Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag („AVV") ergänzt den Hauptvertrag zwischen v9Labs GmbH i.G. („Auftragsverarbeiter") und dem Auftraggeber („Verantwortlicher") über die Nutzung der KI-Use-Case-Workshop-Plattform und konkretisiert die Pflichten aus Art. 28 DSGVO.

Gegenstand der Verarbeitung ist die Bereitstellung, Absicherung und Abrechnung der Plattform. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen und nur soweit dies zur Vertragserfüllung erforderlich ist. Der AVV gilt für die Dauer des Hauptvertrags und darüber hinaus, solange personenbezogene Daten im Auftrag verarbeitet werden.

Die Verarbeitung umfasst Managerdaten für Login, Zahlungszuordnung und Workshop-Verwaltung; Teilnehmer-E-Mail-Adressen für Einladungen und Authentifizierung; Workshop-Antworten zur Durchführung der KI-gestützten Befragung, Erstellung persönlicher Teilnehmerunterlagen und Erstellung einer aggregierten Auswertung. Optionale Spracheingaben werden transient transkribiert und nicht gespeichert.

Managerdaten: Name, soweit angegeben, E-Mail-Adresse, Rechnungsadresse, USt-IdNr., Zahlungs- und Bestellreferenzen. Teilnehmerdaten: E-Mail-Adresse, Workshop-Inhalte als Textantworten, abgeleitete Teilnehmerunterlagen, technische Sitzungsdaten, IP-Adresse und User-Agent für Sicherheit und Missbrauchsschutz. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sind nicht Gegenstand der beauftragten Verarbeitung und dürfen nicht gezielt eingegeben werden.

Bestellende Manager, eingeladene Mitarbeitende oder sonstige vom Verantwortlichen eingeladene Teilnehmer sowie technische Kontaktpersonen des Verantwortlichen.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, einschließlich Weisungen zu Löschung, Export und Einschränkung der Verarbeitung. Personen mit Zugriff auf personenbezogene Daten sind zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht.

Der Verantwortliche erteilt eine allgemeine Genehmigung für die unter /legal/processors veröffentlichten Subunternehmer. Änderungen kündigen wir mindestens 30 Tage im Voraus an. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Der Auftragsverarbeiter verpflichtet Subunternehmer mindestens auf dasselbe Datenschutzniveau und bleibt für deren Leistung verantwortlich.

• TLS 1.3 mit HSTS-Preload für alle Endpunkte.
• Serverzugriff ausschließlich per SSH mit Public-Key-Authentifizierung.
• Datenbankdatei mit restriktiven Dateirechten im App-User-Kontext.
• Tägliche, AES-verschlüsselte restic-Backups in eine zweite Hetzner-Region.
• Rollenbasierte Zugriffsbeschränkung und Audit-Logs.
• Strikte Trennung zwischen Manager-Sicht und Teilnehmer-Inhalten: kein Admin-Override für individuelle Antworten.

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei Betroffenenanfragen, Löschung, Export und Pflichten nach Art. 32 bis 36 DSGVO, soweit die Informationen dem Auftragsverarbeiter vorliegen. Betroffenenanfragen werden weitergeleitet oder nach Abstimmung beantwortet, soweit sie den Verantwortlichen betreffen.

Hosting, KI-Inferenz, E-Mail-Versand und Sprache-zu-Text-Verarbeitung finden in der Europäischen Union statt. Ein Transfer in die USA findet im Rahmen der KI-Inferenz nicht statt; Cross-Region-Inferenz ist deaktiviert. Stripe als Subunternehmer kann einzelne operative Vorgänge in den USA verarbeiten; diese Transfers sind über Standardvertragsklauseln und weitere Schutzmaßnahmen abgesichert.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Verantwortlichen betrifft. Die Meldung enthält, soweit verfügbar, Art und Umfang des Vorfalls, betroffene Datenkategorien, wahrscheinliche Folgen und ergriffene oder vorgeschlagene Maßnahmen.

Workshop-Inhalte werden 90 Tage nach Ende des Teilnahmefensters automatisch gelöscht, sofern der Verantwortliche keine frühere Löschung anweist. Eine Rückgabe kann als JSON-Export erfolgen, soweit die Inhalte noch vorhanden sind. Backups können Daten bis zu 30 weitere Tage enthalten und werden danach im regulären Backup-Zyklus überschrieben.

Der Verantwortliche hat das Recht, die Einhaltung der vereinbarten Maßnahmen zu kontrollieren. v9Labs stellt die notwendigen Informationen zur Verfügung und ermöglicht angemessen angekündigte Audits zu üblichen Geschäftszeiten, soweit dadurch Sicherheit, Vertraulichkeit und Betriebsstabilität anderer Kunden nicht beeinträchtigt werden.