Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO — Stand: Februar 2026
Präambel
Dieser Auftragsverarbeitungsvertrag ("AV-Vertrag") wird geschlossen zwischen:
Auftraggeber (Verantwortlicher):
Der Kunde, der den GuardRail-Dienst nutzt (nachfolgend "Auftraggeber")
Auftragnehmer (Auftragsverarbeiter):
FITCOACHAI LTD, 71-75 Shelton Street, London WC2H 9JQ, UK (nachfolgend "Auftragnehmer")
Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von GuardRail (Browser-Extension und Dashboard) durch den Auftraggeber.
§ 1 Gegenstand und Dauer
Gegenstand: Erkennung und Protokollierung der Nutzung von KI-Tools sowie Erkennung sensibler Datentypen in Texteingaben auf KI-Plattformen im Auftrag des Auftraggebers.
Dauer: Für die Laufzeit des Nutzungsvertrags zwischen Auftraggeber und Auftragnehmer.
Art der Daten: Metadaten über KI-Tool-Nutzung (Domain, Zeitstempel, Datentyp-Kategorien, ausgeführte Aktionen).
Betroffene Personen: Mitarbeiter des Auftraggebers, die die GuardRail Browser-Extension verwenden.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Erkennung und Kategorisierung von KI-Tool-Aufrufen
- Erkennung von Datentyp-Kategorien (z.B. "IBAN erkannt") — ohne Speicherung der Inhalte
- Durchsetzung von Richtlinien (Blockierung, Warnung)
- Bereitstellung von Audit-Logs und Reports im Dashboard
Es werden keine Prompt-Inhalte, Texteingaben, Dateien oder Kommunikationsinhalte verarbeitet oder gespeichert.
§ 3 Pflichten des Auftragsverarbeiters
Der Auftragnehmer verpflichtet sich:
- Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten
- Alle mit der Datenverarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten
- Geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu ergreifen
- Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen
- Nach Vertragsende alle Daten zu löschen oder zurückzugeben
- Audits und Inspektionen durch den Auftraggeber zu dulden
§ 4 Technische und organisatorische Maßnahmen (TOM)
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung | TLS 1.3 für alle Übertragungen, AES-256 für ruhende Daten |
| Zugriffskontrolle | Row Level Security (RLS), API-Key-Authentifizierung |
| Pseudonymisierung | Agent-Hashes statt personenbezogener Identifikatoren |
| Datentrennung | Multi-Tenant-Architektur mit strikter Mandantentrennung |
| Verfügbarkeit | Hosting bei Vercel (99,99% SLA) und Supabase (automatische Backups) |
| Monitoring | Heartbeat-System zur Überwachung der Systemverfügbarkeit |
§ 5 Unterauftragsverarbeiter
Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:
| Unternehmen | Zweck | Standort | DPA |
|---|---|---|---|
| Vercel, Inc. | Hosting Dashboard | EU (Frankfurt) | Ja |
| Supabase, Inc. | Datenbank | EU (Frankfurt) | Ja |
| Stripe, Inc. | Zahlungsabwicklung | EU/USA (PCI DSS) | Ja |
| Resend, Inc. | Transaktionale E-Mails | EU | Ja |
Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung bei Unterauftragsverarbeitern. Der Auftraggeber hat das Recht, Einspruch zu erheben.
§ 6 Datentransfer in Drittländer
Alle Kundendaten werden ausschließlich in der Europäischen Union (Region Frankfurt, Deutschland) gespeichert und verarbeitet.
Soweit Unterauftragsverarbeiter Daten außerhalb der EU verarbeiten (z.B. Stripe für Zahlungen), geschieht dies auf Basis von EU-Standardvertragsklauseln (SCCs) und/oder einem Angemessenheitsbeschluss.
§ 7 Rechte der betroffenen Personen
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsanfragen betroffener Personen.
Antwortfrist: 72 Stunden nach Eingang der Anfrage.
§ 8 Meldung von Datenschutzverletzungen
Der Auftragnehmer benachrichtigt den Auftraggeber innerhalb von 24 Stunden nach Bekanntwerden einer Datenschutzverletzung.
Die Meldung enthält mindestens:
- Art der Verletzung
- Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
§ 9 Löschung und Rückgabe
- Nach Vertragsende: Löschung aller Daten innerhalb von 30 Tagen
- Auf Wunsch: Export der Daten vor Löschung (CSV/JSON-Format)
- Bestätigung der vollständigen Löschung auf Anfrage
§ 10 Laufzeit und Kündigung
Die Laufzeit dieses AV-Vertrags entspricht der Laufzeit des Nutzungsvertrags. Die Kündigung des Nutzungsvertrags beendet automatisch diesen AV-Vertrag.
§ 11 Schlussbestimmungen
- Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt (salvatorische Klausel).
- Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform.
- Gerichtsstand: London, Vereinigtes Königreich