Importieren

Alle löschen

Neues Projekt

AVV als PDF speichern

Vertragsparteien

§ 1 Gegenstand und Dauer des Auftrags

(1) Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich im Rahmen der Bereitstellung der KI-Coaching-Plattform „Yasmin KI".

(2) Der Vertrag gilt ab dem Zeitpunkt der Akzeptanz und endet automatisch mit Beendigung des Nutzungsverhältnisses, es sei denn, gesetzliche Aufbewahrungspflichten erfordern eine fortgesetzte Verarbeitung.

(3) Der Verantwortliche kann den Vertrag jederzeit mit einer Frist von 14 Tagen zum Monatsende kündigen. Der Auftragsverarbeiter kann den Vertrag mit einer Frist von 30 Tagen kündigen.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Gegenstand: Bereitstellung der KI-gestützten Business-Coaching-Plattform „Yasmin KI" für Online-Marketing, digitale Produkte, Funnel- und Positionierungsberatung.

(2) Die Verarbeitung umfasst folgende Tätigkeiten: Erhebung, Speicherung, Organisation, Verwendung, Übermittlung, Einschränkung und Löschung personenbezogener Daten.

(3) Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

§ 3 Kategorien betroffener Personen und Datenarten

(1) Betroffene Personen: Registrierte Nutzer der Plattform Yasmin KI (Kunden, Interessenten, Abonnenten).

(2) Verarbeitete Datenkategorien:

• Identifikationsdaten: Vor- und Nachname, Anzeigename, Unternehmensname
• Kontaktdaten: E-Mail-Adresse, Telefonnummer
• Zugangsdaten: Zugangs-Status (Zahlungsabwicklung extern, nicht bei Yasmin KI)
• Technische Daten: IP-Adresse, Browser-Typ, Geräteinformationen, Session-Token (gehashed)
• Nutzungsdaten: Chat-Verläufe, hochgeladene Dateien/Bilder, Konversationsmetadaten
• Profildaten: Business-Nische, Zielgruppe, Geschäftsphase, persönliche Ziele, Tonalitätspräferenz
• Vertragsdaten: AVV-Akzeptanzdatum, -name, -unternehmen

§ 4 Weisungsgebundenheit des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzungsbedingungen und diese AVV stellen die primären Weisungen dar.

(2) Weitergehende Weisungen sind schriftlich oder per E-Mail zu erteilen.

(3) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen.

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• zur Verarbeitung personenbezogener Daten ausschließlich gemäß dieser AVV und der Weisung des Verantwortlichen;
• zur Wahrung der Vertraulichkeit aller im Rahmen des Auftrags verarbeiteten Daten;
• zur Sicherstellung, dass zugriffsberechtigte Personen zur Vertraulichkeit verpflichtet sind;
• zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO;
• den Verantwortlichen unverzüglich zu informieren, falls eine Weisung nach seiner Einschätzung gegen geltendes Recht verstößt;
• dem Verantwortlichen bei der Erfüllung der Rechte betroffener Personen (Art. 15–22 DSGVO) zu assistieren;
• den Verantwortlichen bei der Einhaltung von Art. 32–36 DSGVO zu unterstützen;
• Datenschutzverletzungen gemäß Art. 33 DSGVO unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, dem Verantwortlichen zu melden;
• nach Beendigung des Auftrags alle personenbezogenen Daten zu löschen oder zurückzugeben und Löschung zu dokumentieren.

§ 6 Unterauftragsverarbeiter (weitere Auftragsverarbeiter)

(1) Der Verantwortliche erteilt hiermit die allgemeine Genehmigung zur Beauftragung nachstehender Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über geplante Änderungen mit angemessener Frist.

(2) Der Auftragsverarbeiter stellt sicher, dass alle Unterauftragsverarbeiter vertraglich zu denselben Datenschutzverpflichtungen verpflichtet sind wie der Auftragsverarbeiter selbst.

(3) Bei Hinzufügung oder Wechsel von Unterauftragsverarbeitern informiert der Auftragsverarbeiter den Verantwortlichen mindestens 14 Tage im Voraus per E-Mail. Der Verantwortliche kann Einwände erheben.

§ 7 Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO

(1) Vertraulichkeit:

• TLS 1.2/1.3-Verschlüsselung aller Datentransporte
• Passwörter ausschließlich als bcrypt-Hash (Cost Factor 12) gespeichert
• JWT-Authentifizierung mit 8h-Ablaufzeit, nur im RAM gehalten (kein localStorage)
• Rollenbasierte Zugriffskontrolle (Admin / User)
• Rate-Limiting auf allen kritischen API-Endpunkten

(2) Integrität:

• CSRF-Schutz durch Token-Validierung
• Input-Validierung und Sanitization auf allen Endpunkten
• Content Security Policy (CSP) Header zur XSS-Prävention
• CORS-Whitelist für autorisierte Origins
• E-Mail-Verifikation bei Registrierung

(3) Verfügbarkeit und Belastbarkeit:

• Automatische Skalierung durch Vercel Serverless Infrastructure
• Regelmäßige Datenbankbackups durch Supabase
• Monitoring und Fehlerprotokollierung

(4) Überprüfung: Die TOMs werden regelmäßig überprüft und bei Bedarf angepasst, um stets dem Stand der Technik zu entsprechen.

§ 8 Rechte der betroffenen Personen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung folgender Rechte der betroffenen Personen:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

§ 9 Datenschutzverletzungen (Art. 33, 34 DSGVO)

(1) Der Auftragsverarbeiter meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, an: info@instabusinessliga.com

(2) Die Meldung enthält: Art der Verletzung, betroffene Datenkategorien und -mengen, wahrscheinliche Folgen, ergriffene Gegenmaßnahmen.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsverhältnisses löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht (z. B. steuerliche Aufbewahrungsfristen für Rechnungsdaten: 7 Jahre gemäß öst. BAO).

(2) Auf schriftlichen Wunsch des Verantwortlichen kann eine dokumentierte Datenrückgabe in maschinenlesbarem Format (JSON/CSV) innerhalb von 14 Tagen bereitgestellt werden.

§ 11 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche ist berechtigt, die Einhaltung der Datenschutzvorschriften und dieser AVV durch den Auftragsverarbeiter zu kontrollieren.

(2) Kontrollen sind mit mindestens 5 Werktagen Vorlauf anzukündigen, finden zu Geschäftszeiten statt und werden gemeinsam abgestimmt. Alternativ können Audit-Zertifikate (ISO 27001 o. ä.) akzeptiert werden.

§ 12 Haftung

(1) Die Parteien haften gemäß den Regelungen der DSGVO. Im Außenverhältnis gegenüber betroffenen Personen gelten Art. 82 Abs. 2 und 3 DSGVO.

(2) Im Innenverhältnis ist die Haftung des Auftragsverarbeiters für mittelbare Schäden — außer bei Vorsatz oder grober Fahrlässigkeit — auf die Höhe der in den letzten 12 Monaten tatsächlich gezahlten Vergütung begrenzt.

(3) Die verschuldensunabhängige Haftung nach Art. 82 Abs. 1 DSGVO bleibt unberührt.

§ 13 Drittlandtransfers

(1) Transfers personenbezogener Daten in Drittländer (insb. USA) erfolgen ausschließlich auf Basis geeigneter Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln der EU-Kommission, Beschluss 2021/914/EU). Die aktuellen SCCs sind auf Anfrage erhältlich.

§ 14 Schlussbestimmungen

(1) Änderungen dieser AVV bedürfen der Schriftform. Mündliche Nebenabreden haben keine Gültigkeit.

(2) Es gilt das Recht der Republik Österreich. Ergänzend findet die DSGVO in ihrer jeweils gültigen Fassung Anwendung.

(3) Gerichtsstand für Streitigkeiten aus diesem Vertrag ist Wiener Neustadt, Niederösterreich, Österreich.

(4) Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(5) Im Falle von Widersprüchen zwischen dieser AVV und den Allgemeinen Nutzungsbedingungen hat diese AVV in Datenschutzfragen Vorrang.