Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO zwischen dem Kunden („Verantwortlicher") und totally boring ai („Auftragsverarbeiter")
Stand: Mai 2026
Hinweis zum Vertragsschluss: Mit Abschluss eines Nutzungsvertrages über die Foerdinand-Plattform und der Eingabe personenbezogener Daten Dritter (z. B. Mitglieder, Spender, Antragsteller) in die Plattform gilt dieser Auftragsverarbeitungsvertrag zwischen dem Kunden (als Verantwortlichem) und totally boring ai (als Auftragsverarbeiter) in der zum Zeitpunkt der Eingabe gültigen Fassung als geschlossen (vgl. § 13 Abs. 2 der AGB). Diese Seite kann jederzeit ausgedruckt, gespeichert und als PDF abgerufen werden. Auf Wunsch stellen wir den AVV zusätzlich gegengezeichnet zur Verfügung — schreiben Sie uns dazu eine E-Mail an office@totallyboringai.com. Bitte prüfen Sie vor einer produktiven Nutzung, ob diese Fassung für Ihren konkreten Einsatzfall und aktivierte Zusatzfunktionen genügt.
Parteien
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Kunde, der über die Foerdinand-Plattform einen Nutzungsvertrag mit totally boring ai abgeschlossen hat (nachfolgend „Verantwortlicher").
Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist:
totally boring ai
Inhaber: Achim Sondermann
Roonstraße 61, 50674 Köln, Deutschland
E-Mail: office@totallyboringai.com
§ 1 Gegenstand und Dauer
(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und Nutzung der Software-as-a-Service-Plattform „Foerdinand" (nachfolgend „Plattform") nach Maßgabe des zugrunde liegenden Hauptvertrages (AGB unter foerdinand.ai/agb).
(2) Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Eine isolierte Kündigung dieses AVV ist ausgeschlossen.
§ 2 Art, Zweck und Umfang der Verarbeitung
(1) Art der Verarbeitung: Erheben, Erfassen, Speichern, Strukturieren, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten personenbezogener Daten zum Zweck der Bereitstellung der vertraglich vereinbarten Leistungen, einschließlich der Verarbeitung durch eingesetzte KI-Modelle und Drittanbieter (Unterauftragsverarbeiter, vgl. § 8).
(2) Zweck: Bereitstellung und Erbringung der in den AGB beschriebenen Plattform-Funktionen, insbesondere Förderprojekt- und Antrags-Management, Sprach-Agent, Formular-Ausfüller, KI-gestützte Texterstellung sowie damit verbundene Verwaltungs-, Support- und Abrechnungsprozesse.
(3) Art der personenbezogenen Daten: Insbesondere Stamm- und Kontaktdaten (Name, E-Mail, Telefon, Anschrift), Vereins-/Organisationsdaten, Mitglieds- und Spenderdaten, Antragsteller- und Projektbeteiligten-Daten, von Nutzer:innen hochgeladene Dokumente und deren Inhalte, Nutzungsdaten, Authentifizierungs- und Audit-Daten.
(4) Kategorien betroffener Personen: Mitarbeitende und Mitglieder des Verantwortlichen, Vereinsmitglieder, Spender, Antragsteller, Projektbeteiligte, Geschäftskontakte sowie sonstige in Dokumenten oder Eingaben des Verantwortlichen genannte Personen.
(5) Besondere Kategorien nach Art. 9 DSGVO werden grundsätzlich nicht aktiv erhoben. Soweit der Verantwortliche solche Daten in die Plattform einbringt (z. B. in hochgeladenen Dokumenten), liegt dies in seiner alleinigen Verantwortung; er hat sicherzustellen, dass eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO besteht.
§ 3 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet.
(2) Der Hauptvertrag, die AGB sowie dieser AVV bilden die grundsätzliche Weisungslage. Konkrete Einzelweisungen können in Textform (z. B. per E-Mail an office@totallyboringai.com) erteilt werden.
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.
§ 4 Technische und organisatorische Maßnahmen (TOMs)
(1) Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Dies umfasst insbesondere:
- Vertraulichkeit: Zutrittskontrolle (geschützte Cloud-Rechenzentren der eingesetzten Hosting-Anbieter; primäre Datenhaltung soweit konfiguriert in EU-Regionen); Zugangskontrolle (rollenbasierte Authentifizierung, Multi-Faktor-Authentifizierung für Administratoren); Zugriffskontrolle (Row-Level-Security auf Datenbankebene, Mandantentrennung pro Organisation); Pseudonymisierung und Verschlüsselung personenbezogener Daten (TLS in transit, AES-256 at rest).
- Integrität: Eingabekontrolle (Audit-Logs für sicherheitsrelevante Vorgänge); Weitergabekontrolle (TLS 1.2+ für sämtliche Verbindungen, signierte Webhooks).
- Verfügbarkeit und Belastbarkeit: Tägliche automatisierte Backups, redundante Speicherung, Disaster-Recovery-Konzept, Monitoring (Sentry) und Verfügbarkeits-Alerts.
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung: Regelmäßige Sicherheits-Reviews, Patch- und Update-Management, Schwachstellen-Monitoring der eingesetzten Bibliotheken.
- Personelle Maßnahmen: Verpflichtung aller mit der Verarbeitung befassten Personen auf das Datengeheimnis nach Art. 28 Abs. 3 lit. b DSGVO und § 53 BDSG.
(2) Eine ausführliche Übersicht der konkreten TOMs ist abrufbar unter foerdinand.ai/sicherheit und kann auf Anfrage in einer für Audit-Zwecke geeigneten Fassung übermittelt werden.
(3) Der Auftragsverarbeiter ist berechtigt, die TOMs an den Stand der Technik anzupassen, sofern das Schutzniveau nicht unterschritten wird.
§ 5 Berichtigung, Löschung und Einschränkung
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten nach Art. 12 bis 22 DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch).
(2) Der Verantwortliche kann Berichtigungen, Löschungen und Einschränkungen über die in der Plattform vorgesehenen Funktionen grundsätzlich selbst vornehmen.
(3) Personenbezogene Daten werden nach Beendigung des Hauptvertrages nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Verantwortliche hat hierfür ab Vertragsende einen Zeitraum von 30 Tagen für den Export (vgl. § 6 Abs. 6 AGB). Im Anschluss erfolgt die Löschung.
(4) Gelöschte Daten können in Datensicherungen (Backups) noch für einen begrenzten Zeitraum enthalten sein: in operativen Backups bis zu 30 Tage, in zusätzlichen Off-Site-Sicherungen bis zu drei Monate. Backups werden ausschließlich zur Wiederherstellung im Störungsfall verwendet; bei einer Wiederherstellung werden zwischenzeitlich erfolgte Löschungen erneut ausgeführt.
§ 6 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 33 DSGVO, die im Verantwortungsbereich des Auftragsverarbeiters eingetreten ist.
(2) Die Mitteilung umfasst, soweit verfügbar: eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien und Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder geplanten Maßnahmen.
(3) Die Meldepflicht gegenüber der Aufsichtsbehörde und den betroffenen Personen verbleibt beim Verantwortlichen.
§ 7 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation der Aufsichtsbehörde).
§ 8 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Hinzuziehung der unten in § 9 genannten weiteren Auftragsverarbeiter. Die Liste unterscheidet zwischen eingesetzten und je nach aktivierter Funktion optionalen Anbietern. Vor produktiver Aktivierung einer optionalen Funktion sind Anbieterrolle, Vertragsgrundlage und Transfermechanismen gesondert zu prüfen.
(2) Bei beabsichtigter Hinzuziehung weiterer oder beim Austausch bestehender Unterauftragsverarbeiter wird der Auftragsverarbeiter den Verantwortlichen mindestens vier Wochen im Voraus in Textform informieren. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen in Textform widersprechen. Im Falle eines berechtigten Widerspruchs steht dem Auftragsverarbeiter ein außerordentliches Kündigungsrecht zu.
(3) Bei Übermittlung personenbezogener Daten in Drittländer (außerhalb EU/EWR) sind ein angemessenes Datenschutzniveau, einschlägige Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914, technische und organisatorische Schutzmaßnahmen sowie – soweit erforderlich – ein Transfer-Impact-Assessment anhand der jeweils gültigen Anbieterunterlagen zu prüfen.
§ 9 Liste der Unterauftragsverarbeiter
Folgende Anbieter sind zum Stand Mai 2026 eingesetzt oder je nach aktivierter Funktion vorgesehen:
| Anbieter | Zweck | Sitz / Verarbeitungsort | Rechtsgrundlage Drittland |
|---|---|---|---|
| Vercel Inc. | Hosting Frontend, Edge / CDN, Logs | USA / globale Edge-Infrastruktur; Region je nach Konfiguration | Anbieterunterlagen / SCC soweit erforderlich prüfen |
| Supabase Inc. | Datenbank (PostgreSQL), Auth, Storage | EU-Region Frankfurt soweit konfiguriert; Anbieter mit US-Bezug | Anbieterunterlagen / SCC soweit erforderlich prüfen |
| Heroku (Salesforce, Inc.) | Hosting Backend (API, Hintergrund-Jobs), Logs | EU-Region soweit konfiguriert; Anbieter mit US-Bezug | Anbieterunterlagen / SCC soweit erforderlich prüfen |
| OpenAI Ireland Ltd. / OpenAI L.L.C. | KI-Inferenz (LLMs, Sprach-Agent, Embeddings) | Irland / USA | Anbieterunterlagen / SCC / Datenschutzoptionen prüfen |
| Anthropic PBC | KI-Inferenz (Claude-Modelle) | USA | Anbieterunterlagen / SCC / Datenschutzoptionen prüfen |
| Google Ireland Ltd./Google LLC | Optionale KI-Bildgenerierung | Anbieterabhängig; teils Drittlandbezug | Anbieterunterlagen / SCC / Datenschutzoptionen prüfen |
| LandingAI | Dokumentenverarbeitung, OCR und strukturierte Extraktion (Agentic Document Extraction) | EU-Deployment (AWS Irland, eu-west-1); Anbieter mit US-Bezug | Anbieterunterlagen / SCC / EU-Endpunkt-Konfiguration prüfen |
| PDFShift | PDF-Erstellung, sofern serverseitige PDF-Exporte genutzt werden | Anbieterabhängig; teils Drittlandbezug | Anbieterunterlagen und übermittelte Inhalte prüfen |
| Firecrawl | Web-Recherche und Abruf externer Quellen, sofern genutzt | Anbieterabhängig; teils Drittlandbezug | Anbieterunterlagen und Such-/Projektkontexte prüfen |
| Resend, Inc. | Transaktionale E-Mails | USA | Anbieterunterlagen / SCC soweit erforderlich prüfen |
| Sendinblue SAS (Brevo) | Newsletter-Versand (Marketing / Produkt-Updates, Double-Opt-In) | Frankreich / EU | Anbieterunterlagen prüfen |
| CopeCart/Stripe oder vergleichbare Zahlungsanbieter | Abrechnung und Zahlungsabwicklung (sofern aktiviert) | Irland / USA | Billing-Stack und Anbieterunterlagen prüfen |
| Browserbase/Browserless bzw. Stagehand | Optionale Browser-Automation für Formularfunktionen | Anbieter- und regionenabhängig; teils Drittlandbezug | Konfiguration und Anbieterunterlagen prüfen |
| Functional Software, Inc. (Sentry) | Fehler- und Performance-Monitoring | USA | Anbieterunterlagen / SCC soweit erforderlich prüfen |
| Plain (Plain Software Ltd.) | Kunden-Support / Ticket-System | Vereinigtes Königreich | Angemessenheitsbeschluss UK |
| Cal.com, Inc. | Terminbuchung im Rahmen von Zugangs-/Demo-Anfragen (sofern genutzt) | Anbieter mit US-Bezug; Verarbeitung je nach Produktkonfiguration | Anbieterunterlagen / SCC soweit erforderlich prüfen |
| Liveblocks, Inc. | Echtzeit-Kollaboration (gemeinsames Bearbeiten, Präsenz, Kommentare) in den Editoren | USA | Anbieterunterlagen / SCC soweit erforderlich prüfen |
| Cloudflare, Inc. | Bot-Schutz (Cloudflare Turnstile) für Registrierung, Login und Passwort-Zurücksetzen | USA | Anbieterunterlagen / SCC soweit erforderlich prüfen |
Die Liste wird laufend gepflegt. Eine jeweils aktuelle Fassung ist unter foerdinand.ai/avv abrufbar. Hinweis: KI-Inferenz-Anbieter und weitere optionale Dienste werden nur eingesetzt, wenn die jeweilige Funktion aktiviert bzw. genutzt wird; produktbezogene Datenschutzoptionen und Training-/Retention-Einstellungen sind je Anbieter gesondert zu prüfen.
§ 10 Rechte und Pflichten des Verantwortlichen
(1) Der Verantwortliche ist allein für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich.
(2) Der Verantwortliche stellt sicher, dass für jede Verarbeitung eine gültige Rechtsgrundlage besteht und dass betroffene Personen ordnungsgemäß informiert wurden.
(3) Weisungen sind, soweit möglich, in Textform zu erteilen. Bei mündlich erteilten Weisungen hat der Verantwortliche diese unverzüglich in Textform zu bestätigen.
§ 11 Nachweise und Audits
(1) Der Auftragsverarbeiter weist die Einhaltung der in diesem Vertrag niedergelegten Pflichten dem Verantwortlichen mit geeigneten Mitteln nach (z. B. aktuelle TOM-Dokumentation, Selbstauskünfte, ggf. Zertifikate oder Berichte unabhängiger Prüfer).
(2) Der Verantwortliche ist berechtigt, sich von der Einhaltung der Pflichten beim Auftragsverarbeiter durch Inspektionen zu überzeugen. Inspektionen sind mit angemessenem zeitlichem Vorlauf (mindestens vier Wochen), während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchzuführen. Die durch eine Inspektion entstehenden Kosten trägt der Verantwortliche.
(3) Der Auftragsverarbeiter darf Inspektionen durch geeignete Nachweise (Audit-Berichte, Zertifizierungen, z. B. nach ISO 27001 oder vergleichbar) ersetzen, sofern dies dem Verantwortlichen zumutbar ist.
§ 12 Haftung
Für die Haftung der Parteien gelten die Regelungen des Art. 82 DSGVO und ergänzend die Haftungsregelungen des Hauptvertrages (§ 11 AGB).
§ 13 Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Regelung tritt die gesetzliche Regelung.
(2) Es gilt deutsches Recht.
(3) Für Streitigkeiten aus oder im Zusammenhang mit diesem AVV gilt der im Hauptvertrag vereinbarte Gerichtsstand.
(4) Im Falle eines Widerspruchs zwischen den Regelungen dieses AVV und den Regelungen des Hauptvertrages gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.