Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO zwischen dem Kunden („Verantwortlicher") und totally boring ai („Auftragsverarbeiter")
Stand: April 2026
Hinweis zum Vertragsschluss: Mit Abschluss eines Nutzungsvertrages über die Foerdinand-Plattform und der Eingabe personenbezogener Daten Dritter (z. B. Mitglieder, Spender, Antragsteller) in die Plattform gilt dieser Auftragsverarbeitungsvertrag zwischen dem Kunden (als Verantwortlichem) und totally boring ai (als Auftragsverarbeiter) in der zum Zeitpunkt der Eingabe gültigen Fassung als geschlossen (vgl. § 13 Abs. 2 der AGB). Diese Seite kann jederzeit ausgedruckt, gespeichert und als PDF abgerufen werden. Auf Wunsch stellen wir den AVV zusätzlich gegengezeichnet zur Verfügung — schreiben Sie uns dazu eine E-Mail an office@totallyboringai.com.
Parteien
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Kunde, der über die Foerdinand-Plattform einen Nutzungsvertrag mit totally boring ai abgeschlossen hat (nachfolgend „Verantwortlicher").
Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist:
totally boring ai
Inhaber: Achim Sondermann
Roonstraße 61, 50674 Köln, Deutschland
E-Mail: office@totallyboringai.com
§ 1 Gegenstand und Dauer
(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und Nutzung der Software-as-a-Service-Plattform „Foerdinand" (nachfolgend „Plattform") nach Maßgabe des zugrunde liegenden Hauptvertrages (AGB unter foerdinand.de/agb).
(2) Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Eine isolierte Kündigung dieses AVV ist ausgeschlossen.
§ 2 Art, Zweck und Umfang der Verarbeitung
(1) Art der Verarbeitung: Erheben, Erfassen, Speichern, Strukturieren, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten personenbezogener Daten zum Zweck der Bereitstellung der vertraglich vereinbarten Leistungen, einschließlich der Verarbeitung durch eingesetzte KI-Modelle und Drittanbieter (Unterauftragsverarbeiter, vgl. § 8).
(2) Zweck: Bereitstellung und Erbringung der in den AGB beschriebenen Plattform-Funktionen, insbesondere Förderprojekt- und Antrags-Management, Sprach-Agent, Formular-Ausfüller, KI-gestützte Texterstellung sowie damit verbundene Verwaltungs-, Support- und Abrechnungsprozesse.
(3) Art der personenbezogenen Daten: Insbesondere Stamm- und Kontaktdaten (Name, E-Mail, Telefon, Anschrift), Vereins-/Organisationsdaten, Mitglieds- und Spenderdaten, Antragsteller- und Projektbeteiligten-Daten, von Nutzer:innen hochgeladene Dokumente und deren Inhalte, Nutzungsdaten, Authentifizierungs- und Audit-Daten.
(4) Kategorien betroffener Personen: Mitarbeitende und Mitglieder des Verantwortlichen, Vereinsmitglieder, Spender, Antragsteller, Projektbeteiligte, Geschäftskontakte sowie sonstige in Dokumenten oder Eingaben des Verantwortlichen genannte Personen.
(5) Besondere Kategorien nach Art. 9 DSGVO werden grundsätzlich nicht aktiv erhoben. Soweit der Verantwortliche solche Daten in die Plattform einbringt (z. B. in hochgeladenen Dokumenten), liegt dies in seiner alleinigen Verantwortung; er hat sicherzustellen, dass eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO besteht.
§ 3 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet.
(2) Der Hauptvertrag, die AGB sowie dieser AVV bilden die grundsätzliche Weisungslage. Konkrete Einzelweisungen können in Textform (z. B. per E-Mail an office@totallyboringai.com) erteilt werden.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
§ 4 Technische und organisatorische Maßnahmen (TOMs)
(1) Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Dies umfasst insbesondere:
- Vertraulichkeit: Zutrittskontrolle (geschützte Cloud-Rechenzentren von Vercel/Supabase in der EU); Zugangskontrolle (rollenbasierte Authentifizierung, Multi-Faktor-Authentifizierung für Administratoren); Zugriffskontrolle (Row-Level-Security auf Datenbankebene, Mandantentrennung pro Organisation); Pseudonymisierung und Verschlüsselung personenbezogener Daten (TLS in transit, AES-256 at rest).
- Integrität: Eingabekontrolle (Audit-Logs für sicherheitsrelevante Vorgänge); Weitergabekontrolle (TLS 1.2+ für sämtliche Verbindungen, signierte Webhooks).
- Verfügbarkeit und Belastbarkeit: Tägliche automatisierte Backups, redundante Speicherung, Disaster-Recovery-Konzept, Monitoring (Sentry) und Verfügbarkeits-Alerts.
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung: Regelmäßige Sicherheits-Reviews, Patch- und Update-Management, Schwachstellen-Monitoring der eingesetzten Bibliotheken.
- Personelle Maßnahmen: Verpflichtung aller mit der Verarbeitung befassten Personen auf das Datengeheimnis nach Art. 28 Abs. 3 lit. b DSGVO und § 53 BDSG.
(2) Eine ausführliche Übersicht der konkreten TOMs ist abrufbar unter foerdinand.de/sicherheit und kann auf Anfrage in einer für Audit-Zwecke geeigneten Fassung übermittelt werden.
(3) Der Auftragsverarbeiter ist berechtigt, die TOMs an den Stand der Technik anzupassen, sofern das Schutzniveau nicht unterschritten wird.
§ 5 Berichtigung, Löschung und Einschränkung
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten nach Art. 12 bis 22 DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch).
(2) Der Verantwortliche kann Berichtigungen, Löschungen und Einschränkungen über die in der Plattform vorgesehenen Funktionen grundsätzlich selbst vornehmen.
(3) Personenbezogene Daten werden nach Beendigung des Hauptvertrages nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Verantwortliche hat hierfür ab Vertragsende einen Zeitraum von 30 Tagen für den Export (vgl. § 6 Abs. 6 AGB). Im Anschluss erfolgt die Löschung.
§ 6 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 33 DSGVO, die im Verantwortungsbereich des Auftragsverarbeiters eingetreten ist.
(2) Die Mitteilung umfasst, soweit verfügbar: eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien und Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder geplanten Maßnahmen.
(3) Die Meldepflicht gegenüber der Aufsichtsbehörde und den betroffenen Personen verbleibt beim Verantwortlichen.
§ 7 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation der Aufsichtsbehörde).
§ 8 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Hinzuziehung der unten in § 9 genannten weiteren Auftragsverarbeiter. Der Auftragsverarbeiter wird mit allen Unterauftragsverarbeitern Verträge nach Art. 28 DSGVO schließen, die ein dem vorliegenden AVV gleichwertiges Datenschutzniveau sicherstellen.
(2) Bei beabsichtigter Hinzuziehung weiterer oder beim Austausch bestehender Unterauftragsverarbeiter wird der Auftragsverarbeiter den Verantwortlichen mindestens vier Wochen im Voraus in Textform informieren. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen in Textform widersprechen. Im Falle eines berechtigten Widerspruchs steht dem Auftragsverarbeiter ein außerordentliches Kündigungsrecht zu.
(3) Bei Übermittlung personenbezogener Daten in Drittländer (außerhalb EU/EWR) stellt der Auftragsverarbeiter ein angemessenes Datenschutzniveau sicher, insbesondere durch Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914, ergänzt um geeignete technische und organisatorische Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung) und – soweit erforderlich – ein Transfer-Impact-Assessment.
§ 9 Liste der Unterauftragsverarbeiter
Folgende Unterauftragsverarbeiter sind zum Stand April 2026 genehmigt:
| Anbieter | Zweck | Sitz / Verarbeitungsort | Rechtsgrundlage Drittland |
|---|---|---|---|
| Vercel Inc. | Hosting Frontend, Edge / CDN, Logs | USA / EU-Region (Frankfurt) | SCC + DPA |
| Supabase Inc. | Datenbank (PostgreSQL), Auth, Storage | EU (Frankfurt) | EU-Verarbeitung |
| OpenAI Ireland Ltd. / OpenAI L.L.C. | KI-Inferenz (LLMs, Sprach-Agent, Embeddings) | Irland / USA | SCC + DPA, Zero-Data-Retention für API-Nutzung |
| Anthropic PBC | KI-Inferenz (Claude-Modelle) | USA | SCC + DPA, Zero-Data-Retention für API-Nutzung |
| Resend, Inc. | Transaktionale E-Mails | USA | SCC + DPA |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (sofern aktiviert) | Irland / USA | SCC + DPA |
| Functional Software, Inc. (Sentry) | Fehler- und Performance-Monitoring | USA | SCC + DPA |
| Plain (Plain Software Ltd.) | Kunden-Support / Ticket-System | Vereinigtes Königreich | Angemessenheitsbeschluss UK |
Die Liste wird laufend gepflegt. Eine jeweils aktuelle Fassung ist unter foerdinand.de/avv abrufbar. Hinweis: KI-Inferenz-Anbieter werden im Rahmen ihrer API-Nutzungsbedingungen so konfiguriert, dass die übermittelten Daten nicht zum Modell-Training verwendet werden („Zero-Data-Retention" bzw. „API-Daten nicht für Training").
§ 10 Rechte und Pflichten des Verantwortlichen
(1) Der Verantwortliche ist allein für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich.
(2) Der Verantwortliche stellt sicher, dass für jede Verarbeitung eine gültige Rechtsgrundlage besteht und dass betroffene Personen ordnungsgemäß informiert wurden.
(3) Weisungen sind, soweit möglich, in Textform zu erteilen. Bei mündlich erteilten Weisungen hat der Verantwortliche diese unverzüglich in Textform zu bestätigen.
§ 11 Nachweise und Audits
(1) Der Auftragsverarbeiter weist die Einhaltung der in diesem Vertrag niedergelegten Pflichten dem Verantwortlichen mit geeigneten Mitteln nach (z. B. aktuelle TOM-Dokumentation, Selbstauskünfte, ggf. Zertifikate oder Berichte unabhängiger Prüfer).
(2) Der Verantwortliche ist berechtigt, sich von der Einhaltung der Pflichten beim Auftragsverarbeiter durch Inspektionen zu überzeugen. Inspektionen sind mit angemessenem zeitlichem Vorlauf (mindestens vier Wochen), während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchzuführen. Die durch eine Inspektion entstehenden Kosten trägt der Verantwortliche.
(3) Der Auftragsverarbeiter darf Inspektionen durch geeignete Nachweise (Audit-Berichte, Zertifizierungen, z. B. nach ISO 27001 oder vergleichbar) ersetzen, sofern dies dem Verantwortlichen zumutbar ist.
§ 12 Haftung
Für die Haftung der Parteien gelten die Regelungen des Art. 82 DSGVO und ergänzend die Haftungsregelungen des Hauptvertrages (§ 11 AGB).
§ 13 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Regelung tritt die gesetzliche Regelung.
(2) Es gilt deutsches Recht.
(3) Für Streitigkeiten aus oder im Zusammenhang mit diesem AVV gilt der im Hauptvertrag vereinbarte Gerichtsstand.
(4) Im Falle eines Widerspruchs zwischen den Regelungen dieses AVV und den Regelungen des Hauptvertrages gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.