Auftragsverarbeitungsvertrag
Dieser Auftragsverarbeitungsvertrag (der “AVV”) gilt, soweit Sie als Verantwortlicher und HumanOps B.V. (“wir”, “uns”) als Ihr Auftragsverarbeiter nach Artikel 28 DSGVO handeln. Er umfasst personenbezogene Daten anderer Personen, die Sie in Ihr dauerhaftes Gedächtnis eingeben oder über verbundene Dienste offenlegen (die “personenbezogenen Daten des Kunden”). Er ist Bestandteil der Nutzungsbedingungen und in diese einbezogen.
Für personenbezogene Daten, die wir als eigener Verantwortlicher verarbeiten (zum Beispiel Ihre Konto- und Zahlungsdaten), gilt die Datenschutzerklärung anstelle dieses AVV.
1. Rollen
1.1. Sie sind der Verantwortliche für die personenbezogenen Daten des Kunden. Wir sind Ihr Auftragsverarbeiter und verarbeiten sie nur auf Ihre dokumentierten Weisungen, zu denen Ihre Nutzung der Funktionen des Dienstes und diese rechtlichen Bedingungen gehören.
1.2. Sie sind dafür verantwortlich, eine Rechtsgrundlage für die personenbezogenen Daten des Kunden zu haben, für die Rechtmäßigkeit Ihrer Weisungen und für Ihre eigenen Pflichten als Verantwortlicher gegenüber den Personen, auf die sich die Daten beziehen.
2. Gegenstand, Dauer, Art und Zweck
2.1. Gegenstand und Dauer: Verarbeitung für die Dauer Ihres Abonnements und bis zur Löschung oder Rückgabe nach Abschnitt 9.
2.2. Art und Zweck: den Dienst zu betreiben, also Ihr Gedächtnis zu speichern, Antworten zu erzeugen und Aufgaben und Aktionen auszuführen, die Sie anweisen oder genehmigen.
2.3. Arten personenbezogener Daten: wie von Ihnen bestimmt, dies kann Kontaktdaten, Kommunikationsinhalte und sonstige Informationen umfassen, die Sie zu speichern wählen.
2.4. Kategorien betroffener Personen: wie von Ihnen bestimmt, zum Beispiel Ihre Kunden, Kontakte oder Kollegen.
3. Unsere Pflichten
Wir werden:
- personenbezogene Daten des Kunden nur auf Ihre dokumentierten Weisungen verarbeiten, einschließlich für Übermittlungen, es sei denn, das Recht der EU oder eines Mitgliedstaats verlangt etwas anderes (in diesem Fall werden wir Sie informieren, sofern dieses Recht dies nicht verbietet);
- sicherstellen, dass die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet sind;
- geeignete technische und organisatorische Maßnahmen umsetzen (Abschnitt 4);
- die Regeln zu Unterauftragsverarbeitern beachten (Abschnitt 5);
- Sie, unter Berücksichtigung der Art der Verarbeitung, bei Betroffenenanfragen (Abschnitt 6) und bei Ihren Pflichten nach Artikel 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Folgenabschätzungen) unterstützen;
- nach Ihrer Wahl die Daten am Ende des Dienstes löschen oder zurückgeben (Abschnitt 9);
- die Informationen bereitstellen, die zum Nachweis der Einhaltung erforderlich sind, und Überprüfungen ermöglichen und dazu beitragen, wie in Abschnitt 7 festgelegt.
4. Sicherheitsmaßnahmen
Wir setzen geeignete technische und organisatorische Maßnahmen um, einschließlich: Zugriffskontrollen und Authentifizierung; Verschlüsselung personenbezogener Daten bei der Übertragung und im Ruhezustand; EU-basiertes Hosting Ihrer Kontodaten und Ihres Gedächtnisses; logische Trennung von Kundendaten; eines Aktions-/Auditprotokolls; und Verfahren zur Wiederherstellung der Verfügbarkeit nach einem Vorfall. Wir überprüfen diese Maßnahmen und können sie aktualisieren, sofern das Schutzniveau nicht verringert wird.
5. Unterauftragsverarbeiter
5.1. Sie erteilen die allgemeine Genehmigung, dass wir Unterauftragsverarbeiter zur Bereitstellung des Dienstes einsetzen. Unsere aktuellen Unterauftragsverarbeiter sind in der Liste der Unterauftragsverarbeiter mit ihrer Rolle und ihrem Standort aufgeführt.
5.2. Wir erlegen jedem Unterauftragsverarbeiter Datenschutzpflichten auf, die nicht weniger schützend sind als dieser AVV, und wir bleiben für deren Leistung verantwortlich.
5.3. Wir werden Sie über beabsichtigte Änderungen bei Unterauftragsverarbeitern informieren (durch Aktualisierung der Liste der Unterauftragsverarbeiter und, auf Ihre Anfrage, durch Mitteilung) und Ihnen Gelegenheit geben, aus berechtigten datenschutzrechtlichen Gründen Widerspruch einzulegen.
6. Unterstützung bei Betroffenenrechten
Unter Berücksichtigung der Art der Verarbeitung unterstützen wir Sie durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte ausüben (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Wenn sich eine betroffene Person direkt an uns wegen personenbezogener Daten des Kunden wendet, verweisen wir sie an Sie, sofern das Recht nichts anderes verlangt.
7. Überprüfungen
Wir stellen die Informationen bereit, die zum Nachweis der Einhaltung von Artikel 28 vernünftigerweise erforderlich sind, und ermöglichen Überprüfungen, einschließlich Inspektionen, die von Ihnen oder einem von Ihnen beauftragten Prüfer durchgeführt werden, und tragen dazu bei. Überprüfungen finden nach angemessener Vorankündigung statt, höchstens einmal jährlich, außer wenn dies von einer Aufsichtsbehörde verlangt wird oder nach einer Verletzung des Schutzes personenbezogener Daten, während der Geschäftszeiten und ohne unangemessene Störung des Dienstes.
8. Internationale Übermittlungen
Soweit die Bereitstellung des Dienstes eine Übermittlung personenbezogener Daten des Kunden außerhalb des EWR umfasst (zum Beispiel KI-Inferenz oder der WhatsApp-Kanal), stützen wir uns auf einen rechtmäßigen Übermittlungsmechanismus nach Kapitel V DSGVO (einen Angemessenheitsbeschluss oder Standardvertragsklauseln, gegebenenfalls mit ergänzenden Maßnahmen). Die Liste der Unterauftragsverarbeiter gibt für jeden Unterauftragsverarbeiter den Standort und die Übermittlungsgrundlage an.
9. Löschung oder Rückgabe
Bei Beendigung des Dienstes werden wir nach Ihrer Wahl und auf Anfrage die personenbezogenen Daten des Kunden löschen oder zurückgeben und bestehende Kopien löschen, es sei denn, das Recht der EU oder eines Mitgliedstaats verlangt deren Aufbewahrung. Sie können vor dem Ende des Zugangs einen Export anfordern; Ihr Server und Ihre Daten bleiben Ihr Eigentum.
10. Meldung von Verletzungen
Wir werden Sie unverzüglich benachrichtigen, nachdem wir von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt haben, die personenbezogene Daten des Kunden betrifft, und Ihnen die Informationen bereitstellen, die Sie vernünftigerweise benötigen, um Ihre eigenen Meldepflichten zu erfüllen.
11. Haftung und Vorrang
Die Haftung nach diesem AVV unterliegt den Beschränkungen in den Nutzungsbedingungen, soweit gesetzlich zulässig. Bei einem Widerspruch zwischen diesem AVV und dem übrigen Teil der Nutzungsbedingungen hinsichtlich der Verarbeitung personenbezogener Daten des Kunden geht dieser AVV vor.
12. Kontakt
HumanOps B.V., Amsterdam, 1091EE, Niederlande. E-Mail: hello@intakto.eu. KvK-Nummer: [KvK number - to be added]. Umsatzsteuer-/BTW-Nummer: [BTW number - to be added].
Dieses Dokument dient der Information und stellt keine Rechtsberatung dar.