Clevermation
CleverRouter

Legal

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag gemäss Art. 28 DSGVO zwischen dem Kunden (Verantwortlicher) und der Clevermation GmbH (Auftragsverarbeiter). Strukturiert nach dem Muster der GDD/BvDH-Vorlagen.

Stand11. Mai 2026

Achtung — Template-Status. Dieses Dokument ist eine für die CleverRouter-MVP generierte Vorlage und wurde nicht von einem deutschen Rechtsanwalt geprüft. Bitte nur als Ausgangspunkt verwenden — vor Go-Live mit zahlenden Kunden zwingend juristische Prüfung einholen.

EN: This is a TEMPLATE generated for the CleverRouter MVP. It has NOT been reviewed by a German lawyer. Use only as starting point — get a real legal review before going live with paying customers.

Unterschriebene PDF-Version

Eine von uns gegengezeichnete PDF-Fassung stellen wir auf Anfrage bereit. Schick eine E-Mail mit deinen Firmen-Stammdaten an legal@clevermation.com — wir liefern in der Regel innerhalb von 1–2 Werktagen.
[PLACEHOLDER — direkten Download-Link einsetzen, sobald der PDF-Generator live ist]

English version → /legal/dpa

1. Vertragsparteien

Dieser Auftragsverarbeitungsvertrag («AVV») wird geschlossen zwischen

  • dem Kunden, wie in der Order Form bzw. — bei Pay-as-you-go — den im CleverRouter-Account hinterlegten Stammdaten ausgewiesen, nachfolgend «Auftraggeber» oder «Verantwortlicher», und
  • der Clevermation GmbH, [PLACEHOLDER — Adresse], eingetragen im Handelsregister des [PLACEHOLDER — Amtsgericht] unter HRB [PLACEHOLDER], nachfolgend «Auftragnehmer» oder «Auftragsverarbeiter».

Der AVV ergänzt den zugrundeliegenden Hauptvertrag (Allgemeine Geschäftsbedingungen bzw. individuelle Enterprise Order Form) um die nach Art. 28 DSGVO erforderlichen Regelungen. Bei Widersprüchen geht der AVV in datenschutzrechtlichen Fragen vor.

2. Gegenstand und Dauer

Gegenstand der Verarbeitung ist der Betrieb des CleverRouter-Gateways: Entgegennahme von Inference-Anfragen des Auftraggebers, Weiterleitung an einen oder mehrere LLM-Provider, Rücksendung der Antwort sowie die Erfassung von Nutzungs-Metadaten zur Abrechnung.

Der AVV gilt für die gesamte Dauer des Hauptvertrags und überdauert dessen Beendigung, soweit es um Löschung, Audit und Haftung geht.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschliesslich zur Erbringung der Leistung: Routing, Rate-Limit, Budget-Durchsetzung, Abrechnung, Missbrauchsprävention und Betriebsüberwachung. Der Auftragnehmer verarbeitet personenbezogene Daten aus Prompts oder Completions nicht über die reine Durchleitung hinaus (Zero Data Retention, siehe Ziffer 6).

4. Betroffenenkategorien & Datenarten

4.1 Kreis der Betroffenen

Account-Administratoren, Entwicklerinnen und Entwickler sowie End-Nutzer des Auftraggebers, deren Daten in API-Aufrufen enthalten sind.

4.2 Datenarten

  • Account-Daten: E-Mail, optional Name, Passwort-Hash, Stripe-Kennung.
  • API-Caller-Metadaten: Zeitstempel, Modell-ID, Token-Counts, HTTP-Status, Latenz, gekürzter Key-Bezeichner.
  • Gehashte IP-Adressen kurzzeitig zur Rate-Limit-Durchsetzung.
  • Sämtliche personenbezogenen Daten im Request-Body — ausschliesslich in Durchleitung, ohne persistente Speicherung.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) dürfen nur nach gesonderter schriftlicher Vereinbarung über das Gateway gesendet werden.

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • personenbezogene Daten ausschliesslich nach dokumentierten Weisungen des Auftraggebers zu verarbeiten; der Hauptvertrag und dieser AVV stellen die maßgeblichen Weisungen dar;
  • sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden;
  • alle gemäss Art. 32 DSGVO erforderlichen Massnahmen zu ergreifen (siehe Ziffer 6);
  • die Bedingungen für die Inanspruchnahme von Subunternehmern (Ziffer 7) einzuhalten;
  • den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen, soweit dies mit geeigneten technischen und organisatorischen Massnahmen möglich ist;
  • den Auftraggeber bei den Pflichten aus Art. 32–36 DSGVO zu unterstützen (Sicherheit, Meldung, Folgenabschätzung, vorherige Konsultation);
  • nach Wahl des Auftraggebers nach Beendigung der Dienstleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben (Ziffer 12);
  • dem Auftraggeber alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind, und Audits zu ermöglichen (Ziffer 10).

6. Technisch-organisatorische Massnahmen (TOMs)

Der Auftragnehmer setzt nachfolgende Massnahmen gemäss Art. 32 DSGVO um. Sie werden dem Stand der Technik angepasst; wesentliche Reduktionen werden im Voraus angekündigt.

KategorieMassnahme
Verschlüsselung TransportTLS 1.3 erzwungen, HSTS aktiv, mTLS für Sub-Prozessor-Verbindungen.
Verschlüsselung RuheAES-256 für sämtliche persistente Speicher (Postgres, Object Storage, Backups).
Zero Data RetentionPrompts, Completions, Embeddings und Tool-Argumente werden nicht persistiert. Nur Metadaten werden geloggt.
Zutritts- & ZugriffskontrolleLeast-Privilege IAM, MFA-Pflicht für alle Engineers, JIT-Produktivzugang mit vollständigem Audit-Trail.
ProtokollierungSämtliche administrativen Aktionen und Zugriffe auf Kundendaten werden protokolliert; Aufbewahrung 12 Monate in Append-only-Speicher.
NetzwerksegmentierungProduktion getrennt von Entwicklung, private Subnets in der Datenebene, WAF und Rate-Limit am Edge.
EU-RoutingStandard-Deployment Scaleway Paris (FR). Keine Subprozessoren ausserhalb der EU. US-Endpunkte nur nach ausdrücklicher Weisung des Auftraggebers.
PersonalHintergrundprüfungen, schriftliche Vertraulichkeitsverpflichtungen, verpflichtende Datenschutzschulungen, Clean-Desk-Policy.
Incident-Response24/7 On-Call, dokumentiertes Runbook, Zielzeit P0-Acknowledgement < 30 Minuten.
Backups & WiederherstellungTägliche verschlüsselte Backups, monatliche Restore-Übungen, RTO < 4h, RPO < 1h für Metadaten.

7. Subunternehmer

Der Auftraggeber erteilt hiermit eine allgemeine schriftliche Genehmigung zur Inanspruchnahme von Subunternehmern. Die jeweils aktuelle Liste wird auf dieser Seite sowie nachstehend geführt. Beabsichtigte Änderungen werden mindestens 14 Tage im Voraus per E-Mail oder Dashboard-Hinweis bekannt gegeben. Der Auftraggeber kann aus berechtigten Gründen widersprechen; lässt sich keine einvernehmliche Lösung finden, sind beide Parteien zur Kündigung der betroffenen Service-Komponente berechtigt.

SubunternehmerStandortZweck
Scaleway SASParis, Frankreich (EU)Hosting & Compute der Gateway-Nodes
Stripe Payments Europe Ltd.Dublin, Irland (EU)Zahlungsabwicklung (EU-Datenresidenz)
Postmark (ActiveCampaign LLC, EU-Instanz)Frankfurt, Deutschland (EU)Transaktions-E-Mail-Versand

8. Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Massnahmen bei der Erfüllung der Pflichten zur Beantwortung von Anträgen Betroffener (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch). Standard-Anfragen können über die Dashboard-Funktionen (Export, Löschen) kostenfrei bearbeitet werden.

9. Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung. Die Meldung enthält die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit zum Meldezeitpunkt verfügbar.

10. Kontroll- und Auditrechte

Der Auftragnehmer stellt dem Auftraggeber alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind. Der Auftraggeber kann maximal einmal pro zwölf Monate mit Vorankündigung von 30 Tagen — selbst oder durch einen beauftragten, zur Verschwiegenheit verpflichteten Dritten — Audits durchführen.

Audits direkt im Produktiv-Rechenzentrum sind durch die Verträge mit dem jeweiligen Subunternehmer beschränkt. Der Auftragnehmer legt soweit zumutbar aktuelle Zertifikate Dritter (z.B. Scaleway ISO 27001, SOC 2) anstelle einer Vor-Ort-Begehung vor.

11. Drittlandsübermittlung

Personenbezogene Daten werden ausschliesslich innerhalb der EU/des EWR verarbeitet. Eine Drittlandsübermittlung findet standardmässig nicht statt. Weist der Auftraggeber den Auftragnehmer an, bestimmte Anfragen an einen Nicht-EU-Modellendpoint zu routen, schliessen die Parteien zuvor die EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) mit dem jeweiligen Subunternehmer.

12. Rückgabe und Löschung

Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer — nach Wahl des Auftraggebers — alle personenbezogenen Daten binnen 30 Tagen zurück und bestätigt die Löschung schriftlich. Gesetzliche Aufbewahrungspflichten (insbesondere steuer- und handelsrechtliche) bleiben unberührt; davon erfasste Daten werden zugriffsgeschützt gespeichert und am Ende der gesetzlichen Aufbewahrungsfrist gelöscht.

13. Haftung

Die Haftung richtet sich nach den Regelungen des Hauptvertrags. Art. 82 DSGVO bleibt unberührt.

14. Unterzeichnung

Für Pay-as-you-go-Kunden gilt dieser AVV mit Annahme der AGB bei Account-Anlage als abgeschlossen und besteht für die Dauer des Accounts fort. Enterprise-Kunden erhalten den AVV als gegengezeichnete PDF-Fassung im Rahmen der Order-Form-Unterlagen.

Individuelle Addenda (z.B. spezielle Subunternehmer-Ausschlüsse, Region-Pinning, zusätzliche TOMs) sind im Enterprise-Tarif verfügbar — bitte an legal@clevermation.com wenden.

Fragen zum Vertrag?

Schreib direkt an unsere Legal-Adresse

Custom Addenda, DPA-Reviews, Sub-Processor-Listen — alles über legal@clevermation.com.

legal@clevermation.com

Andere Legal-Dokumente: Impressum · Privacy · Terms · DPA · AVV