Auftragsverarbeitungsvertrag (AVV)

1. Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt die Allgemeinen Geschäftsbedingungen für die Nutzung der Plattform Awareto und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO). Der Kunde (nachfolgend „Verantwortlicher") beauftragt die Awareto (nachfolgend „Auftragsverarbeiter") mit der Verarbeitung personenbezogener Daten.

Dieser AVV gilt für alle Verarbeitungstätigkeiten personenbezogener Daten, die der Auftragsverarbeiter für den Verantwortlichen im Zusammenhang mit der Erbringung der vertraglich vereinbarten Leistungen durchführt. Er ist integraler Bestandteil des Hauptvertrags und tritt mit dessen Wirksamkeit in Kraft.

Beide Parteien verpflichten sich zur Einhaltung der geltenden datenschutzrechtlichen Bestimmungen, insbesondere der DSGVO und des Bundesdatenschutzgesetzes (BDSG). Der Auftragsverarbeiter handelt ausschließlich auf dokumentierte Weisungen des Verantwortlichen und nur im Rahmen der in diesem Vertrag definierten Zwecke.

Bei Widersprüchen zwischen diesem AVV und anderen vertraglichen Vereinbarungen gehen die Bestimmungen dieses AVV in datenschutzrechtlichen Belangen vor. Sollten einzelne Bestimmungen unwirksam werden, bleibt die Wirksamkeit des Vertrags im Übrigen unberührt.

2. Gegenstand und Dauer

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten, die über das vom Auftragsverarbeiter bereitgestellte Chat-Widget auf der Website des Verantwortlichen erfasst werden. Diese Daten werden zur Analyse von Kundeninteraktionen, zur Generierung von Business Intelligence und zur Bereitstellung entsprechender Dashboard-Funktionalitäten verarbeitet.

Die Auftragsverarbeitung umfasst sämtliche Verarbeitungsschritte, die zur Erfüllung des Hauptvertrags erforderlich sind, einschließlich Erfassung, Speicherung, Organisation, Strukturierung, Analyse, Kategorisierung, Pseudonymisierung und Bereitstellung der Daten über die Plattform-Benutzeroberfläche.

Dieser AVV gilt für die gesamte Dauer des Hauptvertrags. Er endet automatisch mit Beendigung des Hauptvertrags, es sei denn, gesetzliche Aufbewahrungspflichten erfordern eine längere Speicherung. In diesem Fall gelten die Bestimmungen dieses AVV entsprechend weiter.

Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union. Eine Übermittlung personenbezogener Daten in Drittländer findet nicht statt, es sei denn, der Verantwortliche erteilt hierzu eine ausdrückliche dokumentierte Weisung unter Beachtung der entsprechenden DSGVO-Vorschriften.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Erfüllung der im Hauptvertrag vereinbarten Leistungen. Im Einzelnen umfasst dies die automatisierte Erfassung und Speicherung von Chat-Nachrichten, die technische und inhaltliche Analyse dieser Daten mittels KI-Algorithmen sowie die Kategorisierung und Bewertung der Kundeninteraktionen.

Die verarbeiteten Daten werden zur Erstellung von Statistiken, Trends und Erkenntnissen über Kundenbedürfnisse, Sentiment-Analysen und Gesprächsverläufe genutzt. Ziel ist es, dem Verantwortlichen verwertbare Geschäftsinformationen zur Verfügung zu stellen, die zur Verbesserung des Kundenservice und der Geschäftsstrategie beitragen können.

Die Verarbeitung umfasst ferner die Bereitstellung der analysierten Daten über das Dashboard der Plattform, die Generierung automatisierter Berichte sowie die Implementierung von Suchfunktionen und Filtermöglichkeiten für die erfassten Daten.

Jede über die vereinbarten Zwecke hinausgehende Verarbeitung bedarf der vorherigen schriftlichen Weisung des Verantwortlichen. Der Auftragsverarbeiter nutzt die personenbezogenen Daten nicht für eigene Geschäftszwecke und gibt sie nicht an Dritte weiter, es sei denn, dies ist zur Vertragserfüllung erforderlich und in diesem AVV geregelt.

4. Art der personenbezogenen Daten

Die verarbeiteten personenbezogenen Daten umfassen primär Chat-Nachrichten und deren Metadaten, die über das integrierte Chat-Widget erfasst werden. Diese Nachrichten können je nach Eingabe der Website-Besucher Namen, E-Mail-Adressen, Telefonnummern oder andere persönliche Informationen enthalten, die freiwillig im Gesprächsverlauf mitgeteilt werden.

Zusätzlich werden technische Daten verarbeitet, einschließlich pseudonymisierter Session-IDs, Zeitstempel der Nachrichten, referenzierende URL-Pfade, Browser-Metadaten (User-Agent-String, Spracheinstellungen), IP-Adressen (zur Geolokalisierung, werden nach Verarbeitung pseudonymisiert) sowie Chat-Session-Verlaufsdaten.

Wichtiger Hinweis: Das System erfasst standardmäßig keine direkten persönlichen Identifikatoren. Realnamen, E-Mail-Adressen oder andere direkt identifizierende Informationen werden nur dann verarbeitet, wenn sie von den Website-Besuchern freiwillig im Chat-Verlauf eingegeben werden. Das System fordert nicht aktiv zur Eingabe solcher Daten auf.

Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO werden grundsätzlich nicht verarbeitet. Sollten solche Daten dennoch unbeabsichtigt erfasst werden, werden sie umgehend identifiziert und nach Möglichkeit automatisiert gelöscht oder unkenntlich gemacht.

5. Kategorien betroffener Personen

Betroffene Personen sind ausschließlich Website-Besucher des Verantwortlichen, die aktiv mit dem Chat-Widget interagieren. Dies umfasst sowohl bestehende Kunden als auch potenzielle Interessenten, die die Website des Verantwortlichen besuchen und das Chat-System zur Kommunikation nutzen.

Die betroffenen Personen sind geografisch nicht eingeschränkt, können jedoch aufgrund der EU-basierten Serverinfrastruktur und der primären Ausrichtung auf den europäischen Markt überwiegend aus der Europäischen Union stammen. Besucher aus Drittländern werden mit denselben Datenschutzstandards behandelt.

Es werden keine besonderen Kategorien betroffener Personen (wie Minderjährige, Beschäftigte oder besonders schutzbedürftige Gruppen) gezielt angesprochen oder unterschiedlich behandelt. Alle Website-Besucher werden gleich behandelt, unabhängig von demografischen Merkmalen.

Der Verantwortliche ist dafür zuständig, seine Website-Besucher über die Datenverarbeitung zu informieren und erforderliche Einwilligungen einzuholen. Der Auftragsverarbeiter stellt entsprechende technische Hilfsmittel zur Verfügung, übernimmt jedoch keine Verantwortung für die rechtmäßige Grundlage der Datenerhebung.

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen zu verarbeiten, einschließlich der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet. In diesem Fall teilt er dem Verantwortlichen diese rechtliche Verpflichtung vor der Verarbeitung mit.

Alle Mitarbeiter und Subunternehmer, die Zugang zu personenbezogenen Daten haben, sind zur Vertraulichkeit verpflichtet und wurden entsprechend geschult. Diese Verpflichtung besteht auch nach Beendigung der Tätigkeit fort. Der Auftragsverarbeiter führt ein Verzeichnis aller Mitarbeiter mit Datenzugang und dokumentiert durchgeführte Schulungsmaßnahmen.

Der Auftragsverarbeiter implementiert und unterhält angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten gemäß Art. 32 DSGVO. Diese werden regelmäßig überprüft und bei Bedarf angepasst. Bei wesentlichen Änderungen wird der Verantwortliche vorab informiert.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen zur Wahrnehmung ihrer Rechte gemäß Kapitel III der DSGVO. Dies umfasst technische und organisatorische Hilfestellung bei Auskunfts-, Berichtigungs-, Löschungs- und Übertragungsanfragen sowie bei der Einschränkung der Verarbeitung.

7. Technische und organisatorische Maßnahmen

Alle Datenübertragungen erfolgen ausschließlich über verschlüsselte Verbindungen (TLS 1.3 oder höher). Personenbezogene Daten werden in der Datenbank mit AES-256-Verschlüsselung gespeichert. Alle Server befinden sich in EU-Rechenzentren, primär bei Hetzner Deutschland und Supabase EU-Region, und unterliegen den entsprechenden Datenschutzstandards.

Der Zugang zu personenbezogenen Daten ist durch rollenbasierte Zugangskontrollen (RBAC) eingeschränkt. Administrative Zugriffe sind durch Mehr-Faktor-Authentifizierung geschützt. Alle Datenzugriffe werden protokolliert und die Audit-Logs werden für mindestens 12 Monate aufbewahrt. Regelmäßige Penetrationstests und Sicherheitsaudits werden durchgeführt.

Tägliche verschlüsselte Backups werden in geografisch getrennten EU-Rechenzentren erstellt. Die Backup-Retention beträgt 30 Tage für operative Backups und 12 Monate für Compliance-Backups. Restore-Tests werden monatlich durchgeführt. Ein dokumentiertes Disaster-Recovery-Verfahren ist implementiert.

Zur Minimierung von Datenschutzrisiken werden automatisierte PII-Erkennungs- und Pseudonymisierungsverfahren eingesetzt. Chat-Inhalte werden auf sensible Daten gescannt, und entsprechende Inhalte werden gekennzeichnet oder anonymisiert. Ein Audit-Trail dokumentiert alle wesentlichen Verarbeitungsschritte und Systemzugriffe.

8. Unterauftragsverarbeiter

Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) zu beauftragen. Aktuell werden folgende Unterauftragsverarbeiter eingesetzt: Supabase Inc. (Datenbankdienstleistungen, EU-Region, SOC2-zertifiziert), Anthropic PBC (KI-Textanalyse, keine Datenspeicherung, ausschließliche Verarbeitung in der EU), Google Cloud/Gemini (ergänzende KI-Dienste, keine Datenspeicherung, EU-Verarbeitung) und Hetzner Online GmbH (Hosting-Services, Deutschland).

Alle Unterauftragsverarbeiter sind vertraglich zu denselben Datenschutzstandards verpflichtet, die auch für den Hauptauftragsverarbeiter gelten. Entsprechende Auftragsverarbeitungsverträge sind abgeschlossen und können auf Anfrage in anonymisierter Form zur Verfügung gestellt werden.

Änderungen in der Liste der Unterauftragsverarbeiter werden dem Verantwortlichen mindestens 30 Tage im Voraus mitgeteilt. Der Verantwortliche hat das Recht, der Beauftragung neuer oder der Änderung bestehender Unterauftragsverarbeiter aus wichtigen datenschutzrechtlichen Gründen zu widersprechen.

Bei begründetem Widerspruch des Verantwortlichen wird der Auftragsverarbeiter alternative Lösungen prüfen oder dem Verantwortlichen eine außerordentliche Kündigung ermöglichen. Die volle Verantwortung für die Einhaltung der Datenschutzbestimmungen durch Unterauftragsverarbeiter verbleibt beim Hauptauftragsverarbeiter.

9. Rechte betroffener Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zur Wahrnehmung ihrer Rechte. Dies umfasst Auskunftsrechte gemäß Art. 15 DSGVO, Berichtigungen nach Art. 16 DSGVO, Löschungsansprüche gemäß Art. 17 DSGVO sowie Einschränkungen der Verarbeitung nach Art. 18 DSGVO und Datenübertragbarkeit gemäß Art. 20 DSGVO.

Entsprechende Anfragen werden innerhalb von 72 Stunden nach Eingang bearbeitet. Bei komplexen Anfragen kann diese Frist auf maximal 30 Tage verlängert werden, wobei der Anfragesteller über die Verlängerung und deren Gründe informiert wird. Die Bearbeitung erfolgt in enger Abstimmung mit dem Verantwortlichen.

Technische Hilfsmittel zur Umsetzung der Betroffenenrechte sind in die Plattform integriert. Diese umfassen Such- und Filterfunktionen zur Identifizierung relevanter Daten, Export-Funktionen für Datenübertragungen sowie sichere Löschfunktionen, die eine vollständige Entfernung von Daten gewährleisten.

Bei der Bearbeitung von Löschungsanfragen wird sichergestellt, dass alle Kopien und Backups der betreffenden Daten erfasst und gelöscht werden. Ein dokumentierter Löschprozess gewährleistet die vollständige und unwiderrufliche Entfernung der Daten aus allen Systemen innerhalb von 30 Tagen nach Bestätigung der Löschungsanweisung.

10. Datenschutzverletzungen

Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, an den Verantwortlichen. Die Meldung erfolgt per E-Mail an support@awareto.com und wird durch weitere Details in Textform ergänzt, sobald diese verfügbar sind.

Die Meldung einer Datenschutzverletzung enthält mindestens folgende Informationen: Art der Verletzung und betroffene Datenkategorien, Anzahl der betroffenen Personen und Datensätze (soweit möglich), wahrscheinliche Folgen der Verletzung sowie bereits eingeleitete oder vorgeschlagene Maßnahmen zur Behebung und Schadensbegrenzung.

Ein dokumentiertes Incident-Response-Verfahren regelt die unverzügliche Erkennung, Bewertung und Eindämmung von Datenschutzverletzungen. Alle Mitarbeiter sind über dieses Verfahren informiert und entsprechend geschult. Regelmäßige Übungen stellen die Funktionsfähigkeit der Prozesse sicher.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bewertung der Meldepflicht gegenüber der Aufsichtsbehörde und bei der Information betroffener Personen. Hierzu gehören die Bereitstellung aller relevanten Informationen und die Unterstützung bei der Risikobewertung für die Rechte und Freiheiten natürlicher Personen.

11. Löschung und Rückgabe

Nach Beendigung der Erbringung der Verarbeitungsleistungen wird der Verantwortliche über ein 30-tägiges Zeitfenster informiert, in dem er alle seine Daten über die bereitgestellten Export-Funktionen herunterladen kann. Diese Daten werden in standardisierten, maschinenlesbaren Formaten (JSON, CSV) zur Verfügung gestellt.

Nach Ablauf des 30-tägigen Zeitraums oder auf ausdrückliche Weisung des Verantwortlichen werden alle personenbezogenen Daten einschließlich etwaiger Kopien vollständig und unwiderruflich gelöscht. Dies umfasst alle operativen Datenbanken, Backup-Systeme, Logs und temporären Dateien.

Die Löschung erfolgt mittels kryptographisch sicherer Verfahren, die eine Wiederherstellung der Daten technisch unmöglich machen. Bei verschlüsselten Daten werden die entsprechenden Schlüssel vernichtet. Ein dokumentierter Löschprozess gewährleistet die vollständige Erfassung aller Datenstandorte.

Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter eine schriftliche Bestätigung über die vollständige Löschung der Daten aus. Diese Bestätigung enthält Zeitpunkt, Umfang und angewandte Verfahren der Löschung sowie die Versicherung, dass keine Kopien oder Sicherungen mehr existieren.

12. Audit-Rechte

Der Verantwortliche hat das Recht, jährlich eine Überprüfung der Einhaltung der datenschutzrechtlichen Bestimmungen durchzuführen oder durch einen qualifizierten und zur Verschwiegenheit verpflichteten Dritten durchführen zu lassen. Die Prüfung wird nach vorheriger Abstimmung und mit einer Vorlaufzeit von mindestens 30 Tagen terminiert.

Soweit möglich und ausreichend, erfolgt die Überprüfung durch Bereitstellung entsprechender Dokumentationen, Zertifikate und Nachweise. Dies umfasst Compliance-Dokumentationen, Sicherheitszertifikate, Penetrationstest-Ergebnisse und interne Audit-Berichte. Remote-Überprüfungen werden bevorzugt, um operative Störungen zu minimieren.

Bei vor-Ort-Prüfungen werden angemessene Sicherheitsvorkehrungen getroffen, um die Vertraulichkeit der Daten anderer Kunden zu gewährleisten. Der Prüfungsumfang beschränkt sich auf die für die Vertragserfüllung relevanten Bereiche und Prozesse. Geschäfts- und Betriebsgeheimnisse des Auftragsverarbeiters bleiben geschützt.

Die Kosten einer anlasslosen Routineprüfung trägt der Verantwortliche. Werden bei der Prüfung wesentliche Mängel festgestellt, die eine Verletzung der datenschutzrechtlichen Bestimmungen darstellen, trägt der Auftragsverarbeiter die Prüfungskosten. Festgestellte Mängel werden innerhalb angemessener Frist behoben.