Auftragsverarbeitungsvertrag

Stand: April 2026

Dieser Auftragsverarbeitungsvertrag gilt für die Nutzung der Plattform BrainButler unter app.brainbutler.io und ergänzt die Allgemeinen Geschäftsbedingungen sowie die Datenschutzerklärung.

§ 1. Vertragsparteien

Auftragnehmer:
E-Business Matthias Schneider
Kolpingstraße 4, 40667 Meerbusch, Deutschland
E-Mail: info@ebms-solutions.de

Auftraggeber:
Der jeweilige Nutzer der Plattform BrainButler.

Dieser Vertrag wird elektronisch durch Zustimmung bei der Registrierung abgeschlossen.

§ 2. Gegenstand der Verarbeitung

Der Auftragnehmer stellt dem Auftraggeber eine Softwareplattform zur Verfügung, die insbesondere folgende Funktionen umfasst:

Wissensdatenbank mit verschlüsselter Speicherung
KI-gestützte Content-Erstellung
Interner KI-Chat
Externes Chat-Widget für Websites (Verarbeitung von Besucher-Nachrichten, verschlüsselt)
Lead-Capture (optional: Name und E-Mail von Website-Besuchern)
Content-Bibliothek und -Export

§ 3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Bereitstellung der SaaS-Plattform. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Auftraggebers.

§ 4. Kategorien betroffener Personen

Nutzer der Plattform (Auftraggeber und deren Mitarbeiter)
Website-Besucher des Auftraggebers (über das Chat-Widget)

§ 5. Art der personenbezogenen Daten

Nutzerdaten: E-Mail, Name, Firmenname
Chat-Widget-Daten: Name, E-Mail (optional), Chat-Nachrichten (verschlüsselt)
Wissensdaten: Vom Nutzer importierte Inhalte (verschlüsselt)

§ 6. Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer hat folgende Maßnahmen implementiert:

Verschlüsselung: Per-User Envelope Encryption (Fernet / AES-128-CBC mit HMAC-SHA256)
Zugriffskontrolle: Rollenbasierte Zugriffskontrolle, jeder Nutzer sieht nur eigene Daten
Transportverschlüsselung: HTTPS / TLS 1.2+
Authentifizierung: JWT-Token, bcrypt-Passwort-Hashing
API-Sicherheit: Rate-Limiting, SHA-256-gehashte API-Keys
Chat-Widget-Sicherheit: Off-Topic-Erkennung, Nachrichtenlimits, Spam-Filter, Prompt-Injection-Schutz
Hosting: Deutsche Server (Host Europe GmbH)
Backups: Enthalten nur verschlüsselte Daten
Kryptographische Löschung: Bei Account-Löschung wird der Schlüssel vernichtet

§ 7. Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein:

Host Europe GmbH, Hansestr. 111, 51149 Köln, Deutschland — Hosting und Infrastruktur
Anthropic PBC, San Francisco, USA — KI-Verarbeitung (nur bei Nutzung der Plattform-KI oder eigenem Anthropic-Key)
OpenAI Inc., San Francisco, USA — KI-Verarbeitung (nur bei Nutzung durch eigenen OpenAI-Key des Auftraggebers)

Im Self-Hosted-Modus wird kein externer KI-Anbieter als Unterauftragsverarbeiter eingebunden. Die KI-Verarbeitung erfolgt ausschließlich auf der vom Auftraggeber bereitgestellten Infrastruktur.

Der Auftraggeber stimmt dem Einsatz der genannten Unterauftragsverarbeiter zu. Änderungen werden mindestens 14 Tage vor Inkrafttreten per E-Mail mitgeteilt.

§ 8. Rechte und Pflichten des Auftraggebers

Der Auftraggeber ist als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Der Auftraggeber stellt sicher, dass er berechtigt ist, die in die Wissensdatenbank importierten Daten zu verarbeiten.

§ 9. Weisungsrecht

Der Auftragnehmer verarbeitet die Daten nur auf dokumentierte Weisung des Auftraggebers. Die Weisung ergibt sich aus der Nutzung der Plattformfunktionen.

§ 10. Löschung und Rückgabe

Nach Beendigung des Vertrags werden alle personenbezogenen Daten durch kryptographische Schlüsselvernichtung unwiderruflich gelöscht. Der Auftraggeber kann seine Daten vorher über die Export-Funktion sichern.

§ 11. Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen. Dies kann durch Selbstauskünfte, Fragebögen oder in begründeten Fällen durch Vor-Ort-Kontrollen erfolgen.