-E-Mails für den Kontozugriff und die Sicherheit

Sofern Cloud Sync durch den Verantwortlichen aktiviert wird, umfasst die Verarbeitung außerdem:

  • Übermittlung ausgewählter Projekt-/Workspace-Daten an die Server des Auftragsverarbeiters
  • Speicherung und Synchronisierung dieser Daten zwischen den Geräten des Verantwortlichen und (sofern genutzt) Mitgliedern geteilter Workspaces

Cloud Sync wird mithilfe der PowerSync-Synchronisationstechnologie umgesetzt; der PowerSync-Sync-Service wird vom Auftragsverarbeiter auf eigener Infrastruktur betrieben.

Der Auftragsverarbeiter bestätigt, dass dieser Zweck im Rahmen seiner rechtmäßigen Geschäftstätigkeit liegt und die personenbezogenen Daten für keinen anderen Zweck verarbeiten wird.

5. Kategorien von personenbezogenen Daten und betroffenen Personen

5.1 Kategorien von betroffenen Personen

Die verarbeiteten personenbezogenen Daten können die folgenden Kategorien von betroffenen Personen betreffen:

  • Mitarbeiter, Auftragnehmer und sonstiges Personal des Verantwortlichen
  • Klienten und Kunden des Verantwortlichen
  • Projektbeteiligte
  • Andere Personen, deren personenbezogene Daten in Projektmaterialien enthalten sind

5.2 Kategorien von personenbezogenen Daten

Die verarbeiteten personenbezogenen Daten können die folgenden Kategorien umfassen:

  • Benutzerkontoinformationen (E-Mail-Adresse, verschlüsseltes Passwort)
  • Namen, Kontaktdaten oder andere Kennungen, die in Projektmaterialien enthalten sind
  • Berufliche Informationen, die in Projektmaterialien enthalten sind
  • Authentifizierungsdaten (JWT-Token, Anmeldezeitstempel)
  • Alle anderen personenbezogenen Daten, die der Verantwortliche in Projektmaterialien aufnimmt

6. Rechte und Pflichten des Verantwortlichen

6.1 Weisungen

Der Verantwortliche stellt sicher, dass seine Weisungen zur Verarbeitung personenbezogener Daten den geltenden Datenschutzgesetzen entsprechen. Der Verantwortliche ist dafür verantwortlich, alle erforderlichen Rechte zu besitzen und alle erforderlichen Einwilligungen zur Verarbeitung der personenbezogenen Daten eingeholt zu haben.

Die Weisungen des Verantwortlichen sind zunächst in diesem AVV und im Vertrag festgelegt. Der Verantwortliche kann zusätzliche Weisungen bezüglich Art und Weise der Verarbeitung erteilen, die er für die Einhaltung des geltenden Datenschutzrechts oder aus anderen Gründen für erforderlich hält. Solche zusätzlichen Weisungen sind schriftlich zu erteilen.

6.2 Technische und organisatorische Maßnahmen

Der Verantwortliche ist für die Implementierung geeigneter technischer und organisatorischer Maßnahmen verantwortlich, um ein dem Risiko angemessenes Sicherheitsniveau auf seinen eigenen Systemen und in Bezug auf alle personenbezogenen Daten, die er in die Dienste hochlädt oder an diese übermittelt, zu gewährleisten.

6.3 Anträge von betroffenen Personen

Der Verantwortliche ist für die Beantwortung von Anträgen betroffener Personen verantwortlich. Der Auftragsverarbeiter leistet angemessene Unterstützung, um dem Verantwortlichen die Beantwortung solcher Anträge zu ermöglichen.

6.4 Weisungen, die eine zusätzliche Verarbeitung erfordern

Erfordern die Weisungen des Verantwortlichen eine Verarbeitung, die über den Geltungsbereich dieses AVV hinausgeht, verhandeln die Parteien nach Treu und Glauben über die Kosten einer solchen zusätzlichen Verarbeitung.

7. Pflichten des Auftragsverarbeiters

7.1 Verarbeitungseinschränkungen

Der Auftragsverarbeiter wird:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, auch im Hinblick auf Übermittlungen in Drittländer oder an internationale Organisationen
  • Sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • Personenbezogene Daten für keinen anderen Zweck als die Erbringung der Dienste verwenden
  • Die personenbezogenen Daten nicht an Dritte weitergeben, es sei denn, dies wurde vom Verantwortlichen genehmigt, ist gesetzlich vorgeschrieben oder für die Erbringung der Dienste unbedingt erforderlich

7.2 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, einschließlich:

  • HTTPS/TLS 1.3-Verschlüsselung für alle Datenübertragungen
  • Passwort-Hashing mit PBKDF2 (100.000 Iterationen, SHA-512, 32-Byte zufälliger Salt)
  • JWT-Token-basierte Authentifizierung mit Zugriffstoken (gültig für 60 Minuten) und lokal gespeicherten Aktualisierungstoken (verschlüsselt über sicheren OS-Speicher, sofern verfügbar; Fallback: lokale unverschlüsselte Speicherung, falls OS-Verschlüsselung nicht verfügbar)
  • Verschlüsselung auf Betriebssystemebene zur Speicherung sensibler Daten wie API-Schlüssel und Aktualisierungstoken auf dem Gerät des Benutzers, sofern verfügbar (safeStorage / Schlüsselbund / DPAPI); Fallback-Klärung: unverschlüsselte lokale Speicherung, niemals an Auftragsverarbeiter übertragen
  • Server-Datenbankspeicherung mit Festplattenverschlüsselung im Ruhezustand
  • Regelmäßige Sicherheitsupdates (mindestens monatlich)
  • Zugriffsbeschränkungen auf personenbezogene Daten nach dem Prinzip der geringsten Rechtevergabe (Least Privilege)
  • Sicherheitsüberwachung und Zugriffsprotokolierung
  • Dokumentierte Verfahren zur Reaktion auf Vorfälle (Incident Response)

Der Auftragsverarbeiter testet, bewertet und evaluiert regelmäßig die Wirksamkeit dieser Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.

7.3 Unterauftragsverarbeiter

Der Auftragsverarbeiter kann die folgenden Unterauftragsverarbeiter für die Erbringung der Dienste einsetzen:

  • Google Cloud / Vertex AI (KI-Dienste – für Gemini-Modelle)
  • Mistral AI (KI-Dienste – für Mistral-Modelle; Hauptsitz in Paris, Frankreich; verarbeitet Daten innerhalb der EU)
  • SendGrid (für Authentifizierungs-E-Mails)
  • Stripe (für die Zahlungsabwicklung)
  • Hetzner Online GmbH (für die Serverinfrastruktur in Nürnberg, Deutschland)
  • INWX GmbH & Co. KG (für die Domain-Registrierung in Berlin, Deutschland)

Klarstellung zu BYOK (Bring Your Own Key) Anbietern: Wenn der Verantwortliche wahlweise eigene API-Schlüssel für KI-Dienste verwendet (z.B. Google AI, Anthropic (Claude), OpenAI, Mistral AI) und die Verbindungen nicht über die Proxy-Infrastruktur des Auftragsverarbeiters laufen, werden diese Anbieter NICHT durch den Auftragsverarbeiter eingebunden und sind daher keine Unterauftragsverarbeiter im Sinne dieses AVV. In diesen Fällen besteht ein direktes Rechtsverhältnis Verantwortlicher–Auftragsverarbeiter oder Verantwortlicher–Verantwortlicher (je nach Anbieter) außerhalb des Geltungsbereichs dieses AVV. Der Auftragsverarbeiter übermittelt, verarbeitet oder speichert keine Prompts oder API-Schlüssel für solche direkten Verbindungen.

Der Auftragsverarbeiter informiert den Verantwortlichen über alle beabsichtigten Änderungen bei der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mit einer Frist von mindestens 30 Tagen im Voraus schriftlich. Der Verantwortliche hat das Recht, solchen Änderungen innerhalb von 10 Tagen nach der Benachrichtigung zu widersprechen.

Widerspricht der Verantwortliche einem neuen Unterauftragsverarbeiter und kann der Auftragsverarbeiter dem Widerspruch des Verantwortlichen nicht in zumutbarer Weise nachkommen, kann der Verantwortliche das Abonnement mit einer anteiligen Rückerstattung für bereits bezahlte, aber nicht genutzte Dienstzeiträume kündigen.

Der Auftragsverarbeiter legt jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind, insbesondere die Bereitstellung ausreichender Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Erfüllung der Pflichten des Unterauftragsverarbeiters in vollem Umfang haftbar.

Der Auftragsverarbeiter bestätigt, dass er mit allen Unterauftragsverarbeitern schriftliche Vereinbarungen getroffen hat, die Datenschutzpflichten enthalten, die nicht weniger schützend sind als die in diesem AVV.

7.4 Rechte der betroffenen Personen

Soweit gesetzlich zulässig, benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, wenn er einen Antrag einer betroffenen Person auf Ausübung ihrer Rechte gemäß der DSGVO erhält, und leistet jede angemessene Zusammenarbeit und Unterstützung im Zusammenhang mit einem solchen Antrag.

Der Auftragsverarbeiter beantwortet keinen Antrag einer betroffenen Person ohne die vorherige schriftliche Zustimmung des Verantwortlichen, außer um zu bestätigen, dass sich der Antrag auf den Verantwortlichen bezieht und um der betroffenen Person zu empfehlen, den Antrag direkt an den Verantwortlichen zu richten.

Der Auftragsverarbeiter leistet die notwendige Unterstützung für den Verantwortlichen, um seiner Verpflichtung zur Beantwortung von Anträgen betroffener Personen innerhalb der gesetzlich vorgeschriebenen Fristen nachzukommen.

7.5 Verletzung des Schutzes personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat. Die Benachrichtigung muss mindestens Folgendes enthalten:

  • Die Art der Verletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze
  • Die wahrscheinlichen Folgen der Verletzung
  • Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen
  • Kontaktdaten für weitere Informationen

Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten, einschließlich der Fakten im Zusammenhang mit der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen, und stellt diese Dokumentation dem Verantwortlichen auf Anfrage zur Verfügung.

Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und ergreift angemessene Maßnahmen, um bei der Untersuchung, Minderung und Behebung jeder Verletzung des Schutzes personenbezogener Daten zu helfen.

7.6 Datenschutz-Folgenabschätzung

Auf Anfrage des Verantwortlichen leistet der Auftragsverarbeiter angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, die der Verantwortliche gemäß der DSGVO durchführen muss.

Diese Unterstützung kann umfassen:

  • Bereitstellung von Informationen über die Verarbeitungsvorgänge
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  • Umsetzung von Maßnahmen zur Minderung dieser Risiken

7.7 Löschung oder Rückgabe von Daten

Nach Beendigung der Dienste wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten löschen oder an den Verantwortlichen zurückgeben und vorhandene Kopien löschen, es sei denn, er ist gesetzlich zur Speicherung der personenbezogenen Daten verpflichtet.

Wenn der Verantwortliche seine Präferenz nicht innerhalb von 30 Tagen nach Beendigung angibt, wird der Auftragsverarbeiter alle in seinem Besitz befindlichen personenbezogenen Daten sicher löschen, es sei denn, dies ist gesetzlich vorgeschrieben.

Auf Anfrage stellt der Auftragsverarbeiter eine schriftliche Bestätigung der Löschung aller personenbezogenen Daten aus.

7.8 Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in diesem AVV festgelegten Pflichten nachzuweisen, und ermöglicht und trägt zu Audits, einschließlich Inspektionen, bei, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden.

Die Auditrechte umfassen:

  • Das Recht, Vor-Ort-Inspektionen der Einrichtungen des Auftragsverarbeiters mit angemessener Vorankündigung (mindestens 14 Tage) durchzuführen
  • Das Recht, relevante Dokumentationen im Zusammenhang mit den Verarbeitungstätigkeiten einzusehen
  • Das Recht, relevantes Personal zu befragen

Audits werden während der normalen Geschäftszeiten gemäß den Richtlinien des Auftragsverarbeiters durchgeführt und beeinträchtigen die Geschäftstätigkeit des Auftragsverarbeiters nicht unangemessen.

Der Verantwortliche trägt alle Kosten im Zusammenhang mit Audits, es sei denn, ein Audit deckt einen wesentlichen Verstoß gegen diesen AVV auf. In diesem Fall trägt der Auftragsverarbeiter die angemessenen Kosten des Audits.

Der Verantwortliche führt nicht mehr als ein Audit pro Jahr durch, es sei denn, dies wird von einer Aufsichtsbehörde verlangt oder erfolgt nach einer Verletzung des Schutzes personenbezogener Daten.

Jeder vom Verantwortlichen beauftragte externe Prüfer muss Vertraulichkeitsverpflichtungen unterliegen.

7.9 Verzeichnis von Verarbeitungstätigkeiten

Der Auftragsverarbeiter führt ein Verzeichnis seiner Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 2 der DSGVO und stellt dieses Verzeichnis dem Verantwortlichen auf Anfrage zur Verfügung.

8. Internationale Datenübermittlungen

Jede Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erfolgt mit angemessenen Garantien gemäß den Anforderungen der DSGVO.

Für Übermittlungen an Drittanbieter (Unterauftragsverarbeiter) mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) stellt der Auftragsverarbeiter sicher, dass solche Übermittlungen durch geeignete Garantien geschützt sind, die aus Folgendem bestehen:

  • EU-Standardvertragsklauseln (Version 2021) für Übermittlungen an Google Cloud / Vertex AI, SendGrid (Twilio) und Stripe
  • Zusätzliche technische Maßnahmen, einschließlich:
    • Verschlüsselung während der Übertragung (HTTPS/TLS)
    • Sofortige Löschung oder Minimierung der Daten nach der Verarbeitung
    • Vertragliche Zusicherungen, dass die Daten nicht für das Training allgemeiner KI-Modelle oder für eigene Zwecke der Unterauftragsverarbeiter verwendet werden

Der Auftragsverarbeiter bewertet die Anforderungen für internationale Übermittlungen und setzt geeignete Garantien und ergänzende Maßnahmen bei Bedarf um.

Sollte der rechtliche Mechanismus, der die rechtmäßige Übermittlung personenbezogener Daten in ein Drittland ermöglicht, als ungültig oder unzureichend erachtet werden, wird der Auftragsverarbeiter den Verantwortlichen unverzüglich benachrichtigen und mit dem Verantwortlichen zusammenarbeiten, um eine alternative Lösung zu implementieren.

9. Haftungsbeschränkung

Die Haftung jeder Partei aus diesem AVV unterliegt den Haftungsausschlüssen und -beschränkungen, die im Vertrag festgelegt sind.

Nichts in diesem AVV schließt die Haftung einer Partei aus oder beschränkt sie für:

  • Tod oder Körperverletzung infolge von Fahrlässigkeit
  • Betrug oder arglistige Täuschung
  • Jede andere Haftung, die nach geltendem Recht nicht ausgeschlossen oder beschränkt werden kann

10. Sonstiges

10.1 Kollision

Im Falle eines Widerspruchs oder einer Inkonsistenz zwischen diesem AVV und dem Vertrag haben die Bestimmungen dieses AVV Vorrang in Bezug auf die Datenschutzpflichten der Parteien.

10.2 Änderungen des Datenschutzrechts

Die Parteien vereinbaren, Änderungen an diesem AVV auszuhandeln, wenn Änderungen des geltenden Datenschutzrechts eine solche Änderung erfordern.

10.3 Salvatorische Klausel

Sollte eine Bestimmung dieses AVV ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieses AVV gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird durch eine gültige und durchsetzbare Bestimmung ersetzt, die der Absicht der ungültigen Bestimmung am nächsten kommt.

10.4 Keine Drittbegünstigten

Dieser AVV gilt nur zugunsten der Parteien und ihrer jeweiligen zulässigen Rechtsnachfolger und Abtretungsempfänger und ist nicht dazu bestimmt, Dritten Rechte oder Vorteile zu gewähren.

10.5 Aktualisierungen des AVV

Dieser AVV kann von Zeit zu Zeit aktualisiert werden. Der Verantwortliche wird über wesentliche Änderungen mindestens 30 Tage im Voraus informiert. Die fortgesetzte Nutzung der Dienste nach einer solchen Benachrichtigung gilt als Annahme des aktualisierten AVV.

10.6 Freistellung

Der Auftragsverarbeiter stellt den Verantwortlichen von allen Verlusten, Schäden, Kosten, Ansprüchen oder Ausgaben frei, die dem Verantwortlichen aus einer Verletzung dieses AVV durch den Auftragsverarbeiter entstehen, vorbehaltlich der im Vertrag festgelegten Beschränkungen und Ausschlüsse.

10.7 Kontaktinformationen

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

Simon Schwer
Wolfringstraße 14
90765 Fürth, Deutschland
E-Mail: info@tensorpm.com

Version: 1.5 Stand: 26. Januar 2026