§ 1 Gegenstand und Dauer
(1) Gegenstand ist die Bereitstellung der Noctive AI Plattform durch den Auftragnehmer, einschließlich KI-gestützte Konversations-Engine, Multi-Tenant-Workspace-Verwaltung, Konversations- Speicherung, Knowledge-Base-Verarbeitung (RAG) und optionale Workflow- Automatisierung.
(2) Die Verarbeitung erfolgt ganz überwiegend auf Servern in Deutschland (Hetzner Online GmbH, DC Nürnberg). Eine transitorische Verarbeitung über spezialisierte LLM-Inference-Sub- Processor mit Sitz außerhalb der EU/EWR (vollständige Liste in § 6) kann während laufender Inference-Anfragen erfolgen; persistierte Customer-Daten verbleiben auf den deutschen Servern. Alle nicht-EU-Sub-Processor sind über das EU-U.S. Data Privacy Framework (DPF) zertifiziert und/oder über Standardvertragsklauseln (SCCs) DSGVO-konform eingebunden.
(3) Dauer: Vereinbarung gilt für die Dauer der Hauptleistungsbeziehung. Eine Übermittlung an Meta Platforms, Inc. findet NICHT statt (Foundation-Model läuft lokal — Built with Llama).
§ 6 Unterauftragsverarbeitung (Sub-Prozessoren)
Der Auftraggeber stimmt der Beauftragung folgender Unterauftragnehmer zu:
| Unterauftragnehmer | Sitz | Leistung |
|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, DE | Server-Hosting (DC Nürnberg) |
| Supabase Inc. | San Francisco, USA | DB + Auth (EU-Region Frankfurt) ¹ |
| Vercel Inc. | San Francisco, USA | Web-Frontend (EU-Region Frankfurt) ¹ |
| Nango (Bastion Technologies, Inc.) | San Francisco, USA | OAuth-Proxy für Drittanbieter ² |
| Anthropic PBC | San Francisco, USA | LLM-Inference (transient, kein Training-Persist) ² |
| Stripe Payments Europe Ltd. | Dublin, IE | Zahlungsabwicklung |
| Cloudflare Germany GmbH | München, DE | DNS, DDoS-Schutz, Edge-Caching |
| ElevenLabs Ltd. | London, UK | Optional: TTS (nur bei aktivierter Voice-Funktion) |
| Resend Inc. | San Francisco, USA | E-Mail-Transaktionsversand ² |
| Functional Software Inc. (Sentry) | San Francisco, USA | Error-Monitoring ² |
| Voyage AI Inc. | San Francisco, USA | Text-Embeddings (Knowledge-Base) ² |
| OpenAI LLC | San Francisco, USA | Optional: Voice-Transkription (Whisper) ² |
¹ Supabase/Vercel nutzen jeweils eine EU-Region (Frankfurt). Eine Übermittlung in die USA findet im Rahmen dieser Verarbeitung NICHT statt; abgesichert über DPA mit Standardvertragsklauseln (SCCs).
² Nango, Anthropic, Resend, Sentry, Voyage AI und OpenAI verarbeiten Daten in den USA. Alle sind über das EU-U.S. Data Privacy Framework (DPF) zertifiziert und über Standardvertragsklauseln (SCCs) zusätzlich abgesichert. Verarbeitung erfolgt transient (während der jeweiligen API-Anfrage); Daten werden NICHT zum Training öffentlicher Modelle verwendet — kontraktlich ausgeschlossen (Zero Data Retention / No-Train-Clauses).
Änderungen: Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus über jede Änderung des Sub- Prozessor-Bestands. Der Auftraggeber kann einer Änderung innerhalb von 14 Tagen widersprechen.
§ 7 Foundation-Model & Künstliche Intelligenz
(1) Die KI-Verarbeitung erfolgt mittels eines Open-Source Foundation Large Language Models unter der „Meta Llama Community License" (© Meta Platforms, Inc.). Das Modell wurde vom Auftragnehmer für deutsche B2B-Kontexte fine-getunt und wird vollständig auf eigenen Servern in Deutschland betrieben.
(2) Es findet KEINE Datenübermittlung an Meta Platforms, Inc. statt. Zur Inference-Skalierung können spezialisierte LLM- Provider als Sub-Processor eingebunden werden (vollständige Liste in § 6). Die verarbeiteten Daten werden in keinem Fall zum Training öffentlicher Modelle verwendet — diese Garantie ist mit jedem eingebundenen Sub-Processor vertraglich abgesichert (Zero Data Retention bzw. No-Train-Clauses).
(3) Trainings-Programm: Der Auftragnehmer betreibt zur Verbesserung der Engine ein internes Trainings-Programm unter Verwendung pseudonymisierter / anonymisierter Konversationsdaten. Eine explizite Opt-out-Möglichkeit besteht über die Workspace-Einstellungen.
(4) Genauigkeits-Hinweis: KI-generierte Antworten können fehlerhaft sein. Der Auftraggeber ist verpflichtet, KI-Ausgaben vor geschäftskritischer Verwendung zu verifizieren.
Vollständiger Vertragstext
Diese Seite ist eine verkürzte Darstellung der für Customer relevantesten Punkte (§ 1, § 6, § 7). Der vollständige AVV mit allen Paragraphen (§ 1–9 inkl. TOMs in Anlage 1) wird im Onboarding-Vertrag als formales PDF ausgehändigt — auf Anfrage jederzeit per Email an info@noctive.de abrufbar.