Vertrag zur Auftragsverarbeitung der chatarmin.com GmbH nach Art. 28 DSGVO, 08.07.2024
Art. 28 DSGVO stellt spezifische Anforderungen an eine Auftragsverarbeitung. Zur Wahrung dieser speziellen Anforderungen schließen die Vertragsparteien zusätzlich zu den Terms of Service diesen Vertrag zur Auftragsverarbeitung. Er findet Anwendung auf alle Tätigkeiten, die mit dem abgeschlossenen Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers, oder durch den Auftragnehmer Beauftragte personenbezogene Daten (nachstehend „Daten“) des Auftraggebers verarbeiten. Es gelten die Begriffsbestimmungen der DSGVO.
Es gelten die Begriffsbestimmungen der DSGVO.
Chatarmin (WhatsApp Marketing Tool)
1. Vertragsgegenstand und Weisungsrecht des Auftraggebers
Gegenstand dieses Vertrages sind Leistungen des Auftragnehmers für den Auftraggeber im Bereich der Kommunikation per WhatsApp durch die Lösung von chatarmin. Darüber hinaus wird auf die Anlage 1 dieses Vertrages sowie die Nutzungsbedingungen verwiesen. Bei Änderungen der beauftragten Leistung ist dieser Vertrag zur Auftragsverarbeitung in der Anlage 1 entsprechend anzupassen und zu ergänzen.
Dem Auftraggeber als verantwortliche Stelle obliegt die alleinige Beurteilung der Zulässigkeit der Datenverarbeitung nach der DSGVO.
Bei der Erbringung der Leistung erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers, sofern der Auftragnehmer nicht durch das Recht der Union oder der Mitgliedsstaaten, dem er unterliegt, zu einer anderen Verarbeitung verpflichtet ist.
Die Weisungen des Auftraggebers werden durch diesen Vertrag festgelegt und können vom Auftraggeber in zumindest dokumentiert elektronischem Format durch Einzelweisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit. (Art. 28 Abs. 3 lit. a) DSGVO).
Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen, ohne dass ihm hierdurch negative Konsequenzen entstehen. Der Auftraggeber ist für die Erteilung rechtsgültiger Weisungen verantwortlich. (Art. 28 Abs. 3 Satz 3 DSGVO).
Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
2. Technisch-organisatorische Maßnahmen
Der Auftragnehmer beachtet die gesetzlichen Bestimmungen über den Datenschutz. Eine Weitergabe oder Offenlegung von Informationen des Auftraggebers an Dritte erfolgt ohne eine ausdrückliche Weisung des Auftraggebers nicht. Unterlagen und Daten werden gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik gesichert.
Der Auftragnehmer gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und gewährleistet, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO getroffen hat. Hierzu wird auf Anlage 2 verwiesen.
Der Auftraggeber überprüft vor der Aufnahme der Datenverarbeitung und sodann regelmäßig die technischen und organisatorischen Maßnahmen des Auftragnehmers. Änderungen an den vereinbarten Sicherheitsmaßnahmen können vorgenommen werden, soweit diese das vertraglich vereinbarte Schutzniveau nicht unterschreiten.
3. Vertraulichkeit
Dem Auftragnehmer und dessen Beschäftigten ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Der Auftragnehmer verpflichtet alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden zur Vertraulichkeit. Die Vertraulichkeits-Verpflichtungen gelten auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Beschäftigten und dem Auftragnehmer.
4. Informationspflichten des Auftragnehmers
Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder dokumentiertem elektronischen Format informieren, soweit sie sich auf diesen Vertrag beziehen. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde, soweit sie sich auf diesen Vertrag beziehen.
Die Meldung über eine Verletzung des Schutzes personenbezogener Daten an den Auftraggeber enthält, soweit möglich, folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
b) eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
c) eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen, informiert den Auftraggeber und ersucht diesen um weitere Weisungen.
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 (Art. 28 Abs. 3 lit. e) DSGVO) sowie Art. 32 bis 36 DS-GVO (Art. 28 Abs. 3 lit. f) DSGVO).
5. Kontrollrechte des Auftraggebers
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche, schriftliche oder elektronische Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
Inspektionen durch den Auftraggeber bzw. dessen beauftragen Prüfern, die in keinem Wettbewerbsverhältnis zum Auftragnehmer stehen dürfen, können zu den üblichen Geschäftszeiten und mit einer Vorlaufzeit der Ankündigung von 14 Tagen durchgeführt. Der Auftraggeber führt Kontrollen nur im erforderlichen Umfang durch und stört Betriebsabläufe des Auftragnehmers dabei nur in verhältnismäßiger Weise. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen. Die Vergütung wird einzelvertraglich vereinbart.
6. Einsatz von Subauftragnehmern
Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Hinzuziehung der in Anlage 3 genannten Subauftragnehmer (Subdienstleister) durchgeführt. Alle zum Vertragsschluss bereits hinzugezogenen und durch den Auftraggeber genehmigten weiteren Auftragsverarbeiter ergeben sich aus der Anlage 3. Der Auftraggeber erteilt die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen (Unterauftragnehmer). Wir haben die Verpflichtung, unsere Auftraggeber über die Hinzuziehung oder Änderung weiterer Auftragsverarbeiter zu informieren, wobei die Information schriftlich in Textform ausreichend ist. Weiters schließen wir mit sämtlichen Subauftragnehmern vergleichbare Verträge zur Auftragsverarbeitung ab. Wir unterrichten unsere Auftraggeber mindestens 14 Tage im Voraus in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumen dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können (Einspruchsrecht nach Art. 28 Abs. 2 Satz 2 DSGVO). Das Einspruchsrecht erlischt, sofern Sie nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung über die Änderung oder Hinzuziehung schriftlich Einspruch erhoben haben. Im Falle eines Einspruchs besteht das beiderseitige Recht, den Hauptvertrag sowie diesen Vertrag zur Auftragsverarbeitung mit einer Frist von 3 Monaten zu kündigen.
Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
7. Haftung
Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
8. Beendigung des Hauptvertrags
Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen.
Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
9. Schlussbestimmungen
- Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
- Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform oder eines dokumentierten elektronischen Formats.
- Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt und es gelten die gesetzlichen Regelungen des Art. 28 DSGVO.
- Diese Vereinbarung unterliegt österreichischem Recht. Ausschließlicher Gerichtsstand ist Wien.
Anlagen:
Anlage 1 – Beschreibung der betroffenen Personen/Betroffenengruppen sowie der besonders schutzbedürftigen Daten/Datenkategorien
Anlage 2 – Technische und organisatorische Maßnahmen des Auftragnehmers
Anlage 3 –Subunternehmer
Anlage 1 – Beschreibung der betroffenen Personen/Betroffenengruppen sowie der besonders schutzbedürftigen Daten/Datenkategorien
| Gegenstand der Verarbeitung Art und Zweck der Verarbeitung | WhatsApp Kommunikationsinfrastruktur im Rahmen eines CRM-Systems sowie einer API zur Automatisierung und Synchronisierung von Datenströmen und Informationsflüssen zur Kundenkommunikation über WhatsApp sowie zur Auswertung und Analyse der Kommunikation per WhatsApp über chatarmin. Zwecke der Verarbeitungstätigkeit: - Personalisierung der WhatsApp-Kommunikation - Versand von werblichen Inhalten - Analyse des Verhaltens im WhatsApp-Chat - Bereitstellen eines Chatbots Weiters bestehen Schnittstellen zu anderen Anwendungen, die der Auftraggeber verknüpfen kann wie Shopsysteme, E-Mail-Tools, usw. |
|---|---|
| Art der personenbezogenen Daten | Stamm- und Kontaktdaten (Telefonnummern von Kunden des Auftraggebers, WhatsApp Profilnamen), Kommunikation im Rahmen der Chats, Klickverhalten im Rahmen der Chats wie Umfragen, Zustellung und Öffnungsraten. Werden besondere Kategorien personenbezogener Daten verarbeitet? Je nach Auftrag und Weisung des Auftraggebers. Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, bedarf es einer ergänzenden Vereinbarung. |
| Kategorien betroffener Personen | Abonnenten des Auftraggebers, Kunden des Auftraggebers |
Anlage 2 – Technische und organisatorische Maßnahmen des Auftragnehmers
Informationen zu den getroffenen technisch-organisatorischen Maßnahmen
Nachfolgende Maßnahmen zur Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung wurden implementiert.
1. Vertraulichkeit
Vertraulichkeit = personenbezogene Daten dürfen unberechtigten Personen oder Organisationen nicht verfügbar gemacht oder offengelegt werden
a.) Zutrittskontrolle zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden
= Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verhindern
Alarmanlage; Absicherung von Grundstücken, Fenstern, Schächten; Sicherheitsschlösser und Schlüsselregelungen sowie Protokollierung der Schlüsselausgabe; Videoüberwachung von Gebäudezugängen; Protokollierung von Besuchern; verschlossene Türen bei Abwesenheit.
b.) Zugangskontrolle zu Datenverarbeitungssystemen
= Maßnahmen, dass Datenverarbeitungssysteme nicht von Unbefugten genutzt werden können
Zwei-Faktor-Authentifizierung, soweit möglich, und zum Teil biometrische Freigabe; Anmeldung mittels Benutzername und Passwort; Regelungen zur Passwortkomplexität; Verwendung eines Passwort-Safes; Automatisches Sperren des Bildschirms & Passworteingabe zum erneuten Zugang; Einsatz von Anti-Viren-Software; aktive Firewall für Hard- und Software; keine Verwendung von USB-Sticks; Verschlüsselung von Smartphones/Laptops/Tablets; Benutzerberechtigungen anlegen (Vergabe nach dem Need-To-Know-Prinzip); Sorgfältige Auswahl von Dienstleistern; Clean-Desk-Policy; No-Print-Policy.
c.) Zugriffskontrolle
=Maßnahmen, die es nur Berechtigten erlauben, auf die Daten zuzugreifen, dies betrifft die Verarbeitung, Nutzung und Speicherung (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen)
Zugriffsprotokollierung auf Datenverarbeitungssysteme (z. B. Protokollierung Eingabe, Änderung und Löschung); Verschlüsselung von Smartphones; Berechtigungskonzept (Regelungen zur Beantragung, Freigabe, Umsetzung und Entzug von Berechtigungen) inkl. Regelungen zum Zugriff auf Datenbackups; Verwaltung von Rechten durch Systemadministratoren sowie Anzahl der Administratoren auf das Notwendigste reduziert (Need-To-Know-Prinzip).
d.) Pseudonymisierung/Anonymisierung
= Speicherung der Daten in pseudonymisierter Form, d.h. ein Personenbezug ist nicht direkt herstellbar, jedoch über die Verknüpfung mit anderen Daten Kein Zugriff auf in chatarmin gespeicherte Kontaktdaten der Betroffenen; Lokal gehostete Testdaten; Verwenden von Dummy-Daten; Trennung von Zuordnungsdaten und Speichern in getrennten sowie abgesicherten Systemen; personenbezogene Daten nach Ablauf der gesetzlich Aufbewahrungspflicht löschen/vollständig zu anonymisieren; Ende-zu-Ende-Verschlüsselung
e.) Trennungskontrolle
=Daten verschiedener Auftraggeber werden getrennt aufbewahrt
logische Mandantentrennung softwareseitig; Logische Trennung (Ordnerstruktur, strukturierte Dateiablage); Trennung von Entwicklungs-, Tests- und Produktivumgebung; keine Verwendung personenbezogener Echtdaten zu Testzwecken; Führen separater Datenbanken; Mandantenfähigkeit; Berechtigungskonzept; Festlegen von Datenbankrechten
2. Integrität
Wahrung der Richtigkeit, Unverändertheit und Vollständigkeit von personenbezogenen Daten
a.) Weitergabekontrolle
= Kein unbefugtes Lesen, Kopieren oder Verändern von Daten bei elektronischen Übertragungen (z. B. E-Mails) oder Transport Kein Versand sensibler Daten per E-Mail; Ende-zu-Ende-Verschlüsselung; Verbot bestimmte Übertragungen (z. B. USB-Stick, CDs, Bänder); Weitergabe erfolgt anonymisiert/pseudonymisiert; Weitergabe ausschließlich nach dem Need-To-Know-Prinzip; ; Weitergabe von Papierdokumenten in verschlossenen, undurchsichtigen Umschlägen; https-Verschlüsselung auf der Website; Sorgfältige Auswahl von Dienstleistern.
b.) Eingabekontrolle
= es ist feststellbar, ob, wann und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind maschinelle Protokollierung von Änderungen; differenzierte Benutzerberechtigungen (Lesen, ändern, löschen); Vergabe individueller Benutzernamen; Protokollierung administrativer Tätigkeiten.
3. Auftragskontrolle
Es wird ein auftrags- und weisungsgemäße Auftragsdatenverarbeitung zu gewährleisten. Daten des Auftraggebers werden ausschließlich nach dessen Weisungen verarbeitet. Hierzu wurde ein Vertrag zur Auftragsverarbeitung abgeschlossen. Unterauftragnehmer werden vom Auftraggeber nur nach den Vorgaben der vertraglichen Regelung eingeschaltet.
4. Verfügbarkeit & Belastbarkeit
Schutz gegen Zerstörung und Verlust sowie Gewährleistung der Nutzung von Daten Nutzung redundanter Systeme; Backupkonzept umgesetzt; Redundante Systemlandschaft.
5. Regelmäßige Überprüfung, Bewertung & Evaluierung der getroffenen technisch-organisatorischen Maßnahmen
kontinuierliche Überprüfung der TOMs; Führen eines Verarbeitungsverzeichnisses; Bestellung einer Datenschutzbeauftragten – Kontaktdaten: Mag.a iur. Elisa Drescher, [email protected]; Mitarbeiterschulungen; dokumentierte Prozesse zur Einhaltung der DSGVO etabliert (Auskunftsersuchen fristgerecht beantworten, Verletzung an die Aufsichtsbehörde melden); sorgfältige Auswahl von Dienstleistern; Umsetzung des Zweckbindungsgrundsatzes;
Anlage 3 - Genehmigte Subauftragnehmer
Genehmigte Subauftragnehmer nach 6. dieses Vertrages:
Here's the new version converted to the same markdown format with the actual links from the PDF:
| Beauftragtes Unternehmen | Verarbeitungstätigkeit | Verarbeitungsort |
|---|---|---|
| WhatsApp Ireland Limited | Bereitstellen von WhatsApp zur Kommunikation; Hosting der WhatsApp API | Hosting der API in der Europäischen Union WhatsApp LLC, 1601 Willow Road Menlo Park, California 94025 – Zertifizierung nach dem Data Privacy Framework hier abrufen Meta Platforms Inc., Meta Platforms, Inc. 1 Meta Way Menlo Park, California 94025-1453 – Zertifizierung nach dem Data Privacy Framework hier abrufen Data Processing Agreement von WhatsApp Ireland Limited inkl. Auftragsverarbeiter-an-Auftragsverarbeiter Standardvertragsklauseln sowie vollständige Liste mit Subauftragnehmern |
| Digital Ocean LLC., New York, 101 6th Ave, United States | Hosting für "Redirect-Links" für Chatarmin. Klick auf Kurzlink leitet dann auf den echten Link weiter. Verarbeitet wird die IP-Adresse, von wo geklickt wird | Vereinigte Staaten von Amerika und weitere Drittländer, in welchen verbundene Unternehmen von Digital Ocean LLC ihren Sitz haben Data Processing Agreement von DigitalOcean (Zertifizierung nach dem Data Privacy Framework hier abrufen) inkl. Auftragsverarbeiter-an-Auftragsverarbeiter Standardvertragsklauseln sowie vollständige Liste mit Subauftragnehmern unter Schedule 3 |
| Intercom R&D Unlimited Company, 124 St Stephen's Green, Dublin 2, DC02 C628, Irland | Kundensupport | Irland Data Processing Agreement von Intercom (Zertifizierung nach dem Data Privacy Framework hier abrufen) |
| Redis EMEA Ltd., Bridge House, 4 Borough High Street, London SE1 9QQ, UK | Das Cachen von API Requests für eine Optimierung der Anzeigegeschwindigkeit in Chatarmin | Großbritannien (Angemessenheitsbeschluss) Data Processing Agreement von Redis |
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen | API-Backend Hosting von chatarmin, Bereitstellen der Datenbank für die Kontaktdaten, Speichern von Analysedaten für Kundenaktionen sowie Statistikdaten zu den Anzahl der Flows pro Kunde, Opening Rates sowie Einsatz zur Produktentwicklung | Deutschland Data Processing Agreement von Hetzner |
| Typesense, Inc 14090 Southwest Freeway, Suite 300, Sugar Land, TX, 77478, USA | Speicherung der Chathistorie & Kontakte für schnelles Suchen der Daten. Optional: Speicherung von Chatbotdaten, nur in Verbindung mit Chatarmin AI | USA Data Processing Agreement inkl. Auftragsverarbeiter-an-Auftragsverarbeiter Standardvertragsklauseln sowie vollständige Liste mit Subauftragnehmern |
| Vercel Inc. 440 N Barranca Ave #4133 Covina, CA 91723 | Frontend Hosting | USA Data Processing Agreement (Zertifizierung nach dem Data Privacy Framework hier abrufen) |
| Optionales: Zugriff nur in Verbindung mit Chatarmin AI | ||
| OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland | Bereitstellen der KI-Technologie, Verarbeiten von Anfragen, Generieren von Antworten. | USA Data Processing Agreement von Open AI inkl. Auftragsverarbeiter-an-Auftragsverarbeiter Standardvertragsklauseln sowie vollständige Liste mit Subauftragnehmern |
armincx (Customer Support Suite)
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
Art. 28 DSGVO stellt besondere Anforderungen an die Datenverarbeitung durch einen Auftragsverarbeiter. Um diesen besonderen Anforderungen zu entsprechen, schließen die Vertragsparteien diesen Vertrag zusätzlich zu den Nutzungsbedingungen ab. Er gilt für alle Tätigkeiten, die im Zusammenhang mit dem geschlossenen Hauptvertrag stehen und bei denen Mitarbeiter des Auftragnehmers oder vom Auftragnehmer beauftragte Personen personenbezogene Daten (nachfolgend "Daten") des Auftraggebers verarbeiten. Es gelten die Definitionen der DSGVO.
1. Vertragsgegenstand und Weisungsrecht des Auftraggebers
(1) Gegenstand dieses Vertrages sind die Leistungen des Auftragnehmers für den Auftraggeber im Bereich der Bereitstellung der armin.cx-Lösung. Zusätzlich wird auf Anlage 1 dieses Vertrages und die Nutzungsbedingungen verwiesen. Bei Änderungen der beauftragten Leistung ist dieser Auftragsverarbeitungsvertrag in Anlage 1 entsprechend anzupassen und zu ergänzen.
(2) Als Verantwortlicher ist der Auftraggeber allein dafür verantwortlich, die Zulässigkeit der Datenverarbeitung nach der DSGVO zu beurteilen.
(3) Bei der Erbringung der Leistung erhält der Auftragnehmer Zugang zu personenbezogenen Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers, es sei denn, der Auftragnehmer ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zu einer anderweitigen Verarbeitung verpflichtet.
(4) Die Weisungen des Auftraggebers sind in diesem Vertrag festgelegt und können vom Auftraggeber in mindestens dokumentierter elektronischer Form durch Einzelweisungen (Einzelweisungen) geändert, ergänzt oder ersetzt werden. Ist der Auftragnehmer nach dem Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu einer weitergehenden Verarbeitung verpflichtet, so teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit. (Art. 28 Abs. 3 lit. a) DSGVO).
(5) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, muss er den Auftraggeber unverzüglich darüber informieren. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung zu suspendieren, bis sie vom Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer kann die Durchführung einer offensichtlich rechtswidrigen Weisung verweigern, ohne dass ihm daraus negative Konsequenzen entstehen. Der Auftraggeber ist für die Erteilung rechtmäßiger Weisungen verantwortlich. (Art. 28 Abs. 3 Satz 3 DSGVO).
(6) Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages, sofern die folgenden Bestimmungen nicht darüber hinausgehende Verpflichtungen oder Kündigungsrechte enthalten.
2. Technische und organisatorische Maßnahmen
(1) Der Auftragnehmer hält die gesetzlichen Bestimmungen zum Datenschutz ein. Die Informationen des Auftraggebers werden ohne ausdrückliche Weisung des Auftraggebers nicht an Dritte weitergegeben oder offengelegt. Dokumente und Daten werden unter Berücksichtigung des Stands der Technik gegen unbefugten Zugriff gesichert.
(2) Der Auftragnehmer gestaltet die interne Organisation in seinem Verantwortungsbereich so, dass sie den besonderen Anforderungen des Datenschutzes entspricht und gewährleistet, dass er alle notwendigen technischen und organisatorischen Maßnahmen zum Schutz der Daten des Auftraggebers nach Art. 32 DSGVO getroffen hat. Es wird auf Anhang 2 verwiesen.
(3) Der Auftraggeber überprüft die technischen und organisatorischen Maßnahmen des Auftragnehmers vor Beginn der Datenverarbeitung und danach regelmäßig. Änderungen an den vereinbarten Sicherheitsmaßnahmen können vorgenommen werden, sofern diese nicht unter das vertraglich vereinbarte Schutzniveau fallen.
3. Vertraulichkeit
Dem Auftragnehmer und seinen Mitarbeitern ist es untersagt, personenbezogene Daten ohne Berechtigung zu verarbeiten. Der Auftragnehmer verpflichtet alle von ihm mit der Verarbeitung und Erfüllung dieses Vertrages betrauten Personen zur Wahrung der Vertraulichkeit. Die Vertraulichkeitsverpflichtungen gelten auch nach Beendigung dieses Vertrages oder des Arbeitsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer.
4. Informationspflichten des Auftragnehmers
(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Pflichten des Auftragnehmers, Verdacht auf Sicherheitsvorfälle oder sonstigen Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten durch den Auftragnehmer, von ihm im Rahmen des Auftrags beschäftigte Personen oder durch Dritte, informiert der Auftragnehmer den Auftraggeber unverzüglich schriftlich oder in dokumentierter elektronischer Form, soweit sie sich auf diesen Vertrag beziehen. Gleiches gilt für Prüfungen des Auftragnehmers durch die Datenschutzaufsichtsbehörde, soweit sie sich auf diesen Vertrag beziehen.
(2) Die Meldung einer Verletzung des Schutzes personenbezogener Daten an den Auftraggeber enthält, soweit möglich, folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der Anzahl der betroffenen Personen, der betroffenen Kategorien und der Anzahl der betroffenen personenbezogenen Datensätze; b) eine Beschreibung der wahrscheinlichen Folgen der Verletzung und c) eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
(3) Der Auftragnehmer ergreift unverzüglich die notwendigen Maßnahmen zur Sicherung der Daten und zur Minimierung möglicher nachteiliger Folgen für die betroffenen Personen, informiert den Auftraggeber und bittet um weitere Weisungen des Auftraggebers.
(4) Sollten die Daten des Auftraggebers durch Beschlagnahme oder Pfändung, durch Insolvenz- oder Vergleichsverfahren oder durch andere Ereignisse oder Maßnahmen Dritter gefährdet werden, informiert der Auftragnehmer den Auftraggeber unverzüglich darüber, es sei denn, ihm ist dies durch gerichtliche oder behördliche Anordnung untersagt. In diesem Zusammenhang informiert der Auftragnehmer unverzüglich alle zuständigen Behörden darüber, dass die Entscheidungsbefugnis über die Daten ausschließlich beim Auftraggeber als "Verantwortlicher" im Sinne der DSGVO liegt.
(5) Soweit möglich, unterstützt der Auftragnehmer den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten nach Art. 12 bis 22 (Art. 28 Abs. 3 lit. e) DSGVO) und Art. 32 bis 36 DSGVO (Art. 28 Abs. 3 lit. f) DSGVO).
5. Kontrollrechte des Auftraggebers
(1) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche, schriftliche oder elektronische Anfrage innerhalb einer angemessenen Frist alle Informationen und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Überprüfung der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
(2) Inspektionen durch den Auftraggeber oder seine bevollmächtigten Prüfer, die nicht in einem Wettbewerbsverhältnis zum Auftragnehmer stehen dürfen, können während der normalen Geschäftszeiten und mit einer Vorlaufzeit von 14 Tagen durchgeführt werden. Der Auftraggeber führt Inspektionen nur im erforderlichen Umfang durch und stört die Betriebsabläufe des Auftragnehmers nur in verhältnismäßiger Weise. Der Auftragnehmer kann für die Unterstützung bei der Durchführung einer Inspektion eine Vergütung verlangen. Die Vergütung wird in Einzelverträgen vereinbart.
6. Einsatz von Unterauftragnehmern
(1) Die vertraglich vereinbarten Leistungen oder die nachfolgend beschriebenen Teilleistungen werden unter Einbeziehung der in Anlage 3 aufgeführten Unterauftragnehmer (Unterauftragsverarbeiter) erbracht. Alle anderen bereits beteiligten und vom Auftraggeber zum Zeitpunkt des Vertragsabschlusses autorisierten Auftragsverarbeiter sind in Anlage 3 aufgeführt. Der Auftraggeber erteilt eine allgemeine Genehmigung zur Einbeziehung anderer Auftragsverarbeiter in Bezug auf die Verarbeitung von Auftraggeberdaten (Unterauftragnehmer). Wir sind verpflichtet, unsere Auftraggeber über die Einbeziehung oder Änderungen anderer Auftragsverarbeiter zu informieren, wobei schriftliche Informationen in Textform ausreichen. Darüber hinaus schließen wir mit allen Unterauftragnehmern vergleichbare Auftragsverarbeitungsverträge ab. Wir informieren unsere Auftraggeber schriftlich mindestens 14 Tage im Voraus über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern und geben dem Verantwortlichen damit ausreichend Zeit, diesen Änderungen vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter(s) zu widersprechen (Widerspruchsrecht nach Art. 28 Abs. 2 Satz 2 DSGVO). Das Widerspruchsrecht erlischt, wenn Sie nicht innerhalb von 14 Tagen nach Erhalt der Mitteilung über die Änderung oder Einbeziehung schriftlich widersprochen haben. Im Falle eines Widerspruchs haben beide Parteien das Recht, den Hauptvertrag und diesen Vertrag zur Auftragsverarbeitung mit einer Kündigungsfrist von 3 Monaten zu kündigen.
(2) Ein Unterauftragnehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Leistungen beauftragt, die als reine Nebenleistungen zu betrachten sind. Dazu gehören beispielsweise Post-, Transport- und Versanddienstleistungen, Reinigungsdienstleistungen, Telekommunikationsdienstleistungen ohne spezifischen Bezug zu den vom Auftragnehmer für den Auftraggeber erbrachten Leistungen und Sicherheitsdienstleistungen. Wartungs- und Prüfdienstleistungen stellen genehmigungspflichtige Unterauftragnehmerverhältnisse dar, wenn sie für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber verwendet werden.
7. Haftung
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen nach den Bestimmungen des Art. 82 DSGVO.
8. Beendigung des Hauptvertrages
(1) Der Auftragnehmer gibt dem Auftraggeber nach Beendigung des Hauptvertrages oder jederzeit auf Verlangen des Auftraggebers alle ihm zur Verfügung gestellten Unterlagen, Daten und Datenträger zurück oder - auf Verlangen des Auftraggebers, sofern keine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht - löscht sie. Dies gilt auch für eventuelle Datensicherungen beim Auftragnehmer. Der Auftragnehmer erbringt den dokumentierten Nachweis der ordnungsgemäßen Löschung eventuell noch vorhandener Daten.
(2) Der Auftragnehmer ist verpflichtet, die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten auch nach Ende des Hauptvertrages vertraulich zu behandeln. Dieser Vertrag bleibt über das Ende des Hauptvertrages hinaus gültig, solange der Auftragnehmer personenbezogene Daten besitzt, die ihm vom Auftraggeber übermittelt wurden oder die er für den Auftraggeber erhoben hat.
9. Schlussbestimmungen
(1) Die Parteien vereinbaren, dass die Geltendmachung des Zurückbehaltungsrechts durch den Auftragnehmer in Bezug auf die zu verarbeitenden Daten und die damit verbundenen Datenträger ausgeschlossen ist.
(2) Änderungen und Ergänzungen dieses Vertrages müssen schriftlich oder in dokumentierter elektronischer Form erfolgen.
(3) Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so berührt dies nicht die Gültigkeit der übrigen Bestimmungen und es gelten die gesetzlichen Bestimmungen des Art. 28 DSGVO.
(4) Dieser Vertrag unterliegt österreichischem Recht. Ausschließlicher Gerichtsstand ist Wien.
Anlagen:
- Anlage 1 - Beschreibung der betroffenen Personen/Gruppen betroffener Personen und besonders sensible Daten/Datenkategorien
- Anlage 2 - Technische und organisatorische Maßnahmen des Auftragnehmers
- Anlage 3 - Unterauftragnehmer
Anlage 1 - Beschreibung der betroffenen Personen/Gruppen betroffener Personen und besonders sensible Daten/Datenkategorien
| Gegenstand der Verarbeitung | Die spezifische Verarbeitung hängt von der Nutzung durch den Auftraggeber ab. |
|---|---|
| Art und Zweck der Verarbeitung | Die Customer Support Suite ist ein webbasiertes Ticketing- und Kommunikationssystem, das speziell für E-Commerce-Unternehmen entwickelt wurde. Die Lösung bündelt Kundenanfragen aus verschiedenen Kanälen – einschließlich WhatsApp, E-Mail, Telefon und sozialen Netzwerken (z.B. Facebook, Instagram) – und stellt sie in einer einzigen Benutzeroberfläche zur Verfügung. Dies ermöglicht eine effiziente Bearbeitung von Support-Anfragen über alle Kanäle hinweg. Gegenstand und Zweck der Verarbeitung: Der Zweck der Datenverarbeitung ist die Verwaltung und Bearbeitung von Kundenanfragen und die Kommunikation mit betroffenen Personen (Endkunden) im Rahmen der Vertragsabwicklung, Kundenbetreuung, Support-Dienstleistungen und Serviceoptimierung. |
| Art der personenbezogenen Daten | Art der verarbeiteten personenbezogenen Daten: • Kontaktdaten (z.B. Name, Telefonnummer, E-Mail-Adresse, Social Media Handle) • Kommunikationsinhalte (z.B. Nachrichtenverlauf, E-Mails, Chat-Verläufe, Audioaufzeichnungen von Telefonaten) • Metadaten (z.B. Zeitstempel, verwendeter Kanal, Bearbeiterinformationen) • Gegebenenfalls Bestell- und Kundendaten aus angeschlossenen E-Commerce-Systemen (zur Kontexterstellung) Werden besondere Kategorien personenbezogener Daten verarbeitet? Je nach Auftrag und Weisung des Auftraggebers. Werden besondere Kategorien personenbezogener Daten verarbeitet, ist eine Zusatzvereinbarung erforderlich. |
| Kategorien betroffener Personen | • Abonnenten des Auftraggebers • Kunden des Auftraggebers |
Anlage 2 - Technische und organisatorische Maßnahmen des Auftragnehmers
Nachfolgende Maßnahmen für Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung wurden implementiert.
1. Vertraulichkeit
Vertraulichkeit = personenbezogene Daten dürfen unbefugten Personen oder Organisationen nicht zur Verfügung gestellt oder offengelegt werden
a. Zutrittskontrolle zu Datenverarbeitungsanlagen, die zur Verarbeitung personenbezogener Daten genutzt werden
= Maßnahmen, um unbefugten Personen den Zugang zu Datenverarbeitungsanlagen zu verwehren
Alarmanlage; Schutz von Liegenschaften, Fenstern, Schächten; Sicherheitsschlösser und Schlüsselregelungen sowie Protokollierung der Schlüsselausgabe; Videoüberwachung der Gebäudeeingänge; Protokollierung von Besuchern; verschlossene Türen bei Abwesenheit.
b. Zugriffskontrolle zu Datenverarbeitungssystemen
= Maßnahmen, um zu gewährleisten, dass Datenverarbeitungssysteme nicht von unbefugten Personen genutzt werden können
Zwei-Faktor-Authentifizierung, wo möglich, und teilweise biometrische Freigabe; Anmeldung mit Benutzername und Passwort; Regelungen zur Passwortkomplexität; Verwendung eines Passwort-Safes; automatische Sperrung des Bildschirms & Passworteingabe für erneuten Zugriff; Verwendung von Antiviren-Software; aktive Firewall für Hard- und Software; keine Verwendung von USB-Sticks; Verschlüsselung von Smartphones/Laptops/Tablets; Erstellung von Benutzerberechtigungen (Zuteilung nach dem Need-to-know-Prinzip); sorgfältige Auswahl von Dienstleistern; Clean-Desk-Policy; No-Print-Policy.
c. Zugriffskontrolle
Maßnahmen, die nur berechtigten Personen den Zugriff auf die Daten erlauben; dies gilt für Verarbeitung, Nutzung und Speicherung (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen)
Zugriffs-Protokollierung zu Datenverarbeitungssystemen (z.B. Protokollierung von Eingaben, Änderungen und Löschungen); Verschlüsselung von Smartphones; Berechtigungskonzept (Regeln für Beantragung, Genehmigung, Umsetzung und Entzug von Berechtigungen) einschließlich Regeln für den Zugriff auf Datensicherungen; Rechteverwaltung durch Systemadministratoren und Anzahl der Administratoren auf das absolute Minimum reduziert (Need-to-know-Prinzip).
d. Pseudonymisierung/Anonymisierung
= Speicherung der Daten in pseudonymisierter Form, d.h. ein Personenbezug kann nicht direkt, aber durch Verknüpfung mit anderen Daten hergestellt werden
Kein Zugriff auf in chatarmin gespeicherte Kontaktdaten der betroffenen Personen; lokal gehostete Testdaten; Verwendung von Dummy-Daten; Trennung von Zuordnungsdaten und Speicherung in separaten und sicheren Systemen; personenbezogene Daten werden nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht/vollständig anonymisiert; Ende-zu-Ende-Verschlüsselung
e. Trennungskontrolle
=Daten verschiedener Auftraggeber werden getrennt gespeichert
Logische Mandantentrennung auf der Software-Seite; logische Trennung (Ordnerstruktur, strukturierte Dateispeicherung); Trennung von Entwicklungs-, Test- und Produktionsumgebungen; keine Verwendung personenbezogener Realdaten für Testzwecke; Verwaltung separater Datenbanken; Mandantenfähigkeit; Berechtigungskonzept; Definition von Datenbankrechten
2. Integrität
Gewährleistung der Richtigkeit, Integrität und Vollständigkeit personenbezogener Daten
a. Übertragungskontrolle
= Kein unbefugtes Lesen, Kopieren oder Verändern von Daten bei elektronischen Übertragungen (z.B. E-Mails) oder Transport
Kein Versenden sensibler Daten per E-Mail; Ende-zu-Ende-Verschlüsselung; Verbot bestimmter Übertragungen (z.B. USB-Sticks, CDs, Bänder); anonymisierte/pseudonymisierte Übertragung; Übertragung ausschließlich nach dem Need-to-know-Prinzip; Übertragung von Papierdokumenten in versiegelten, undurchsichtigen Umschlägen; https-Verschlüsselung auf der Website; sorgfältige Auswahl von Dienstleistern.
b. Eingabekontrolle
= es ist möglich zu bestimmen, ob, wann und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden
Automatische Protokollierung von Änderungen; differenzierte Benutzerberechtigungen (Lesen, Ändern, Löschen); Zuweisung individueller Benutzernamen; Protokollierung administrativer Tätigkeiten.
3. Auftragskontrolle
Die Auftragsverarbeitung entsprechend dem Auftrag und den Weisungen ist gewährleistet. Die Daten des Auftraggebers werden ausschließlich entsprechend den Weisungen des Auftraggebers verarbeitet. Zu diesem Zweck wurde ein Auftragsverarbeitungsvertrag geschlossen. Unterauftragnehmer werden nur entsprechend den vertraglichen Bestimmungen vom Auftraggeber beauftragt.
4. Verfügbarkeit & Belastbarkeit
Schutz vor Zerstörung und Verlust und Gewährleistung der Nutzung von Daten
Nutzung redundanter Systeme; Backup-Konzept implementiert; redundante Systemlandschaft.
5. Regelmäßige Überprüfung, Bewertung & Evaluierung der getroffenen technischen und organisatorischen Maßnahmen
Kontinuierliche Überprüfung der TOMs; Führung eines Verarbeitungsverzeichnisses; Bestellung eines Datenschutzbeauftragten - Kontaktdaten: Mag.a iur. Elisa Drescher, [email protected]; Mitarbeiterschulungen; dokumentierte Prozesse für die Einhaltung der DSGVO etabliert (rechtzeitige Beantwortung von Auskunftsersuchen, Meldung von Verletzungen an die Aufsichtsbehörde); sorgfältige Auswahl von Dienstleistern; Umsetzung des Zweckbindungsgrundsatzes;
Anhang 3 - Autorisierte Unterauftragnehmer
Autorisierte Unterauftragnehmer gemäß 6. dieses Vertrages:
| Beauftragte Firma | Verarbeitungstätigkeit | Verarbeitungsort |
|---|---|---|
| WhatsApp Ireland Limited | Bereitstellung von WhatsApp für die Kommunikation; Hosting der WhatsApp API | Irland und Drittländer, in denen verbundene Unternehmen von WhatsApp ansässig sind, wie WhatsApp LLC und Facebook Inc. (Meta Platforms Inc.) WhatsApp LLC, 1601 Willow Road Menlo Park, California 94025 - Zertifizierung nach dem Data Privacy Framework hier erhalten Meta Platforms Inc, Meta Platforms, Inc. 1 Meta Way Menlo Park, California 94025-1453 - Zertifizierung nach dem Data Privacy Framework hier erhalten Auftragsverarbeitungsvertrag von WhatsApp Ireland Limited inkl. Auftragsverarbeiter-zu-Auftragsverarbeiter-Standardvertragsklauseln und vollständige Liste der Unterauftragnehmer |
| Supabase Inc., Camden, 3500 S Dupont Hwy, United States | Technische Infrastruktur für Authentifizierung, Caching, Bild-Uploads und Datenbankmanagement für alle Tool-Daten | USA |
| Mailgun Technologies, Inc., 112 E Pecan Street #1135, San Antonio, TX 78205 | Verifizierung von E-Mail-Adressen, E-Mail-Versand | USA Mailgun ist unter dem EU-U.S. Data Privacy Framework zertifiziert. |
| Sequin Labs, Inc 156 2nd Street, Suite 403, San Francisco, CA 94105 | Die Lösung erfasst Echtzeitänderungen in Daten aus einer PostgreSQL-Datenbank (Change Data Capture) und streamt sie direkt an Systeme wie Kafka Redis. | USA Auftragsverarbeitungsvertrag inkl. Standardvertragsklauseln |
| Redis EMEA Ltd., Bridge House, 4 Borough High Street, London SE1 9QQ, UK | Caching von Daten | UK (Angemessenheitsbeschluss) Auftragsverarbeitungsvertrag von Redis |
| Elest Limited, 66 Fitzwilliam Square, Dublin, 2 D02 AT27, Ireland, Europe | Hosting des chatarmin-Backends | Deutschland (Hetzner Online GmbH) Auftragsverarbeitungsvertrag von Elest |
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany | API von chatarmin zur Herstellung der Kommunikation mit chatarmin | Deutschland Auftragsverarbeitungsvertrag von Hetzner |
Optional: Zugriff nur in Verbindung mit Chatbot-API
| Beauftragte Firma | Verarbeitungstätigkeit | Verarbeitungsort |
|---|---|---|
| OpenAI Ireland Ltd, 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland | Bereitstellung von KI-Technologie, Verarbeitung von Anfragen, Generierung von Antworten. | Auftragsverarbeitungsvertrag von OpenAI inkl. Auftragsverarbeiter-zu-Auftragsverarbeiter-Standardvertragsklauseln und vollständige Liste der Unterauftragnehmer |