Stand: 10. Mai 2026. Diese Fassung bildet den aktuellen Unterauftragsverarbeiter-Stand ab, einschließlich OpenAI für Text-Embeddings und kontextbezogene KI-Antworten. Für künftige Änderungen bei Pflicht-Unterauftragsverarbeitern gelten die Informations- und Widerspruchsregeln in Abschnitt 7.3.

Diese deutsche Fassung ist rechtsverbindlich. Übersetzungen dienen der Verständlichkeit; bei Widersprüchen gilt die deutsche Fassung.

1. Präambel und Geltungsbereich

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO zwischen:

  • Auftraggeber: Der Kunde von PlotonIQ (nachfolgend "Auftraggeber")
  • Auftragsverarbeiter: K-Werbetechnik, Inhaber: Ralph Kowalski, Banatstraße 31, 66424 Homburg, Deutschland, vertreten durch die PlotonIQ-Plattform (nachfolgend "Auftragsverarbeiter")

Dieser AVV ist integraler Bestandteil der Nutzungsbedingungen und regelt die Datenverarbeitung im Auftrag des Auftraggebers im Rahmen der PlotonIQ-Dienstleistungen.

2. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Auftraggebers.

2.1 Gegenstand der Verarbeitung

Die Datenverarbeitung umfasst folgende Kategorien:

  • Kundendaten: Name, Adresse, E-Mail, Telefon, Unternehmensname von Kunden des Auftraggebers
  • Auftragsdaten: Projektbeschreibungen, Zeitpläne, Anforderungen, Änderungen
  • Leistungsdaten: Kalkulationen, Materialangaben, Maße, Flächen
  • Kommunikationsdaten: E-Mails, Chat-Nachrichten, Memos und Audio-Aufzeichnungen im Geschäftsbetrieb
  • Team-Daten: Mitarbeiterdaten, Standortdaten (sofern Geofencing aktiviert), Berechtigungen
  • Finanzielle Daten: Rechnungsinformationen, Zahlungsdaten (tokenisiert), Kreditkartendetails (nur bei Stripe)
  • Visuelle Daten: Fotos für KI-Aufmaßerkennung, Screenshots, Designvorschläge

2.2 Dauer der Verarbeitung

Die Datenverarbeitung erfolgt während der gesamten Vertragslaufzeit und darüber hinaus gemäß Punkt 8 (Datenlöschung und Aufbewahrung).

3. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet die Daten zu folgenden Zwecken:

  • Erbringung und Verwaltung der PlotonIQ-Dienstleistungen (Angebotsberechnung, Aufmaßerkennung, Job-Management, CRM, Zeiterfassung)
  • KI-gestützte Kalkulationen und Analysen mit Anthropic Claude API
  • Text-Embeddings mit OpenAI text-embedding-3-large (1536 Dimensionen) für semantische Suche und kontextbezogene KI-Antworten (RAG)
  • Automatische Aufmaßerkennung aus Fotos mittels Computer Vision (SAM/DINO)
  • Kommunikation mit dem Nutzer (Transaktions-E-Mails, Benachrichtigungen)
  • Zahlungsabwicklung und Rechnungslegung
  • Einhaltung von Sicherheits- und Authentifizierungsmaßnahmen
  • Logging und System-Monitoring für Sicherheit und Fehlersuche
  • Geofencing und Team-Management (optional, nur sofern aktiviert)

4. Kategorien betroffener Personen

Der Auftragsverarbeiter verarbeitet Daten folgender Personen:

  • Kunden des Auftraggebers (Endkunden von Werbetechnik-Services)
  • Mitarbeiter des Auftraggebers (Nutzer der Plattform)
  • Subunternehmer und Partner des Auftraggebers
  • Ansprechpartner und Kontaktpersonen

5. Kategorien personenbezogener Daten

Der Auftragsverarbeiter verarbeitet folgende Kategorien:

  • Stammdaten: Name, Titel, Adresse, Telefon, E-Mail-Adresse, Unternehmensname
  • Identifizierungsdaten: Benutzer-ID, JWT-Tokens, Session-Cookies, Browser-Fingerprint (gehashed)
  • Standortdaten: IP-Adresse, GPS-Koordinaten (nur bei aktiviertem Geofencing)
  • Geschäftsdaten: Projektbeschreibungen, Kalkulationen, Angebote, Aufträge, Rechnungen
  • Kommunikationsdaten: Nachrichten, Audio-Transkriptionen, E-Mails
  • Technische Daten: Logfiles, Server-Logs, Systemzugriffe, Fehlerprotokolle
  • Besondere Kategorien: Keine (ausgenommen freiwillig übermittelte Informationen zur Identifizierung)

6. Pflichten des Auftragsverarbeiters — Technische und organisatorische Maßnahmen

6.1 Technische Sicherheitsmaßnahmen

  • Datenverschlüsselung:
    • AES-256 Verschlüsselung für sensible Daten in der Datenbank
    • TLS 1.2+ für die Übertragung (HTTPS)
    • JWT-Authentifizierung mit httpOnly Cookies (nicht JavaScript-zugänglich)
  • Datenbankschutz:
    • PostgreSQL-Datenbank mit starker Authentifizierung
    • Verschlüsselte Verbindungen zwischen App und Datenbank
    • Regelmäßige automatisierte Backups mit Verschlüsselung
    • Redundante Speicherung und Disaster-Recovery
  • Zugriffskontrolle:
    • Rollen-basierte Zugriffskontrolle (RBAC)
    • Multi-Tenant-Architektur mit strikter Tenant-Isolation
    • Audit-Logs für alle administrativen Zugriffe
    • Minimales Prinzip: Keine unnötigen Berechtigungen
  • Netzwerksicherheit:
    • DDoS-Schutz durch Cloudflare
    • Firewall-Regeln und Intrusion-Detection
    • Regelmäßige Sicherheitsupdates und Patches
  • API-Sicherheit:
    • JWT-basierte API-Authentifizierung
    • Rate-Limiting zum Schutz vor Brute-Force-Angriffen
    • Keine sensiblen Daten in URLs oder Query-Parametern

6.2 Organisatorische Sicherheitsmaßnahmen

  • Personal und Schulung:
    • Begrenzte Anzahl von Mitarbeitern mit Zugriff auf Kundendaten
    • Geheimhaltungsvereinbarungen (NDAs) mit allen Mitarbeitern
    • Datenschutzschulung für relevantes Personal
  • Datenschutz-Governance:
    • Datenschutzerklärung und diese AVV
    • Datenschutzbeauftragte (falls erforderlich)
    • Richtlinien zum Schutz und zur Verwendung personenbezogener Daten
  • Vorfallreaktion:
    • Verfahren zur Erkennung und Meldung von Datenschutzverletzungen
    • Benachrichtigung des Auftraggebers innerhalb von 24 Stunden bei bekannten Sicherheitsverletzungen
    • Zusammenarbeit bei Benachrichtigungspflichten gegenüber Behörden und betroffenen Personen
  • Dokumentation und Überwachung:
    • Verarbeitungsverzeichnis (PVVZ) gemäß Art. 30 DSGVO
    • Regelmäßige Sicherheitsaudits
    • Logging aller Datenzugriffe (wo technisch möglich)
  • Physische Sicherheit:
    • Hosting bei Hetzner Online GmbH (Falkenstein, Deutschland) mit ISO-27001-Zertifizierung
    • Kontrolle des physischen Zugangs zum Rechenzentrum
    • Überwachung und Sicherheitsmaßnahmen des Hosting-Providers

7. Unterauftragsverarbeiter und Drittanbieter

Der Auftragsverarbeiter nutzt folgende Sub-Auftragsverarbeiter und Dienstleister zur Erbringung der Leistungen:

7.1 Verpflichtende Unterauftragsverarbeiter

Dienst Anbieter Standort Zweck Datentransfer
Server-Hosting Hetzner Online GmbH Falkenstein, Deutschland Datenbank, Anwendungs-Server Intra-EU (DE)
CDN / DDoS-Schutz Cloudflare, Inc. San Francisco, USA Website-Performance, Sicherheit USA (EU-US DPF, SCC)
Transaktions-E-Mails Brevo SAS Paris, Frankreich Bestätigungs- und Benachrichtigungs-E-Mails Intra-EU (FR)
Zahlungsabwicklung Stripe, Inc. San Francisco, USA Kartenzahlung, Abonnement-Verwaltung USA (SCC) — tokenisiert
KI-API (Kalkulationen) Anthropic, PBC San Francisco, USA KI-Kalkulationen, Textgenerierung USA (SCC) — Zero Data Retention
KI-API (optionale Audio-Transkription, primaer) Groq, Inc. Mountain View, USA Primaere STT-Transkription fuer Audio-Memos mit whisper-large-v3, wenn die optionale Audio-Transkription durch den Auftraggeber genutzt wird USA (SCC) — Verarbeitung gemaess GroqCloud DPA zur Bereitstellung der STT-Funktion
KI-API (Text-Embeddings und kontextbezogene Assistenz) OpenAI, L.L.C. San Francisco, USA Text-Embeddings mit text-embedding-3-large (1536 Dimensionen) für semantische Suche und kontextbezogene KI-Antworten (RAG); einzelne Text- und Assistenzfunktionen, soweit aktiv genutzt USA (EU-US DPF, SCC) — API-Daten werden standardmäßig nicht zum Training genutzt; Abuse-Monitoring-Logs bis zu 30 Tage
KI-API (optionale Audio-Transkription) OpenAI, L.L.C. San Francisco, USA OpenAI gpt-4o-transcribe nur als Fallback-STT-Pfad, falls Groq STT nicht verfuegbar ist und Audio-Transkription durch den Auftraggeber genutzt sowie entsprechend konfiguriert wird USA (EU-US DPF, SCC) — optionaler Pfad, getrennt von Embeddings/RAG

7.2 Datenübertragungen in Drittländer

Für Datentransfers in die USA gelten folgende Mechanismen:

  • EU-US Data Privacy Framework (DPF): Cloudflare und OpenAI sind nach Anbieterangaben unter dem EU-US Data Privacy Framework zertifiziert
  • Standard Contractual Clauses (SCCs): Für Anthropic, Groq, OpenAI und Stripe, soweit Drittländer betroffen sind

Der Auftraggeber stimmt diesen Transfers zu, indem er die Nutzungsbedingungen akzeptiert.

7.3 Änderungen bei Unterauftragsverarbeitern

Der Auftragsverarbeiter wird den Auftraggeber informieren, bevor neue Pflicht-Unterauftragsverarbeiter eingesetzt oder bestehende Pflicht-Unterauftragsverarbeiter wesentlich geändert werden. Der Auftraggeber hat das Recht, Einspruch gegen den Einsatz neuer oder wesentlich geänderter Pflicht-Unterauftragsverarbeiter einzulegen, indem er dies schriftlich innerhalb von 30 Tagen nach Benachrichtigung mitteilt. Ohne fristgerechten Widerspruch gilt der Einsatz für künftige Änderungen nach Ablauf der Frist als akzeptiert. In diesem Fall können beide Parteien das Vertragsverhältnis beenden.

8. Datenlöschung und Aufbewahrung

8.1 Löschfristen nach Vertragsende

  • Kundendaten und Projektdaten: Werden auf Anfrage des Auftraggebers gelöscht, spätestens 30 Tage nach Vertragsbeendigung
  • Backups: Werden gemäß Hetzner-Aufbewahrungsrichtlinien nach ca. 30-90 Tagen automatisch gelöscht
  • Logfiles und System-Daten: Werden nach 90 Tagen automatisch anonymisiert oder gelöscht
  • Finanzielle Aufzeichnungen und Rechnungen: Werden gemäß deutschem Steuerrecht (§ 14 StGB, § 239 HGB) 6-10 Jahre aufbewahrt

8.2 Recht auf Löschung während der Nutzung

Der Auftraggeber kann jederzeit verlangen, dass einzelne Datensätze gelöscht werden, sofern dies nicht durch Gesetze verhindert wird. Gelöschte Daten werden nicht wiederhergestellt.

8.3 Datenexport

Der Auftraggeber kann jederzeit verlangen, dass seine Daten in einem strukturierten, gängigen Format (z.B. CSV, JSON) exportiert werden, um Portabilität zu ermöglichen.

9. Rechte und Pflichten des Auftraggebers

9.1 Weisungen des Auftraggebers

Der Auftraggeber kann Weisungen zur Verarbeitung personenbezogener Daten erteilen. Diese können erfolgen durch:

  • Konfiguration der Plattform-Einstellungen
  • Explizite schriftliche Anweisung per E-Mail an [email protected]
  • Durch Verwendung von API-Endpoints mit entsprechenden Parametern

9.2 Mitwirkung des Auftraggebers

Der Auftraggeber ist verantwortlich für:

  • Sicherung von Anmeldedaten und Zugriffscodes
  • Einhaltung geltender Gesetze bei der Erfassung von Kundendaten
  • Korrektheit und Rechtmäßigkeit der verarbeiteten Daten
  • Dokumentation der Rechtsgrundlage für die Datenverarbeitung
  • Benachrichtigung betroffener Personen gemäß DSGVO (sofern erforderlich)

9.3 Datenschutzerklärung des Auftraggebers

Der Auftraggeber ist verantwortlich für die Bereitstellung einer eigenen Datenschutzerklärung für seine Endkunden, in der offengelegt wird, dass Daten an PlotonIQ / den Auftragsverarbeiter übermittelt werden.

10. Rechte und Pflichten betroffener Personen

Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen:

  • Auskunftsrecht (Art. 15 DSGVO): Der Auftraggeber kann Auskunftsanfragen stellen; der Auftragsverarbeiter wird diese innerhalb von 14 Tagen beantworten
  • Recht auf Berichtigung (Art. 16 DSGVO): Betroffene Personen können fehlerhafte Daten selbst korrigieren oder dies anfordern
  • Recht auf Löschung (Art. 17 DSGVO): Löschungsanfragen werden innerhalb von 14 Tagen bearbeitet (außer bei rechtlichen Aufbewahrungspflichten)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Verfügbar über die Plattform-Einstellungen
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Der Auftraggeber kann Daten im Standard-Format exportieren
  • Widerspruchsrecht (Art. 21 DSGVO): Gilt für Verarbeitungen auf Basis berechtigter Interessen

11. Sicherheitsverletzungen und Meldepflichten

11.1 Meldung von Datenschutzverletzungen

Im Falle einer Datenschutzverletzung wird der Auftragsverarbeiter den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden schriftlich benachrichtigen. Die Benachrichtigung umfasst:

  • Art und Umfang der Verletzung
  • Kategorien und ungefähre Anzahl der betroffenen Personen
  • Wahrscheinliche Folgen der Verletzung
  • Getroffene und geplante Maßnahmen zur Behebung und Minderung des Schadens
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer Kontaktperson

11.2 Zusammenarbeit mit Behörden

Der Auftragsverarbeiter wird mit dem Auftraggeber und den zuständigen Datenschutzbehörden kooperieren und unterstützt den Auftraggeber bei:

  • Benachrichtigung betroffener Personen
  • Meldung an die zuständige Aufsichtsbehörde (Datenschutzbehörde)
  • Untersuchungen und Audits

12. Kontrollrechte des Auftraggebers

12.1 Inspektionsrechte

Der Auftraggeber hat das Recht, auf Anfrage zu prüfen, wie der Auftragsverarbeiter personenbezogene Daten verarbeitet:

  • Einsicht in Verarbeitungsverzeichnisse
  • Überprüfung von Sicherheitsmaßnahmen
  • Audits nach Ankündigung

Die Überprüfung sollte während normaler Betriebszeiten stattfinden und darf den Betrieb nicht wesentlich beeinträchtigen.

12.2 Zertifikate und Audits

Der Auftragsverarbeiter wird folgende Nachweise zur Verfügung stellen:

  • Hetzner ISO-27001-Zertifikat (Hosting-Provider)
  • SOC-2-Bericht (sofern verfügbar)
  • Sicherheitsrichtlinien und Maßnahmenkatalog

13. Datenschutz durch Technikgestaltung und Datenschutz als Voreinstellung

Der Auftragsverarbeiter implementiert Datenschutz durch Technikgestaltung (Art. 25 DSGVO):

  • Minimale Datenerhebung: Nur notwendige Daten werden erhoben
  • Pseudonymisierung: Browser-Fingerprints sind gehasht
  • Verschlüsselung: AES-256 für sensible Daten
  • Zugriffskontrolle: Rollen-basierte Berechtigungen
  • Regelmäßige Überprüfung: Audits und Penetrationstests

14. KI-Verarbeitung und automatisierte Entscheidungsfindung

14.1 Art der KI-Verarbeitung

PlotonIQ nutzt KI zur:

  • Berechnung von Angeboten (Anthropic Claude API)
  • Text-Embeddings mit OpenAI text-embedding-3-large (1536 Dimensionen) für semantische Suche und kontextbezogene KI-Antworten (RAG)
  • Erkennung von Flächen und Maßen aus Fotos (Cloud-basierte Computer Vision: DINO-X über DeepDataSpace, Grounding DINO und SAM-3 über Replicate, Gemini Vision über Google AI sowie Claude Vision über Anthropic). EXIF-Metadaten werden vor Übermittlung entfernt.
  • Transkription von Audio-Memos (optionale STT-Funktion; primaer Groq whisper-large-v3, OpenAI gpt-4o-transcribe nur als Fallback, wenn genutzt und konfiguriert)
  • Generierung von Geschäfts-Erkenntnissen und Empfehlungen

Für OpenAI-Embeddings und RAG werden nur zweckbezogene Textauszüge übermittelt, insbesondere Auszüge aus Auftrags-, Memo- und Opportunity-Texten. Je nach Nutzerinhalt können Kundennamen, Kontaktdaten, Adressen sowie Maß-, Projekt- und Notizdaten enthalten sein.

Nicht an OpenAI für Embeddings/RAG übermittelt werden Stripe-Zahlungsdaten, Login-Credentials oder Passwort-Hashes, rohe Backend-DB-Dumps oder Datenexporte, SAM/DINO-Bilddaten für Vision-Segmentierung sowie gezielt besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.

14.2 Keine rein automatisierte Entscheidungsfindung

Gemäß Art. 22 DSGVO erfolgt KEINE rein automatisierte Entscheidungsfindung mit Rechtswirkung. Dies bedeutet:

  • KI-Kalkulationen sind VORSCHLÄGE, nicht bindend
  • Der Nutzer entscheidet immer manuell
  • Es gibt keine automatisierte Absage von Aufträgen oder Kunden

14.3 Transparenz bei KI-Nutzung

Der Nutzer wird deutlich informiert, wenn KI bei einem Prozess beteiligt ist. Dies geschieht durch:

  • Kennzeichnete Bereiche in der Benutzeroberfläche (z.B. "KI-Vorschlag")
  • Erklärung des KI-Ansatzes in Hilfe-Texten
  • Diese Datenschutzerklärung und diese AVV

15. EU-KI-Verordnung (AI Act) — Konformität

Die in PlotonIQ eingesetzten KI-Systeme werden gemäß der EU-KI-Verordnung (AI Act) klassifiziert:

  • Textgenerierung (Claude API): Begrenztes Risiko — Transparenzverpflichtung erfüllt
  • Semantische Suche und RAG (OpenAI text-embedding-3-large, 1536 Dimensionen): Begrenztes Risiko — Assistenz- und Kontextfunktion, keine automatische Entscheidung
  • Aufmaßerkennung (DINO-X, Grounding DINO, SAM-3, Gemini Vision, Claude Vision): Begrenztes Risiko — Cloud-basierte Inference über DeepDataSpace (USA), Replicate (USA), Google (USA) und Anthropic (USA). Drittlandtransfer in die USA, abgesichert durch SCCs und - soweit anwendbar - durch das EU-US Data Privacy Framework. EXIF-Metadaten werden vor Übermittlung entfernt.
  • Audio-Transkription (Groq whisper-large-v3, OpenAI gpt-4o-transcribe Fallback): Begrenztes Risiko — Benutzer-Opt-in erforderlich

Es gibt KEINE hochriskanten KI-Anwendungen im Sinne des AI Act.

16. Gebühren und Kosten

Dieser Auftragsverarbeitungsvertrag ist im Rahmen des Abonnement-Vertrages enthalten. Es entstehen KEINE zusätzlichen Gebühren für die Einhaltung dieses AVV.

17. Rechtliche Grundlagen und Geltungsbereich

  • Primäre Rechtsgrundlagen: EU-DSGVO (2016/679), BDSG, TMG (Deutschland)
  • Geltungsbereich: Alle Nutzer mit Sitz in Deutschland oder der EU
  • Gültig ab: 1. April 2026
  • Sprache: Deutsch; im Fall von Abweichungen gilt die deutsche Fassung

18. Laufzeit und Beendigung

18.1 Vertragsgebundene Laufzeit

Dieser AVV läuft parallel zum Abonnement-Vertrag. Bei Beendigung des Abonnements endet auch dieser AVV.

18.2 Beendigung

Eine Kündigung dieses AVV ist nur gemeinsam mit der Kündigung des Abonnement-Vertrages möglich.

18.3 Effekte der Beendigung

Nach Beendigung werden Kundendaten gemäß Punkt 8 gelöscht oder aufbewahrt, sofern Gesetze dies vorsehen.

19. Änderungen dieses AVV

Der Auftragsverarbeiter kann diesen AVV mit einer Frist von 30 Tagen ändern, wenn:

  • Rechtliche oder behördliche Anforderungen dies erfordern
  • Die Änderung den Schutz personenbezogener Daten verbessert
  • Der Auftraggeber der Änderung nicht innerhalb von 30 Tagen schriftlich widerspricht

Der Auftraggeber wird über Änderungen rechtzeitig schriftlich informiert.

20. Kontakt und Beschwerden

20.1 Kontaktadresse des Auftragsverarbeiters

K-Werbetechnik / PlotonIQ
Banatstraße 31
66424 Homburg
Deutschland
E-Mail: [email protected]
Telefon: 06821–6797414

20.2 Datenschutzbehörde

Beschwerden über die Datenverarbeitung können bei der zuständigen Datenschutzbehörde eingereicht werden:

Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken
E-Mail: [email protected]
Website: www.datenschutz.saarland.de

21. Geltung und Salvatorische Klausel

Sollte eine Bestimmung dieses AVV unwirksam sein, berührt dies nicht die Gültigkeit des gesamten Vertrages. Die Parteien werden sich auf eine gültige Ersatzregelung einigen, die dem wirtschaftlichen Zweck des ursprünglichen Vertrages entspricht.

22. Schlussbestimmungen

Dieser Auftragsverarbeitungsvertrag wird zum 1. April 2026 wirksam und ist für alle Kunden von PlotonIQ verbindlich, die ab diesem Datum einen Vertrag abschließen oder bestehende Verträge verlängern.

Version: 1.1

Gültig seit: 1. April 2026

Letzte Aktualisierung: 10. Mai 2026