How does Langdock handle instructions from the Controller?

The Processor shall process the Controller Data only on documented instructions from the Controller, unless required to do so by Union or Member State law. Instructions are defined in the Agreement and through configuration options within the Langdock Platform.

What security measures does Langdock implement?

The Processor shall take appropriate technical and organizational measures in accordance with Art. 32 GDPR to ensure a level of security for the Controller Data appropriate to the risk, taking into account the state of the art, costs of implementation, and the nature and scope of processing.

Where is Controller Data processed?

The processing of Controller Data by the Processor shall generally take place within the European Union or a member state of the European Economic Area (EEA). Any transfer to a third country requires Controller instruction and compliance with Art. 44 et seq. GDPR.

What happens to data after contract termination?

The Processor shall delete the Controller Data no later than 30 days after termination of the Main Contract, unless subject to a legal obligation to retain the data for a longer period. The Controller has the option to export data during the term and until deletion.

What categories of personal data are processed?

Categories include user account data (names, email addresses, job titles, authentication credentials), content data (chat messages, uploaded documents, AI-generated responses), configuration data (prompts, assistants, workflows), usage data (session IDs, metadata), and integration data from third-party services.

Rechtliche Dokumente

Nutzungsbedingungen Auftragsverarbeitungsvertrag (DPA)Datenschutzerklärung

Auftragsverarbeitungsvertrag

PDF herunterladen

1. Vertragsgegenstand

Im Rahmen der Leistungserbringung nach den Allgemeinen Nutzungsbedingungen für die Langdock-Plattform („Hauptvertrag”) ist es erforderlich, dass der Auftragsverarbeiter personenbezogene Daten verarbeitet, für die der Verantwortliche als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert („Kundendaten”). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung der Kundendaten zur Durchführung des Hauptvertrags.

2. Umfang der Beauftragung

Der Auftragsverarbeiter verarbeitet die Kundendaten im Auftrag und nach Weisung des Verantwortlichen i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Verantwortliche bleibt Verantwortlicher im datenschutzrechtlichen Sinn.
Die Einzelheiten der Datenverarbeitung, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die Kundendaten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anlage 1 spezifiziert.

3. Weisungen des Verantwortlichen

Der Auftragsverarbeiter verarbeitet die Kundendaten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Die Weisungen des Verantwortlichen sind in diesem Vertrag festgelegt. Der Auftragsverarbeiter stellt dem Verantwortlichen darüber hinaus Konfigurationsoptionen innerhalb der Langdock-Plattform zur Verfügung, über die der Verantwortliche die Verarbeitung der Kundendaten im Rahmen des bestimmungsgemäßen Plattformbetriebs anpassen kann. Die Nutzung dieser Konfigurationsoptionen gilt als dokumentierte Weisung im Sinne dieses Vertrags. Darüber hinausgehende Einzelweisungen, die eine Anpassung der Standardleistung des Auftragsverarbeiters erfordern, sind nur verbindlich, soweit sie schriftlich vereinbart und im Hauptvertrag oder einem gesonderten Nachtrag dokumentiert wurden.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen geltende Datenschutzbestimmungen verstoßen.

4. Pflichten des Verantwortlichen

Im Verhältnis der Parteien zueinander ist der Verantwortliche für die Rechtmäßigkeit der erteilten Weisungen und die Zulässigkeit der Verarbeitung der Kundendaten allein verantwortlich. Machen Dritte gegen den Auftragsverarbeiter Ansprüche im Zusammenhang mit der Verarbeitung von Kundendaten nach Maßgabe dieses Vertrags geltend, stellt der Verantwortliche den Auftragsverarbeiter von solchen Ansprüchen frei, soweit diese Ansprüche auf einem Verstoß des Verantwortlichen gegen diesen Vertrag oder anwendbares Recht beruhen.

Der Verantwortliche unterstützt den Auftragsverarbeiter auf Anforderung in angemessenem Umfang bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere durch Bereitstellung der erforderlichen Angaben für das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO sowie bei der Zusammenarbeit mit Aufsichtsbehörden oder sonstigen staatlichen Stellen.

5. Sicherheit der Verarbeitung

Der Auftragsverarbeiter wird gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Kundendaten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Kundendaten zu gewährleisten.

Die Parteien vereinbaren die in Anlage 3 aufgeführten technischen und organisatorischen Maßnahmen als zum Zeitpunkt des Vertragsschlusses angemessenes Schutzniveau für die Kundendaten. Dem Auftragsverarbeiter ist es gestattet, technische und organisatorische Maßnahmen während der Laufzeit des Vertrags zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen und das in Anlage 3 insgesamt festgelegte Datenschutzniveau nicht unterschritten wird.

6. Anforderungen an Personal

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der Kundendaten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7. Einsatz von Unterauftragsverarbeitern

Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung, Unterauftragsverarbeiter bei der Verarbeitung von Kundendaten einzusetzen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter ergeben sich aus Anlage 2.
Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen dieser Liste durch das Hinzufügen oder Ersetzen von Unterauftragsverarbeitern mindestens 14 Tage vor dem geplanten Einsatz des neuen Unterauftragsverarbeiters. Die Information erfolgt durch Veröffentlichung auf https://trust.langdock.com/subprocessors sowie per E-Mail, wenn der Verantwortliche E-Mail-Benachrichtigungen auf dieser Webseite aktiviert hat. Der Verantwortliche ist berechtigt, der beabsichtigten Änderung schriftlich innerhalb von 14 Tagen nach Veröffentlichung der Änderung aus konkreten datenschutzrechtlichen Gründen zu widersprechen. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt. Im Fall eines rechtzeitigen und begründeten Widerspruchs bemühen sich die Parteien um eine einvernehmliche Lösung. Gelingt dies nicht innerhalb von 14 Tagen nach Zugang des Widerspruchs, ist jede Partei berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 30 Tagen zu kündigen.
Der Auftragsverarbeiter verpflichtet die Unterauftragsverarbeiter vertraglich zur Einhaltung von Datenschutzpflichten, die dem Schutzniveau dieses Vertrags entsprechen (Art. 28 Abs. 4 DSGVO). Soweit ein Unterauftragsverarbeiter Kundendaten in einem Drittland verarbeitet, stellt der Auftragsverarbeiter sicher, dass ein geeignetes Instrument zur Gewährleistung eines angemessenen Schutzniveaus im Sinne von Art. 44 ff. DSGVO vorliegt, etwa durch die Vereinbarung von Standardvertragsklauseln gemäß Art. 46 DSGVO nach dem jeweils geltenden Muster der Europäischen Kommission.
Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen dafür verantwortlich, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt.

8. Internationale Datenübermittlungen

Die Verarbeitung der Kundendaten durch den Auftragsverarbeiter findet grundsätzlich innerhalb der Europäischen Union oder einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt.

Eine Übermittlung von Kundendaten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage einer Weisung des Verantwortlichen (z.B. wenn der Verantwortliche aktiv in der Langdock-Plattform ein LLM mit einem Serverstandort außerhalb der EU aktiviert) und im Einklang mit Art. 44 ff. DSGVO.

Wenn Kundendaten durch den Auftragsverarbeiter oder einen Unterauftragsverarbeiter an ein Drittland oder eine internationale Organisation übermittelt oder dort verarbeitet werden, stellt der Auftragsverarbeiter sicher, dass ein geeignetes Instrument zur Gewährleistung eines angemessenen Schutzniveaus im Sinne von Art. 44 ff. DSGVO vorliegt, etwa durch die Vereinbarung von Standardvertragsklauseln gemäß Art. 46 DSGVO nach dem jeweils geltenden Muster der Europäischen Kommission.

9. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen durch geeignete technische und organisatorische Maßnahmen im Rahmen des Zumutbaren dabei, seiner Pflicht zur Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß der DSGVO nachzukommen. Zu diesem Zweck stellt der Auftragsverarbeiter dem Verantwortlichen Funktionen innerhalb der Langdock-Plattform zur Verfügung, die es dem Verantwortlichen ermöglichen, typische Betroffenenanfragen selbstständig zu erfüllen.

Der Verantwortliche weist den Auftragsverarbeiter hiermit an, Anfragen betroffener Personen zur Ausübung ihrer Rechte auf (a) Berichtigung von Account- oder Profildaten sowie (b) Deaktivierung oder Löschung des Nutzerkontos und der Daten, die ausschließlich dem Nutzerkonto zugeordnet sind, eigenständig und ohne vorherige Rücksprache mit dem Verantwortlichen umzusetzen, wenn sie direkt beim Auftragsverarbeiter eingehen und die Identität der betroffenen Person mit angemessenen Mitteln verifiziert wurde (z.B. durch die dem Nutzerkonto zugeordnete E-Mail-Adresse).

Soweit beim Auftragsverarbeiter eine Anfrage einer betroffenen Person zur Ausübung ihrer Rechte gemäß der DSGVO eingeht, die nicht vom Auftragsverarbeiter eigenständig bearbeitet wird (insbesondere weil sie rechtliche oder tatsächliche Fragen aufwirft oder über die in Absatz 2 genannten Standardfälle hinausgeht), leitet der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter unterstützt den Verantwortlichen in diesem Fall auf Anfrage durch geeignete technische und organisatorische Maßnahmen, soweit möglich und erforderlich, bei der Erfüllung seiner Pflichten.

10. Mitteilungs- und Unterstützungspflichten des Auftragsverarbeiters

Im Falle einer Verletzung des Schutzes von personenbezogenen Daten in Bezug auf Kundendaten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Die Mitteilung erfolgt auf Grundlage der dem Auftragsverarbeiter zum Zeitpunkt der Mitteilung zur Verfügung stehenden Informationen; soweit weitere relevante Informationen verfügbar werden, wird der Auftragsverarbeiter diese dem Verantwortlichen ohne unangemessene Verzögerung nachreichen.

Der Auftragsverarbeiter unterstützt den Verantwortlichen auf dessen Anfrage unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten nach der DSGVO, soweit die Unterstützung erforderlich und zumutbar ist. Die rechtliche Prüfung, ob und in welchem Umfang eine Melde- oder Benachrichtigungspflicht besteht, obliegt dem Verantwortlichen.

Der Auftragsverarbeiter unterstützt den Verantwortlichen auf dessen Anfrage unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei etwaigen durchzuführenden Datenschutz-Folgenabschätzungen sowie vorherigen Konsultationen von Aufsichtsbehörden, soweit die Unterstützung erforderlich und zumutbar ist. Soweit die Unterstützung einen wesentlichen, über die vertraglich geschuldete Unterstützung hinausgehenden Mehraufwand verursacht, werden die Parteien vorab eine angemessene zusätzliche Vergütung vereinbaren.

11. Datenlöschung

Der Auftragsverarbeiter löscht die Kundendaten spätestens 30 Tage nach Beendigung des Hauptvertrags, sofern nicht eine gesetzliche Verpflichtung des Auftragsverarbeiters zur weiteren Speicherung der Kundendaten besteht. Der Auftragsverarbeiter bestätigt dem Verantwortlichen die Löschung der Kundendaten auf dessen Anfrage.

Der Verantwortliche hat während der Laufzeit des Hauptvertrags sowie bis zur Löschung der Kundendaten gemäß Abs. 1 die Möglichkeit, seine Kundendaten zu exportieren. Der Auftragsverarbeiter stellt hierfür auf Anfrage die dafür vorgesehenen Exportfunktionen bereit.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung oder zur Erfüllung gesetzlicher Aufbewahrungspflichten dienen, darf der Auftragsverarbeiter auch nach Vertragsende aufbewahren.

12. Nachweise und Überprüfungen

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anforderung alle Informationen zur Verfügung, die beim Auftragsverarbeiter vorhanden und erforderlich sind, um die Einhaltung der Pflichten nach diesem Vertrag sowie nach Art. 28 DSGVO nachzuweisen.
Der Verantwortliche ist berechtigt, die Einhaltung der Pflichten nach diesem Vertrag sowie nach Art. 28 DSGVO durch den Auftragsverarbeiter zu überprüfen.
Der Nachweis der Einhaltung der Pflichten nach diesem Vertrag sowie nach Art. 28 DSGVO erfolgt in der Regel durch Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabhängigen Instanz oder eines Prüfberichts im Rahmen einer IT-Sicherheits- oder Datenschutzzertifizierung (z.B. ISO 27001, SOC 2 Type II).
Soweit der Verantwortliche einen konkreten und begründeten Verdacht auf einen Verstoß gegen die Pflichten nach diesem Vertrag oder nach Art. 28 DSGVO darlegt, oder die nach Abs. 3 zur Verfügung gestellten Nachweise im Einzelfall keine angemessene Überprüfung ermöglichen, ist der Verantwortliche berechtigt, Inspektionen durchzuführen. Solche Inspektionen erfolgen unter angemessener Berücksichtigung der berechtigten Belange des Auftragsverarbeiters und, soweit möglich, vorrangig durch schriftliche Auskünfte oder Remote-Prüfungen.
Inspektionen sind nur während der üblichen Geschäftszeiten des Auftragsverarbeiters und nach angemessener Vorankündigung zulässig und dürfen die Betriebsabläufe des Auftragsverarbeiters nicht unangemessen beeinträchtigen.
Der Auftragsverarbeiter ist berechtigt, die Offenlegung von Informationen insoweit zu beschränken, als dies erforderlich ist, um die Vertraulichkeit von Daten anderer Kunden, Sicherheitsanforderungen sowie berechtigte Betriebs- und Geschäftsgeheimnisse zu wahren. Beauftragt der Verantwortliche einen Dritten mit der Durchführung einer Inspektion, darf dieser kein Wettbewerber des Auftragsverarbeiters sein und ist vor Durchführung schriftlich auf Vertraulichkeit und Geheimhaltung zu verpflichten.

13. Haftung

Im Verhältnis der Parteien zueinander gelten die Regelungen des Hauptvertrags über die Haftung entsprechend, einschließlich der Haftungsausschlüsse und -begrenzungen. Die zwingenden gesetzlichen Haftungsregelungen in Art. 82 DSGVO bleiben unberührt.

14. Vertragsdauer und Kündigung

Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Die Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags; dieser Vertrag gilt jedoch bis zum Abschluss der Löschung der Kundendaten fort. Eine isolierte Kündigung dieses Vertrages ist ausgeschlossen.

15. Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 28 DSGVO genügt.
Soweit in diesem Vertrag nichts Abweichendes geregelt ist, gelten die Bestimmungen des Hauptvertrags entsprechend, insbesondere hinsichtlich des anwendbaren Rechts und des Gerichtsstands. Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.
Nur die deutsche Fassung dieses Vertrages ist bindend. Die englische Übersetzung dient ausschließlich zu Informationszwecken.

Anlage 1

Zweck, Art und Umfang der Datenverarbeitung

Zweck der Datenverarbeitung:

Bereitstellung der Langdock-Plattform zur Nutzung von LLMs gemäß Hauptvertrag

Art und Umfang der Datenverarbeitung:

Nutzerstammdaten: Namen, E-Mail-Adressen, Rollenbezeichnung und Authentifizierungsdaten von Nutzern
Inhaltsdaten: Kommunikationsinhalte mit LLMs (z.B. vom Nutzer eingegebene Chat-Nachrichten, hochgeladene Dokumente und KI-generierte Antworten)
Konfigurationsdaten: Gespeicherte Prompts, Assistenten, Workflows und Wissensdatenbanken (soweit in den Instruktionen oder Dokumenten personenbezogene Daten enthalten sind)
Nutzungsdaten: Session und User ID, nutzerbezogene Metadaten (z.B. Zeitstempel der Konversationen)
Integrationen: Personenbezogene Daten aus vom Verantwortlichen konfigurierten Integrationen mit Services von Drittanbietern, die über die Langdock-Plattform abgerufen werden

Kategorien betroffener Personen:

Mitarbeiter und sonstige Nutzer des Verantwortlichen, die Zugang zur Langdock-Plattform erhalten (zusammen „Nutzer”)
Dritte, deren personenbezogene Daten vom Verantwortlichen über Dokumente, Prompts oder Integrationen in die Langdock-Plattform eingebracht werden

Anlage 2

Weitere Auftragsverarbeiter

Unternehmen, Sitz	Zweck	Art der Daten	Ort der Verarbeitung	Transfermechanismus
Microsoft Ireland Operations Limited, Ireland	Cloud-Infrastruktur und Hosting der Langdock-Plattform	Kundendaten	EU	-
Microsoft Ireland Operations Limited, Ireland	Bereitstellung von LLMs über Microsoft Azure	Kundendaten	EU	-
Amazon WebServices EMEA SARL, Luxemburg	Bereitstellung von LLMs über AWS	Kundendaten	EU	-
Google Cloud EMEA Limited, Irland	Bereitstellung von LLMs über Google Cloud	Kundendaten	EU	-
OpenAI Ireland Limited, Ireland	Bereitstellung von LLMs über OpenAI	Kundendaten	EU	-
Black Forest Lab Inc., USA	Bereitstellung von Bildgenerierung über Black Forest Labs	Kundendaten	EU	EU SCCs, UK SCCs
Functional Software Inc. (Sentry), USA	Sammlung von Fehlermeldungen	IP-Adressen, MAC-Adressen	EU	EU-U.S. Data Privacy Framework, UK Extension, Swiss-U.S. Data Privacy Framework, EU SCCs, UK SCCs, Swiss Addendum
Cloudflare Inc., USA	Schutz vor bösartigem Verkehr	IP-Adressen	Ort des Nutzers ist Ort der Verarbeitung	EU-U.S. Data Privacy Framework, UK Extension, Swiss-U.S. Data Privacy Framework, EU SCCs, UK SCCs, Swiss Addendum
Die folgenden Unterauftragsverarbeiter kommen nur zum Einsatz, wenn der Verantwortliche LLMs dieser Anbieter mit “global deployment” aktiv in den Einstellungen der Langdock-Plattform auswählt.
Microsoft Ireland Operations Limited, Ireland	Bereitstellung von LLMs mit globaler Bereitstellung über Microsoft Azure	Kundendaten	Speicherung in der EU, Verarbeitung (Inferenz) in anderen Microsoft-Datenzonen, einschließlich USA	EU-U.S. Data Privacy Framework, UK Extension, Swiss-U.S. Data Privacy Framework, EU SCCs, UK SCCs
Amazon Web Services EMEA SARL, Luxemburg	Bereitstellung von LLMs mit globaler Bereitstellung über AWS	Kundendaten	Weltweit, einschließlich USA	EU-U.S. Data Privacy Framework, UK Extension, Swiss-U.S. Data Privacy Framework, EU SCCs, UK SCCs, Swiss Addendum
Google Cloud EMEA Limited, Irland	Bereitstellung von LLMs mit globaler Bereitstellung über Google Cloud	Kundendaten	Weltweit, einschließlich USA	EU-U.S. Data Privacy Framework, UK Extension, Swiss-U.S. Data Privacy Framework, EU SCCs, UK SCCs, Swiss Addendum
OpenAI Ireland Limited, Ireland	Bereitstellung von LLMs mit globaler Bereitstellung über OpenAI	Kundendaten	Weltweit, einschließlich USA	EU SCCs, UK SCCs
Black Forest Lab Inc., USA	Bereitstellung von Bildgenerierung mit globaler Bereitstellung über Black Forest Labs	Kundendaten	Weltweit, einschließlich USA	EU SCCs, UK SCCs