Auftragsverarbeitungsvertrag (AVV)

NeoMatX („der Dienst") ist eine Softwareplattform, die KI-gestützte Kundenkommunikationslösungen bereitstellt.

1. Zweck und Anwendungsbereich

Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Allgemeinen Geschäftsbedingungen zwischen dem Kunden („Verantwortlicher") und NeoMatX („Auftragsverarbeiter").

Er regelt die Verarbeitung personenbezogener Daten durch NeoMatX im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der NeoMatX-Plattform und der damit verbundenen Dienste.

Dieser Vertrag findet Anwendung, wenn der Verantwortliche personenbezogene Daten mithilfe des Dienstes verarbeitet und diese Verarbeitung in den Anwendungsbereich der Datenschutz-Grundverordnung fällt.

2. Begriffsbestimmungen

Für die Zwecke dieses AVV haben die Begriffe Verantwortlicher, Auftragsverarbeiter, Betroffene Person, Personenbezogene Daten und Verarbeitung die in der DSGVO festgelegte Bedeutung.

  • Verantwortlicher: der Kunde, der die NeoMatX-Plattform nutzt
  • Auftragsverarbeiter: NeoMatX, das die Plattform und die damit verbundenen Dienste bereitstellt
  • Unterauftragsverarbeiter: Dritte, die von NeoMatX zur Verarbeitung von Daten im Auftrag des Verantwortlichen eingesetzt werden

3. Gegenstand der Verarbeitung

Der Auftragsverarbeiter stellt eine cloudbasierte Plattform bereit, die dem Verantwortlichen die Verwaltung von Geschäftsabläufen ermöglicht, einschließlich:

  • Messaging- und Kommunikationstools
  • Kontaktformulare
  • Kunden-Support-Chatbots
  • KI-gestützte Inhaltserstellung
  • Workflow-Automatisierung

Der Verantwortliche bestimmt die Kategorien personenbezogener Daten, die über den Dienst verarbeitet werden.

4. Art und Zweck der Verarbeitung

Verarbeitungsaktivitäten können umfassen:

  • Erhebung
  • Speicherung
  • Organisation
  • Abruf
  • Übermittlung
  • Löschung

Der Zweck der Verarbeitung besteht darin, dem Verantwortlichen die Durchführung und Verwaltung seiner Geschäftsaktivitäten über die NeoMatX-Plattform zu ermöglichen.

5. Kategorien betroffener Personen

Je nach Art der Nutzung des Dienstes durch den Verantwortlichen können folgende Kategorien betroffener Personen betroffen sein:

  • Kunden des Verantwortlichen
  • Website-Besucher
  • Mitarbeiter oder Vertreter des Verantwortlichen
  • Geschäftskontakte

6. Kategorien personenbezogener Daten

Die über den Dienst verarbeiteten personenbezogenen Daten können je nach Nutzung umfassen:

  • Namen
  • E-Mail-Adressen
  • Telefonnummern
  • Kommunikationsinhalte
  • Nachrichten oder Support-Anfragen
  • IP-Adressen und technische Metadaten

Der Verantwortliche bestimmt, welche Daten innerhalb der Plattform verarbeitet werden.

7. Weisungen des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch geltendes Recht zu einer anderweitigen Verarbeitung verpflichtet ist.

Die Nutzung des Dienstes in Übereinstimmung mit den AGB und diesem AVV gilt als dokumentierte Weisung.

Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen geltendes Datenschutzrecht verstößt, wird er den Verantwortlichen unverzüglich darüber informieren.

8. Vertraulichkeit

NeoMatX stellt sicher, dass zur Verarbeitung personenbezogener Daten befugte Personen:

  • zur Vertraulichkeit verpflichtet sind
  • Daten nur in dem Umfang verarbeiten, der für den Betrieb des Dienstes erforderlich ist

9. Sicherheitsmaßnahmen

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Diese Maßnahmen können umfassen:

  • verschlüsselte Datenübertragung (HTTPS)
  • Zugriffskontrollmechanismen
  • Infrastrukturüberwachung
  • Serversicherheit und Patch-Management
  • Authentifizierungs- und Autorisierungskontrollen

Sicherheitsmaßnahmen können entsprechend dem technologischen Fortschritt weiterentwickelt werden.

10. Unterauftragsverarbeiter

Der Verantwortliche ermächtigt den Auftragsverarbeiter, für den Betrieb des Dienstes Unterauftragsverarbeiter einzusetzen. Unterauftragsverarbeiter können Anbieter von folgenden Leistungen umfassen:

  • Cloud-Infrastruktur
  • KI-Dienste
  • E-Mail-Versanddienste
  • Monitoring- und Logging-Systeme

NeoMatX stellt sicher, dass Unterauftragsverarbeiter durch vertragliche Verpflichtungen gebunden sind, die Datenschutzgarantien im Einklang mit diesem AVV bieten.

Der Verantwortliche kann dem Einsatz eines neuen Unterauftragsverarbeiters aus berechtigten datenschutzrechtlichen Gründen widersprechen. Kann ein solcher Widerspruch nicht in zumutbarer Weise gelöst werden, kann der Verantwortliche die Nutzung der betroffenen Dienste einstellen.

Der Verantwortliche erteilt NeoMatX hiermit eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. NeoMatX wird den Verantwortlichen über beabsichtigte Änderungen betreffend die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern über die Website oder per E-Mail informieren und ihm damit die Möglichkeit geben, solchen Änderungen zu widersprechen.

11. Unterstützung bei Betroffenenanfragen

Soweit dies zumutbar möglich ist, unterstützt NeoMatX den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte nach geltendem Datenschutzrecht ausüben. Solche Anfragen können umfassen:

  • Auskunftsersuchen
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit

Der Verantwortliche bleibt für die Bearbeitung solcher Anfragen verantwortlich.

11a. Unterstützung bei Compliance-Pflichten

Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen unterstützt NeoMatX den Verantwortlichen bei der Erfüllung von Pflichten im Zusammenhang mit:

  • Datenschutz-Folgenabschätzungen
  • Konsultation mit Aufsichtsbehörden
  • Umsetzung geeigneter Sicherheitsmaßnahmen

12. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die unter diesen AVV fallende Daten betrifft, wird NeoMatX den Verantwortlichen unverzüglich nach Bekanntwerden der Verletzung benachrichtigen. Die Benachrichtigung enthält alle zum Zeitpunkt der Meldung verfügbaren relevanten Informationen.

13. Datenspeicherung und Löschung

Nach Beendigung des Dienstes kann der Verantwortliche die Löschung der auf der Plattform gespeicherten personenbezogenen Daten verlangen. NeoMatX darf Daten nur aufbewahren, wenn dies erforderlich ist:

  • aufgrund gesetzlicher Verpflichtungen
  • zu Sicherheitszwecken
  • zur Beilegung von Streitigkeiten oder zur Durchsetzung von Vereinbarungen

Nach Beendigung des Dienstes löscht NeoMatX nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück und löscht bestehende Kopien, sofern das geltende Recht keine Aufbewahrung vorschreibt.

14. Audits und Compliance-Nachweise

Auf angemessene Anfrage kann NeoMatX Informationen zur Verfügung stellen, die zur Nachweisführung der Einhaltung dieses AVV erforderlich sind. Etwaige Audits müssen:

  • in ihrem Umfang angemessen sein
  • den normalen Betrieb nicht beeinträchtigen
  • Anforderungen an Vertraulichkeit und Sicherheit beachten

Audits dürfen nicht mehr als einmal pro Jahr durchgeführt werden, es sei denn, dies ist gesetzlich vorgeschrieben oder im Falle eines nachgewiesenen Sicherheitsvorfalls erforderlich.

15. Internationale Datenübermittlungen

Werden im Rahmen dieses AVV verarbeitete personenbezogene Daten in ein Land außerhalb des EWR übermittelt, das kein angemessenes Datenschutzniveau bietet, stellt NeoMatX sicher, dass solche Übermittlungen geeigneten Garantien unterliegen.

Diese Garantien umfassen in der Regel die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (SCC). Soweit NeoMatX als Datenexporteur gegenüber einem Unterauftragsverarbeiter in einem Drittland auftritt, ermächtigt der Verantwortliche NeoMatX hiermit, im Namen des Verantwortlichen SCC mit solchen Unterauftragsverarbeitern abzuschließen.

16. Haftung

Die Haftung zwischen den Parteien in Bezug auf die Datenverarbeitung richtet sich in erster Linie nach den in den AGB festgelegten Haftungsbeschränkungen.

17. Laufzeit

Dieser AVV bleibt in Kraft, solange NeoMatX im Rahmen des Dienstes personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

18. Anwendbares Recht

Dieser AVV unterliegt dem Recht Polens und ist nach diesem auszulegen.

Anhang: Technische und organisatorische Maßnahmen (TOM)

NeoMatX trifft geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Wesentliche Maßnahmen umfassen:

  • Vertraulichkeit: Der Zugang zu personenbezogenen Daten ist auf autorisiertes Personal beschränkt. Wir verwenden branchenübliche TLS/SSL-Verschlüsselung für Daten während der Übertragung und gewährleisten sichere Speicherumgebungen.
  • Integrität: Wir implementieren Eingabekontrollen und Validierungsmechanismen, um sicherzustellen, dass Daten korrekt bleiben und vor unbefugter Änderung geschützt sind.
  • Verfügbarkeit und Wiederherstellbarkeit: Wir führen regelmäßige automatisierte Datensicherungen durch, um eine Wiederherstellung im Falle eines technischen Ausfalls zu gewährleisten. Die Systemverfügbarkeit wird überwacht, um eine schnelle Reaktion auf Dienstunterbrechungen sicherzustellen.
  • Sicherheitswartung: Wir führen regelmäßige Sicherheits-Patches und Software-Updates durch, um die Infrastruktur gegen bekannte Schwachstellen zu schützen.