Präambel
Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Auftragsverarbeitung im Sinne von Art. 28 DSGVO ergeben. Er gilt zwischen dem Kunden, der Audienca Reflection nutzt (im Folgenden „Verantwortlicher"), und der senseaition GmbH (im Folgenden „Auftragsverarbeiter").
1. Gegenstand und Dauer des Auftrags
Gegenstand des Auftrags ist die Durchführung der im Hauptvertrag (AGB) beschriebenen Leistungen, insbesondere die KI-gestützte Generierung und Verwaltung von Antworten auf Kundenanfragen, Bewertungen und Nachrichten.
Die Laufzeit dieses Auftragsverarbeitungsvertrags richtet sich nach der Laufzeit des Hauptvertrags.
2. Art und Zweck der Verarbeitung
Art der Verarbeitung: Speichern, Auslesen, Analysieren, Anreichern und Bereitstellen von Kundennachrichten zur automatisierten Antwortgenerierung.
Zweck: Erbringung der vertraglich vereinbarten Leistungen gemäß Hauptvertrag.
3. Art der personenbezogenen Daten und betroffene Personen
Folgende Datenarten werden verarbeitet:
- Stammdaten der Kundenkontakte (Name, E-Mail, ggf. Telefonnummer)
- Inhalte von Kundenanfragen, Bewertungen, Kommentaren und Nachrichten
- Metadaten (Zeitstempel, Quelle, Sentiment-Analyse-Ergebnisse)
- Persönlichkeitsprofile (TwentyFive-Analyse-Ergebnisse)
Kategorien betroffener Personen: Kunden, Interessenten und sonstige Kontakte des Verantwortlichen.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter:
- verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen
- gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind
- trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (siehe Abschnitt 6)
- unterstützt den Verantwortlichen bei Anfragen betroffener Personen
- löscht oder gibt nach Wahl des Verantwortlichen sämtliche Daten nach Vertragsende zurück
5. Unterauftragsverarbeiter
Der Verantwortliche stimmt der Einschaltung folgender Unterauftragsverarbeiter zu:
| Anbieter | Zweck | Ort |
|---|---|---|
| Hetzner Online GmbH | Hosting, Server-Infrastruktur | Deutschland |
| Google Ireland Limited / Google LLC | Firebase Authentication, Cloud-Dienste | Irland / USA (SCC + DPA) |
| OpenAI OpCo, LLC | Large Language Model API (kein Modell-Training) | USA (SCC + DPA) |
| Stripe Payments Europe Limited | Zahlungsabwicklung | Irland (EU) |
| united-domains GmbH | Versand transaktionaler E-Mails | Deutschland |
Eine Änderung des Kreises der Unterauftragsverarbeiter wird dem Verantwortlichen mindestens 14 Tage vor Wirksamwerden mitgeteilt. Der Verantwortliche kann gegen eine geplante Änderung innerhalb von 7 Tagen Widerspruch einlegen.
6. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter implementiert insbesondere folgende Maßnahmen:
- Zugangskontrolle: Zwei-Faktor-Authentifizierung für administrative Zugriffe
- Rollenbasierte Berechtigungen nach Need-to-Know-Prinzip
- Logging sicherheitsrelevanter Zugriffe und administrativer Aktionen
- Verschlüsselung in Transit (HTTPS/TLS) und Encryption at Rest
- Pseudonymisierung wo technisch möglich
- Verfügbarkeitskontrolle: regelmäßige, verschlüsselte und geografisch verteilte Backups
- Auftragskontrolle: schriftliche Auftragsverarbeitungsverträge mit allen Subunternehmern
7. Mitteilung bei Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, über Verletzungen des Schutzes personenbezogener Daten.
8. Löschung und Rückgabe
Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten unverzüglich, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch des Verantwortlichen erfolgt vorab ein Export im Standardformat.
9. Kontakt
Für Fragen zur Auftragsverarbeitung: datenschutz@senseaition.com.