nuochat

Zum Abschluss dieses Auftragsverarbeitungsvertrags

  1. Diese Seite im Browser als PDF speichern (Mac: +P, Windows: Strg+P, dann „Als PDF speichern").
  2. Auf Seite 2 im Abschnitt „Unterschriften" von einer vertretungsberechtigten Person unterzeichnen lassen.
  3. Die gegengezeichnete PDF an av@nuochat.de senden. Wir schicken Ihnen die gegengezeichnete Version zurück und archivieren sie.

Version 1 · Stand: 23.04.2026 · Geltung: für alle bezahlten Tarife (Starter, Pro). Für Business-Kunden gilt optional ein individualisierter AV auf Anfrage.

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Zwischen

dem Kunden gemäß nuochat-Konto und den auf Seite 2 angegebenen Kontaktdaten

— nachfolgend „Verantwortlicher" —

und

André Reese, Schulstr. 15, 21635 Jork, Deutschland, handelnd unter der Marke „nuochat", E-Mail: info@nuochat.de

— nachfolgend „Auftragsverarbeiter" —

gemeinsam auch „die Parteien".

1. Gegenstand und Dauer des Auftrags

1.1 Gegenstand

Der Auftragsverarbeiter stellt dem Verantwortlichen das KI-Chatwidget „nuochat" als Software-as-a-Service zur Verfügung (nachfolgend „Dienst"). Der Dienst ermöglicht es dem Verantwortlichen, ein Chat-Interface auf der eigenen Website einzubetten, das Anfragen von Endnutzern auf Basis der vom Verantwortlichen bereitgestellten Inhalte (Dokumente, Webseiten, Texte) mithilfe von KI-Sprachmodellen beantwortet.

Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Die Einzelheiten der Verarbeitung ergeben sich aus Anlage 1.

1.2 Dauer

Dieser Vertrag gilt für die Laufzeit des zugrundeliegenden Hauptvertrags (Nutzungsvertrag über den nuochat-Dienst) und endet mit dessen Beendigung. Die Regelungen zur Löschung und Rückgabe (Ziffer 9) überleben die Vertragsbeendigung.

1.3 Verhältnis zum Hauptvertrag

Dieser Vertrag konkretisiert den Hauptvertrag in Bezug auf die Verarbeitung personenbezogener Daten. Im Konflikt zwischen Regelungen beider Verträge gehen die Regelungen dieses Vertrags zum Schutz personenbezogener Daten vor.

2. Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen

Art, Umfang und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in Anlage 1 (Beschreibung der Verarbeitung) festgelegt.

3. Pflichten des Auftragsverarbeiters

3.1 Weisungsbindung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Dies gilt auch für die Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

3.2 Weisungsrechte

Weisungen werden grundsätzlich in Textform (E-Mail genügt) erteilt. Als Grundweisung gilt die vertragsgemäße Nutzung des Dienstes über die bereitgestellte Weboberfläche. Der Verantwortliche kann Weisungen jederzeit durch andere Weisungen ersetzen oder ergänzen. Ist eine Weisung aus Sicht des Auftragsverarbeiters rechtswidrig, informiert er den Verantwortlichen unverzüglich.

3.3 Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sich, alle zur Verarbeitung eingesetzten Personen auf Vertraulichkeit zu verpflichten oder sicherzustellen, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.

3.4 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der personenbezogenen Daten. Die getroffenen Maßnahmen sind in Anlage 2 dokumentiert. Der Auftragsverarbeiter darf die Maßnahmen fortentwickeln, darf dabei jedoch das vereinbarte Schutzniveau nicht unterschreiten. Wesentliche Änderungen sind dem Verantwortlichen mitzuteilen.

3.5 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von

  • Anträgen betroffener Personen (Art. 12 bis 23 DSGVO),
  • Meldepflichten bei Datenpannen (Art. 33, 34 DSGVO),
  • Datenschutz-Folgenabschätzungen und vorheriger Konsultation (Art. 35, 36 DSGVO).

Der Auftragsverarbeiter kann hierfür einen angemessenen Aufwandsersatz verlangen, soweit der Aufwand nicht durch das vereinbarte Nutzungsentgelt abgedeckt ist.

3.6 Meldung von Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich — spätestens innerhalb von 72 Stunden nach Kenntnis — jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betrifft. Die Meldung erfolgt per E-Mail an die im Kunden-Konto hinterlegte Kontaktadresse und enthält mindestens die nach Art. 33 Abs. 3 DSGVO geforderten Angaben, soweit bekannt.

3.7 Datenschutzbeauftragter

Der Auftragsverarbeiter ist nicht gesetzlich zur Benennung eines Datenschutzbeauftragten verpflichtet. Ansprechpartner für Datenschutzanfragen ist der Auftragsverarbeiter selbst, erreichbar unter info@nuochat.de.

4. Unterauftragsverhältnisse (Sub-Processors)

4.1 Genehmigte Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz der in Anlage 3 aufgeführten Unterauftragsverarbeiter zu.

4.2 Allgemeine Vorabgenehmigung

Der Auftragsverarbeiter ist berechtigt, weitere Unterauftragsverarbeiter hinzuzuziehen oder bestehende auszutauschen. Er informiert den Verantwortlichen hierüber mindestens 14 Tage im Voraus per E-Mail an die im Kunden-Konto hinterlegte Kontaktadresse oder durch Hinweis im Dashboard.

4.3 Widerspruchsrecht

Der Verantwortliche kann einem Wechsel aus wichtigem Grund (datenschutzrechtliche Bedenken) innerhalb von 14 Tagen nach Information widersprechen. Kann in diesem Fall keine einvernehmliche Lösung gefunden werden, steht beiden Parteien ein außerordentliches Kündigungsrecht bezogen auf den Hauptvertrag zu.

4.4 Pflichten bei Unterauftragsverarbeitung

Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich zu den gleichen Datenschutzpflichten, die in diesem Vertrag niedergelegt sind. Er haftet gegenüber dem Verantwortlichen für die Einhaltung dieser Pflichten durch den Unterauftragsverarbeiter wie für eigenes Handeln.

4.5 Drittlandsübermittlung

Soweit Unterauftragsverarbeiter Daten in einem Drittland verarbeiten, stellt der Auftragsverarbeiter sicher, dass ein angemessenes Schutzniveau im Sinne der Art. 44 ff. DSGVO vorliegt — insbesondere durch einen Angemessenheitsbeschluss der EU-Kommission oder durch Abschluss der EU-Standardvertragsklauseln (SCCs) in der jeweils aktuellen Fassung nebst ergänzender Schutzmaßnahmen.

5. Rechte der betroffenen Person

Wenden sich betroffene Personen mit Anträgen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter und beantwortet den Antrag nicht selbst, sofern nichts anderes vereinbart wurde. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung (siehe Ziffer 3.5).

6. Nachweis- und Kontrollrechte

6.1 Nachweis

Der Auftragsverarbeiter weist die Einhaltung seiner Pflichten aus diesem Vertrag auf Anfrage durch geeignete Mittel nach. Als geeigneter Nachweis gelten insbesondere:

  • die aktuelle Fassung der TOMs (Anlage 2),
  • die Beantwortung eines Fragebogens des Verantwortlichen in angemessenem Umfang,
  • ggf. vorhandene Zertifikate oder Testate.

6.2 Audit-Recht

Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags beim Auftragsverarbeiter zu überprüfen. Das Audit kann erfolgen durch:

  • schriftliche Selbstauskunft / Fragebogen,
  • Remote-Inspektion (z. B. Video-Call) nach vorheriger Terminabstimmung.

Vor-Ort-Audits sind nur bei begründetem konkreten Anlass zulässig, mit einer Ankündigungsfrist von mindestens 30 Tagen, während normaler Geschäftszeiten und nicht häufiger als einmal pro Jahr. Die Kosten trägt der Verantwortliche, es sei denn, das Audit deckt eine wesentliche Pflichtverletzung des Auftragsverarbeiters auf.

6.3 Behördliche Kontrollen

Der Auftragsverarbeiter duldet Kontrollen der zuständigen Aufsichtsbehörden und unterstützt diese im erforderlichen Umfang.

7. Haftung

Die Haftung der Parteien richtet sich nach den Regelungen des Hauptvertrags und nach Art. 82 DSGVO. Im Außenverhältnis gegenüber betroffenen Personen haften beide Parteien nach den gesetzlichen Vorgaben. Im Innenverhältnis trägt jede Partei die Haftung entsprechend ihrem Verantwortungsbeitrag.

8. Mitteilung bei Verletzungen

Zusätzlich zur Meldung nach Ziffer 3.6 informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, wenn

  • eine Aufsichtsbehörde eine Kontrolle oder ein Verfahren einleitet, das die Verarbeitung im Auftrag des Verantwortlichen betrifft,
  • der Auftragsverarbeiter einer gerichtlichen oder behördlichen Anordnung zur Herausgabe der Daten nachkommen muss (soweit dies nicht gesetzlich verboten ist),
  • wesentliche Pflichten aus diesem Vertrag nicht eingehalten werden können.

9. Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle im Rahmen der Auftragsverarbeitung verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Pflicht zur Speicherung der personenbezogenen Daten besteht. Backups werden im Zuge regulärer Rotationszyklen überschrieben; die maximale Restdauer beträgt 60 Tage.

Auf Wunsch des Verantwortlichen stellt der Auftragsverarbeiter vor der Löschung eine Kopie der gespeicherten Daten in einem gängigen Format (JSON-Export) bereit. Das Verlangen ist spätestens mit Beendigung des Hauptvertrags zu äußern.

Die Löschung wird dem Verantwortlichen auf Verlangen schriftlich bestätigt.

10. Schlussbestimmungen

10.1 Schriftform

Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

10.2 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

10.3 Anwendbares Recht, Gerichtsstand

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.

10.4 Rangfolge

Die Anlagen 1 bis 3 sind Bestandteil dieses Vertrags. Bei Widersprüchen zwischen Vertragstext und Anlagen geht der Vertragstext vor.

Unterschriften

Für den Verantwortlichen

Ort, Datum:

Name (Druckbuchstaben):

Funktion:

Unterschrift:

 

Für den Auftragsverarbeiter

Ort, Datum: Jork,

Name: André Reese

Funktion: Inhaber

Unterschrift:

Anlage 1 — Beschreibung der Verarbeitung

A1.1 Gegenstand und Zweck der Verarbeitung

Bereitstellung eines KI-gestützten Chat-Widgets, das auf der Website des Verantwortlichen eingebettet wird und Anfragen von Endnutzern auf Grundlage der vom Verantwortlichen bereitgestellten Inhalte (Dokumente, Webseiten, Texte) beantwortet. Zwecke im Einzelnen:

  • Auslieferung des Chat-Widgets an Endnutzer
  • Generierung von Antworten mittels Vektor-Suche (RAG) und KI-Sprachmodell
  • Speicherung des Chat-Verlaufs pro Sitzung zur Nutzungsstatistik und Qualitätssicherung
  • Durchsetzung von Nutzungs-Quoten und Missbrauchsschutz
  • E-Mail-Benachrichtigungen an den Verantwortlichen (Quota-Warnung, Abrechnungs-Info)

A1.2 Art der personenbezogenen Daten

  • Account-Daten des Verantwortlichen: Name, E-Mail-Adresse, Passwort-Hash, Unternehmens-Website, Ansprechpartner
  • Inhaltsdaten: Vom Verantwortlichen hochgeladene oder per URL eingelesene Dokumente — können personenbezogene Daten enthalten, wenn der Verantwortliche solche Inhalte bereitstellt
  • Chat-Daten: Nutzereingaben der Endnutzer, Antworten des Widgets, Zeitstempel, Session-ID (zufällig, nicht personenbezogen)
  • Technische Daten: IP-Adresse (gekürzt oder gehasht zur Rate-Limit-Durchsetzung), User-Agent, Referrer
  • Nutzungsdaten: Chat-Zähler, Dokumentenzähler, Abrechnungs-Metadaten

A1.3 Kategorien betroffener Personen

  • Ansprechpartner und Administratoren auf Seiten des Verantwortlichen
  • Endnutzer, die das Widget auf der Website des Verantwortlichen verwenden
  • Personen, deren personenbezogene Daten in vom Verantwortlichen bereitgestellten Inhalten enthalten sind

A1.4 Dauer der Verarbeitung

  • Chat-Verläufe: automatische Löschung nach 30 Tagen (systemd-Timer chatwidget-retention.timer)
  • Dokumente und Embeddings: für die Laufzeit des Nutzungsvertrags, danach Löschung gemäß Ziffer 9
  • Account-Daten: für die Laufzeit des Nutzungsvertrags, danach Löschung gemäß Ziffer 9
  • Technische Logs (IP-gekürzt): maximal 30 Tage

A1.5 Ort der Verarbeitung

Primäre Verarbeitung auf Servern in Deutschland (Hetzner Online GmbH, Rechenzentrum Deutschland). Die KI-Inferenz (Embeddings und Chat-Antworten) erfolgt über API-Endpunkte der OpenAI Ireland Limited. Die Verarbeitung dort kann in der EU und in den USA stattfinden; die Übermittlung in die USA ist durch den Angemessenheitsbeschluss EU-US Data Privacy Framework sowie ergänzend durch EU-Standardvertragsklauseln abgesichert (siehe Anlage 3).

Anlage 2 — Technische und organisatorische Maßnahmen (TOMs)

Stand: 2026-04-23. Die Maßnahmen können fortentwickelt werden, ohne das Schutzniveau zu mindern.

A2.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

  • Server betrieben in zertifiziertem Rechenzentrum der Hetzner Online GmbH, Deutschland (ISO 27001, DIN EN 50600)
  • Zutritt zu Rechenzentren nur für autorisiertes Personal des Hosters
  • Keine physischen Datenträger auf Seiten des Auftragsverarbeiters

Zugangskontrolle

  • SSH-Zugang zum Produktionsserver ausschließlich per Public-Key-Authentifizierung, Passwort-Login deaktiviert
  • Admin-Zugang beschränkt auf den Inhaber
  • Starke Passwörter (bcrypt-Hash, 12 Runden) für Nutzer-Accounts
  • Zwei-Faktor-Authentifizierung wo verfügbar

Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle auf Anwendungsebene (Nutzer, Admin)
  • Mandantentrennung (Multi-Tenancy) durch Tenant-ID in jeder Datenbank-Abfrage
  • Zugriff auf produktive Datenbanken nur über verschlüsselte Verbindungen

Trennung

  • Logische Trennung von Mandanten-Daten über Tenant-ID-Spalte in jeder relevanten Tabelle
  • Getrennte Umgebungen für Produktion und Entwicklung

Pseudonymisierung

  • Passwörter werden nur als bcrypt-Hash gespeichert
  • Session-IDs werden als zufällige Tokens generiert
  • API-Keys werden gehashed gespeichert

A2.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

  • Transport-Verschlüsselung (TLS 1.2 / 1.3) für alle Verbindungen zwischen Widget, Dashboard und Server
  • TLS-Verschlüsselung für Verbindungen zu externen APIs (OpenAI, SMTP-Relay)
  • Keine Auslieferung unverschlüsselter Inhalte

Eingabekontrolle

  • Applikationslogs mit Zeitstempel für administrative Eingriffe
  • Journald-Logs auf Betriebssystemebene
  • Änderungen an Mandanten-Daten sind dem Mandanten-Owner zurechenbar (Auth-Layer)

A2.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

  • Regelmäßige verschlüsselte Backups der Datenbank
  • Überwachung von Systemzustand und Service-Uptime
  • Redundante Netzwerkanbindung des Rechenzentrums
  • systemd-basierte Auto-Restart-Policy bei Service-Ausfällen

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

  • Datenbank-Backups mit Wiederherstellungstests
  • Dokumentierte Deploy- und Recovery-Prozeduren

A2.4 Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management

  • Dieses TOM-Dokument wird jährlich überprüft
  • Verarbeitungsverzeichnis nach Art. 30 DSGVO wird geführt

Auftragskontrolle

  • Abschluss dieses AV-Vertrags vor Beginn der Verarbeitung
  • Unterauftragsverarbeiter werden vertraglich zu gleichwertigen Datenschutzpflichten verpflichtet

Incident-Response

  • Meldung an Verantwortlichen bei Datenpannen binnen 72 Stunden
  • Vorfall-Dokumentation in einem internen Incident-Log

A2.5 Löschkonzept

  • Chat-Verläufe: automatisierte Löschung nach 30 Tagen per systemd-Timer
  • Account-Daten: Löschung nach Vertragsende gemäß Ziffer 9 des Hauptvertrags
  • Backups: Rotationsintervall maximal 60 Tage
  • Löschung auf Verlangen: Bestätigung in Textform

Anlage 3 — Genehmigte Unterauftragsverarbeiter

Stand: 2026-04-23. Änderungen werden dem Verantwortlichen gemäß Ziffer 4.2 mitgeteilt.

A3.1 Hosting-Infrastruktur

Unternehmen Hetzner Online GmbH
Sitz Industriestr. 25, 91710 Gunzenhausen, Deutschland
Leistung Bereitstellung des virtuellen Servers (CPX32), Betrieb der Applikations- und Datenbankinstanz, Rechenzentrum Deutschland
Ort der Verarbeitung Deutschland (EU)
Rechtsgrundlage Drittland Keine — Verarbeitung innerhalb der EU
Vertragsgrundlage Auftragsverarbeitungsvertrag mit Hetzner Online GmbH
Datenschutz-Information https://www.hetzner.com/de/rechtliches/datenschutz

A3.2 KI-Inferenz (Embeddings und Chat-Antworten)

Unternehmen OpenAI Ireland Limited
Sitz 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland
Leistung Generierung von Text-Embeddings (Modell text-embedding-3-small) und Chat-Antworten (Modell gpt-4o-mini) über die OpenAI-API. Die API wird direkt vom Auftragsverarbeiter angesprochen, ohne zwischengeschaltete Routing-Dienste.
Ort der Verarbeitung EU und USA. Die Verarbeitung erfolgt auf Infrastruktur der OpenAI, L.L.C. in den USA sowie ggf. in der EU gehosteten OpenAI-Regionen.
Rechtsgrundlage Drittland EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) sowie ergänzend EU-Standardvertragsklauseln
Vertragsgrundlage OpenAI Data Processing Addendum (DPA), automatisch einbezogen über die OpenAI Business Terms, sowie die für EU-Accounts geltenden Vertragsbedingungen von OpenAI Ireland Limited
Datenschutz-Information https://openai.com/policies/privacy-policy und https://openai.com/policies/data-processing-addendum
Besonderheit Anfragen über die OpenAI-API werden gemäß OpenAI-Policy nicht zum Training der Modelle verwendet. OpenAI speichert API-Anfragen maximal 30 Tage zu Sicherheits- und Missbrauchsprüfungen, danach erfolgt Löschung.

A3.3 E-Mail-Versand (transaktional)

Unternehmen Hetzner Online GmbH (Webhosting)
Sitz Industriestr. 25, 91710 Gunzenhausen, Deutschland
Leistung SMTP-Relay für transaktionale E-Mails (Verifizierung, Quota-Warnung, Willkommensmail) über www57.your-server.de
Ort der Verarbeitung Deutschland (EU)
Rechtsgrundlage Drittland Keine — Verarbeitung innerhalb der EU
Vertragsgrundlage Hetzner-Nutzungsbedingungen Webhosting

A3.4 Keine weiteren Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt für die Erbringung des Dienstes keine weiteren Unterauftragsverarbeiter ein, die personenbezogene Daten des Verantwortlichen verarbeiten. Rein unterstützende Leistungen ohne Zugriff auf Kundendaten (z. B. Internet-Zugang, allgemeine Betriebssystem-Pakete) gelten nicht als Unterauftragsverarbeitung im Sinne dieses Vertrags.

Dokument-Version 1 · Stand 23.04.2026 · nuochat / André Reese, Schulstr. 15, 21635 Jork