Auftragsverarbeitungsvertrag (DPA)

Gültig ab: 10. Februar 2026 · Version: 1.0

Dieser Auftragsverarbeitungsvertrag (“DPA”) erläutert, wie Rakenne personenbezogene Daten im Auftrag von Kunden verarbeitet, die die Rakenne‑Plattform unter rakenne.app (der “Dienst”) nutzen. Er ergänzt und ist Bestandteil der Nutzungsbedingungen oder einer anderen schriftlichen oder elektronischen Vereinbarung zwischen Ihnen und Rakenne (die “Hauptvereinbarung”).

Soweit dieser DPA und die Hauptvereinbarung in Bezug auf die Datenverarbeitung in Widerspruch zueinander stehen, geht dieser DPA vor. Durch die weitere Nutzung des Dienstes nach dem oben genannten Datum der Gültigkeit stimmen Sie diesem DPA zu. Wenn Sie eine unterzeichnete Kopie benötigen, kontaktieren Sie uns unter privacy@rakenne.app .

1. Rollen, Rechtsgrundlagen und Überblick

1.1 Wer macht was

  • Sie handeln als “Verantwortlicher” für personenbezogene Daten nach der DSGVO und anderen anwendbaren Datenschutzgesetzen.
  • Rakenne handelt als “Auftragsverarbeiter”, wenn personenbezogene Daten in Ihrem Auftrag im Rahmen des Betriebs des Dienstes verarbeitet werden.

Sie bestimmen, welche Daten hochgeladen werden, wie lange sie aufbewahrt werden, welche Workspaces Sie anlegen und wer auf Ihrer Seite Zugriff erhält. Wir betreiben die Infrastruktur und verarbeiten personenbezogene Daten ausschließlich zur Bereitstellung und Absicherung des Dienstes gemäß Ihren dokumentierten Weisungen.

1.2 Gegenstand dieses DPA

Dieser DPA gilt immer dann, wenn:

  • Sie den Dienst zur Speicherung oder Verarbeitung personenbezogener Daten nutzen; und
  • die DSGVO oder vergleichbare Datenschutzgesetze Rakenne als Ihren Auftragsverarbeiter einstufen.

Er beschreibt:

  • Welche Arten personenbezogener Daten wir verarbeiten und zu welchen übergeordneten Zwecken
  • Welche Sicherheitsmaßnahmen und Schutzmechanismen wir einsetzen
  • Wie wir mit Unterauftragsverarbeitern zusammenarbeiten und internationale Datenübermittlungen handhaben
  • Wie wir Sie bei der Erfüllung Ihrer eigenen Pflichten als Verantwortlicher unterstützen

1.3 Hohe Ebene der Verarbeitung

Rakenne ist eine KI‑gestützte Umgebung zum Erstellen und Ausführen von Dokument‑Workflows. In diesem Zusammenhang:

  • hosten wir Mandanten, Projekte und Workspaces,
  • speichern und verarbeiten wir Dokumente, Workflows und Chat‑Interaktionen,
  • führen wir KI‑Inference mit ausgewählten Drittanbieter‑Modellprovidern durch und
  • pflegen wir Protokolle und Betriebsdaten, um den Dienst zu schützen und zu verbessern.

Wir verwenden die personenbezogenen Daten, die wir in Ihrem Auftrag verarbeiten, nicht, um allgemeine KI‑Modelle zu trainieren, und wir verkaufen oder vermieten diese Daten nicht.

2. Datenarten und Verarbeitungsvorgänge

2.1 Kategorien personenbezogener Daten

Abhängig von Ihrer Konfiguration und Nutzung können wir folgende Kategorien verarbeiten:

  • Benutzer‑ und Kontodaten – Namen, E‑Mail‑Adressen, Login‑Kennungen, Rollen und Workspace‑Zugehörigkeiten
  • Inhaltsdaten – Dokumente, Workflows, Kommentare, Prompts und Gesprächstranskripte, die Sie oder Ihre Nutzer erstellen oder hochladen
  • Nutzungs‑ und technische Daten – Aktivitätsprotokolle, Zeitstempel, Nutzungsmetriken von Funktionen, IP‑Adressen, Browserinformationen und Gerätekennungen, die als personenbezogene Daten gelten können
  • Abrechnungsdaten – begrenzte Abrechnungsinformationen, die hauptsächlich von unserem Zahlungsdienstleister (Stripe) verarbeitet werden, etwa Zahlungskennungen und Abonnementdetails
  • Möglicherweise sensible Daten – Informationen, die als besondere Kategorien im Sinne von Art. 9 DSGVO oder als sonstige sensible Daten gelten können, sofern Sie diese einbeziehen (siehe Abschnitt 5.2)

Sie entscheiden, welche Informationen in den Dienst eingegeben werden, und sind dafür verantwortlich, dass dies rechtmäßig erfolgt.

2.2 Art und Zweck der Verarbeitung

Wir führen in Ihrem Auftrag verschiedene Verarbeitungsvorgänge durch, unter anderem:

  • Speicherung, Abruf und Organisation von Inhalts‑ und Kontodaten
  • Übertragung von Daten zwischen dem Dienst und den Geräten Ihrer Nutzer
  • KI‑basierte Analyse und Generierung (ausschließlich Inferenz) mit Drittanbieter‑Modellprovidern, die von uns oder von Ihnen konfiguriert werden (Bring Your Own Key)
  • Protokollierung, Monitoring und Fehlerbehebung, um den Dienst zuverlässig und sicher zu betreiben
  • Backups und Datenwiederherstellung, vorbehaltlich der Aufbewahrungsfristen in diesem DPA und in unserer Datenschutzerklärung

Wir führen diese Verarbeitungsvorgänge ausschließlich durch:

  • zur Bereitstellung, Unterstützung, Absicherung und Wartung des Dienstes und
  • zur Erfüllung unserer eigenen gesetzlichen Pflichten.

3. Weisungen, Vertraulichkeit und Sicherheit

3.1 Ihre Weisungen

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage von:

  • diesem DPA und der Hauptvereinbarung,
  • Ihrer Konfiguration und Nutzung des Dienstes (z. B. Mandanten, Workspaces, Rollen, Modell‑Einstellungen, Aufbewahrungsoptionen) und
  • Ihren schriftlichen Anfragen über dokumentierte Support‑Kanäle.

Sollten wir berechtigterweise annehmen, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, werden wir Sie informieren und die betreffende Verarbeitung gegebenenfalls aussetzen, bis wir klare Weisungen erhalten oder zur Fortführung berechtigt sind.

3.2 Vertraulichkeit

Nur Mitarbeitende, die Zugriff benötigen, um ihre Aufgaben zu erfüllen, dürfen personenbezogene Daten verarbeiten. Diese Personen:

  • unterliegen vertraglichen oder gesetzlichen Vertraulichkeitspflichten,
  • erhalten eine für ihre Rolle angemessene Schulung und
  • greifen nur über authentifizierte, protokollierte Kanäle auf Daten zu.

3.3 Sicherheitsmaßnahmen

Wir unterhalten technische und organisatorische Maßnahmen, die darauf ausgelegt sind, personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen entwickeln sich weiter, umfassen aber mindestens:

  • Zugriff und Segmentierung

    • Authentifizierung für Benutzer‑ und Administratorzugänge
    • Mandanten‑ und Workspace‑Isolation zur Vermeidung von Datenabflüssen zwischen Mandanten
    • Rollenbasierte Zugriffskontrollen für Mitarbeitende unter Anwendung des Need‑to‑know‑Prinzips

  • Verschlüsselung

    • Verschlüsselung der Übertragung mittels moderner TLS‑Protokolle
    • Verschlüsselung im Ruhezustand in unseren Speicher‑ und Datenbanksystemen
    • Angemessenes Schlüssel‑ und Geheimnis‑Management

  • Resilienz und Kontinuität

    • Nutzung einer vertrauenswürdigen Cloud‑Infrastruktur (derzeit Google Cloud in US‑Regionen)
    • Geplante und getestete Backups
    • Monitoring, Alarmierung und Incident‑Response‑Prozesse

  • Governance und Tests

    • Regelmäßige Überprüfung unserer Sicherheitslage
    • Protokollierung und Überwachung relevanter Sicherheitsereignisse
    • Priorisierte Behebung identifizierter Schwachstellen

Weitere Details können wir auf Anfrage unter angemessenen Vertraulichkeitsvereinbarungen bereitstellen.

4. Unterauftragsverarbeiter und Dritte

4.1 Einsatz von Unterauftragsverarbeitern

Wir setzen sorgfältig ausgewählte Dritte (“Unterauftragsverarbeiter”) ein, um bestimmte Verarbeitungstätigkeiten durchzuführen, die für die Bereitstellung des Dienstes notwendig sind. Sie ermächtigen uns, solche Unterauftragsverarbeiter zu beauftragen, sofern:

  • jeder Unterauftragsverarbeiter an Datenschutzbedingungen gebunden ist, die mindestens so schützend sind wie dieser DPA; und
  • wir gegenüber Ihnen für die Erfüllung der Pflichten unserer Unterauftragsverarbeiter verantwortlich bleiben.

4.2 Typische Unterauftragsverarbeiter

Zu unseren Kern‑Unterauftragsverarbeitern gehören in der Regel:

  • Google Cloud – Hosting, Datenbanken und Speicher
  • Stripe – Abonnement‑Abrechnung und Zahlungsabwicklung
  • LLM‑Provider – Anthropic, OpenAI oder Google, wenn wir den API‑Schlüssel bereitstellen und Sie kein Bring Your Own Key nutzen

Weitere Unterauftragsverarbeiter können für Logging, Monitoring, Support‑Operationen oder andere unterstützende Funktionen eingesetzt werden. Ein detailliertes und regelmäßig aktualisiertes Verzeichnis unserer Anbieter, ihrer Rollen, Standorte und Datenkategorien ist auf unserer Seite Subprozessoren & Datenverarbeitung verfügbar und sollte zusammen mit diesem DPA gelesen werden.

4.3 Änderungen und Widerspruch

Falls wir einen Unterauftragsverarbeiter hinzufügen oder ersetzen möchten, der personenbezogene Daten in Ihrem Auftrag verarbeitet, informieren wir Sie im Voraus (z. B. per E‑Mail, In‑App‑Benachrichtigung oder aktualisierte öffentliche Liste) mindestens 30 Tage vor Wirksamwerden der Änderung, es sei denn, dringende betriebliche Gründe erfordern eine kürzere Frist, die das Schutzniveau nicht wesentlich beeinträchtigt.

Wenn Sie aus datenschutzrechtlichen Gründen berechtigte Einwände haben, teilen Sie uns diese innerhalb dieses Zeitraums mit. Wir werden uns in gutem Glauben bemühen, Ihre Bedenken zu adressieren, was auch Konfigurationsanpassungen für Ihr Konto umfassen kann. Ist keine zumutbare Lösung möglich, besteht Ihr ausschließliches Rechtsmittel darin, den betroffenen Teil des Dienstes gemäß der Hauptvereinbarung zu kündigen.

5. Ihre Pflichten als Verantwortlicher

5.1 Rechtsgrundlage und Transparenz

Sie sind insbesondere dafür verantwortlich:

  • eine gültige Rechtsgrundlage für jede Verarbeitungstätigkeit zu bestimmen und zu dokumentieren, die Sie mit Hilfe des Dienstes durchführen,
  • betroffene Personen darüber zu informieren, wie Sie den Dienst nutzen und wie Rakenne als Ihr Auftragsverarbeiter handelt, und
  • sicherzustellen, dass Ihre eigenen Richtlinien, Hinweise und Praktiken mit diesem DPA und dem geltenden Recht übereinstimmen.

5.2 Besondere Kategorien und sensible Daten

Der Dienst ist für professionelle Dokument‑Workflows ausgelegt und nicht für die umfangreiche Verarbeitung besonders sensibler personenbezogener Daten. Wenn Sie beschließen, besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten, ethnische Herkunft oder Überzeugungen) oder andere sensible Daten hochzuladen:

  • müssen Sie sicherstellen, dass die spezifischen gesetzlichen Voraussetzungen für die Verarbeitung dieser Daten erfüllt sind (z. B. ausdrückliche Einwilligung oder Geltendmachung von Rechtsansprüchen), und
  • sollten Sie Zugriffs‑ und Aufbewahrungsregeln so konfigurieren, dass sie das erhöhte Risikoprofil widerspiegeln.

Grundsätzlich empfehlen wir, den unnötigen Einschluss besonderer oder hochsensibler Daten im Dienst zu vermeiden.

5.3 Konfiguration, Aufbewahrung und Ordnung

Sie steuern im Wesentlichen, wie lange personenbezogene Daten im Dienst verbleiben. Insbesondere sollten Sie:

  • Workspaces, Berechtigungen und Aufbewahrungseinstellungen im Einklang mit Ihren eigenen Richtlinien konfigurieren,
  • Daten regelmäßig überprüfen und entfernen, wenn sie nicht mehr benötigt werden, und
  • die von uns bereitgestellten Export‑ und Löschmechanismen im Rahmen Ihres Datenlebenszyklus nutzen.

5.4 Rechte betroffener Personen und Behördenkommunikation

Sie sind primärer Ansprechpartner für betroffene Personen und Aufsichtsbehörden. Sie sind verantwortlich für:

  • den Empfang und die Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch),
  • die Beurteilung, ob und wie Verletzungen von personenbezogenen Daten gegenüber Aufsichtsbehörden oder betroffenen Personen zu melden sind.

Wir unterstützen Sie dabei wie in Abschnitt 6 beschrieben.

6. Unterstützung, Umgang mit Verletzungen und DSFA

6.1 Unterstützung bei Betroffenenrechten

Unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen werden wir Sie in angemessenem Umfang – durch Tools oder Support – dabei unterstützen:

  • personenbezogene Daten im Dienst zu lokalisieren, zu exportieren, zu berichtigen oder zu löschen, soweit dies technisch machbar ist, und
  • auf Anfragen betroffener Personen zu reagieren, soweit sie sich auf Verarbeitungen beziehen, die wir als Ihr Auftragsverarbeiter durchführen.

Erhalten wir eine Anfrage direkt von einer betroffenen Person, die eindeutig personenbezogene Daten betrifft, die wir in Ihrem Auftrag verarbeiten, leiten wir diese – soweit rechtlich zulässig – an Sie weiter, anstatt eigenständig zu antworten.

6.2 Verletzungen des Schutzes personenbezogener Daten

Wenn wir eine Verletzung des Schutzes personenbezogener Daten feststellen, die Daten betrifft, die wir in Ihrem Auftrag verarbeiten, werden wir:

  • Sie unverzüglich nach Bestätigung der Verletzung benachrichtigen und
  • die Informationen bereitstellen, die wir zu diesem Zeitpunkt vernünftigerweise liefern können, darunter:
    • eine Beschreibung der Art der Verletzung (soweit bekannt),
    • Kategorien und – soweit möglich – ungefähre Anzahl der betroffenen Personen und Datensätze,
    • wahrscheinliche Folgen der Verletzung und
    • ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und Minderung ihrer möglichen nachteiligen Auswirkungen.

Wir kooperieren mit Ihnen, um Ihre Bewertung zu unterstützen und etwaige Meldungen an Aufsichtsbehörden oder betroffene Personen vorzubereiten. Sie bleiben für die Einhaltung gesetzlicher Meldepflichten verantwortlich.

6.3 Datenschutz‑Folgenabschätzungen und Vorabkonsultationen

Soweit Sie verpflichtet sind, eine Datenschutz‑Folgenabschätzung (DSFA) durchzuführen oder eine Aufsichtsbehörde im Zusammenhang mit Ihrer Nutzung des Dienstes zu konsultieren, leisten wir angemessene Unterstützung, indem wir:

  • Informationen über unsere Verarbeitungstätigkeiten, Sicherheitskontrollen und Unterauftragsverarbeiter bereitstellen und
  • angemessene schriftliche Fragebögen im Zusammenhang mit dem Dienst beantworten.

7. Datenstandorte und internationale Übermittlungen

7.1 Wo Daten verarbeitet werden

Der Dienst wird derzeit in Google Cloud in den Vereinigten Staaten gehostet. Personenbezogene Daten können daher in den USA und in anderen Jurisdiktionen gespeichert oder verarbeitet werden, in denen unsere Unterauftragsverarbeiter tätig sind.

7.2 Übermittlungsmechanismen

Wenn die DSGVO oder vergleichbare Gesetze eine Übermittlung als “international” einstufen (z. B. vom EWR, Vereinigten Königreich oder der Schweiz in ein Land ohne Angemessenheitsbeschluss), stellen wir sicher, dass geeignete Garantien bestehen, etwa:

  • von der EU‑Kommission angenommene Standardvertragsklauseln und/oder
  • andere gesetzlich anerkannte Übermittlungsinstrumente sowie ergänzende technische und organisatorische Maßnahmen.

Informationen zu den von wichtigen Unterauftragsverarbeitern (Google Cloud, Stripe und LLM‑Providern) eingesetzten Garantien sind in deren öffentlichen Unterlagen und, soweit angebracht, in unseren Datenschutzhinweisen oder auf Anfrage verfügbar.

8. Aufbewahrung, Löschung und Prüfungsrechte

8.1 Aufbewahrung und Löschung nach Vertragsende

Wenn die Hauptvereinbarung endet oder Sie uns schriftlich dazu anweisen, werden wir – vorbehaltlich gesetzlicher Aufbewahrungspflichten:

  • personenbezogene Daten, die wir in Ihrem Auftrag verarbeiten, innerhalb eines wirtschaftlich angemessenen Zeitraums (in der Regel innerhalb von 30 Tagen) aus aktiven Systemen löschen oder
  • personenbezogene Daten, sofern vor der Löschung angefordert, in einem gängigen, maschinenlesbaren Format an Sie zurückgeben und
  • personenbezogene Daten im Rahmen unseres regulären Backup‑Zyklus aus Sicherungskopien entfernen (in der Regel innerhalb von 90 Tagen).

Wir können Daten aufbewahren, die irreversibel anonymisiert oder aggregiert wurden, sodass sie keine personenbezogenen Daten mehr darstellen.

8.2 Prüfungs‑ und Kontrollrechte

Um Ihnen die Überprüfung der Einhaltung dieses DPA zu ermöglichen, werden wir:

  • Dokumentation über unsere relevanten technischen und organisatorischen Maßnahmen führen und
  • auf angemessene Sicherheits‑ und Datenschutzfragebögen antworten.

Reicht dies nicht aus, können Sie (oder ein von Ihnen beauftragter und von uns zu genehmigender, nicht unangemessen abzulehnender unabhängiger Prüfer) höchstens einmal alle 12 Monate – sofern nicht gesetzlich etwas anderes verlangt wird oder eine bestätigte Verletzung vorliegt – eine Prüfung durchführen, die:

  • auf die Verarbeitung Ihrer personenbezogenen Daten im Rahmen dieses DPA beschränkt ist,
  • während der üblichen Geschäftszeiten und mit angemessener Vorankündigung erfolgt und
  • so gestaltet ist, dass unsere Betriebsabläufe nicht unangemessen gestört werden.

Sie tragen Ihre eigenen Kosten sowie unsere angemessenen und nachgewiesenen Kosten für die Unterstützung einer solchen Prüfung, es sei denn, die Prüfung deckt eine wesentliche, uns zurechenbare Verletzung dieses DPA auf.

9. Haftung, Laufzeit und Änderungen

9.1 Haftungsrahmen

Die Verteilung und Begrenzung der Haftung zwischen Ihnen und Rakenne für Ansprüche aus oder im Zusammenhang mit diesem DPA richtet sich nach der Hauptvereinbarung sowie – soweit anwendbar – nach Art. 82 DSGVO. Insbesondere haften wir nur für den Teil des Schadens, der auf eine Verarbeitung zurückzuführen ist, bei der wir:

  • gegen Pflichten verstoßen haben, die sich spezifisch an Auftragsverarbeiter richten, oder
  • außerhalb oder entgegen Ihren rechtmäßigen Weisungen gehandelt haben.

9.2 Freistellung

Sie stellen Rakenne von Ansprüchen, Bußgeldern und Verlusten frei, die entstehen aus:

  • Ihrem Verstoß gegen anwendbare Datenschutzgesetze im Zusammenhang mit personenbezogenen Daten, die über den Dienst verarbeitet werden,
  • Ihren Weisungen, die unrechtmäßig oder mit diesen Gesetzen unvereinbar sind, oder
  • Ihrer Unterlassung, erforderliche Hinweise zu erteilen oder erforderliche Einwilligungen von betroffenen Personen einzuholen.

9.3 Dauer dieses DPA

Dieser DPA tritt an dem oben genannten Datum in Kraft und bleibt gültig, solange wir im Rahmen der Hauptvereinbarung personenbezogene Daten in Ihrem Auftrag verarbeiten, einschließlich etwaiger Nachverarbeitung zur Löschung oder Rückgabe von Daten gemäß den vorstehenden Regelungen.

9.4 Änderungen des DPA

Wir können diesen DPA von Zeit zu Zeit anpassen, etwa um:

  • Änderungen im Datenschutzrecht oder in behördlichen Leitlinien widerzuspiegeln,
  • Anpassungen im Betrieb des Dienstes oder bei den eingesetzten Unterauftragsverarbeitern zu berücksichtigen oder
  • Klarstellungen oder Verbesserungen bei der Beschreibung unserer Verpflichtungen vorzunehmen.

Nehmen wir wesentliche Änderungen vor, informieren wir Sie im Voraus (z. B. mindestens 30 Tage, bevor die Änderung wirksam wird). Widersprechen Sie schriftlich und können wir Ihre Bedenken nicht angemessen berücksichtigen, besteht Ihr ausschließliches Rechtsmittel darin, die betroffene Nutzung des Dienstes einzustellen und gegebenenfalls gemäß der Hauptvereinbarung zu kündigen.

10. Anwendbares Recht und Kontakt

10.1 Anwendbares Recht und Gerichtsstand

Dieser DPA unterliegt demselben Recht wie die Hauptvereinbarung, und Streitigkeiten aus oder im Zusammenhang mit diesem DPA werden vor denselben Gerichten oder Schiedsstellen verhandelt, unbeschadet der Rechte betroffener Personen oder Aufsichtsbehörden nach geltendem Recht.

10.2 Kontakt

Wenn Sie Fragen zu diesem DPA haben oder Rechte oder Weisungen ausüben möchten, die sich auf unsere Rolle als Auftragsverarbeiter beziehen, kontaktieren Sie:

Bitte geben Sie “DPA” in der Betreffzeile an und fügen Sie ausreichende Informationen bei, damit wir Ihr Konto zuordnen und effizient antworten können.

Bereit, Ihr Fachwissen zum Workflow zu machen?

Schluss mit starren Templates und komplexen Tools. Schreiben Sie Ihren Prozess in Markdown, der Agent erledigt den Rest. Starten Sie noch heute mit Rakenne.

Kostenlos starten — Ohne Anmeldung