Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen (nachfolgend „Kunde“) durch den Auftragsverarbeiter (nachfolgend „Quott“ oder „Anbieter“) im Rahmen der Nutzung der Quott-AI-Software (nachfolgend „Dienst“) gemäß Art. 28 DSGVO.
Anbieter:
Copany GmbH
Im Rapsfeld 57, 50933 Köln, Deutschland
vertreten durch den Geschäftsführer
E-Mail: support@quott.ai
1. Gegenstand und Dauer
(1) Quott verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Kunden ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen (KI-Sichtbarkeits- Analyse, Profil-Optimierung, Prompt-Tracking, Reports). Die konkreten Leistungen ergeben sich aus dem zwischen Kunde und Quott geschlossenen Hauptvertrag (Abo).
(2) Dieser AVV gilt für die Dauer des Hauptvertrags. Er endet automatisch mit dessen Beendigung. Nach Beendigung gelten die in Ziffer 11 geregelten Lösch- und Rückgabepflichten.
2. Weisungsrecht des Kunden
(1) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Kunden. Als dokumentierte Weisung gelten insbesondere der Hauptvertrag, dieser AVV sowie die Einstellungen des Kunden im Quott-Dashboard.
(2) Mündliche Weisungen sind ausgeschlossen. Weisungen können per E-Mail an support@quott.ai erteilt werden.
(3) Quott informiert den Kunden unverzüglich, wenn eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der EU/des Mitgliedstaats verstößt.
3. Art, Umfang und Zweck der Verarbeitung
(1) Zweck: Erbringung der vereinbarten Leistungen im Rahmen der Quott-AI-Software (Analyse der KI-Sichtbarkeit, automatische Profil-Optimierung, Tracking-Prompts, Reports, KI-Agent).
(2) Art der Verarbeitung: Erheben, Speichern, Strukturieren, Auslesen, Vergleichen, Auswerten, Löschen.
(3) Kategorien betroffener Personen:
- Mitarbeiter und Team-Mitglieder des Kunden, die Zugriff auf Quott haben
- Wettbewerber und Personen, die der Kunde im Rahmen seiner Brand-Daten benennt (bekannte öffentliche Marken oder Personen)
- Personen, die in KI-Antworten als Quelle oder Bezug genannt werden (öffentlich verfügbare Information)
(4) Kategorien personenbezogener Daten:
- Account-Daten: Name, E-Mail, Login-Daten
- Profil-Daten: Markenname, Firmenangaben, URL, Branche, Region
- Brand-Daten: Personas, Themen, Wettbewerber, Einzigartige Inhalte (vom Kunde bereitgestellt)
- Tracking-Daten: Prompts und KI-Antworten, Score-Werte, Quellen-Domains
- Nutzungsdaten: Login-Zeiten, Feature-Verwendung, IP-Adresse (gekürzt)
- Abrechnungsdaten: Plan, Stripe-Customer-ID, Zahlungs-Status (Zahlungsdaten liegen ausschließlich bei Stripe)
4. Pflichten des Auftragsverarbeiters
Quott verpflichtet sich:
- die Verarbeitung ausschließlich im EWR durchzuführen, sofern nicht ausdrücklich anders vereinbart (Datenfluss in Drittländer siehe Ziffer 7)
- die zur Verarbeitung eingesetzten Personen schriftlich zur Vertraulichkeit zu verpflichten
- die in Ziffer 5 beschriebenen technischen und organisatorischen Maßnahmen (TOM) einzuhalten und kontinuierlich weiterzuentwickeln
- den Kunden unverzüglich zu informieren, wenn Quott Kenntnis von einer Datenschutzverletzung erlangt (siehe Ziffer 9)
- den Kunden bei der Erfüllung der Pflichten zur Beantwortung von Anträgen betroffener Personen zu unterstützen
- nach Wahl des Kunden alle personenbezogenen Daten nach Vertragsende zu löschen oder zurückzugeben (siehe Ziffer 11)
- dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung dieser Verpflichtungen zur Verfügung zu stellen
5. Technische und organisatorische Maßnahmen (TOM)
Quott setzt folgende Maßnahmen ein:
Vertraulichkeit:
- Zugriffskontrolle auf Datenbank-Ebene per Row-Level-Security (RLS) auf allen personenbezogenen Tabellen
- Authentifizierung über Supabase Auth mit OAuth (Google, Microsoft) sowie Passwort-Login mit bcrypt-Hashing
- Verschlüsselung in Transport (TLS 1.2+) und at-rest (AES-256 auf Supabase/PostgreSQL und Stripe)
- Mitarbeiter werden auf Vertraulichkeit nach Art. 28 Abs. 3 lit. b DSGVO schriftlich verpflichtet
Integrität:
- Audit-Logs für administrative Zugriffe (admin_audit_log)
- Stripe-Webhook-Signaturen werden verifiziert (Idempotenz-Cache gegen Replay)
- Rate-Limiting auf allen schreibenden Endpoints (Upstash Redis)
- Prompt-Sanitizer gegen Prompt-Injection (sanitizeForPrompt) auf allen LLM-Pipelines
Verfügbarkeit + Belastbarkeit:
- Hosting bei Vercel (Frankfurt) und Supabase (Dublin) mit jeweils georedundanten Backups
- Tägliche Datenbank-Backups (Supabase Standard)
- Inngest-Job-Queue mit automatischem Retry bei Fehlern
Verfahren zur regelmäßigen Überprüfung:
- Security-Audits regelmäßig durchgeführt (zuletzt 2026-05-21)
- Code-Review bei jeder Welle, automatische TypeScript- und ESLint-Checks
- Subprozessor-DPAs werden zentral gepflegt und jährlich überprüft
6. Subprozessoren
(1) Der Kunde erklärt sich mit der Beauftragung der unten gelisteten Subprozessoren einverstanden.
(2) Quott schließt mit jedem Subprozessor einen schriftlichen oder elektronischen Vertrag, der den gleichen Datenschutzpflichten genügt wie dieser AVV.
(3) Bei beabsichtigter Beauftragung weiterer Subprozessoren oder Wechsel eines Subprozessors informiert Quott den Kunden mindestens 14 Tage vorab per E-Mail oder Dashboard-Banner. Widerspricht der Kunde nicht innerhalb dieser Frist, gilt der Wechsel als genehmigt.
Aktuelle Subprozessoren (Stand 13. Juli 2026):
| Subprozessor | Funktion | Sitz | Rechtsgrundlage Drittland |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | EU (Dublin, Irland) | EWR — keine SCCs nötig |
| Vercel Inc. | Hosting, Edge-Funktionen, Cron-Jobs | USA, Verarbeitung in Frankfurt | SCCs (Modul 2/3) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | EU (Dublin, Irland) | EWR — keine SCCs nötig |
| Inngest Inc. | Asynchrone Hintergrund-Jobs | USA | SCCs (Modul 2) |
| Upstash Inc. | Rate-Limiting (Redis) | EU/Global | SCCs bei US-Routing |
| OpenRouter Inc. | LLM-Gateway zu OpenAI, Anthropic, Google, Perplexity, xAI, Mistral | USA | SCCs (Modul 2), Zero-Data-Retention aktiviert, Training-Opt-Out aktiviert |
| DataForSEO | Messung der Google-KI-Sichtbarkeit (Suchbegriffe an Google-SERP / AI-Overview) | USA / global | SCCs (Modul 2), DPA |
| Resend Inc. | Transaktions-E-Mails | USA (AWS SES Backend) | SCCs (Modul 2) |
| Functional Software, Inc. (Sentry) | Fehler-Monitoring (Error-Tracking) | USA, EU-Datenregion (Frankfurt) | SCCs (Modul 2) + EU-Data-Residency |
| Cloudflare, Inc. | Bot-/Spam-Schutz (Turnstile) auf Auth-Formularen | USA | SCCs (Modul 2) + DPF-Zertifizierung |
Die vollständigen DPAs und SCCs der Subprozessoren liegen Quott vor und können auf Anfrage eingesehen werden.
7. Drittland-Transfer
Soweit personenbezogene Daten in Drittländer (außerhalb EWR) übermittelt werden, erfolgt dies auf Grundlage der Standardvertragsklauseln (SCCs) der Europäischen Kommission gemäß Durchführungsbeschluss (EU) 2021/914. Quott hat mit allen betroffenen Subprozessoren entsprechende SCCs abgeschlossen.
8. Rechte der betroffenen Personen
(1) Quott unterstützt den Kunden bei der Beantwortung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) durch geeignete technische und organisatorische Maßnahmen.
(2) Der Kunde kann seine Daten jederzeit im Quott-Dashboard exportieren (CSV-Export unter Einstellungen) sowie sein Konto löschen lassen.
(3) Sollte sich eine betroffene Person direkt an Quott wenden, leitet Quott die Anfrage unverzüglich an den Kunden weiter.
9. Meldung von Verletzungen des Schutzes personenbezogener Daten
(1) Quott meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, per E-Mail an die im Account hinterlegte Adresse.
(2) Die Meldung enthält mindestens: Beschreibung der Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl, mögliche Folgen, ergriffene/vorgeschlagene Maßnahmen.
(3) Quott unterstützt den Kunden bei der Meldung an die zuständige Aufsichtsbehörde und ggf. an die betroffenen Personen.
10. Nachweispflicht und Audit
(1) Quott stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus diesem AVV zur Verfügung.
(2) Der Kunde ist berechtigt, die Einhaltung der vereinbarten Pflichten durch Quott im Rahmen einer Vor-Ort-Inspektion oder durch einen beauftragten unabhängigen Prüfer zu kontrollieren. Quott bemüht sich, derartige Inspektionen auf eine pro Kalenderjahr zu beschränken, sofern kein konkreter Anlass besteht. Die Kosten der Prüfung trägt der Kunde.
(3) Quott kann eine Nachweisführung durch Berichte unabhängiger Prüfer (z. B. ISO-27001-Zertifikate der Subprozessoren) anbieten.
11. Löschung und Rückgabe von Daten
(1) Nach Beendigung des Hauptvertrags löscht Quott alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen (z. B. Rechnungsdaten gemäß HGB/AO).
(2) Auf Wunsch des Kunden, der bis 14 Tage nach Vertragsende schriftlich (E-Mail genügt) geäußert werden muss, übergibt Quott die Daten vorher in einem strukturierten, gängigen, maschinenlesbaren Format (CSV/JSON).
(3) Backups werden im Rahmen der üblichen Backup-Zyklen von Supabase überschrieben (max. 30 Tage).
12. Haftung
Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags.
13. Schlussbestimmungen
(1) Änderungen dieses AVV bedürfen der Textform (E-Mail genügt). Materielle Änderungen erfordern eine erneute elektronische Zustimmung des Kunden über das Quott-Dashboard.
(2) Sollte eine Bestimmung dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist Köln, soweit gesetzlich zulässig.
Version: 1.1 · Stand: 13. Juli 2026