BLUE OCEAN AI Technology
EN DE
Blue Ocean – Data Processing Agreement (DPA)

Data Processing Agreement (DPA)

pursuant to Art. 28 GDPR

Including Non-Disclosure Agreement (NDA)

Between the Customer:

[Company Name of the Customer]
[Street, House Number]
[Postal Code, City]
[Country]

– hereinafter referred to as the “Controller” or “Customer”

And the Provider:

BOP BLUEOCEAN PRIVACY LTD (Brand: Blue Agency)
Delphon 8, Livadia, Office 204
7060 Larnaca, Republic of Cyprus
Reg-No. HE 464125

– hereinafter referred to as the “Processor” or “Provider”

– both collectively referred to as the “Parties”

§ 1 Subject Matter and Duration of the Agreement

  1. Subject Matter: This agreement governs the data protection rights and obligations of the parties in connection with the processing of personal data by the Processor on behalf of the Controller. The provision of the main service (provision and operation of Managed AI Agents and associated server infrastructure) is governed by the underlying main contract (incl. the Provider’s Terms & Conditions).
  2. Duration: The term of this agreement is tied to the term of the main contract. It ends automatically upon termination of the main contract, without requiring separate notice of termination. Isolated terminations of this DPA are excluded.

§ 2 Nature and Purpose of Processing, Types of Data, and Data Subjects

  1. Nature and Purpose of Processing: The Processor provides an isolated server infrastructure (single-tenant) and operates AI software (Large Language Models, RAG systems) on it. Processing includes storing, retrieving, querying, structuring, and deleting data fed into the system by the Controller for the purpose of generating automated AI responses and process automations for the Controller.
  2. Types of Data: The following data types are processed (selection defined by the Customer in the main contract):
    • Communication data (chat histories, emails, communication metadata)
    • Content data (PDF documents uploaded by the customer, contracts, internal company knowledge bases)
    • Usage data (IP addresses, dashboard login times)
    • Master data (names, email addresses of employees/end customers of the Controller)
  3. Categories of Data Subjects:
    • Employees/staff of the Controller
    • Customers/clients/prospects of the Controller
    • Communication partners of the Controller

§ 3 Authority of the Controller to Issue Instructions

  1. The Processor processes personal data exclusively upon documented instructions from the Controller, unless required to do so by Union or Member State law. The contractual agreements in the main contract as well as the configurations made by the customer in the dashboard are deemed to be documented initial instructions.
  2. The Processor shall immediately inform the Controller if, in its opinion, an instruction infringes applicable data protection law. The Processor is entitled to suspend the execution of the relevant instruction until it is confirmed or modified by the Controller.

§ 4 Obligations of the Processor

  1. Separation Control: The Processor ensures that the Controller’s data is processed strictly logically and physically separated from other customers’ data (single-tenant architecture).
  2. Zero-Data-Retention for AI Models: The Processor contractually guarantees that transmitted data and prompts from the Controller will not be used to train the base AI models (such as Google Gemini).
  3. Support Obligations: The Processor assists the Controller, insofar as possible, with appropriate technical and organizational measures to fulfill data subject requests (Chapter III GDPR) and to comply with the obligations specified in Art. 32 to 36 GDPR.
  4. Breach Notification Duty: The Processor shall notify the Controller without undue delay, but no later than 24 hours after becoming aware of it, of any personal data breach.

§ 5 Strict Confidentiality and Non-Disclosure (NDA)

  1. Scope of Confidentiality: The Processor undertakes to treat strictly confidential all knowledge acquired in the context of the cooperation regarding business and trade secrets, internal documents, uploaded knowledge bases (RAG data), and client/customer data of the Controller (“Confidential Information”).
  2. Professional Secrecy Bearers: The Processor is aware that the processed data (especially for tax consultants, lawyers, or in healthcare) may be subject to special professional secrecy (e.g., § 203 of the German Criminal Code). The Processor takes all necessary measures to maintain this confidentiality.
  3. Employee Commitment (Art. 28 Para. 3 lit. b GDPR): The Processor ensures that persons authorized to process personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
  4. Duration: This obligation of confidentiality shall survive the termination of the main contract and this Data Processing Agreement indefinitely.

§ 6 Technical and Organizational Measures (TOMs)

  1. Before commencing processing, the Processor has implemented the security measures set out in the document “Technical and Organizational Measures (TOM) according to Art. 32 EU GDPR” (Annex 1).
  2. The Processor has the right to adapt the security measures taken over time to technical and organizational developments, provided that the contractually agreed level of protection is not compromised.

§ 7 Subcontracting (Sub-processors)

  1. The Controller generally consents to the engagement of the following sub-processors by the Processor:
    • Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Germany): Provision of cloud server infrastructure and storage (Location: Germany/EU).
    • Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ireland): Provision of the “Google Gemini API” (Enterprise AI Models).
  2. The Processor shall inform the Controller in text form of any intended changes concerning the addition or replacement of other sub-processors with a notice period of four (4) weeks. The Controller may object to the change for an important data protection reason within two (2) weeks. If no objection is made, consent is deemed granted.
  3. The Processor concludes a contract with each sub-processor imposing on them the same data protection obligations as set out in this agreement.

§ 8 Deletion and Return of Data

  1. Upon completion of the processing services, the Processor shall, at the choice of the Controller, either delete or return all personal data to the Controller, unless there is a legal obligation to store the personal data.
  2. Backups (system snapshots) are generally physically overwritten by automated rotation cycles no later than 30 days after contract termination and thus irrevocably deleted.

§ 9 Final Provisions and Jurisdiction

  1. Should individual provisions of this agreement be or become invalid, the validity of the remaining provisions shall not be affected.
  2. In the event of contradictions between this agreement and provisions of other agreements (e.g., main contract/T&Cs) between the parties, the provisions of this agreement shall prevail with regard to data protection.
  3. The governing law and the exclusive place of jurisdiction shall be at the registered office of the Controller (Customer), as agreed in the main contract (T&Cs).

Contract Conclusion via Google Docs eSignature

Click the button below to send us a request via email. We will then send you the official document for secure, digital signature via Google Workspace.

Request Signature Link via Email

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO

inklusive Verschwiegenheits- und Geheimhaltungsvereinbarung (NDA)

Zwischen dem Kunden:

[Firmenname des Kunden]
[Straße, Hausnummer]
[PLZ, Ort]
[Land]

– im Folgenden “Verantwortlicher” oder “Kunde” genannt –

Und dem Anbieter:

BOP BLUEOCEAN PRIVACY LTD (Marke: Blue Agency)
Delphon 8, Livadia, Office 204
7060 Larnaca, Republik Zypern
Reg-Nr. HE 464125

– im Folgenden “Auftragsverarbeiter” oder “Anbieter” genannt –

– beide gemeinsam als “Parteien” bezeichnet –

§ 1 Gegenstand und Dauer der Vereinbarung

  1. Gegenstand: Dieser Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Die Erbringung der Hauptleistung (Bereitstellung und Betrieb von Managed KI-Agenten und zugehöriger Serverinfrastruktur) richtet sich nach dem zugrunde liegenden Hauptvertrag (inkl. der AGB des Anbieters).
  2. Dauer: Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Er endet automatisch mit der Beendigung des Hauptvertrages, ohne dass es einer separaten Kündigung bedarf. Isolierte Kündigungen dieses AVV sind ausgeschlossen.

§ 2 Art und Zweck der Verarbeitung, Art der Daten und Kreis der Betroffenen

  1. Art und Zweck der Verarbeitung: Der Auftragsverarbeiter stellt eine isolierte Serverinfrastruktur (Single-Tenant) bereit und betreibt darauf KI-Software (Large Language Models, RAG-Systeme). Die Verarbeitung umfasst das Speichern, Auslesen, Abfragen, Strukturieren und Löschen von Daten, die der Verantwortliche in das System einspeist, zu dem Zweck, automatisierte KI-Antworten und Prozessautomatisierungen für den Verantwortlichen zu generieren.
  2. Art der Daten: Verarbeitet werden insbesondere (Auswahl durch den Kunden im Hauptvertrag definiert):
    • Kommunikationsdaten (Chat-Verläufe, E-Mails, Meta-Daten der Kommunikation)
    • Inhaltsdaten (vom Kunden hochgeladene PDF-Dokumente, Verträge, interne Firmenwissensdatenbanken)
    • Nutzungsdaten (IP-Adressen, Login-Zeiten im Dashboard)
    • Stammdaten (Namen, E-Mail-Adressen von Mitarbeitern/Endkunden des Verantwortlichen)
  3. Kategorien betroffener Personen:
    • Mitarbeiter/Beschäftigte des Verantwortlichen
    • Kunden/Mandanten/Interessenten des Verantwortlichen
    • Kommunikationspartner des Verantwortlichen

§ 3 Weisungsbefugnis des Verantwortlichen

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten hierzu verpflichtet. Die vertraglichen Vereinbarungen im Hauptvertrag sowie die Konfigurationen, die der Kunde im Dashboard vornimmt, gelten als dokumentierte initiale Weisung.
  2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt. Der Auftragsverarbeiter ist berechtigt, die Ausführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

§ 4 Pflichten des Auftragsverarbeiters

  1. Trennungskontrolle: Der Auftragsverarbeiter stellt sicher, dass die Daten des Verantwortlichen strikt logisch und physisch von Daten anderer Kunden getrennt verarbeitet werden (Single-Tenant-Architektur).
  2. Zero-Data-Retention bei KI-Modellen: Der Auftragsverarbeiter garantiert vertraglich, dass übermittelte Daten und Prompts des Verantwortlichen nicht zum Training der Basis-KI-Modelle (wie z. B. durch Google Gemini) verwendet werden.
  3. Unterstützungspflichten: Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Anfragen von betroffenen Personen (Kapitel III DSGVO) sowie bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten.
  4. Meldepflicht bei Verletzungen: Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, jegliche Verletzungen des Schutzes personenbezogener Daten (Data Breach).

§ 5 Strenge Geheimhaltung und Verschwiegenheit (NDA)

  1. Umfang der Geheimhaltung: Der Auftragsverarbeiter verpflichtet sich, alle im Rahmen der Zusammenarbeit erlangten Kenntnisse über Geschäfts- und Betriebsgeheimnisse, interne Dokumente, hochgeladene Wissensdatenbanken (RAG-Daten) sowie Mandanten-/Kundendaten des Verantwortlichen streng vertraulich zu behandeln (“Vertrauliche Informationen”).
  2. Berufsgeheimnisträger: Dem Auftragsverarbeiter ist bewusst, dass die verarbeiteten Daten (insb. bei Steuerberatern, Rechtsanwälten oder im Gesundheitswesen) besonderen Berufsgeheimnissen unterliegen können (z.B. § 203 StGB in Deutschland). Der Auftragsverarbeiter ergreift alle erforderlichen Maßnahmen, um diese Vertraulichkeit zu wahren.
  3. Mitarbeiterverpflichtung (Art. 28 Abs. 3 lit. b DSGVO): Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  4. Dauer: Diese Geheimhaltungspflicht besteht auch nach Beendigung des Haupt- und dieses Auftragsverarbeitungsvertrages zeitlich unbegrenzt fort.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

  1. Der Auftragsverarbeiter hat vor Beginn der Verarbeitung die im Dokument „Technische und organisatorische Maßnahmen (TOM) nach Art. 32 EU-DSGVO“ (Anlage 1) dargelegten Sicherheitsmaßnahmen ergriffen.
  2. Der Auftragsverarbeiter hat das Recht, die getroffenen Sicherheitsmaßnahmen im Laufe der Zeit der technischen und organisatorischen Weiterentwicklung anzupassen, sofern das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

§ 7 Unterauftragsverhältnisse (Sub-Prozessoren)

  1. Der Verantwortliche stimmt der Beauftragung der folgenden Unterauftragsverarbeiter durch den Auftragsverarbeiter generell zu:
    • Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland): Bereitstellung der Cloud-Server-Infrastruktur und Storage (Standort: Deutschland/EU).
    • Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland): Bereitstellung der “Google Gemini API” (Enterprise AI Models).
  2. Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Unterauftragsverarbeiter mit einer Frist von vier (4) Wochen in Textform informieren. Der Verantwortliche kann der Änderung aus wichtigem, datenschutzrechtlichem Grund innerhalb von zwei (2) Wochen widersprechen. Erfolgt kein Widerspruch, gilt die Zustimmung als erteilt.
  3. Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen Vertrag ab, der diesem dieselben datenschutzrechtlichen Pflichten auferlegt, die in diesem Vertrag festgelegt sind.

§ 8 Löschung und Rückgabe von Daten

  1. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen entweder alle personenbezogenen Daten und deren Kopien oder gibt diese an den Verantwortlichen zurück, sofern keine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
  2. Backups (System-Snapshots) werden durch automatisierte Rotationszyklen in der Regel spätestens 30 Tage nach Vertragsbeendigung physisch überschrieben und somit unwiderruflich gelöscht.

§ 9 Schlussbestimmungen und Gerichtsstand

  1. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt.
  2. Im Falle von Widersprüchen zwischen diesem Vertrag und Bestimmungen anderer Vereinbarungen (z.B. Hauptvertrag/AGB) zwischen den Parteien haben die Bestimmungen dieses Vertrages im Hinblick auf den Datenschutz Vorrang.
  3. Es gilt das Recht sowie der ausschließliche Gerichtsstand am Sitz des Verantwortlichen (Kunden), wie im Hauptvertrag (AGB) vereinbart.

Vertragsabschluss via Google Docs eSignature

Klicken Sie auf den untenstehenden Button, um uns eine Anfrage per E-Mail zu senden. Wir senden Ihnen im Anschluss das offizielle Dokument zur sicheren, digitalen Signatur via Google Workspace.

Signatur-Link per E-Mail anfordern