Auftragsverarbeitungsvertrag
Gültig ab: 26. März 2026
1. Parteien
Dieser DPA wird geschlossen zwischen:
- Verantwortlicher ("Verantwortlicher"): Die Kundeinheit, die einen Abonnementvertrag für AgentForge-Services abgeschlossen hat und die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
- Auftragsverarbeiter ("Auftragsverarbeiter"): KOWEX Co. Holding, ein in der Tschechischen Republik registriertes Unternehmen, das die AgentForge-Plattform unter agentforge.community betreibt.
2. Umfang der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Namen des Verantwortlichen ausschließlich zu dem Zweck, die AgentForge-Plattform-Services bereitzustellen, einschließlich:
- Bereitstellung von Zugriff auf die AgentForge-API und das Dashboard
- Hosting und Bedienung von MCP-Server-Konfigurationen
- Verarbeitung von API-Anfragen zwischen Agenten und MCP-Servern
- Wartung von Nutzungsprotokollen und Analytik
- Verwaltung von Authentifizierung und Zugriffssteuerung
- Bearbeitung von Abonnements und Abrechnungsoperationen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Anweisungen des Verantwortlichen, es sei denn, dies ist durch EU- oder Mitgliedstaaten-Recht erforderlich.
3. Kategorien verarbeiteter Daten
Die folgenden Kategorien personenbezogener Daten dürfen unter diesem DPA verarbeitet werden:
| Kategorie | Datenelemente | Betroffene Personen |
|---|---|---|
| Kontoinformationen | E-Mail-Adresse, Anzeigename, Authentifizierungsberechtigungen (gehashed) | Mitarbeiter des Verantwortlichen, autorisierte Benutzer |
| API-Nutzungsdaten | Aufgerufene Endpunkte, Zeitstempel, Antwortkodes, Rate-Limit-Zähler | Mitarbeiter des Verantwortlichen, Agenten |
| Server-Metadaten | MCP-Server-Namen, Beschreibungen, Tool-Definitionen, Funktionen | Mitarbeiter des Verantwortlichen |
| Technische Daten | IP-Adressen, User-Agent-Strings, Request-Metadaten | Mitarbeiter des Verantwortlichen, Agenten |
4. Sicherheitsmaßnahmen
Der Auftragsverarbeiter implementiert und erhält folgende technische und organisatorische Maßnahmen, um die Sicherheit personenbezogener Daten gemäß GDPR Artikel 32 sicherzustellen:
- Verschlüsselung ruhender Daten: Die gesamte Datenbankspeicherung wird mit AES-256 verschlüsselt. API-Schlüssel werden als gehashte Salze gespeichert.
- Verschlüsselung bei der Übertragung: Alle Datenübertragungen zwischen Clients, Servern und Unterauftragsverarbeitern werden durch TLS 1.2 oder höher geschützt.
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) mit Least-Privilege-Prinzipien. Multi-Faktor-Authentifizierung für administrativen Zugriff. Row Level Security (RLS) durchgesetzt auf der Datenbankebene.
- Audit-Protokollierung: Alle API-Zugriffe und administrativen Aktionen werden mit Zeitstempeln, Akteuridentifizierung und Aktionsdetails protokolliert. Protokolle werden 90 Tage lang aufbewahrt.
- Infrastruktur-Sicherheit: Verwaltetes Hosting auf Supabase (SOC 2 Typ II) und Vercel mit automatisierten Patches und Sicherheitsprüfungen.
- Incident Response: Dokumentierte Incident-Response-Verfahren mit definierten Rollen und Kommunikationsprotokollen.
5. Unterauftragsverarbeiter
Der Verantwortliche erteilt allgemeine Genehmigung für den Auftragsverarbeiter, um die folgenden Unterauftragsverarbeiter einzusetzen. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen mindestens 30 Tage vor Änderungen an Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, Einwand zu erheben.
| Unterauftragsverarbeiter | Zweck | Speicherort |
|---|---|---|
| Supabase Inc. | Datenbank-Hosting, Authentifizierung, Speicherung | EU (Frankfurt, Deutschland) |
| Stripe Inc. | Zahlungsverarbeitung, Abonnementverwaltung | EU |
| Vercel Inc. | Anwendungs-Hosting, Edge-Bereitstellung | EU-Edge (globales CDN) |
| Anthropic PBC | KI-gestützte Funktionen (Agent-Empfehlungen) | USA (mit SCCs) |
6. Datenschutzverletzungs-Benachrichtigung
Im Fall einer Datenschutzverletzung wird der Auftragsverarbeiter:
- Den Verantwortlichen ohne unangemessene Verzögerung benachrichtigen und spätestens 72 Stunden nach Bekanntwerden der Verletzung, gemäß GDPR Artikel 33.
- Umfassende Details bereitstellen, einschließlich der Art der Verletzung, Kategorien und ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen und ergriffene oder vorgeschlagene Maßnahmen zur Minderung der Verletzung.
- Vollständig kooperieren bei der Untersuchung der Verletzung und Erfüllung der Benachrichtigungspflichten des Verantwortlichen an Aufsichtsbehörden und betroffene Personen.
- Alle Verletzungen dokumentieren, unabhängig von Schweregrad, und Aufzeichnungen über Fakten, Auswirkungen und ergreifenmaßnahmen aufbewahren.
7. Datenrückgabe und Löschung
Bei Beendigung oder Ablauf der Service-Vereinbarung wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:
- Alle personenbezogenen Daten an den Verantwortlichen in strukturiertem, gängigem, maschinenlesbarem Format (JSON-Export) zurückgeben, einschließlich Kontodaten, Server-Konfigurationen und Nutzungsprotokollen.
- Alle personenbezogenen Daten innerhalb von 30 Tagen nach Beendigungsdatum löschen, einschließlich aller Kopien in aktiven Systemen und Backups, außer wo Aufbewahrung durch EU- oder Mitgliedstaaten-Recht erforderlich ist.
Der Auftragsverarbeiter stellt auf Anfrage eine schriftliche Bestätigung der Löschung bereit. Abrechnungsunterlagen können bis zu 10 Jahre wie vom tschechischen Rechnungswesen erforderlich (Gesetz Nr. 563/1991 Slg.) aufbewahrt werden.
8. Audit-Rechte
Der Verantwortliche hat das Recht, die Compliance des Auftragsverarbeiters mit diesem DPA zu überprüfen:
- Jährliche Audits: Der Verantwortliche kann jährlich ein Audit der Datenverarbeitungsaktivitäten des Auftragsverarbeiters durchführen oder beauftragen lassen, mit mindestens 30 Tagen Vorankündigung.
- Umfang: Audits können Sicherheitsmaßnahmen, Unterauftragsverarbeiter-Verwaltung, Datenbehandlungsverfahren und Incident-Response-Fähigkeiten abdecken.
- Kooperation: Der Auftragsverarbeiter stellt alle erforderlichen Informationen zur Verfügung, um Compliance zu zeigen, einschließlich Zugriff auf relevante Einrichtungen, Systeme und Personal während normaler Geschäftszeiten.
- Zertifizierungs-Alternative: Der Auftragsverarbeiter kann Audit-Anforderungen durch Bereitstellung aktueller SOC 2 Typ II-Berichte, ISO 27001-Zertifikate oder äquivalente unabhängige Bewertungen erfüllen.
9. Internationale Übertragungen
Der Auftragsverarbeiter überträgt personenbezogene Daten nicht außerhalb des Europäischen Wirtschaftsraumes (EWR) außer wo:
- Die Europäische Kommission einen Angemessenheitsbeschluss für das Zielland erlassen hat (GDPR Artikel 45).
- Angemessene Sicherheitsvorkehrungen bestehen, einschließlich Standardvertragsklauseln (SCCs) der Europäischen Kommission (GDPR Artikel 46(2)(c)).
- Eine Transfer Impact Assessment (TIA) durchgeführt und dokumentiert wurde für die spezifische Übertragung.
Gegenwärtig ist der einzige Unterauftragsverarbeiter außerhalb des EWR Anthropic PBC (Vereinigte Staaten), für das SCCs bestehen und KI-Verarbeitung keine dauerhafte Speicherung personenbezogener Daten umfasst.
10. Kontakt für DPA-Ausführung
Um Ausführung dieses DPA anzufordern, Bedingungen zu diskutieren oder über unsere Datenschutzpraktiken zu erkundigen:
KOWEX Co. Holding — Enterprise-Team
E-Mail: enterprise@agentforge.community
Datenschutzbeauftragte: privacy@agentforge.community
Dieser DPA wird durch die Gesetze der Tschechischen Republik beherrscht. Alle Streitigkeiten, die sich aus diesem DPA ergeben, unterliegen der ausschließlichen Gerichtsbarkeit der Gerichte der Tschechischen Republik. Dieser DPA bleibt für die Dauer der Nutzung von AgentForge-Services durch den Verantwortlichen und so lange gültig, wie der Auftragsverarbeiter personenbezogene Daten im Namen des Verantwortlichen aufbewahrt.