Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch die AuraServe GmbH, Hubertusweg 6, 6712 Thüringen, Österreich (nachfolgend „Auftragsverarbeiter") im Auftrag des Kunden (nachfolgend „Verantwortlicher") im Rahmen der Nutzung des Dienstes „AuraServe Chat".

Dieser AVV ist Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags (AGB) und ergänzt diesen in datenschutzrechtlicher Hinsicht. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gilt dieser AVV vorrangig.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck des Betriebs des KI-Chatbots „AuraServe Chat" auf der Website des Verantwortlichen.

(2) Die Verarbeitung beginnt mit dem ersten produktiven Einsatz des Dienstes und endet mit der Beendigung des Hauptvertrags, sofern nicht gesetzliche Aufbewahrungspflichten eine längere Speicherung erfordern.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erhebung, Speicherung, Übermittlung, Verarbeitung und Löschung personenbezogener Daten der Endnutzer des Verantwortlichen über das Chat-Widget.

(2) Zweck: Bereitstellung des KI-gestützten Chatbot-Dienstes, Beantwortung von Nutzeranfragen, Verbesserung der Konversationsqualität auf Basis der vom Verantwortlichen bereitgestellten Wissensbasis.

(3) Betroffene Personen: Endnutzer (Kunden, Interessenten, Besucher) der Website des Verantwortlichen, die das Chat-Widget nutzen.

(4) Kategorien personenbezogener Daten:

• Chatnachrichten und deren Inhalte
• IP-Adresse (technisch bedingt, nicht dauerhaft gespeichert)
• Metadaten der Konversation (Zeitstempel, Sitzungs-ID)
• Vom Endnutzer freiwillig übermittelte Kontaktdaten (z. B. Name, E-Mail)

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO);
• sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind;
• alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (siehe § 7 dieses AVV);
• die Bedingungen für die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragnehmer) gemäß § 5 dieses AVV einzuhalten;
• den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutzbestimmungen verstößt;
• den Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen sowie bei der Erfüllung der Pflichten gemäß Art. 32–36 DSGVO zu unterstützen;
• nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben und bestehende Kopien zu löschen, sofern nicht eine gesetzliche Verpflichtung zur Speicherung besteht.

§ 4 Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

• den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er in den Ergebnissen der Verarbeitung Fehler oder Unregelmäßigkeiten feststellt;
• die Einbindung des Chat-Widgets auf seiner Website datenschutzkonform zu gestalten, insbesondere eine informierte Einwilligung der Endnutzer einzuholen, sofern gesetzlich erforderlich;
• die Endnutzer in seiner Datenschutzerklärung über die Nutzung von AuraServe Chat und die damit verbundene Datenverarbeitung zu informieren;
• Weisungen zur Datenverarbeitung schriftlich (auch per E-Mail) zu erteilen.

§ 5 Unterauftragnehmer

(1) Der Verantwortliche erteilt hiermit die allgemeine Genehmigung für den Einsatz weiterer Auftragsverarbeiter (Unterauftragnehmer). Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen durch Hinzuziehung oder Ersetzung von Unterauftragnehmern mit angemessener Frist, sodass der Verantwortliche Einwände erheben kann.

(2) Zum Zeitpunkt des Abschlusses dieses AVV werden folgende Unterauftragnehmer eingesetzt:

§ 6 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Anfragen betroffener Personen, die direkt beim Auftragsverarbeiter eingehen, werden unverzüglich an den Verantwortlichen weitergeleitet.

§ 7 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft insbesondere folgende Maßnahmen gemäß Art. 32 DSGVO:

• Verschlüsselung: Übertragung aller Daten via TLS 1.2+; Daten at rest verschlüsselt
• Zugriffskontrolle: Rollenbasierte Zugriffsrechte; Zwei-Faktor-Authentifizierung für administrative Zugänge
• Verfügbarkeit: Uptime-Ziel 99,5 % p. a.; automatische Backups
• Pseudonymisierung: IP-Adressen werden nicht dauerhaft gespeichert; Sitzungs-IDs sind nicht auf natürliche Personen rückführbar
• Incident Management: Meldung von Datenpannen an den Verantwortlichen binnen 48 Stunden nach Kenntniserlangung
• Auftragskontrolle: Verarbeitung ausschließlich nach dokumentierter Weisung

§ 8 Datenpannen und Meldepflichten

Bei Feststellung einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch binnen 48 Stunden nach Kenntniserlangung. Die Meldung enthält alle verfügbaren Informationen gemäß Art. 33 Abs. 3 DSGVO, um dem Verantwortlichen die Erfüllung seiner Meldepflicht gegenüber der Aufsichtsbehörde zu ermöglichen.

§ 9 Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu kontrollieren. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Kontrollen sind mit angemessener Voranmeldung (mind. 5 Werktage) durchzuführen und dürfen den laufenden Betrieb nicht unverhältnismäßig beeinträchtigen.

§ 10 Laufzeit und Beendigung

Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft und endet automatisch mit dessen Beendigung. Bei Beendigung löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht, und bestätigt die Löschung auf Anfrage schriftlich.

§ 11 Schlussbestimmungen

Für diesen AVV gelten dieselben Gerichtsstandsvereinbarungen und dasselbe anwendbare Recht wie für den Hauptvertrag (österreichisches Recht, Gerichtsstand Bludenz). Änderungen dieses AVV bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.