Auftragsverarbeitungsvertrag (AVV)

gem. Art. 28 Abs. 3 DSGVO

Stand: Februar 2026

Vorbemerkung

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Nutzung der MCP Link Layer-Plattform (nachfolgend „Plattform“) ergeben. Er ergänzt die Nutzungsbedingungen und gilt für alle Tätigkeiten, bei denen Mitarbeiter des Auftragsverarbeiters oder von ihm beauftragte Dritte personenbezogene Daten des Verantwortlichen verarbeiten.

§ 1 Gegenstand und Dauer der Verarbeitung

Auftragsverarbeiter: Korbinian Sdunek, MCP Link Layer (nachfolgend „Auftragnehmer“)

Verantwortlicher: Der Kunde, der die Plattform nutzt (nachfolgend „Auftraggeber“)

Der Gegenstand der Auftragsverarbeitung ergibt sich aus dem Nutzungsvertrag der Plattform. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der MCP Link Layer-Plattform, insbesondere:

  • Hosting und Betrieb von MCP-Servern im Auftrag des Kunden
  • Verschlüsselte Speicherung von API-Zugangsdaten (Credential Vault)
  • Authentifizierung und Autorisierung von Nutzern
  • Protokollierung von Zugriffen für Sicherheits- und Audit-Zwecke

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Datenarten und Personenkreise:

Datenarten:

  • Bestandsdaten (Name, E-Mail-Adresse, Unternehmenszugehörigkeit)
  • Nutzungsdaten (Zugriffszeiten, genutzte Server, Konfigurationen)
  • Authentifizierungsdaten (verschlüsselte API-Schlüssel, OAuth-Tokens)
  • Protokolldaten (IP-Adressen, User-Agent, Audit-Logs)

Betroffene Personenkreise:

  • Mitarbeiter und Beauftragte des Auftraggebers
  • Geschäftspartner und Kunden des Auftraggebers (soweit deren Daten über MCP-Server verarbeitet werden)

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich:

  1. Personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).
  2. Alle mit der Verarbeitung beschäftigten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO).
  3. Alle gem. Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe § 5).
  4. Unterauftragnehmer nur mit vorheriger Zustimmung des Auftraggebers einzusetzen und diesen die gleichen Datenschutzpflichten aufzuerlegen (Art. 28 Abs. 2, 4 DSGVO).
  5. Den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO).
  6. Den Auftraggeber bei Datenschutz-Folgenabschätzungen zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO).
  7. Nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO).
  8. Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung bereitzustellen und Überprüfungen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO).

§ 4 Weisungsrecht des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung der Plattform und deren Konfiguration durch den Auftraggeber gelten als Weisungen.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer gewährleistet folgende Maßnahmen gem. Art. 32 DSGVO:

  • Verschlüsselung: Authentifizierte Verschlüsselung aller gespeicherten Zugangsdaten (AES + HMAC, Envelope Encryption mit separaten Schlüsseln pro Mandant). Transport-Verschlüsselung via TLS 1.2+.
  • Zutrittskontrolle: Rechenzentren mit physischer Zugangskontrolle (Hetzner Cloud, Standort Deutschland).
  • Zugangskontrolle: Authentifizierung über OAuth2/OIDC, API-Keys mit Verschlüsselung, rollenbasierte Zugriffskontrolle (RBAC).
  • Zugriffskontrolle: Row-Level Security (RLS) für Mandantentrennung, Audit-Logging aller Zugriffe auf Zugangsdaten.
  • Trennungsgebot: Logische Mandantentrennung, separate Verschlüsselungsschlüssel pro Mandant.
  • Verfügbarkeit: Automatisierte Backups, Health-Checks und Monitoring via Prometheus/Grafana.
  • Auftragskontrolle: Structured Audit Logging aller sicherheitsrelevanten Operationen.

§ 6 Unterauftragnehmer

Derzeit werden folgende Unterauftragnehmer eingesetzt:

UnternehmenLeistungStandort
Hetzner Online GmbHServer-Hosting, Cloud-InfrastrukturDeutschland (Falkenstein/Nürnberg)
Stripe, Inc.ZahlungsabwicklungUSA (EU-SCCs)

Änderungen in der Unterauftragnehmer-Liste werden dem Auftraggeber mit angemessener Frist mitgeteilt. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen widersprechen.

§ 7 Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung enthält:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl der betroffenen Personen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene und vorgeschlagene Maßnahmen zur Behebung

§ 8 Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch kann der Auftraggeber vorab einen Datenexport erhalten.

Gespeicherte API-Zugangsdaten im Credential Vault werden sofort und unwiderruflich gelöscht.

§ 9 Kontakt und Ansprechpartner

Für Fragen zum Datenschutz und zu diesem AVV wenden Sie sich bitte an:

E-Mail: datenschutz@tryweave.de

AVV als Vertrag abschließen

Für den Abschluss eines individuell unterzeichneten AVV kontaktieren Sie uns bitte unter datenschutz@tryweave.de. Mit der Nutzung der Plattform gelten die oben genannten Bedingungen als akzeptiert.

← DatenschutzerklärungImpressum →