🤝 Auftragsverarbeitungsvertrag (AVV)

Vorlage gemäß Art. 28 DSGVO
Auftragsverarbeiter: Robert Strecher / RSTCode, Hitzendorf, Steiermark, Österreich
Stand: März 2024

Hinweis: Dieser AVV ist eine Vorlage. Bitte füllen Sie die mit [PLATZHALTER] gekennzeichneten Felder aus und unterzeichnen Sie das Dokument. Senden Sie ein unterzeichnetes Exemplar an kontakt@rstcode.at.

Parteien

Auftragsverarbeiter (AV):
Robert Strecher / RSTCode
Hitzendorf, Steiermark, Österreich
E-Mail: kontakt@rstcode.at
(nachfolgend „Auftragsverarbeiter")

Verantwortlicher (V):

Bitte ausfüllen: Firmenname: _______________________________________________
Adresse: ___________________________________________________
Vertreten durch: ___________________________________________
E-Mail: ____________________________________________________
(nachfolgend „Verantwortlicher")

Art. 1 – Gegenstand und Dauer

Dieser Vertrag regelt die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung des KI-Chat-Widgets als SaaS-Dienst (Hauptvertrag: AGB zwischen den Parteien).

Dieser AVV läuft parallel zum Hauptvertrag (AGB) und endet automatisch mit dessen Beendigung.

Art. 2 – Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen folgende Daten:

Kategorie	Art der Daten	Zweck
Chat-Metadaten	Session-IDs, Zeitstempel, Nachrichtenlänge (ohne Inhalt)	Betrieb und Statistik des Chat-Widgets
Chat-Inhalte	Text der Benutzernachrichten (nur zur Live-Übermittlung an KI-API)	KI-gestützte Beantwortung von Anfragen
Hochgeladene Dokumente	Dokumente, die der Verantwortliche in das Admin-Panel hochlädt	Wissensgrundlage für den KI-Agenten

Betroffene Personen: Besucher der Website(s) des Verantwortlichen, die das Chat-Widget nutzen.

Art. 3 – Weisungsbindung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Diese AGB und dieser AVV stellen die dokumentierten Weisungen dar.

Sofern der Auftragsverarbeiter der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Ausführung der betreffenden Weisung bis zu einer Klärung auszusetzen.

Art. 4 – Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet worden sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Art. 5 – Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter ergreift folgende Maßnahmen gemäß Art. 32 DSGVO:

Pseudonymisierung/Anonymisierung: Session-IDs sind zufällig generiert und nicht direkt personenbeziehbar
Verschlüsselung: Alle Datenübertragungen erfolgen via TLS/HTTPS; Datenbankzugriffe sind durch Zugriffskontrollen gesichert
Vertraulichkeit: Zugriff auf Produktivsysteme nur für autorisiertes Personal
Integrität: Regelmäßige Sicherheitsupdates, keine ungesicherten Endpunkte
Verfügbarkeit: Hosting bei ALL-INKL (Deutschland) mit Redundanz und Backup
Belastbarkeit: Monitoring, automatische Fehlerbenachrichtigung
Datensparsamkeit: Chat-Inhalte werden nicht dauerhaft gespeichert

Art. 6 – Unterauftragsverarbeiter

Der Auftragsverarbeiter darf folgende Unterauftragsverarbeiter einsetzen:

Unterauftragsverarbeiter	Sitz	Leistung	Garantie
ALL-INKL.COM neue Medien Münnich	Deutschland (EU)	Webhosting, Datenspeicherung	AVV, EU-Hosting
Anthropic PBC	San Francisco, USA	KI-Verarbeitung (Claude API)	Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO

Der Verantwortliche erklärt sich hiermit mit dem Einsatz der oben genannten Unterauftragsverarbeiter einverstanden. Bei beabsichtigter Änderung oder Ergänzung von Unterauftragsverarbeitern wird der Verantwortliche mit einer Frist von 14 Tagen informiert und hat das Recht des Widerspruchs.

Art. 7 – Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber Betroffenen (Auskunft, Löschung, Berichtigung, Einschränkung) soweit möglich, insbesondere durch:

Bereitstellung eines Lösch-Mechanismus für gespeicherte Daten auf Anfrage
Auskunft über verarbeitete Daten auf Anfrage des Verantwortlichen

Art. 8 – Meldung von Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten (Datenpannen) unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.

Die Meldung erfolgt per E-Mail und enthält mindestens:

Art der Verletzung
Betroffene Datenkategorien und geschätzte Anzahl betroffener Personen
Beschreibung der wahrscheinlichen Folgen
Ergriffene und vorgeschlagene Abhilfemaßnahmen

Hinweis für den Verantwortlichen: Der Verantwortliche ist verpflichtet, Datenpannen innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden (DSB Österreich: dsb.gv.at).

Art. 9 – Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Der Verantwortliche kann vor Beendigung eine vollständige Datensicherung anfordern.

Der Auftragsverarbeiter bestätigt die Löschung schriftlich auf Anfrage.

Art. 10 – Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der Datenschutzbestimmungen und dieses AVV durch den Auftragsverarbeiter zu kontrollieren. Prüfungen sind mit einer Vorlaufzeit von 14 Tagen anzukündigen und während der üblichen Geschäftszeiten durchzuführen.

Art. 11 – Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Es gilt österreichisches Recht.

Unterschriften

Beide Parteien erklären, diesen AVV gelesen und verstanden zu haben und erklären sich mit seinem Inhalt einverstanden.

Auftragsverarbeiter

Robert Strecher / RSTCode
Hitzendorf, Steiermark, Österreich

Ort, Datum: ___________________

Verantwortlicher

Firmenname: _______________
Ort, Datum: _______________