Auftragsverarbeitungsvertrag (AVV)
Stand: Mai 2026
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die Pflichten der Parteien aus Art. 28 DSGVO im Rahmen der Nutzung der Plattform raydaa. Er wird geschlossen zwischen Ihnen — der Kundin oder dem Kunden, die/der raydaa für die eigene Organisation einsetzt (nachfolgend „Verantwortliche/r“) — und der AiTrain GmbH, Gertigstraße 5, 22303 Hamburg, eingetragen im Handelsregister des Amtsgerichts Hamburg unter HRB 191041 (nachfolgend „Auftragsverarbeiter“ oder „raydaa“). Mit Abschluss dieses AVV erklärt sich der/die Verantwortliche damit einverstanden, dass raydaa personenbezogene Daten ihrer/seiner Mitarbeitenden ausschließlich auf dokumentierter Weisung im Rahmen dieses Vertrags verarbeitet.
§ 1 Gegenstand, Dauer, Art und Zweck der Verarbeitung
Gegenstand: Bereitstellung der Plattform raydaa als kuratierter KI-Wissensfeed inklusive Personalisierung, dem KI-Assistenten Marble und zugehörigen Funktionen. Dauer: für die Laufzeit des Hauptvertrags zwischen den Parteien (Nutzungsvertrag / Subscription). Art der Verarbeitung: Erheben, Speichern, Strukturieren, Verändern, Auslesen, Abfragen, Verwenden, Übermitteln innerhalb der vereinbarten Subprocessor-Kette, Löschen. Zweck: Bereitstellung der vertraglich geschuldeten Leistungen und damit verbundene Personalisierung, Sicherheitsmaßnahmen, Produktverbesserung sowie gesetzliche Pflichten.
§ 2 Art der personenbezogenen Daten und Kategorien betroffener Personen
Kategorien betroffener Personen: Mitarbeitende, Auszubildende und sonstige der/dem Verantwortlichen organisatorisch zugeordnete Personen, die raydaa nutzen. Arten personenbezogener Daten: Account-Daten (Name, E-Mail, Avatar), Profil- und Personalisierungsdaten (Rolle, Branche, Interview-Antworten, Profil-Zusammenfassung), Inhaltsinteraktion (geklickte und gespeicherte Assets, Engagement-Signale), Marble-Konversationen und zugehörige Memories sowie technische Logs (IP, User-Agent, Zeitstempel). Eine detaillierte Aufstellung findet sich in der Datenschutzerklärung (Abschnitt 3) und stellt eine Konkretisierung des vorliegenden AVV dar.
§ 3 Weisungsrecht des Verantwortlichen
raydaa verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des/der Verantwortlichen. Die Hauptweisung ergibt sich aus diesem AVV und dem zugehörigen Nutzungsvertrag. Ergänzende Weisungen sind in Textform an info@ai-train.de zu richten und werden von raydaa unverzüglich auf Umsetzbarkeit geprüft. Eine Weisung wird abgelehnt oder die Ausführung ausgesetzt, wenn nach Auffassung von raydaa die Weisung gegen geltendes Datenschutzrecht verstößt; in diesem Fall informiert raydaa die/den Verantwortliche/n unverzüglich.
§ 4 Vertraulichkeitsverpflichtung
raydaa stellt sicher, dass alle mit der Verarbeitung personenbezogener Daten betrauten Personen vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Auftragsverhältnisses fort.
§ 5 Technische und organisatorische Maßnahmen (TOMs)
Die von raydaa getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO ergeben sich aus Anhang 1 zu diesem AVV. Sie können während der Vertragslaufzeit weiterentwickelt werden, sofern das gleichwertige oder höhere Schutzniveau erhalten bleibt. Wesentliche Verschlechterungen sind ausgeschlossen. raydaa weist die Einhaltung auf Anfrage des/der Verantwortlichen durch geeignete Nachweise (Self-Audit-Bericht, Plattform-Zertifizierungen der Subprocessor) nach.
§ 6 Unterauftragsverarbeiter
Die/Der Verantwortliche stimmt dem Einsatz der in Anhang 2 dieses AVV aufgeführten Unterauftragsverarbeiter zu (Generaleinwilligung gemäß Art. 28 Abs. 2 Satz 2 DSGVO). raydaa informiert die/den Verantwortliche/n über beabsichtigte Änderungen der Subprocessor-Liste mindestens 30 Tage vor deren Wirksamwerden per E-Mail an die im Kundenkonto hinterlegte Adresse. Die/Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen; in diesem Fall sind die Parteien berechtigt, den Hauptvertrag außerordentlich zu kündigen. raydaa verpflichtet alle Unterauftragsverarbeiter vertraglich auf ein gleichwertiges Datenschutzniveau.
§ 7 Unterstützungspflichten
raydaa unterstützt die/den Verantwortliche/n im Rahmen des technisch Möglichen bei der Erfüllung der eigenen Pflichten nach Art. 12 bis 22 DSGVO (Betroffenenrechte) sowie nach Art. 32 bis 36 DSGVO (Sicherheit, Meldepflicht, Datenschutz-Folgenabschätzung, vorherige Konsultation). Anfragen betroffener Personen, die unmittelbar an raydaa gerichtet werden, leitet raydaa unverzüglich an die/den Verantwortliche/n weiter. Für angemessene Unterstützungsleistungen kann raydaa nach Abstimmung eine Vergütung nach Aufwand verlangen, soweit der Aufwand nicht durch eigene Verpflichtungen aus diesem AVV abgedeckt ist.
§ 8 Meldepflicht bei Datenpannen
raydaa meldet der/dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) unverzüglich nach Kenntnisnahme, spätestens jedoch innerhalb von 72 Stunden. Die Meldung erfolgt per E-Mail an die im Kundenkonto hinterlegte Hauptkontaktadresse und enthält eine Beschreibung der Art der Verletzung, die voraussichtlich betroffenen Kategorien und Anzahlen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen. raydaa unterstützt die/den Verantwortliche/n bei der Meldung an die Aufsichtsbehörde und gegebenenfalls bei der Benachrichtigung der betroffenen Personen.
§ 9 Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Hauptvertrags löscht raydaa sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Anforderung der/des Verantwortlichen, die vor der Löschung in Textform geltend zu machen ist, stellt raydaa die Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON-Export) zur Verfügung. Für gesetzlich aufzubewahrende Daten (insbesondere Rechnungsbelege nach § 147 AO) gelten die jeweiligen gesetzlichen Aufbewahrungsfristen; während dieses Zeitraums werden die Daten geschützt und für andere Zwecke gesperrt.
§ 10 Nachweis- und Auditrechte
raydaa stellt der/dem Verantwortlichen auf Anfrage einen aktuellen Self-Audit-Bericht zur Verfügung, der die Umsetzung der TOMs aus Anhang 1 dokumentiert. Reicht der Self-Audit-Bericht nicht aus, kann die/der Verantwortliche nach vorheriger schriftlicher Anmeldung mit angemessener Frist (mindestens 14 Tage) und während üblicher Geschäftszeiten Audits am Sitz von raydaa durchführen oder durch eine/n auf Verschwiegenheit verpflichtete/n Dritte/n durchführen lassen. raydaa kann die Vorlage gleichwertiger Drittzertifizierungen oder Audit-Berichte der eingesetzten Plattformen (z. B. AWS SOC-2, Vercel SOC-2) als ergänzenden Nachweis vorlegen.
§ 11 Haftung
Die Haftung der Parteien richtet sich nach den allgemeinen Bestimmungen des Hauptvertrags und nach Art. 82 DSGVO. raydaa haftet gegenüber der/dem Verantwortlichen für Schäden, die aus einer ihr/ihm zurechenbaren schuldhaften Pflichtverletzung dieses AVV entstehen. Im Außenverhältnis gegenüber betroffenen Personen haften die Parteien nach Art. 82 DSGVO.
§ 12 Sprache und Auslegung
Dieser AVV liegt in deutscher und englischer Sprache vor. Bei Auslegungsunterschieden ist die deutsche Sprachfassung maßgeblich. Die englische Fassung dient ausschließlich Informationszwecken (English version is a translation for information purposes only; the German version controls).
§ 13 Schlussbestimmungen
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Hamburg, sofern die/der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist. Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anhang 1 — Technische und organisatorische Maßnahmen
raydaa setzt zum Schutz personenbezogener Daten folgende Maßnahmen ein. Diese Liste reflektiert den tatsächlichen Stand zum Zeitpunkt der letzten Aktualisierung dieses AVV. Wesentliche Verschlechterungen werden der/dem Verantwortlichen mit angemessener Vorlaufzeit angezeigt.
- Cloud-only-Architektur in zertifizierten EU-Rechenzentren (AWS eu-central-1, Supabase EU, Vercel mit EU-Regions). Keine eigenen physischen Serverräume.
- Verschlüsselung in transit: TLS 1.2 oder höher für jede Datenübertragung; HTTP-Verbindungen werden serverseitig auf HTTPS umgeleitet.
- Verschlüsselung at rest: AES-256-Verschlüsselung der Datenbank und Storage-Volumes durch die eingesetzten Cloud-Plattformen.
- Zugangskontrolle: Authentifizierung über bcrypt-gehashte Passwörter oder OAuth (Google). Mehrfaktor-Authentifizierung wird für administrative Accounts auf den eingesetzten Plattformen unterstützt und kann pro Account aktiviert werden.
- Zugriffskontrolle: Row-Level Security auf Datenbankebene; serverseitige Autorisierungsprüfung pro Request; Trennung von Nutzer- und Administrationsrollen.
- Mandantentrennung: Logische Isolation über Foreign-Keys und Row-Level-Security; vollständig getrennte Staging- und Produktivumgebungen.
- Pseudonymisierung: Analytische Drittdienste erhalten ausschließlich pseudonyme Identifier; Embeddings werden als anonyme numerische Vektoren verarbeitet.
- Backup und Wiederherstellung: Tägliche automatisierte physische Backups durch die Managed-Database (Supabase Pro). Point-in-Time-Recovery ist optional je nach gebuchtem Tarif und Bedarf des Verantwortlichen aktivierbar.
- Logging: Plattform-seitiges Logging von Authentifizierungs-Events und Request-Logs (Aufbewahrung typischerweise bis zu 90 Tage); applikationsseitige Strukturlogs für sicherheitsrelevante Vorgänge.
- Statische Code-Analyse durch Linter und Type-Checker im CI-Prozess; Code-Reviews vor Merges in die Produktivumgebung.
- Vertraulichkeitsverpflichtung der Geschäftsführung und aller mit Datenverarbeitung betrauten Personen vor Aufnahme der Tätigkeit.
- Definierter Eskalationsweg bei sicherheitsrelevanten Vorfällen: Wahrnehmung über info@ai-train.de oder durch interne Monitoring-Signale, Bewertung durch die Geschäftsführung, Meldung an Verantwortliche unverzüglich nach Kenntnis (innerhalb 72 Stunden).
- Subprocessor-Management: Inventar aller eingesetzten Auftragsverarbeiter, DPA pro Anbieter, jährliche Überprüfung der eingesetzten Anbieter.
Anhang 2 — Genehmigte Unterauftragsverarbeiter
raydaa setzt die folgenden Unterauftragsverarbeiter zur Erbringung der Leistung ein. Mit der Annahme dieses AVV stimmt die/der Verantwortliche dem Einsatz zu (Generaleinwilligung). Eine aktuelle Liste wird stets unter https://raydaa.com/avv bereitgehalten.
| Anbieter | Funktion | Sitz / Verarbeitungsort | Transfergrundlage |
|---|---|---|---|
| Supabase Inc., USA (Verarbeitung in EU) | Datenbank, Authentifizierung, Storage | EU (Region eu-central-1) | Verarbeitung in der EU; Mutter in USA → SCC |
| Vercel Inc., USA | Hosting, Edge-Funktionen, Logging | USA mit EU-Regions | EU-US Data Privacy Framework und SCC |
| Amazon Web Services EMEA SARL, Luxemburg | AWS Bedrock — LLM-Inferenz und Embeddings | EU (eu-central-1, EU-Cross-Region-Inference) | Verarbeitung in der EU |
| Microsoft Ireland Operations Ltd., Irland | Microsoft Clarity — Analyse (nur nach Einwilligung) | EU mit Untertransfer in die USA | EU-US Data Privacy Framework und SCC |
| Stripe Payments Europe Ltd., Irland | Zahlungsabwicklung | EU mit Untertransfer in die USA | EU-US Data Privacy Framework und SCC |
| ActiveCampaign LLC (Postmark), USA | Transaktionale E-Mails | USA | SCC |
| Cloudflare Inc., USA | Bot-Schutz (Turnstile) | USA | EU-US Data Privacy Framework und SCC |
| Google Ireland Ltd., Irland | Optionaler Google-Login (OAuth) | EU mit Untertransfer in die USA | EU-US Data Privacy Framework und SCC |
Asset-Aufbereitungs-Dienste (Groq Inc., AssemblyAI Inc., ListenNotes Inc.) verarbeiten ausschließlich öffentlich zugängliche Inhalte (Podcasts, Videos, Webseiten) und sind daher keine Auftragsverarbeiter im Sinne dieses AVV.
Abschluss dieses AVV
Für Organisationen mit aktivem raydaa-Abonnement: Sie können diesen AVV elektronisch annehmen, indem die für Ihre Organisation verantwortliche Person (in der Regel Geschäftsführung, Einkauf oder Datenschutzbeauftragte:r) angemeldet ist und die Annahme bestätigt. Die elektronische Annahme wird von raydaa mit Zeitstempel und Versions-Hash dokumentiert und gilt rechtlich verbindlich.
Alternativ können Sie den AVV über die Druckfunktion Ihres Browsers als PDF speichern und gegenzeichnen.