Rechtliches
Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO
Fassung v1 · Bestandteil des Hauptvertrags (AGB/Nutzungsvertrag)
Stand: Mai 2026
Präambel
Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien im Zusammenhang mit der Nutzung der TendiGo-Plattform und ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags (Allgemeine Geschäftsbedingungen / Nutzungsvertrag). Soweit Inhalte personenbezogene Daten enthalten, verarbeitet TendiGo diese ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieser Vereinbarung vor.
§ 1 Parteien und Rollen
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist das Kundenunternehmen, das die TendiGo-Plattform nutzt (die Organisation gemäß den im TendiGo-Konto hinterlegten Stamm- und Vertragsdaten), nachfolgend „Verantwortlicher".
Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist die TendiGo UG (haftungsbeschränkt) i. G., Goethestraße 7I, 10625 Berlin, vertreten durch die Geschäftsführer Dr. Arthur Kari und Fynn Grabowski, E-Mail kontakt@tendigo.de, nachfolgend „TendiGo" oder „Auftragsverarbeiter".
Der Verantwortliche bleibt für die Zulässigkeit und Rechtmäßigkeit der Verarbeitung allein verantwortlich. TendiGo verarbeitet personenbezogene Daten weisungsgebunden.
§ 2 Gegenstand, Art und Zweck der Verarbeitung
Gegenstand ist die Bereitstellung der TendiGo-Plattform zur Suche, KI-gestützten Analyse und Verwaltung öffentlicher Ausschreibungen sowie zur KI-gestützten Erstellung von Bewerbungsunterlagen.
Art der Verarbeitung: Erheben, Erfassen, Speichern, Organisieren, Auslesen, Abfragen, Verwenden (insbesondere KI-gestützte Analyse), Übermitteln an die in Anlage 1 genannten Unterauftragsverarbeiter sowie Löschen.
Zweck: die vertragsgemäße Erbringung der Plattformleistungen für den Verantwortlichen. Art und Kategorien der Daten sowie der betroffenen Personen ergeben sich aus Anlage 3.
Kein Training von KI-Modellen: TendiGo verwendet die im Auftrag verarbeiteten personenbezogenen Daten und Inhalte des Verantwortlichen nicht zum Training oder zur Verbesserung von KI-Modellen und verpflichtet seinen KI-Unterauftragsverarbeiter (Google Vertex AI, EU-Region) entsprechend. Die Inhalte werden ausschließlich zur Erbringung der vertraglich vereinbarten Leistung verarbeitet und nicht dauerhaft beim KI-Dienst gespeichert; Grundlage sind die vertraglichen Trainings-Beschränkungen von Google Cloud sowie die EU-Standardvertragsklauseln.
§ 3 Dauer
Diese Vereinbarung gilt für die Laufzeit des Hauptvertrags. Verpflichtungen, die ihrer Natur nach fortgelten – insbesondere zu Vertraulichkeit, Löschung und Rückgabe – bestehen über das Ende des Hauptvertrags hinaus.
§ 4 Weisungsrecht des Verantwortlichen
TendiGo verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Der Hauptvertrag, diese Vereinbarung sowie die Nutzung der Funktionen über die Plattform durch den Verantwortlichen und seine Nutzer gelten als dokumentierte Weisungen. Ergänzende Einzelweisungen sind in Textform zu erteilen. TendiGo informiert den Verantwortlichen, wenn eine Weisung nach Auffassung von TendiGo gegen geltendes Datenschutzrecht verstößt; eine umfassende Rechtmäßigkeitsprüfung der Weisungen schuldet TendiGo nicht.
§ 5 Vertraulichkeit
TendiGo setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.
§ 6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
TendiGo trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen und gewährleistet ein dem Risiko angemessenes Schutzniveau. TendiGo ist berechtigt, die Maßnahmen im Laufe der Zeit weiterzuentwickeln und anzupassen, sofern das vereinbarte Schutzniveau dadurch nicht unterschritten wird.
§ 7 Unterauftragsverarbeiter
Der Verantwortliche erteilt TendiGo die allgemeine Genehmigung zur Beauftragung der in Anlage 1 aufgeführten Unterauftragsverarbeiter sowie zur Beauftragung weiterer Unterauftragsverarbeiter nach Maßgabe dieses Paragraphen.
TendiGo informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern vorab, in der Regel mindestens 14 Tage im Voraus, in geeigneter Form (z. B. per E-Mail oder über die Plattform). Der Verantwortliche kann einer Änderung innerhalb von 14 Tagen aus wichtigem, datenschutzrechtlich begründetem Anlass widersprechen. Im Fall eines berechtigten Widerspruchs ist TendiGo berechtigt, die betroffene Leistung anzupassen; ist eine zumutbare Alternative nicht verfügbar, sind beide Parteien berechtigt, den hiervon betroffenen Teil des Hauptvertrags zu kündigen.
TendiGo verpflichtet jeden Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die den hier vereinbarten im Wesentlichen gleichwertig sind (Art. 28 Abs. 4 DSGVO).
Soweit Unterauftragsverarbeiter personenbezogene Daten in einem Drittland außerhalb der EU/des EWR verarbeiten, erfolgt dies ausschließlich auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO – insbesondere eines Angemessenheitsbeschlusses (z. B. EU-US Data Privacy Framework) oder der EU-Standardvertragsklauseln. Eine darüber hinausgehende Übermittlung in ein Drittland nimmt TendiGo nur auf dokumentierte Weisung des Verantwortlichen oder soweit gesetzlich vorgeschrieben vor (Art. 28 Abs. 3 lit. a DSGVO).
§ 8 Unterstützung bei Betroffenenrechten
TendiGo unterstützt den Verantwortlichen im Rahmen des technisch Möglichen bei der Erfüllung der Rechte betroffener Personen (Art. 12 bis 23 DSGVO). Wendet sich eine betroffene Person unmittelbar an TendiGo, leitet TendiGo das Anliegen unverzüglich an den Verantwortlichen weiter. Die über die Plattform bereitgestellten Selbstbedienungsfunktionen (insbesondere Export und Löschung) gelten als angemessene Unterstützung. Über die Standardfunktionen hinausgehender Aufwand wird, soweit gesetzlich zulässig, nach Aufwand angemessen vergütet.
§ 9 Unterstützung bei Sicherheit, Meldepflichten und Folgenabschätzung (Art. 32–36 DSGVO)
TendiGo unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der TendiGo zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO. Über einen zumutbaren Standardaufwand hinausgehende Unterstützung erfolgt gegen angemessene Vergütung.
§ 10 Meldung von Verletzungen des Schutzes personenbezogener Daten
TendiGo meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten, die im Verantwortungsbereich von TendiGo eintreten, unverzüglich nach Bekanntwerden und teilt die hierzu verfügbaren Informationen mit. Die Pflicht zur Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und zur Benachrichtigung betroffener Personen (Art. 34 DSGVO) verbleibt beim Verantwortlichen.
§ 11 Löschung und Rückgabe
Nach Beendigung des Hauptvertrags löscht TendiGo die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, spätestens innerhalb von 90 Tagen nach Vertragsende, soweit nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Pflicht zur weiteren Speicherung besteht. Die über die Plattform verfügbaren Standard-Exportfunktionen gelten als Rückgabe.
Daten, die sich noch in verschlüsselten Sicherungskopien (Backups) befinden, werden im Rahmen des regulären Backup-Zyklus endgültig gelöscht. Bis zu ihrer Löschung sind sie gegen aktive Verarbeitung gesperrt und werden ausschließlich zum Zweck der Wiederherstellung im Störungsfall vorgehalten.
§ 12 Nachweise und Kontrollen
TendiGo stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung. Der Nachweis erfolgt vorrangig durch geeignete Unterlagen (insbesondere diese Vereinbarung, das Sicherheits- und Datenschutz-Whitepaper, die Beschreibung der technischen und organisatorischen Maßnahmen sowie – soweit vorhanden – Zertifikate oder Prüfberichte).
Darüber hinausgehende Vor-Ort-Prüfungen sind nur bei konkretem Anlass, nach angemessener Vorankündigung von mindestens 14 Tagen, während der üblichen Geschäftszeiten, höchstens einmal jährlich, ohne Störung des Betriebsablaufs und unter Wahrung der Geheimhaltungsinteressen Dritter zulässig. Die Kosten einer solchen Prüfung trägt der Verantwortliche.
§ 13 Haftung
Für die Haftung der Parteien gelten die Regelungen des Hauptvertrags (AGB). Art. 82 DSGVO bleibt unberührt. Im Innenverhältnis tragen die Parteien die Verantwortung entsprechend ihrem jeweiligen Verursachungs- und Verantwortungsbeitrag.
§ 14 Schlussbestimmungen
Es gilt das Recht der Bundesrepublik Deutschland. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Diese Vereinbarung kann elektronisch (digital) geschlossen werden; der digitale Abschluss erfüllt die Anforderungen der Textform (§ 126b BGB) sowie des Art. 28 Abs. 9 DSGVO. Sollte eine Bestimmung dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1 – Unterauftragsverarbeiter
Die eingesetzten externen Dienste gliedern sich in zwei Gruppen. Gruppe A verarbeitet im Auftrag Inhalte (z. B. hochgeladene Dokumente). Gruppe B stellt lediglich eine einzelne technische Funktion bereit (z. B. Zahlungsabwicklung oder Kartendarstellung) oder dient der Nutzungsanalyse und erhält keinen Zugriff auf hochgeladene Inhalte (Dokumente). Verarbeitet werden je nach Dienst nur einzelne Stamm-, Abrechnungs- oder technische Daten wie die IP- oder E-Mail-Adresse.
Gruppe A – Verarbeitung von Inhalten im Auftrag
| Dienst | Zweck | Standort | Grundlage |
|---|---|---|---|
| Netcup | Hosting der Plattform und Datenbank | Deutschland | AVV |
| Hetzner | Server und Infrastruktur, verschlüsselte Backups | Deutschland | AVV |
| Google Cloud · Vertex AI | KI-Analyse von Ausschreibungen und Dokumenten | EU-Region | AVV · kein Training · EU-SCC |
Gruppe B – Funktions- und Analysedienste ohne Zugriff auf Inhalte
| Dienst | Zweck | Standort | Grundlage |
|---|---|---|---|
| Mailjet | Versand von System-Benachrichtigungen per E-Mail | Deutschland | AVV |
| Stripe | Zahlungsabwicklung (Abonnements) | Irland / EU | AVV · PCI-DSS |
| Mapbox | Kartendarstellung (Standort- und Netzwerkansicht) | USA | AVV · EU-SCC |
| Google Analytics | Anonymisierte Web-Reichweite, nur nach Einwilligung (Opt-in) | USA | Einwilligung · keine IP-Speicherung |
| Lokal gehostete Analyse | Produktnutzungsanalyse (selbst gehostet) | Deutschland | kein externer Datenabfluss |
Hinweis: Die KI-Verarbeitung von Inhalten erfolgt ausschließlich über Google Vertex AI in einer EU-Region. Kein weiterer KI-Dienst erhält Inhalte des Verantwortlichen.
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Verschlüsselung der Übertragung: durchgängige Transportverschlüsselung (HTTPS/TLS) nach dem Stand der Technik über einen vorgelagerten Reverse-Proxy mit automatischer Zertifikatsverwaltung.
- Authentifizierung und Zugangskontrolle: selbst gehostete Authentifizierung, Passwort-Hashing nach Industriestandard, optionale Zwei-Faktor-Authentifizierung (2FA), optionales Single-Sign-on.
- Zugriffskontrolle und Mandantentrennung: rollen- und rechtebasierter Zugriff je Organisation, strikte Mandantentrennung auf Datenbankebene.
- Datenminimierung: Verarbeitung nur der für den jeweiligen Zweck erforderlichen Daten; KI-Inhalte werden datenminimiert und nicht dauerhaft beim KI-Dienst gespeichert.
- Datenhaltung: Speicherung in zugangs- und zutrittsgesicherten Rechenzentren in Deutschland.
- Verfügbarkeit und Wiederherstellbarkeit: regelmäßige, verschlüsselte Backups nach etabliertem Verfahren, Aufbewahrung mehrerer Wochen- und Monatsstände.
- Betriebssicherheit: zentrales Logging, automatisierte Abwehr verdächtiger Zugriffe und von Brute-Force-Versuchen, geplante Wartungen und Aktualisierungen.
- Organisation: Least-Privilege-Zugriff auf Produktivsysteme, vertragliche Vertraulichkeitsverpflichtung aller Zugriffsberechtigten, Datenschutz und IT-Sicherheit als fester Bestandteil der Entwicklungs- und Betriebsprozesse.
- Vorfallmanagement: definierter Prozess zur Erkennung, Bewertung, Eindämmung und Meldung von Datenschutzverletzungen (Meldung meldepflichtiger Vorfälle innerhalb von 72 Stunden, Art. 33/34 DSGVO).
- Zahlungen: Zahlungsabwicklung über einen PCI-DSS-zertifizierten Zahlungsdienstleister; TendiGo speichert keine Kreditkartendaten.
TendiGo entwickelt diese Maßnahmen fortlaufend weiter, ohne das vereinbarte Schutzniveau zu unterschreiten.
Anlage 3 – Art der Daten und Kategorien betroffener Personen
Art der personenbezogenen Daten:
- Konto- und Profildaten (z. B. Name, E-Mail-Adresse, Zugangsdaten);
- hochgeladene Dokumente und Eingaben (z. B. Firmenprofil, Zertifikate, Referenzen, Bilanzen, Lebensläufe, Ausschreibungsunterlagen) – diese können personenbezogene Daten enthalten;
- Nutzungs- und Protokolldaten (z. B. IP-Adresse, Log-Daten);
- Abrechnungsdaten.
Kategorien betroffener Personen:
- Beschäftigte, Mitarbeitende und Vertreter des Verantwortlichen;
- in hochgeladenen Dokumenten benannte Personen (z. B. Ansprech- und Referenzpersonen, in Lebensläufen genannte Personen);
- Nutzerinnen und Nutzer der Plattform auf Seiten des Verantwortlichen.
Hinweis: Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand dieser Verarbeitung. Der Verantwortliche stellt solche Daten nicht in die Plattform ein, sofern dies nicht erforderlich und zulässig ist.