knowmindknowmind
RechtlichesImpressumDatenschutzAGBWiderrufAVV

Auftragsverarbeitungsvertrag (AVV)

Vorlage nach Art. 28 DSGVO · Stand: Juni 2026

B2B-Kunden: Wenn Sie personenbezogene Daten Dritter über knowmind verarbeiten (z. B. Kunden- oder Mitarbeiterdaten), schließen Sie diesen AVV durch Annahme der AGB mit ab. Eine signierte Fassung auf Briefbogen senden wir auf Anfrage an info@schuebeler-consulting.de.

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch Schübeler Consulting (Auftragsverarbeiter) im Rahmen der Bereitstellung der knowmind-Plattform für den Kunden (Verantwortlicher). Die Dauer entspricht der Laufzeit des Hauptvertrags (AGB).

§ 2 Art und Zweck der Verarbeitung

Speicherung, Indexierung und Wiederabruf von Texten („Memories") sowie der zugehörigen Metadaten, die der Verantwortliche selbst in knowmind einbringt. Zweck ist die Bereitstellung der vertraglich geschuldeten SaaS-Funktionalität.

§ 3 Art der Daten und Kategorien betroffener Personen

Verarbeitet werden alle Daten, die der Verantwortliche in knowmind einstellt — typischerweise:

  • Geschäftsnotizen, Projekt-Dokumentation, Wissens-Artefakte
  • Optionale personenbezogene Daten (Namen, E-Mail-Adressen, Kontaktdaten), die im Memory-Text vorkommen

Betroffene Personenkategorien werden vom Verantwortlichen bestimmt (typischerweise: eigene Mitarbeiter, Kunden, Geschäftspartner).

§ 4 Technische und organisatorische Maßnahmen (TOM)

  • Hosting bei Hetzner Online GmbH (Nürnberg, Deutschland) — ISO 27001-zertifiziertes Rechenzentrum
  • Strikte Mandantentrennung direkt auf Datenbank-Ebene
  • Industriestandard-Verschlüsselung der eigenen KI-Schlüssel; Klartext nicht dauerhaft auf den Servern
  • Transportverschlüsselung TLS 1.3 für alle Anwender-Verbindungen
  • Sicherheits-Protokoll mit Vorhaltung gemäß Tarif (Privat 1 Monat, Pro 3 Monate, Business 24 Monate, Enterprise 5 Jahre)
  • Mehrstufige Authentifizierung: Magic-Link via Brevo + zeitlich begrenzte API-Tokens
  • Daily-Backup der PostgreSQL-Cluster, Aufbewahrung 7 Tage rolling
  • Software-Updates: Sicherheits-Patches innerhalb von 7 Tagen nach Bekanntwerden eines CVE

§ 5 Sub-Auftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Sub-Auftragsverarbeiter ein:

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (Hosting)
  • Stripe Payments Europe Ltd., The One Building, 1 Grand Canal Street Lower, Dublin 2 (Zahlungsabwicklung — Standard- Vertragsklauseln)
  • Sendinblue SAS (Brevo), 106 Boulevard Haussmann, 75008 Paris (Transaktions-E-Mail)

Eine Änderung der Sub-Auftragsverarbeiter wird mit 30 Tagen Vorlauf per E-Mail an die im Account hinterlegte Adresse angekündigt. Der Verantwortliche kann innerhalb dieser Frist widersprechen und den Vertrag außerordentlich kündigen.

§ 6 Rechte der Betroffenen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Anfragen Betroffener nach Art. 15-22 DSGVO durch geeignete technische und organisatorische Maßnahmen — insbesondere durch den Self-Service- Export im Dashboard und die Löschmöglichkeit pro Memory.

§ 7 Meldepflichten

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden, jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).

§ 8 Beendigung

Nach Beendigung des Hauptvertrags werden die Daten 30 Tage zugänglich gehalten (Export-Möglichkeit) und anschließend unwiederbringlich gelöscht. Auf schriftliche Anweisung des Verantwortlichen können die Daten zurückgegeben werden (JSON-Format).