Ist RealSyncDynamics.AI DSGVO-konform?

Ja. EU-Datenresidenz, AVV gemäß DSGVO Art. 28 inklusive, lückenloser Audit-Trail (Art. 32) und automatisierter Selfservice für Auskunfts- und Löschrechte (Art. 15 + 17).

Erfüllt die Plattform den AI Act?

Ja. Risiko-Klassifikation, technische Dokumentation, Transparenzpflichten und Human-Oversight sind in der Plattform integriert.

Werden Daten in die USA übertragen?

Standardmäßig nein. EU-Datenresidenz ist Default; Schrems-II-Konformität durch EU-Hosting (Frankfurt) und optional self-hosted Ollama für vollständige Datenhoheit.

Was kostet RealSyncDynamics.AI?

Free Audit (0 €, kein Account), Starter (79 €/Monat, 1 Domain), Growth (249 €/Monat, 3 Domains, Continuous Monitoring + Auto-Fix), Agency (699 €/Monat, 10 Kunden-Sites + White-Label), Scale (1.999 €/Monat, bis 50 Mandanten für DSB-Kanzleien + Reseller-Programm), Enterprise (individuell, Custom Runtime Environment, SLA + AI-Act-Modul + DSB-Integration + Evidence Vault).

Wo werden die Server gehostet?

Frankfurt am Main (Hostinger DE / Hetzner Falkenstein). Supabase-Postgres in eu-central-1. Kein US-Cloud-Default. Vollständige AVV nach Art. 28 DSGVO.

Vorlage · Stand 2026

Auftragsverarbeitungs-Vereinbarung (AVV)

gemäß Art. 28 Abs. 3 DSGVO zwischen Verantwortlichem und Auftragsverarbeiter

§ 1 — Parteien

Verantwortlicher:

Firma: ______________________________________

Adresse: _____________________________________

vertreten durch: _____________________________

(„Kunde")

Auftragsverarbeiter:

RealSync Dynamics
Inhaber: Dominik Seed
Anschrift: [wird durch RealSync ausgefüllt]
E-Mail: privacy@realsyncdynamicsai.de
(„RealSync")

§ 2 — Gegenstand, Dauer und Zweck

(1) Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten durch RealSync im Rahmen der vom Kunden beauftragten SaaS-Leistungen (KI-Workflows, Audit-Log, DSGVO-Selfservice) gemäß Hauptvertrag.

(2) Die Vereinbarung gilt für die Dauer des Hauptvertrags. Sie endet automatisch mit dessen Beendigung.

(3) Zweck der Datenverarbeitung ist die Erbringung der vertraglich vereinbarten Leistungen. RealSync verarbeitet Daten ausschließlich auf dokumentierte Weisung des Kunden.

§ 3 — Art der personenbezogenen Daten und Kategorien betroffener Personen

(1) Datenkategorien: Stammdaten (Name, E-Mail), Nutzungsdaten (Login-Zeitpunkte, Aktionsprotokolle), Inhaltsdaten der vom Kunden hochgeladenen oder über die API verarbeiteten Texte/Dokumente, Abrechnungsdaten.

(2) Betroffene Personen: Mitarbeiter und Kunden des Kunden, die die Plattform nutzen oder deren Daten über die Plattform verarbeitet werden.

(3) Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) bedarf der vorherigen schriftlichen Einzelgenehmigung durch RealSync.

§ 4 — Pflichten von RealSync

RealSync verpflichtet sich:

Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten;
alle eingesetzten Personen zur Vertraulichkeit zu verpflichten;
geeignete technische und organisatorische Maßnahmen (TOM, Anhang 1) umzusetzen;
den Kunden bei Erfüllung der Rechte betroffener Personen (Art. 15-22 DSGVO) zu unterstützen;
Datenschutzverletzungen unverzüglich, spätestens binnen 24 Stunden, an den Kunden zu melden (Art. 33 DSGVO);
nach Vertragsende sämtliche personenbezogenen Daten zu löschen oder zurückzugeben (Wahl des Kunden), spätestens nach 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 5 — Sub-Auftragsverarbeiter

(1) Der Kunde stimmt zu, dass RealSync die in der öffentlichen Sub-Prozessoren-Liste (/legal/sub-processors) genannten Unterauftragsverarbeiter einsetzen darf.

(2) Vor Beauftragung neuer oder Wechsel bestehender Sub-Prozessoren wird der Kunde mindestens 30 Tage im Voraus informiert. Der Kunde kann bei begründeten Bedenken widersprechen und in diesem Fall den Hauptvertrag außerordentlich kündigen.

(3) RealSync schließt mit jedem Sub-Prozessor einen DSGVO-konformen Vertrag mit gleichwertigen Schutzpflichten.

§ 6 — Drittlandtransfer / EU-Datenresidenz

(1) RealSync betreibt Server primär innerhalb der Europäischen Union. Der Kunde kann pro Tenant erzwingen, dass alle KI-Aufrufe ausschließlich auf EU-Servern verarbeitet werden („eu_local" Modus).

(2) Bei Nutzung externer KI-Anbieter (Anthropic, Google, OpenAI) erfolgt der Transfer in die USA auf Basis der EU-Standardvertragsklauseln 2021/914 sowie unter Berücksichtigung der EuGH-Schrems-II-Anforderungen (zusätzliche Maßnahmen gemäß EDSA Recommendations 01/2020).

§ 7 — Rechte betroffener Personen

(1) Wendet sich eine betroffene Person mit einem Anliegen nach Art. 15-22 DSGVO unmittelbar an RealSync, leitet RealSync die Anfrage unverzüglich an den Kunden weiter.

(2) RealSync stellt dem Kunden eine API zur Verfügung, mit der Auskunfts- (Art. 15) und Löschanfragen (Art. 17) automatisiert beantwortet werden können (/functions/v1/gdpr-export · /functions/v1/gdpr-delete).

§ 8 — Kontroll- und Auditrechte

(1) Der Kunde hat das Recht, die Einhaltung dieser Vereinbarung beim Auftragsverarbeiter zu überprüfen oder durch beauftragte Dritte überprüfen zu lassen, jeweils nach mindestens 14 Tagen Vorankündigung.

(2) RealSync legt auf Anfrage Audit-Berichte (z.B. Pen-Tests, ISO-Zertifikate sofern vorhanden, Sub-Prozessoren-Liste) vor.

§ 9 — Haftung

Die Haftung richtet sich nach Art. 82 DSGVO sowie den Bestimmungen des Hauptvertrags. RealSync haftet nicht für Schäden, die durch nicht dokumentierte Weisungen des Kunden entstehen.

§ 10 — Schlussbestimmungen

(1) Es gilt deutsches Recht. Gerichtsstand ist der Sitz von RealSync.

(2) Änderungen und Ergänzungen bedürfen der Schriftform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

Anhang 1 — Technische und organisatorische Maßnahmen (TOM)

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutritt: Hosting in zertifizierten Rechenzentren in der EU (Frankfurt am Main).
Zugang: Magic-Link-Authentifizierung, Multi-Factor-Authentication für Admin-Accounts.
Zugriff: Row-Level Security (RLS) auf Datenbankebene, granulare Rollen (Owner / Admin / Operator / Viewer).
Verschlüsselung: TLS 1.3 für alle Verbindungen, AES-256 für Daten at rest.
Pseudonymisierung: IP-Hashing in Lead-Capture und Audit-Logs.

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Append-only Audit-Log für alle Datenmutationen.
Prüfsummen für gespeicherte Dateien.
Versionierung in der Datenbank.

Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Tägliche Backups, Point-in-Time-Recovery.
Geo-redundante Backup-Speicherung innerhalb der EU.
Monitoring + Alerting für kritische Komponenten.

Belastbarkeit + Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Recovery Time Objective (RTO): 24 Stunden.
Recovery Point Objective (RPO): 1 Stunde.
Disaster-Recovery-Plan jährlich getestet.

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Quartalsweise interne Sicherheits-Reviews.
Vulnerability-Scanning auf allen Produktivsystemen.
Mitarbeiter-Schulungen zum Datenschutz mindestens jährlich.

Unterschriften

Verantwortlicher (Kunde)

Ort, Datum, Unterschrift

Auftragsverarbeiter (RealSync)