Auftragsverarbeitungsvertrag (AVV)
Plattform: Auftragr (auftragr.de)
Gemäß Art. 28 DSGVO / EU-Datenschutz-Grundverordnung
1. Gegenstand und Dauer
Dieser AVV regelt die Verarbeitung personenbezogener Daten durch BlackSwanAI ("Auftragsverarbeiter") im Rahmen der Nutzung der Plattform Auftragr ("Dienst") durch den Kunden ("Verantwortlicher"). Die Verarbeitung erfolgt für die Dauer der Nutzung des Dienstes. Dieser AVV ist spezifisch für die Plattform Auftragr und deren technische Infrastruktur.
2. Art und Zweck der Verarbeitung
Die Verarbeitung umfasst: Speicherung und Verarbeitung von Benutzerprofildaten, Abgleich mit öffentlichen Ausschreibungsdaten, KI-gestützte Analyse von Vergabeverfahren (KO-Kriterien, VOB-Risikobewertung, Wettbewerbsdichte), Zustellung von E-Mail-Briefings. Die Verarbeitung dient ausschließlich der Erbringung des vertraglich vereinbarten Dienstes.
3. Kategorien personenbezogener Daten
| Kategorie | Datenfelder | Rechtsgrundlage | Aufbewahrung |
|---|---|---|---|
| Kontodaten | Name, E-Mail, Passwort (bcrypt-gehasht) | Art. 6(1)(b) | Bis Kontolöschung |
| Firmendaten | Firmenname, Website, Größe, Branche, Telefon | Art. 6(1)(b) | Bis Kontolöschung |
| Bau-DNA-Profil | Gewerk, Spezialisierungen, Regionen, CPV-Codes, VOB-Erfahrung | Art. 6(1)(b) | Bis Kontolöschung |
| Pipeline-Daten | Gespeicherte Ausschreibungen, Bewertungen, Notizen | Art. 6(1)(b) | Bis Kontolöschung |
| Nutzungsdaten | Seitenaufrufe, Klicks, Suchbegriffe, Pipeline-Aktionen | Art. 6(1)(f) | 90 Tage |
| Feedback | Bug-Meldungen, Feature-Wünsche, Bewertungen | Art. 6(1)(b) | Bis Kontolöschung |
4. Unterauftragsverarbeiter — Auftragr Technologiestack
Die folgenden Unterauftragsverarbeiter werden spezifisch für die Plattform Auftragr eingesetzt:
| Dienstleister | Zweck | Standort | Verarbeitete Daten | Schutzmaßnahme |
|---|---|---|---|---|
| Neon Inc. | PostgreSQL-Datenbank (App DB + Intelligence DB) | EU (Frankfurt, eu-central-1) | Alle Kontodaten, Profile, Pipeline | EU-Region, RLS, Verschlüsselung |
| Netlify Inc. | Hosting (Next.js), Dateispeicher (Blobs) | EU | Hochgeladene Dokumente, statische Assets | EU-Region |
| Groq Inc. | KI-Analyse (Llama 3.3 70B): KO-Kriterien, VOB-Risiko, Wettbewerbsdichte | USA | Ausschließlich öffentliche Ausschreibungstexte — keine PII | SCC, keine PII-Übermittlung |
| one.com | SMTP E-Mail-Versand | EU (Denmark) | E-Mail-Adresse, Briefing-Inhalte | EU-Anbieter |
| GitHub Inc. | Code-Hosting, CI/CD (Netlify-Deployment) | USA | Quellcode — keine Benutzerdaten | SCC, keine PII |
SCC = EU-Standardvertragsklauseln gem. Durchführungsbeschluss (EU) 2021/914. Bei US-Diensten werden ausschließlich öffentliche Ausschreibungstexte oder Code verarbeitet — keine personenbezogenen Daten der Benutzer.
5. Technische und organisatorische Maßnahmen (TOMs)
- Zugriffskontrolle: Row Level Security (RLS) auf PostgreSQL-Ebene — jeder Benutzer kann nur eigene Daten sehen. 8 Tabellen geschützt, 16 Policies, FORCE ROW LEVEL SECURITY aktiv.
- Verschlüsselung: TLS 1.3 für alle Daten in Transit, AES-256 at Rest (Neon), bcrypt mit 12 Runden für Passwörter
- Authentifizierung: NextAuth.js mit JWT, 30-Tage Session-Ablauf, E-Mail-Verifizierung vor Aktivierung
- Middleware: Globale Auth-Middleware schützt /api/dashboard/*, /api/profile/*, /api/admin/*
- Rate Limiting: IP-basiertes Rate Limiting auf Anmelde- und Registrierungsendpunkten
- E-Mail-Validierung: Nur deutsche Geschäfts-E-Mail-Adressen (.de/.at/.ch/.eu) — keine Freemail-Anbieter
- Admin-Kontrolle: Super-Admin kann Benutzer genehmigen, ablehnen, widerrufen und deaktivieren
- Audit Trail: Event-Tracking-System mit 12 Event-Typen, gespeichert in user_events
6. Rechte der betroffenen Personen
- Auskunft (Art. 15): Einstellungen → Daten exportieren (JSON mit allen 7 Tabellen)
- Datenübertragbarkeit (Art. 20): Vollständiger JSON-Export: Profil, Pipeline, Events, Feedback, Dokumente
- Löschung (Art. 17): Einstellungen → Konto löschen — kaskadierende Löschung aller 8 RLS-geschützten Tabellen
- Widerspruch (Art. 21): E-Mail an info@blackswanai.de
7. KI-Verarbeitung (EU AI Act Transparenz)
Auftragr verwendet das KI-Modell Llama 3.3 70B (via Groq) zur Analyse öffentlicher Ausschreibungsdaten. Die KI verarbeitet ausschließlich öffentlich zugängliche Texte — keine personenbezogenen Daten der Benutzer werden an KI-Dienste übermittelt. KI-generierte Ergebnisse (KO-Kriterien-Checklisten, VOB-Risikobewertungen, Wettbewerbsdichte-Analysen, Win-Kategorien) dienen als Entscheidungsunterstützung. Es findet keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO statt. Alle KI-Ergebnisse werden im Dashboard als solche erkennbar dargestellt.
8. Datenlöschung bei Vertragsende
Bei Beendigung der Nutzung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht. Der Benutzer kann jederzeit eine sofortige Löschung über die Einstellungen durchführen. Öffentliche Ausschreibungsdaten (nicht personenbezogen) bleiben für statistische Zwecke erhalten, da diese aus öffentlich zugänglichen Quellen (TED, Bund.de, DTVP) stammen.
Stand: April 2026 | Plattform: Auftragr (auftragr.de) | Betreiber: BlackSwanAI, Erlangen | info@blackswanai.de