Skip to main content
Solvgent Solvgent
EN DE
Pilot starten
Rechtliches

Auftragsverarbeitungsvereinbarung

Unsere DSGVO-konforme AVV. EU-SCCs per Verweis einbezogen — und für die überwiegende Mehrheit der Kunden ohne Redlines unterzeichnet.

Gültig ab: 2026-05-16 · v1.0

Zwischen: itligt, Betreiber der Solvgent-Plattform („Auftragsverarbeiter", „Solvgent") und der Kundeneinheit, die im zugrunde liegenden Solvgent-Abonnement, Bestellformular oder Pilot-Vertrag identifiziert ist („Verantwortlicher", „Kunde"). Jede eine „Partei" und gemeinsam die „Parteien".

Diese Auftragsverarbeitungsvereinbarung („AVV") ist Bestandteil der Allgemeinen Geschäftsbedingungen von Solvgent (die „Hauptvereinbarung") zwischen den Parteien und regelt die Verarbeitung personenbezogener Daten durch Solvgent im Auftrag des Kunden im Zusammenhang mit dem Solvgent-Dienst (der „Dienst"). Bei Konflikten zwischen dieser AVV und der Hauptvereinbarung in Bezug auf personenbezogene Daten ist diese AVV maßgeblich.

1. Gegenstand und Rollen

1.1 Gegenstand. Diese AVV regelt Rechte und Pflichten der Parteien bei der Verarbeitung personenbezogener Daten durch Solvgent im Auftrag des Kunden.

1.2 Rollen. Der Kunde ist der Verantwortliche; Solvgent ist Auftragsverarbeiter. Für die eigene Erhebung von Konto-, Abrechnungs- und Nutzungsdaten durch Solvgent agiert Solvgent als unabhängiger Verantwortlicher; diese AVV findet darauf keine Anwendung.

1.3 Definitionen. Begriffe haben die Bedeutung der Hauptvereinbarung oder der DSGVO bzw. vergleichbarer Gesetze („Datenschutzgesetze").

2. Laufzeit

Diese AVV gilt ab dem Wirksamkeitsdatum, solange Solvgent Daten im Auftrag des Kunden verarbeitet. Sie endet automatisch mit Beendigung der Hauptvereinbarung, vorbehaltlich der Lösch- und Rückgabepflichten in Abschnitt 11.

3. Umfang und Details der Verarbeitung

3.1 Gegenstand. Solvgent verarbeitet personenbezogene Daten zur Erbringung des Dienstes (KI-Content-Erzeugung, mandantenspezifisches Brand-Brain, Scheduling, Veröffentlichung, Analytics, Sicherheits-Monitoring).

3.2 Dauer der Verarbeitung. Laufzeit der Hauptvereinbarung; für Löschung/Rückgabe gilt Abschnitt 11.

3.3 Art und Zweck. Speicherung und Hosting von Kundeninhalten; KI-Inferenz; Freigabe-Workflow, Scheduling und Veröffentlichung; Analytics-Aggregation; Backup und Disaster-Recovery; Sicherheits-Monitoring und Missbrauchsabwehr.

3.4 Arten personenbezogener Daten. Namen, Benutzernamen, Handles, E-Mail-Adressen; Brand-Voice-Samples mit ggf. personenbezogenen Anteilen; Audience-Metriken mit Plattform-IDs; Kommentare, Antworten und Inbox-Inhalte aus Drittplattformen, soweit aktiviert; Bilder, Videos und Audios. Der Kunde bestimmt die Kategorien. Solvgent positioniert den Dienst nicht als geeignet für besondere Kategorien (Art. 9 DSGVO).

3.5 Betroffenenkategorien. Personal und autorisierte Nutzer des Kunden; Endkunden und deren Personal (bei Agentur-Tarifen); Audience-Mitglieder und Follower; in Medien abgebildete Personen; Autoren von Kommentaren, Antworten oder DMs aus Drittplattformen.

4. Pflichten des Auftragsverarbeiters

4.1 Dokumentierte Weisungen. Solvgent verarbeitet Daten ausschließlich auf dokumentierte Weisung des Kunden. Die Hauptvereinbarung, diese AVV, die Konfiguration des Dienstes und explizite Support-Tickets gelten als dokumentierte Weisungen.

4.2 Vertraulichkeit. Solvgent stellt sicher, dass zur Verarbeitung autorisiertes Personal zur Vertraulichkeit verpflichtet ist.

4.3 Sicherheitsmaßnahmen. Solvgent setzt die in Anhang II aufgeführten TOMs um.

4.4 Unter-Auftragsverarbeiter. Der Kunde erteilt Solvgent allgemeine schriftliche Genehmigung zur Beauftragung von Unter-Auftragsverarbeitern. Die aktuelle Liste steht unter solvgent.com/de/legal/auftragsverarbeiter. Solvgent informiert mindestens 30 Tage vor Hinzufügung oder Austausch. Der Kunde kann innerhalb von 30 Tagen aus berechtigten Datenschutzgründen widersprechen. Solvgent verpflichtet jeden Unter-Auftragsverarbeiter auf äquivalente Pflichten.

4.5 Unterstützung bei Betroffenenanfragen. Solvgent unterstützt den Kunden bei der Erfüllung der Art. 15–22 DSGVO und leitet direkte Anfragen an den Kunden weiter.

4.6 Unterstützung bei weiteren Pflichten. Solvgent unterstützt nach Art. 32–36 DSGVO (Sicherheit, Meldepflichten, DSFA).

4.7 Meldung von Datenschutzverletzungen. Solvgent meldet eine Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung, in jedem Fall innerhalb von 72 Stunden nach Kenntnis.

4.8 Löschung und Rückgabe. Siehe Abschnitt 11.

4.9 Audit-Nachweise. Solvgent stellt Informationen bereit, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind, und ermöglicht Audits gemäß Abschnitt 5.

5. Audits

5.1 Standard-Reporting. Auf Anfrage stellt Solvgent eine Zusammenfassung der TOMs (Anhang II), Ergebnisse unabhängiger Audits / Penetrationstests / Zertifizierungen sowie Antworten auf eine angemessen umfangreiche Sicherheits-Checkliste (z. B. CAIQ-Lite) bereit.

5.2 Vor-Ort-Audits. Sind Standard-Reports nicht ausreichend, kann der Kunde max. einmal pro 12 Monate auf eigene Kosten ein Audit verlangen, mit mindestens 30 Tagen Vorlauf, während der Geschäftszeiten und unter Vertraulichkeit. Der Auditor darf kein Wettbewerber von Solvgent sein.

6. Internationale Datenübermittlung

6.1 Übermittlungen außerhalb des EWR, UK und der Schweiz. Solvgent stützt entsprechende Übermittlungen auf:

  • EU–US Data Privacy Framework, UK-Erweiterung und Swiss-US-DPF (für DPF-zertifizierte Empfänger);
  • EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914, Modul 2 (Verantwortlicher an Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter an Unter-Auftragsverarbeiter);
  • UK International Data Transfer Addendum für Transfers mit UK-Ursprung;
  • Schweizer SCC-Modifikationen für Schweiz-Ursprung.

6.2 Einbeziehung der SCCs. Die EU-SCCs werden mit folgenden Optionen per Verweis einbezogen:

  • Klausel 7 (Docking): gilt
  • Klausel 9(a) (Unter-AV): Option 2 (allgemeine schriftliche Genehmigung), 30-Tage-Frist nach Abschnitt 4.4
  • Klausel 11(a): die optionale Sprache ist nicht gewählt
  • Klausel 17 (anwendbares Recht): irisches Recht
  • Klausel 18(b) (zuständige Gerichte): Gerichte in Irland
  • Anhang I.A — Parteien: Kunde = Datenexporteur, Solvgent = Datenimporteur
  • Anhang I.B — Beschreibung: wie Abschnitt 3
  • Anhang I.C — Aufsichtsbehörde: die des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist
  • Anhang II — TOMs: siehe unten
  • Anhang III — Unter-Auftragsverarbeiter: solvgent.com/de/legal/auftragsverarbeiter

6.3 Transfer Impact Assessment. Solvgent hat ein TIA durchgeführt und kommt zu dem Ergebnis, dass unter Berücksichtigung der ergänzenden technischen (Verschlüsselung, Zugriffskontrollen), vertraglichen (diese AVV, SCCs) und organisatorischen Maßnahmen ein im Wesentlichen gleichwertiges Schutzniveau erreicht wird. Das TIA ist auf Anfrage erhältlich.

7. Haftung und Freistellung

7.1 Haftungsverteilung. Die Haftung jeder Partei unterliegt den Beschränkungen der Hauptvereinbarung, außer wo Art. 82 DSGVO oder andere zwingende Gesetze Beschränkungen nicht zulassen.

7.2 Art. 82 DSGVO. Bei Ansprüchen nach Art. 82 DSGVO erfolgt die Haftungsverteilung nach Art. 82.

7.3 Freistellung. Jede Partei stellt die andere von Bußgeldern oder Drittansprüchen frei, soweit diese durch ihren eigenen Verstoß gegen diese AVV verursacht sind.

8. Vertraulichkeit personenbezogener Daten

Solvgent behandelt sämtliche im Auftrag verarbeiteten Daten als vertrauliche Informationen des Kunden.

9. Vorrangregeln

Höchste bis niedrigste Rangstufe: (a) die SCCs, soweit einbezogen; (b) diese AVV; (c) die Hauptvereinbarung; (d) Bestellformular oder Pilot-Vereinbarung; (e) Dokumentation.

10. Anwendbares Recht

Diese AVV unterliegt dem Recht des Bundesstaates Utah, USA, mit der Ausnahme, dass die SCCs irischem Recht unterliegen, und unter Berücksichtigung zwingender Schutzrechte der Betroffenen nach anwendbarem Datenschutzrecht.

11. Löschung und Rückgabe

Bei Beendigung der Hauptvereinbarung oder auf schriftliche Anfrage des Kunden:

  • Solvgent stellt für 90 Tage einen Export der Kundeninhalte über das In-App-Tool oder per API bereit.
  • Innerhalb von 90 Tagen löscht oder gibt Solvgent alle personenbezogenen Daten zurück und löscht Kopien, soweit keine gesetzliche Aufbewahrung greift.
  • Backup-Daten werden im normalen 30-Tage-Rotationszyklus gelöscht.
  • Auf Anfrage des Kunden bestätigt Solvgent die Löschung schriftlich.

12. Mitteilungen und Kontakt

Solvgent (Auftragsverarbeiter): privacy@solvgent.com. Kunde (Verantwortlicher): primärer Kontakt im Konto.

13. Sonstige Bestimmungen

13.1 Salvatorische Klausel. Bleibt der Rest der AVV bei Unwirksamkeit einer Bestimmung in Kraft.

13.2 Änderungen. Wesentliche Änderungen werden mindestens 30 Tage vor Inkrafttreten per E-Mail kommuniziert.

13.3 Form. Clickwrap-Annahme, schriftliche Unterzeichnung in Ausfertigungen oder DocuSign haben jeweils gleiche Rechtswirkung.

Anhang I — Beschreibung der Verarbeitung

I.A — Parteien

Datenexporteur: der Kunde laut Konto / Bestellformular / Pilot-Vereinbarung. Datenimporteur: itligt d/b/a Solvgent, Salt Lake City, Utah, USA. Kontakt: privacy@solvgent.com.

I.B — Beschreibung der Übermittlung

  • Betroffenenkategorien: siehe Abschnitt 3.5.
  • Kategorien personenbezogener Daten: siehe Abschnitt 3.4.
  • Besondere Kategorien: nicht erforderlich.
  • Häufigkeit: kontinuierlich für die Laufzeit der Hauptvereinbarung.
  • Art: SaaS-Hosting, KI-Inferenz, Scheduling, Veröffentlichung, Analytics, Sicherheits-Monitoring.
  • Zweck: Erbringung des Solvgent-Dienstes.
  • Aufbewahrung: siehe Abschnitt 11.

I.C — Zuständige Aufsichtsbehörde

Die Aufsichtsbehörde des Mitgliedstaates, in dem der Datenexporteur niedergelassen ist. Der EU-Vertreter nach Art. 27 DSGVO (bei Bestellung) wird unter solvgent.com/legal/eu-representative veröffentlicht.

Anhang II — Technische und Organisatorische Maßnahmen

Solvgent unterhält die folgenden Maßnahmen zum Schutz personenbezogener Daten. Sie werden aktuell gehalten und können verbessert werden, sofern das Gesamtschutzniveau nicht reduziert wird.

1. Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle mit Least-Privilege-Defaults.
  • 2FA für sämtliche administrative und Engineering-Zugänge.
  • SSO mit Hardware-Key in höheren Tarifen.
  • Jährliche Zugriffsreviews und zeitnaher Entzug bei Personalwechseln.

2. Verschlüsselung

  • TLS 1.2+ bei Übertragung.
  • AES-256 im Ruhezustand für Datenbank, Objektspeicher und Backups.
  • Secrets per Envelope Encryption mit rotierenden Master-Keys.

3. Netzwerk- und Anwendungssicherheit

  • WAF und DDoS-Schutz am Edge.
  • Rate Limiting und Bot-Schutz an öffentlichen Endpunkten.
  • Schwachstellen-Scanning in CI/CD; kritische Findings innerhalb von 7 Tagen behoben.
  • Periodische Penetrationstests durch Dritte.

4. Logische Mandantentrennung

  • Mandantentrennung über Tenant-ID auf RLS- und Anwendungsebene.
  • KI-Inferenzkontexte sind pro Mandant isoliert; keine mandantenübergreifenden Leaks.

5. Verwaltung der Unter-Auftragsverarbeiter

  • Alle Unter-Auftragsverarbeiter vor Onboarding geprüft.
  • Äquivalente vertragliche Verpflichtungen.
  • Änderungen werden protokolliert und nach Abschnitt 4.4 angekündigt.

6. Personalsicherheit

  • Hintergrundüberprüfungen, soweit rechtlich zulässig.
  • Vertraulichkeitsverpflichtungen in Arbeits- und Auftragsverhältnissen.
  • Jährliche Schulungen zu Sicherheit und Datenschutz.

7. Operativer Betrieb

  • Produktionszugriff über Bastion mit Sitzungsaufzeichnung.
  • Konfiguration als Code mit Peer-Review.
  • Immutable Infrastructure, wo machbar.
  • Zentralisiertes Log-Aggregat.

8. Logging, Monitoring und Incident Response

  • Audit-Logs für sensible Operationen.
  • 24/7-Alerting für kritische Sicherheits- und Verfügbarkeitssignale.
  • Dokumentierter Incident-Response-Plan mit 72-Stunden-Meldung.
  • Post-Incident-Reviews mit Root-Cause-Analyse.

9. Geschäftskontinuität und Disaster Recovery

  • Verschlüsselte tägliche Backups mit 30 Tagen rollierender Speicherung.
  • Backup-Restore mindestens vierteljährlich getestet.
  • RPO: 24 Stunden; RTO: 24 Stunden.

10. Physische Sicherheit

Solvgent betreibt keine eigene physische Infrastruktur. Hosting erfolgt über Unter-Auftragsverarbeiter (siehe Liste) mit ISO-27001- oder vergleichbaren Zertifizierungen.

11. Datenminimierung und Speicherdauer

  • Standard-Aufbewahrungsfristen gemäß Datenschutzerklärung.
  • Kundengesteuerte Löschung über In-App-Tools.
  • Backup-Daten werden im 30-Tage-Rotationszyklus gelöscht.

12. Pseudonymisierung und Anonymisierung

  • PII-Bereinigung in Fehlerberichten, soweit machbar.
  • Anonymisierte Aggregate für Produkt-Analytics (PostHog EU-Instanz).

Anhang III — Liste der Unter-Auftragsverarbeiter

Pflege und Aktualisierung unter solvgent.com/de/legal/auftragsverarbeiter. Die zum Wirksamkeitsdatum gültige Liste gilt per Verweis als einbezogen.

Vom Kunden durch Annahme der Solvgent-AGB oder durch Unterzeichnung eines Bestellformulars, das auf diese AVV verweist, anerkannt und akzeptiert.

Die englische Originalfassung dieser AVV ist unter solvgent.com/legal/dpa verfügbar. Bei Auslegungsdifferenzen ist die englische Fassung maßgeblich.