Auftragsverarbeitungsvertrag (AVV)

Vertrag nach Art. 28 DSGVO zwischen dem Kunden (Verantwortlicher) und der socy.ai UG (Auftragsverarbeiter) — für die Nutzung der Snowbyte-Managed-API und ergänzender Backend-Services.

Präambel

Der Auftragsverarbeiter erbringt für den Verantwortlichen IT-Dienstleistungen im Rahmen der Snowbyte-Suite, insbesondere den Managed-API-Proxy für Cloud-LLM-Anfragen (OpenRouter-Gateway) sowie ergänzende Backend-Services (Lizenz-Server, News-Feed, Update-Manifest, Support-Tickets, Crash-Reports). Im Rahmen dieser Tätigkeit verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Mit diesem Vertrag (im Folgenden „AVV") wird die Zusammenarbeit beider Parteien gemäß Art. 28 DSGVO geregelt.

Vertragsparteien

§ 1 Gegenstand & Dauer der Verarbeitung

Gegenstand: Bereitstellung des Snowbyte-Managed-API-Proxys und ergänzender Backend-Services nach Maßgabe des zugrundeliegenden Snowbyte-Pro- oder -Max-Abonnement-Vertrags.

Dauer: Dieser AVV gilt für die Laufzeit des Snowbyte-Abonnements zwischen den Parteien. Er endet automatisch mit dem Hauptvertrag.

§ 2 Art & Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:

1. Weiterleitung von LLM-Anfragen über den Managed-API-Proxy an OpenRouter Inc. (USA) und die dahinterstehenden Modell-Anbieter (OpenAI, Anthropic, Google, Mistral u. a.)
2. Lizenz- & Aktivierungsverwaltung (Hardware-Fingerprint-basierte Bindung)
3. Token-Verbrauchs-Tracking zur Abrechnung der Plan-Inklusiv-Kontingente
4. Auslieferung des News-Feeds (rein lesender Download, keine personenbezogenen Daten)
5. Auslieferung des Update-Manifests (rein lesender Download)
6. Support-Tickets (Inhalte werden vom Kunden aktiv eingereicht)
7. Crash-Reports (nur bei vom Endnutzer explizit aktivierter Opt-In-Telemetry)

§ 3 Art der Daten & Kategorien betroffener Personen

Verarbeitete Daten

• Inhaltsdaten der vom Verantwortlichen eingereichten LLM-Anfragen (Prompts) sowie der Antworten — transient, ohne dauerhafte Speicherung
• Metadaten pro Call: Lizenz-ID, Hardware-Fingerprint-Hash, Modell, Token-Anzahl, Dauer, HTTP-Status (90 Tage Aufbewahrung im Detail-Log)
• Lizenzdaten: Key, Plan, Hardware-Fingerprint, IP, Maschinen-Name (bis zur Lizenz-Deaktivierung)
• Ticket-Inhalte: vom Kunden aktiv eingereichte Texte (bis Ticket-Löschung oder Plan-Ende)
• Crash-Reports: Fehler-Typ, Nachricht, Stacktrace, anonyme Geräte-ID (kein Account-Bezug; nur Opt-In)

Kategorien betroffener Personen

• Mitarbeiter:innen & Endnutzer:innen des Verantwortlichen, die Snowbyte nutzen
• Personen, deren Daten ggf. in vom Verantwortlichen verfassten Prompts enthalten sind (der Verantwortliche trägt hierfür die Letztverantwortung)

§ 4 Pflichten des Auftragsverarbeiters

1. Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
2. Personen mit Zugriff sind zur Vertraulichkeit verpflichtet.
3. Angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO — siehe separates TOM-Dokument.
4. Unterstützung des Verantwortlichen bei Betroffenenanfragen, DSFA und Meldepflichten gem. Art. 33/34 DSGVO.
5. Meldung von Datenschutzverletzungen unverzüglich, spätestens 24 Stunden nach Kenntnis.
6. Nach Vertragsende werden alle Daten — nach Wahl des Verantwortlichen — gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 5 Unter-Auftragsverarbeiter (Subprozessoren)

Der Verantwortliche stimmt der Beauftragung folgender Subprozessoren zu:

• OpenRouter Inc. (USA) — LLM-Gateway · Drittland: Standardvertragsklauseln (Art. 46 DSGVO)
• Modell-Anbieter (OpenAI, Anthropic, Google, Mistral u. a.) — Inferenz · USA/EU · SCC bzw. EU-Vertrag
• netcup GmbH (Deutschland) — Hosting des snowbyte.de-Servers

Bei beabsichtigter Änderung von Subprozessoren informiert der Auftragsverarbeiter den Verantwortlichen mit einer Frist von 30 Tagen vorab per E-Mail. Der Verantwortliche kann aus wichtigem Grund schriftlich widersprechen; in diesem Fall steht ihm ein Sonderkündigungsrecht zu.

§ 6 Drittlandtransfer

Soweit personenbezogene Daten in ein Drittland (insbesondere USA) übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914). Eine Kopie der SCCs wird auf Anfrage bereitgestellt.

Hinweis: Der Verantwortliche kann das Drittlandrisiko vollständig ausschließen, indem in der Snowbyte-Suite ausschließlich lokale Modelle (Ollama) oder ein eigener API-Key ohne Snowbyte-Proxy verwendet wird (umschaltbar in SnowConfig → Provider).

§ 7 Kontroll- & Mitteilungsrechte

1. Der Verantwortliche kann die Vertragseinhaltung durch Kontrollen überprüfen. Diese werden mit mindestens 30 Tagen Vorlauf angekündigt und während der Geschäftszeiten ohne Störung des Betriebsablaufs durchgeführt.
2. Der Auftragsverarbeiter stellt auf Anfrage alle Kontroll-relevanten Informationen zur Verfügung.
3. Aufforderungen von Aufsichtsbehörden, die den Verantwortlichen betreffen, werden unverzüglich mitgeteilt.

§ 8 Haftung

Die Haftung beider Parteien richtet sich nach Art. 82 DSGVO und den Regelungen des Hauptvertrags. Im Innenverhältnis tragen die Parteien Schäden nach dem Maß ihres jeweiligen Verschuldens.

§ 9 Schlussbestimmungen

1. Schriftform: Änderungen und Ergänzungen bedürfen der Textform (E-Mail genügt).
2. Salvatorische Klausel: Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.
3. Anwendbares Recht: Deutsches Recht unter Ausschluss des UN-Kaufrechts.
4. Gerichtsstand: Soweit gesetzlich zulässig, ist Frankfurt am Main vereinbart.

Signierte Fassung anfordern

Schick uns deine Firmen-Daten und deinen Snowbyte-Lizenz-Key — wir liefern innerhalb von 3 Werktagen die signierte PDF zur Gegenzeichnung.

Signierten AVV anfordern