Vereinbarung zur Auftragsverarbeitung (AVV)

Stand: 19. März 2026

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) ergänzt den jeweils zwischen dem Kunden und Nickle AI bestehenden Hauptvertrag über die Nutzung der App „nickle“, über Agenturleistungen von Nickle AI oder über sonstige Leistungen, soweit Nickle AI personenbezogene Daten im Auftrag des Kunden verarbeitet.

1. Parteien und Zustandekommen

Diese AVV wird geschlossen zwischen:

Nickle AI – Oreshin, Platon und Scheffler, Daniel GbR
Ludwig-Erhard-Straße 10
34131 Kassel
Deutschland
E-Mail: info@nickle.ai
– nachfolgend „Nickle AI“, „Auftragsverarbeiter“ oder – soweit einschlägig – „Unterauftragsverarbeiter“ –

und

dem Kunden, der einen Vertrag über die Nutzung von nickle, über Agenturleistungen oder über sonstige Leistungen von Nickle AI abschließt
– nachfolgend „Kunde“, „Verantwortlicher“ oder – soweit einschlägig – „Auftraggeber“ –.

Diese AVV kommt in elektronischer Form zustande. Sie gilt als wirksam geschlossen, sobald der Kunde:

  1. im Rahmen der Registrierung, Bestellung oder Nutzung einer von Nickle AI bereitgestellten Leistung die Geltung dieser AVV ausdrücklich akzeptiert, oder
  2. einen Hauptvertrag, ein Angebot, einen Bestellschein, ein Order Form, ein Statement of Work oder eine sonstige Vereinbarung abschließt, die auf diese AVV Bezug nimmt.

Nickle AI kann den Zeitpunkt der Annahme sowie die jeweils geltende Fassung dieser AVV dokumentieren.

2. Präambel und Geltungsbereich

(1) Im Rahmen der Nutzung der App „nickle“ sowie im Rahmen bestimmter Agenturleistungen kann es erforderlich sein, dass Nickle AI personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Kunden verarbeitet. In diesen Fällen gilt diese AVV.

(2) Diese AVV gilt nur, soweit Nickle AI personenbezogene Daten im Sinne von Art. 28 DSGVO im Auftrag des Kunden verarbeitet.

(3) Diese AVV gilt insbesondere für:

  • die Nutzung der App „nickle“ einschließlich Workspace-, Team-, Organisations-, Upload-, Such-, Analyse-, Automatisierungs-, Integrations- und KI-Funktionen,
  • projektbezogene Agenturleistungen im Bereich Web, KI, Automatisierung, Integrationen, Prototyping, Workflow-Design, Assistenzsysteme und verwandter digitaler Services,
  • Support-, Betriebs-, Wartungs- und Administrationsleistungen, soweit diese eine Verarbeitung personenbezogener Daten im Auftrag des Kunden erfordern.

(4) Diese AVV gilt nicht, soweit Nickle AI personenbezogene Daten für eigene Zwecke verarbeitet und insoweit selbst Verantwortlicher ist. Dies betrifft insbesondere – soweit einschlägig – die Verarbeitung zu folgenden Zwecken:

  • Anbahnung, Abschluss, Verwaltung und Abwicklung der eigenen Vertragsbeziehung mit dem Kunden,
  • Rechnungsstellung, Zahlungsabwicklung, Forderungsmanagement und Buchhaltung,
  • eigene rechtliche Nachweis-, Aufbewahrungs- und Compliance-Pflichten,
  • Gewährleistung von IT-Sicherheit, Missbrauchsverhinderung, Systemschutz und Abwehr von Angriffen,
  • eigene Geschäftskommunikation, Vertrieb und Supportorganisation,
  • gesetzlich erforderliche Offenlegungen oder sonstige Verarbeitungen aufgrund zwingender gesetzlicher Verpflichtungen.

(5) Soweit der Kunde selbst Auftragsverarbeiter eines Dritten ist und Nickle AI auf Weisung des Kunden personenbezogene Daten dieses Dritten verarbeitet, handelt Nickle AI als Unterauftragsverarbeiter. In diesem Fall gelten die Regelungen dieser AVV entsprechend.

3. Definitionen

Soweit in dieser AVV nicht abweichend definiert, gelten die Begriffsbestimmungen der DSGVO.

Im Sinne dieser AVV bedeutet:

„Personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

„Kundendaten“ alle personenbezogenen Daten, die Nickle AI im Zusammenhang mit den vertragsgegenständlichen Leistungen im Auftrag des Kunden verarbeitet.

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, insbesondere das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

„Unterauftragsverarbeiter“ jeden weiteren Auftragsverarbeiter, den Nickle AI zur Erbringung der Leistungen ganz oder teilweise einsetzt.

„Datenschutzgesetze“ alle auf die Verarbeitung personenbezogener Daten anwendbaren Datenschutzvorschriften, insbesondere die DSGVO, das BDSG und – soweit einschlägig – sonstige nationale Datenschutzregelungen.

„Sicherheitsvorfall“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten geführt hat oder führen könnte.

4. Gegenstand, Art und Dauer der Verarbeitung

(1) Gegenstand, Art, Zweck und Umfang der Verarbeitung sowie die Kategorien personenbezogener Daten und betroffener Personen ergeben sich aus dieser AVV, dem Hauptvertrag sowie Anlage 1.

(2) Nickle AI verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen für den Kunden.

(3) Die Verarbeitung erfolgt für die Dauer des Hauptvertrags bzw. solange Nickle AI im Auftrag des Kunden personenbezogene Daten verarbeitet. Gesetzliche Aufbewahrungspflichten und technisch unvermeidbare Restbestände in Backups bleiben hiervon unberührt; in diesen Fällen werden die Daten gesperrt und nur noch zu den gesetzlich oder technisch erforderlichen Zwecken vorgehalten.

5. Weisungsgebundene Verarbeitung

(1) Nickle AI verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, sofern Nickle AI nicht durch Unionsrecht oder das Recht eines Mitgliedstaats zu einer davon abweichenden Verarbeitung verpflichtet ist. In diesem Fall informiert Nickle AI den Kunden vor der Verarbeitung, sofern das Gesetz eine solche Mitteilung nicht untersagt.

(2) Als dokumentierte Weisungen gelten insbesondere:

  • die Bestimmungen des Hauptvertrags,
  • diese AVV und ihre Anlagen,
  • Konfigurationen, Einstellungen, Rollen- und Berechtigungsvergaben, Freigaben, Modell- oder Integrationsauswahlen, die der Kunde innerhalb der Leistungen selbst vornimmt,
  • individuelle Weisungen in Textform, insbesondere per E-Mail, Ticket-System oder sonstigem nachvollziehbaren Kommunikationsweg,
  • im Agenturkontext zusätzlich Briefings, Freigaben, Projektunterlagen, Statements of Work, technische Spezifikationen und dokumentierte Änderungsanforderungen.

(3) Mündliche Weisungen sind vom Kunden unverzüglich in Textform zu bestätigen. Nickle AI kann die Umsetzung einer Weisung bis zu deren Bestätigung aussetzen, soweit dies nach pflichtgemäßem Ermessen sachlich gerechtfertigt ist.

(4) Ist Nickle AI der Auffassung, dass eine Weisung gegen Datenschutzgesetze verstößt, informiert Nickle AI den Kunden unverzüglich. Nickle AI ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Kunden bestätigt oder geändert wird.

(5) Nickle AI wird Kundendaten nicht für eigene Zwecke verwenden. Hiervon unberührt bleibt die Nutzung vollständig anonymisierter Informationen, bei denen ein Personenbezug endgültig ausgeschlossen ist.

6. Pflichten und Verantwortlichkeiten des Kunden

(1) Der Kunde ist für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten sowie für die Wahrung der Rechte der betroffenen Personen im Verhältnis zu den Betroffenen verantwortlich.

(2) Der Kunde sichert zu, dass er für die von ihm veranlasste Verarbeitung personenbezogener Daten eine gültige Rechtsgrundlage besitzt und etwaige Informations-, Dokumentations- und Nachweispflichten erfüllt.

(3) Der Kunde ist dafür verantwortlich,

  • dass Zweck, Mittel und Grenzen der beauftragten Verarbeitung hinreichend bestimmt sind,
  • dass nur solche personenbezogenen Daten in die Leistungen eingebracht werden, deren Verarbeitung zulässig ist,
  • dass besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sowie Daten mit besonderer Geheimhaltungspflicht nur verarbeitet werden, soweit dies rechtlich zulässig ist und gegebenenfalls zusätzliche Schutzmaßnahmen abgestimmt wurden,
  • dass er seine eigenen Systeme, Zugänge, Endgeräte, Nutzerkonten und Berechtigungen angemessen schützt,
  • dass er Betroffenenanfragen, Behördenanfragen oder sonstige datenschutzrechtlich relevante Sachverhalte unverzüglich an Nickle AI weiterleitet, soweit hierfür eine Mitwirkung von Nickle AI erforderlich ist.

(4) Der Kunde bleibt verantwortlich für die datenschutzrechtliche Bewertung und Freigabe solcher Inhalte, Datenquellen, Integrationen, Tools, APIs oder Modellkonfigurationen, die er selbst aktiviert, auswählt oder mit Drittsystemen verbindet, soweit diese nicht von Nickle AI als Teil der Auftragsverarbeitung festgelegt werden.

7. Pflichten von Nickle AI

Nickle AI verpflichtet sich insbesondere,

  1. personenbezogene Daten nur im Rahmen der vertraglichen Vereinbarungen und dokumentierten Weisungen des Kunden zu verarbeiten,
  2. nur solche Personen mit der Verarbeitung zu betrauen, die zur Vertraulichkeit verpflichtet sind,
  3. angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen und aufrechtzuerhalten,
  4. den Kunden bei der Erfüllung seiner Pflichten nach Art. 28 Abs. 3 lit. e und f DSGVO im angemessenen Umfang zu unterstützen,
  5. dem Kunden alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieser AVV erforderlich sind,
  6. nach Maßgabe dieser AVV Audits und Inspektionen zu ermöglichen,
  7. den Kunden unverzüglich zu informieren, wenn ein Sicherheitsvorfall im Hinblick auf personenbezogene Daten des Kunden bekannt wird,
  8. Unterauftragsverarbeiter nur nach Maßgabe von Abschnitt 10 einzusetzen,
  9. personenbezogene Daten nach Vertragsende nach Maßgabe von Abschnitt 14 zu löschen oder zurückzugeben,
  10. den Kunden unverzüglich zu informieren, wenn nach Ansicht von Nickle AI eine Weisung gegen geltendes Datenschutzrecht verstößt.

8. Vertraulichkeit und Zugriffsberechtigung

(1) Nickle AI stellt sicher, dass alle zur Verarbeitung befugten Personen personenbezogene Daten nur im Rahmen der Weisungen des Kunden verarbeiten.

(2) Nickle AI stellt sicher, dass diese Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Zugriffe auf personenbezogene Daten werden nach dem Need-to-know-Prinzip und auf Basis eines Rollen- und Berechtigungskonzepts beschränkt.

9. Technische und organisatorische Maßnahmen

(1) Nickle AI trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

(2) Die derzeit umgesetzten Grundmaßnahmen sind in Anlage 2 beschrieben.

(3) Nickle AI ist berechtigt, technische und organisatorische Maßnahmen weiterzuentwickeln und durch gleichwertige oder bessere Maßnahmen zu ersetzen, sofern das vertraglich geschuldete Schutzniveau nicht unterschritten wird.

(4) Soweit der Kunde besondere Sicherheitsanforderungen hat, teilt er diese Nickle AI vor Beginn der Verarbeitung mit. Solche zusätzlichen Anforderungen gelten nur, wenn sie ausdrücklich vereinbart wurden.

10. Unterauftragsverarbeiter

(1) Der Kunde erteilt Nickle AI hiermit die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen.

(2) Die zum Zeitpunkt des Inkrafttretens dieser AVV eingesetzten Unterauftragsverarbeiter ergeben sich aus Anlage 3.

(3) Nickle AI wird den Kunden über beabsichtigte Änderungen in Bezug auf den Einsatz oder Austausch von Unterauftragsverarbeitern in geeigneter Weise informieren, insbesondere per E-Mail, über ein Kundenportal, im Account-Bereich oder durch sonstige zumutbare Benachrichtigung in Textform.

(4) Der Kunde kann einer beabsichtigten Änderung aus wichtigen datenschutzrechtlichen Gründen binnen 14 Tagen nach Zugang der Information in Textform widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt.

(5) Im Fall eines berechtigten Widerspruchs werden die Parteien nach Treu und Glauben eine sachgerechte Lösung suchen. Soweit keine zumutbare Lösung gefunden wird, kann der Kunde den von der Änderung betroffenen Teil der Leistung außerordentlich kündigen.

(6) Nickle AI wird mit jedem Unterauftragsverarbeiter eine Vereinbarung schließen, die diesem Datenschutzpflichten auferlegt, die dem Schutzniveau dieser AVV im Wesentlichen entsprechen. Soweit der Unterauftragsverarbeiter personenbezogene Daten im Auftrag verarbeitet, wird Nickle AI mit diesem eine den Anforderungen des Art. 28 DSGVO entsprechende Auftragsverarbeitungsvereinbarung schließen.

(6a) Soweit im Zusammenhang mit dem Einsatz eines Unterauftragsverarbeiters eine Übermittlung personenbezogener Daten in ein Drittland erfolgt und kein Angemessenheitsbeschluss der Europäischen Kommission besteht, stellt Nickle AI sicher, dass für diese Übermittlung geeignete Garantien nach Art. 44 ff. DSGVO bestehen, insbesondere durch den Abschluss der jeweils einschlägigen Standardvertragsklauseln der Europäischen Kommission sowie – soweit erforderlich – durch ergänzende Schutzmaßnahmen.

(7) Nickle AI bleibt dem Kunden gegenüber für die Erfüllung der Pflichten des Unterauftragsverarbeiters verantwortlich.

(8) Nicht als Unterauftragsverarbeiter im Sinne dieser AVV gelten Hilfs- oder Nebenleistungen, bei denen kein regelmäßiger Zugriff auf personenbezogene Daten des Kunden erfolgt oder die nur rein untergeordneten Charakter haben, etwa Telekommunikationsleistungen, Post- und Transportleistungen, allgemeine Wartungs- oder Entsorgungsleistungen, soweit hierbei ein angemessenes Schutzniveau sichergestellt ist.

(9) Soweit der Kunde innerhalb der Leistungen eigenständig Drittanbieter, Integrationen, externe APIs, MCP-Tools, Plugins oder Konnektoren aktiviert oder verbindet, die außerhalb der von Nickle AI festgelegten Standardleistung liegen, ist der Kunde grundsätzlich selbst für deren datenschutzrechtliche Bewertung verantwortlich, es sei denn, Nickle AI hat deren Einsatz ausdrücklich als Bestandteil der Auftragsverarbeitung übernommen.

11. Internationale Datenübermittlungen

(1) Eine Verarbeitung personenbezogener Daten kann – je nach eingesetzter Infrastruktur, Modellkonfiguration, Hosting-Region, Integration oder Unterauftragsverarbeiter – auch außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums stattfinden.

(2) Nickle AI wird personenbezogene Daten nur dann in ein Drittland übermitteln oder dort verarbeiten lassen, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(3) Soweit Unterauftragsverarbeiter in Drittländern eingesetzt werden oder von dort aus auf personenbezogene Daten zugegriffen werden kann und kein Angemessenheitsbeschluss der Europäischen Kommission besteht, stellt Nickle AI durch geeignete Garantien sicher, dass das nach der DSGVO erforderliche Schutzniveau gewahrt wird. Hierzu gehören insbesondere der Abschluss der einschlägigen Standardvertragsklauseln der Europäischen Kommission sowie – soweit rechtlich erforderlich – ergänzende technische, organisatorische oder vertragliche Maßnahmen.

(4) Nickle AI wird die für den jeweiligen Drittlandtransfer maßgebliche Transfergrundlage auf Anfrage des Kunden in angemessener Form darlegen.

(5) Geeignete Garantien können insbesondere sein:

  • ein Angemessenheitsbeschluss der Europäischen Kommission,
  • Standardvertragsklauseln der Europäischen Kommission,
  • verbindliche interne Datenschutzvorschriften (BCR),
  • sonstige rechtlich zulässige Garantien oder Ausnahmetatbestände.

(6) Soweit unterschiedliche Modelle, Regionen oder Integrationen auswählbar sind, kann der konkrete Verarbeitungsort von der vom Kunden gewählten Konfiguration abhängen.

12. Unterstützung des Kunden

(1) Nickle AI unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der Nickle AI zur Verfügung stehenden Informationen mit geeigneten technischen und organisatorischen Maßnahmen dabei,

  • Anträge betroffener Personen zu bearbeiten,
  • die Sicherheit der Verarbeitung zu gewährleisten,
  • Verletzungen des Schutzes personenbezogener Daten zu bewerten und zu melden,
  • Datenschutz-Folgenabschätzungen durchzuführen,
  • gegebenenfalls Konsultationen mit Aufsichtsbehörden vorzubereiten.

(2) Soweit eine Betroffenenanfrage oder Behördenanfrage unmittelbar bei Nickle AI eingeht und diese den Kunden betrifft, wird Nickle AI die Anfrage unverzüglich an den Kunden weiterleiten, sofern eine Weiterleitung rechtlich zulässig ist.

(3) Nickle AI wird ohne vorherige Abstimmung mit dem Kunden grundsätzlich nicht selbst gegenüber Betroffenen oder Behörden inhaltlich Stellung nehmen, soweit dies die Verarbeitung im Auftrag betrifft, es sei denn, Nickle AI ist hierzu gesetzlich verpflichtet.

13. Meldung von Sicherheitsvorfällen

(1) Nickle AI informiert den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls, soweit personenbezogene Daten betroffen sind, die Nickle AI im Auftrag des Kunden verarbeitet.

(2) Soweit möglich und zum jeweiligen Zeitpunkt angemessen, enthält die Mitteilung insbesondere:

  • die Art des Vorfalls,
  • die betroffenen Datenkategorien,
  • die bekannten oder wahrscheinlichen Folgen,
  • die bereits ergriffenen oder vorgeschlagenen Gegenmaßnahmen,
  • einen Ansprechpartner für Rückfragen.

(3) Die Information erfolgt zunächst auf Basis des jeweils verfügbaren Kenntnisstands und wird bei Bedarf ergänzt.

14. Nachweise, Audits und Inspektionen

(1) Nickle AI stellt dem Kunden auf Anfrage Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser AVV nachzuweisen.

(2) Zum Nachweis der Einhaltung kann Nickle AI dem Kunden insbesondere aktuelle Unterlagen, Selbstauskünfte, Auditberichte, Zertifikate, Prüfberichte, Sicherheitsdokumentationen oder gleichwertige Nachweise zur Verfügung stellen.

(3) Reichen diese Nachweise im Einzelfall nicht aus, ist der Kunde berechtigt, nach angemessener Vorankündigung und höchstens einmal pro Kalenderjahr eine Prüfung durchführen zu lassen, soweit kein besonderer Anlass – etwa ein erheblicher Sicherheitsvorfall oder eine behördliche Anordnung – eine häufigere Prüfung rechtfertigt.

(4) Audits sind so durchzuführen, dass Betriebsabläufe, Sicherheitsmaßnahmen, Vertraulichkeitsinteressen und die Rechte anderer Kunden von Nickle AI nicht unangemessen beeinträchtigt werden. Nickle AI kann verlangen, dass Audits vorrangig als Dokumentenprüfung, Remote-Audit oder Interview durchgeführt werden, soweit dies im Einzelfall ausreichend ist.

(5) Vor-Ort-Prüfungen sind nur zulässig, wenn mildere Mittel zur Prüfung der Einhaltung nicht ausreichen und berechtigte Geheimhaltungs- und Sicherheitsinteressen von Nickle AI gewahrt bleiben.

(6) Der Kunde trägt die Kosten seiner Prüfung selbst. Unterstützungsleistungen von Nickle AI, die über die gesetzlich geschuldete Mitwirkung hinausgehen, können nach angemessenem Aufwand berechnet werden, sofern nichts anderes vereinbart ist.

15. Löschung und Rückgabe von Daten

(1) Nach Beendigung der vertragsgegenständlichen Leistungen wird Nickle AI personenbezogene Daten nach Wahl des Kunden löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht oder ein sonstiger gesetzlich zulässiger Aufbewahrungsgrund entgegensteht.

(2) Soweit technisch vorgesehen, kann die Löschung auch dadurch erfolgen, dass der Kunde Daten selbst entfernt oder exportiert und Nickle AI nach Ablauf vereinbarter Fristen verbleibende Daten löscht.

(3) Backups und Sicherungskopien werden im Rahmen normaler Lösch- und Überschreibzyklen entfernt, sofern eine sofortige isolierte Löschung technisch nicht möglich oder nur mit unverhältnismäßigem Aufwand umsetzbar ist. Während dieser Zeit bleiben die Daten gesperrt und werden nicht mehr produktiv verarbeitet.

(4) Auf Anfrage bestätigt Nickle AI die Löschung oder Rückgabe in angemessener Form.

16. Besondere Bestimmungen für KI-Funktionen

(1) Soweit Gegenstand der Leistungen KI-gestützte Funktionen, Modellzugriffe, Retrieval-, Such-, Analyse-, Automatisierungs- oder Generierungsfunktionen sind, verarbeitet Nickle AI die vom Kunden eingebrachten Inhalte ausschließlich zur Erbringung der vom Kunden angeforderten Funktionalitäten.

(2) Je nach gewählter Funktion können insbesondere verarbeitet werden:

  • Prompts und sonstige Texteingaben,
  • hochgeladene Dateien und Anhänge,
  • Kontextinformationen,
  • generierte Ausgaben,
  • Protokoll-, Nutzungs- und Diagnosedaten,
  • team- oder organisationsbezogene Verwaltungsdaten.

(3) Soweit nicht ausdrücklich anders vereinbart oder durch eine vom Kunden aktiv gewählte Drittanbieter- oder Modellkonfiguration vorgegeben, verwendet Nickle AI Kundendaten nicht zum Training fremder KI-Modelle.

(4) Der Kunde bleibt dafür verantwortlich, zu prüfen, ob bestimmte Daten – insbesondere besondere Kategorien personenbezogener Daten, Berufsgeheimnisse, Geschäftsgeheimnisse oder sonstige hochsensible Informationen – in die KI-Funktionen eingebracht werden dürfen und ob zusätzliche Schutzmaßnahmen erforderlich sind.

17. Besondere Bestimmungen für Agenturleistungen

(1) Bei Agenturleistungen hängt die datenschutzrechtliche Rollenverteilung vom konkreten Projekt ab.

(2) Diese AVV gilt im Agenturkontext nur insoweit, als Nickle AI personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Kunden verarbeitet.

(3) Soweit Nickle AI im Rahmen von Beratung, Konzeption, Architektur, Produktgestaltung, eigener Methodenwahl, Qualitätssicherung, Sicherheitsbewertung oder sonstigen eigenständigen Entscheidungen eigene Zwecke oder wesentliche Mittel der Verarbeitung bestimmt, kann Nickle AI insoweit ganz oder teilweise Verantwortlicher oder gemeinsam Verantwortlicher sein. Für solche Verarbeitungen gilt diese AVV nicht.

(4) Projektspezifische Abweichungen, zusätzliche Sicherheitsanforderungen, besondere Datenkategorien, branchenspezifische Vorgaben, kundenspezifische Löschkonzepte oder zusätzliche Unterauftragsverarbeiter können in Projektunterlagen, Angeboten, Order Forms, Statements of Work oder gesonderten Anlagen konkretisiert werden.

18. Vergütung

(1) Soweit im Hauptvertrag nichts Abweichendes vereinbart ist, sind die gewöhnlichen Leistungen von Nickle AI aus dieser AVV durch die vertraglich vereinbarte Vergütung abgegolten.

(2) Zusätzliche Unterstützungsleistungen, die über den gesetzlichen Pflichtumfang hinausgehen, insbesondere außergewöhnliche Prüfungsbegleitungen, individuelle Sicherheitsfragebögen, umfangreiche Export- oder Migrationsleistungen, projektspezifische Sondermaßnahmen oder kurzfristige Sonderprüfungen, können nach angemessenem Aufwand berechnet werden.

19. Haftung

(1) Für die Haftung der Parteien gelten die gesetzlichen Bestimmungen sowie die Haftungsregelungen des Hauptvertrags, soweit diese mit zwingendem Datenschutzrecht vereinbar sind.

(2) Zwingende Haftungsregelungen der DSGVO, insbesondere Art. 82 DSGVO, bleiben unberührt.

20. Laufzeit, Änderungen und Rangfolge

(1) Diese AVV tritt mit ihrem wirksamen Abschluss gemäß Abschnitt 1 in Kraft und gilt für die Dauer der Verarbeitung personenbezogener Daten im Auftrag des Kunden.

(2) Nickle AI kann diese AVV mit Wirkung für die Zukunft ändern, soweit dies erforderlich ist,

  • um Änderungen der Rechtslage, der Rechtsprechung oder behördlicher Vorgaben umzusetzen,
  • um Leistungen, Prozesse oder Unterauftragsverarbeiter weiterzuentwickeln,
  • um redaktionelle Klarstellungen oder Verbesserungen vorzunehmen,
  • sofern das Schutzniveau des Kunden nicht unangemessen verschlechtert wird.

(3) Über wesentliche Änderungen wird Nickle AI den Kunden vor Inkrafttreten in geeigneter Weise informieren. Widerspricht der Kunde einer wesentlichen Änderung nicht innerhalb einer angemessenen Frist oder nutzt er die Leistungen nach Inkrafttreten weiter, gilt die geänderte Fassung als vereinbart, soweit dies rechtlich zulässig ist. Gesetzliche oder vertragliche Sonderkündigungsrechte bleiben unberührt.

(4) Im Fall von Widersprüchen zwischen dieser AVV und dem Hauptvertrag geht diese AVV im Hinblick auf die Auftragsverarbeitung vor.

21. Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieser AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der ursprünglichen Bestimmung am nächsten kommt.

(3) Es gilt deutsches Recht, soweit zwingende datenschutzrechtliche Vorschriften nichts Abweichendes bestimmen.

Anlage 1 – Details der Verarbeitung

A. Allgemeine Beschreibung

1. Gegenstand der Verarbeitung

Gegenstand der Verarbeitung ist die Erbringung der vertraglich vereinbarten Leistungen von Nickle AI, insbesondere der Betrieb und die Bereitstellung der App „nickle“ sowie – soweit einschlägig – die Erbringung projektbezogener Agenturleistungen.

2. Dauer der Verarbeitung

Für die Dauer des Hauptvertrags bzw. der projektbezogenen Leistungserbringung sowie – soweit erforderlich – bis zur Rückgabe oder Löschung nach Maßgabe dieser AVV.

B. Verarbeitung im Zusammenhang mit der App „nickle"

1. Art und Zweck der Verarbeitung

  • Bereitstellung und Betrieb der Plattform
  • Verwaltung von Nutzerkonten, Workspaces, Teams und Organisationen
  • Verarbeitung von Eingaben, Uploads und Anhängen
  • Ausführung von KI-gestützten Funktionen, Suchen, Analysen, Transformationen und Generierungen
  • Speicherung, Strukturierung, Abruf und Verwaltung von Inhalten
  • technische Administration, Monitoring, Fehleranalyse, Support und Systemsicherheit

2. Kategorien betroffener Personen

  • Nutzer des Kunden
  • Beschäftigte, Vertreter, Beauftragte oder sonstige Mitglieder der Organisation des Kunden
  • Endnutzer oder sonstige Personen, deren Daten durch den Kunden über die Plattform verarbeitet werden

3. Kategorien personenbezogener Daten

  • Identifikations- und Kontaktdaten (z. B. Name, E-Mail-Adresse, Telefonnummer)
  • Konto- und Registrierungsdaten
  • Authentifizierungsdaten und Login-bezogene Informationen
  • Team-, Rollen- und Organisationsdaten
  • Kommunikationsdaten
  • Nutzungs-, Geräte-, Diagnose- und Protokolldaten
  • Inhalte aus Eingaben, Prompts, Uploads, Anhängen, Ausgaben und Verlaufseinträgen
  • sonstige Daten, die der Kunde im Rahmen der Nutzung der Plattform verarbeitet

C. Verarbeitung im Zusammenhang mit Agenturleistungen

1. Art und Zweck der Verarbeitung

Je nach Auftrag insbesondere:

  • Konzeption, Entwicklung, Implementierung, Optimierung und Betrieb digitaler Lösungen
  • technische Integration, Automatisierung und Workflow-Umsetzung
  • Prototyping, Testing, Debugging, Deployment und Support
  • Verarbeitung projektbezogener Inhalte in Kundensystemen oder von Kunden bereitgestellten Umgebungen
  • Nutzung vereinbarter KI- oder Automatisierungsfunktionen im Projektkontext

2. Kategorien betroffener Personen

Je nach Auftrag insbesondere:

  • Ansprechpartner und Mitarbeitende des Kunden
  • Nutzer der vom Kunden betriebenen Systeme oder Anwendungen
  • Kunden, Interessenten, Beschäftigte oder sonstige Personen, deren Daten der Kunde im Projektkontext verarbeitet

3. Kategorien personenbezogener Daten

Je nach Auftrag insbesondere:

  • Ansprechpartner- und Kommunikationsdaten
  • Projekt-, Zugangs- und Administrationsdaten
  • Dateien, Dokumente, Texte, Bilder, Audio- und sonstige Inhalte
  • Test-, Nutzungs- und Fehlerdaten
  • KI-bezogene Eingaben, Kontextdaten und Ausgaben
  • sonstige personenbezogene Daten, die der Kunde im Rahmen des Projekts bereitstellt oder deren Verarbeitung er anweist

D. Besondere Datenkategorien

Eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO erfolgt nur, soweit der Kunde diese rechtmäßig in die Leistungen einbringt oder eine solche Verarbeitung ausdrücklich beauftragt und eine entsprechende Rechtsgrundlage besteht.

Anlage 2 – Technische und organisatorische Maßnahmen (TOMs)

Die nachfolgenden Maßnahmen beschreiben den von Nickle AI derzeit vorgesehenen Grundrahmen der technischen und organisatorischen Schutzmaßnahmen. Sie sind risikobasiert ausgestaltet und werden fortlaufend überprüft und weiterentwickelt.

1. Vertraulichkeit

1.1 Zutrittskontrolle

  • Beschränkung des physischen Zugangs zu Räumlichkeiten und Systemen auf berechtigte Personen
  • Nutzung geeigneter Sicherungsmaßnahmen in Arbeits- und Hosting-Umgebungen
  • begleiteter oder kontrollierter Zutritt für Besucher, soweit einschlägig

1.2 Zugangskontrolle

  • Authentifizierungsmechanismen für interne Systeme und Administrationszugänge
  • rollenbasierte oder funktionsbezogene Rechtevergabe
  • Prinzip der minimalen Rechtevergabe
  • Nutzung sicherer Passwörter und – soweit vorgesehen – zusätzlicher Schutzmechanismen wie Multi-Faktor-Authentifizierung
  • Sperrung, Entzug oder Anpassung von Berechtigungen bei Rollenwechsel oder Austritt

1.3 Zugriffskontrolle

  • Beschränkung des Datenzugriffs auf berechtigte Personen
  • Berechtigungskonzepte für Applikationen, Datenbanken, Storage und Supportzugriffe
  • Protokollierung sicherheitsrelevanter Zugriffe und administrativer Vorgänge, soweit angemessen
  • Mandanten- bzw. tenantbezogene Trennung, soweit die jeweilige Leistung dies erfordert

1.4 Trennungsgebot

  • logische Trennung von Kundenumgebungen, Workspaces oder Organisationen, soweit technisch vorgesehen
  • Trennung von Entwicklungs-, Test- und Produktivumgebungen, soweit sachgerecht
  • getrennte Verarbeitung nach Zwecken und Berechtigungen

2. Integrität

2.1 Weitergabekontrolle

  • verschlüsselte Datenübertragung über aktuelle Transportverschlüsselung (z. B. TLS/HTTPS)
  • Einsatz sicherer Schnittstellen und Übertragungswege
  • Beschränkung und Kontrolle externer Datenzugriffe

2.2 Eingabekontrolle

  • nachvollziehbare Protokollierung oder Historisierung sicherheitsrelevanter Änderungen, soweit technisch vorgesehen
  • Zuordnung administrativer Eingriffe und Systemänderungen zu berechtigten Konten
  • kontrollierte Freigabeprozesse für produktive Änderungen, soweit sachgerecht

3. Verfügbarkeit und Belastbarkeit

  • Backup- und Wiederherstellungsverfahren nach Risikoeinschätzung
  • Überwachung wesentlicher Systeme und Dienste
  • Maßnahmen zur Fehlererkennung, Störungsbehebung und Wiederherstellung
  • Schutz vor Datenverlust und unbeabsichtigter Zerstörung
  • Notfall- und Wiederanlaufprozesse in angemessenem Umfang

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen
  • internes Sicherheits- und Berechtigungsmanagement
  • Patch-, Update- und Schwachstellenmanagement in angemessenem Umfang
  • Dokumentation und Bearbeitung von Sicherheitsereignissen
  • regelmäßige Sensibilisierung und Vertraulichkeitsverpflichtung der beteiligten Personen

5. Verschlüsselung und Schutz gespeicherter Daten

  • Transportverschlüsselung bei der Übertragung personenbezogener Daten
  • Verschlüsselung gespeicherter Daten oder infrastrukturseitige Schutzmechanismen, soweit technisch vorgesehen und risikoadäquat
  • Schutz von Schlüsseln, Tokens und Zugangsdaten durch geeignete organisatorische und technische Maßnahmen

6. Organisationsmaßnahmen

  • Vertraulichkeitsverpflichtung der Mitarbeitenden und sonstigen berechtigten Personen
  • Festlegung interner Zuständigkeiten und Freigabeprozesse
  • Need-to-know- und Least-Privilege-Prinzip
  • geregelte Prozesse für Supportzugriffe, soweit erforderlich
  • risikoorientierte Auswahl, Steuerung und Überprüfung von Unterauftragsverarbeitern

Anlage 3 – Unterauftragsverarbeiter

Die nachfolgend aufgeführten Unterauftragsverarbeiter können – je nach genutzter Leistung, Konfiguration, Region, Funktion oder Projekt – für Nickle AI tätig werden.

A. Standard-Unterauftragsverarbeiter für die App „nickle"

1. Supabase, Inc.

Zweck: Datenbankinfrastruktur, Storage, Authentifizierung
Ort/Bezug: USA / ggf. internationale Verarbeitung

2. Render Services, Inc.

Zweck: Hosting, Deployment, Serverausführung, Infrastruktur
Ort/Bezug: USA / ggf. internationale Verarbeitung

3. Stripe Technology Company Limited

Zweck: Zahlungsabwicklung, Subscription- und Billing-Infrastruktur
Ort/Bezug: Irland / EU

4. Sendinblue GmbH / Brevo

Zweck: E-Mail-Kommunikation, transaktionale Nachrichten, Kommunikationsworkflows
Ort/Bezug: Deutschland / Frankreich / EU

5. Microsoft Corporation / Microsoft Azure

Zweck: KI-Infrastruktur, Modellbereitstellung, Compute- und Cloud-Services
Ort/Bezug: je nach genutzter Region

6. Google LLC / Google Cloud / Vertex AI

Zweck: KI-Infrastruktur, Modellverarbeitung, Cloud-Services
Ort/Bezug: je nach genutzter Region

7. Jina AI GmbH

Zweck: Such- und Retrieval-Infrastruktur bzw. Websuche innerhalb der App, soweit genutzt
Ort/Bezug: Deutschland / ggf. internationale Verarbeitung je nach Servicegestaltung

8. GitHub, Inc.

Zweck: Entwicklungs-, Repository- und Deployment-nahe Infrastruktur, soweit im Einzelfall für Support-, Entwicklungs- oder Betriebsprozesse relevant
Ort/Bezug: USA

B. Projektbezogene Unterauftragsverarbeiter für Agenturleistungen

Bei Agenturleistungen können – abhängig vom konkreten Auftrag – zusätzliche oder abweichende Unterauftragsverarbeiter eingesetzt werden, insbesondere für Hosting, Integrationen, E-Mail-Dienste, Modellanbieter, Cloud-Infrastruktur, Monitoring, Fehleranalyse, Deployment, Support oder kundenspezifische SaaS-Komponenten.

Solche projektbezogenen Unterauftragsverarbeiter werden, soweit sie personenbezogene Daten des Kunden im Rahmen einer Auftragsverarbeitung verarbeiten, in den jeweiligen Projektunterlagen, Angebotsunterlagen, Order Forms, Statements of Work, technischen Dokumentationen, Kundenportalen oder gesonderten Mitteilungen ausgewiesen.

C. Drittanbieter-Integrationen auf Veranlassung des Kunden

Soweit der Kunde selbst Drittanbieter, Tools, APIs, Plugins, MCP-Tools oder Konnektoren aktiviert oder verbindet, die nicht Teil der Standardleistung von Nickle AI sind, gelten diese grundsätzlich nicht als von Nickle AI eingesetzte Unterauftragsverarbeiter, sofern Nickle AI deren Auswahl oder Einsatz nicht selbst bestimmt.

Anlage 4 – Kontakt und Ausübung von Rechten aus dieser AVV

Anfragen, Weisungen, Widersprüche gegen Unterauftragsverarbeiter, Audit-Anfragen, Löschanweisungen und sonstige Erklärungen im Zusammenhang mit dieser AVV können an die im Hauptvertrag benannten Ansprechpartner oder an folgende zentrale E-Mail-Adresse gerichtet werden:

info@nickle.ai

Nickle AI kann für operative Datenschutz- und Supportprozesse zusätzliche Kommunikationswege oder Ansprechpartner benennen.