Regelungen zur Auftragsverarbeitung personenbezogener Daten

1. Geltungsbereich

  1. Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.

  2. Der Vertrag findet Anwendung auf alle Tätigkeiten, bei denen der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet.

  3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. In diesem Sinne ist der Auftraggeber der „Verantwortliche“, der Auftragnehmer der „Auftragsverarbeiter“. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2. Gegenstand und Dauer der Verarbeitung

  1. Gegenstand: Der Auftragnehmer erbringt Dienstleistungen im Bereich der Bereitstellung und des Betriebs von KI-gestützten Telefonassistenten. Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen.

  2. Dauer: Dieser Vertrag gilt für die Dauer der Geschäftsbeziehung zwischen den Parteien und endet automatisch mit Beendigung der Zusammenarbeit, sofern keine anderweitige Vereinbarung getroffen wird.

3. Art, Zweck und betroffene Daten

  1. Art der Verarbeitung: Speicherung, Abfrage, Organisation, Anpassung, Übermittlung und Löschung von personenbezogenen Daten.

  2. Zweck der Verarbeitung: Bereitstellung eines Telefonassistenten zur Unterstützung der Kommunikationsprozesse des Auftraggebers.

  3. Betroffene Datenkategorien:

    • Kontaktdaten (z. B. Name, Telefonnummer, E-Mail-Adresse).

    • Gesprächsinhalte (z. B. Nachrichten, Aufzeichnungen, Protokolle).

  4. Betroffene Personen: Kunden, Interessenten, Lieferanten und Mitarbeiter des Auftraggebers sowieAnrufer, die mit dem KI-Telefonassistenten interagieren.

4. Pflichten des Auftragnehmers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten.

  2. Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung eingesetzten Personen auf Vertraulichkeit verpflichtet sind.

  3. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

  4. Es werden technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO umgesetzt, um ein angemessenes Schutzniveau sicherzustellen.

  5. Der Auftragnehmer verpflichtet sich, den Verantwortlichen bei der Einhaltung der in der DSGVO festgelegten Pflichten zu unterstützen. Dazu gehört insbesondere:

    • die Unterstützung bei der Erfüllung von Betroffenenrechten (z. B. Auskunft, Berichtigung, Löschung);

    • die Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO;

    • die Unterstützung bei der Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO;

    • der Umsetzung erforderlicher und angemessener technischer und die Unterstützung bei der Umsetzung erforderlicher und angemessener technischer und organisatorischer Maßnahmen zur Sicherheit der Datenverarbeitung gemäß Art. 32 DSGVO;

    • die Unterstützung bei der Benachrichtigung von Betroffenen im Falle von Datenschutzverletzungen gemäß Art. 34 DSGVO;

    • die Unterstützung bei der vorherigen Konsultation der Aufsichtsbehörde, wenn eine Datenschutz-Folgenabschätzung ein hohes Risiko für die Datenverarbeitung ergibt, gemäß Art. 36 DSGVO.

  6. Der Auftragnehmer verpflichtet sich, dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus diesem Vertrag und der DSGVO zur Verfügung zu stellen. Der Auftragnehmer ermöglicht Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt dazu bei.

  7. Der Auftragnehmer verpflichtet sich, die im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten ausschließlich für die Erbringung der vertraglich vereinbarten Leistungen zu nutzen. Eine Verarbeitung dieser Daten für andere Zwecke, insbesondere für das Training, die Entwicklung oder die Optimierung von KI-Modellen, ist ausdrücklich ausgeschlossen.

5. Subunternehmer

  1. Der Auftragnehmer ist berechtigt, Subunternehmer zur Verarbeitung personenbezogener Daten einzusetzen oder zu wechseln, ohne dass hierfür die vorherige Zustimmung des Auftraggebers erforderlich ist.

  2. Der Auftragnehmer verpflichtet sich jedoch, den Auftraggeber über Änderungen oder neue Subunternehmer spätestens 30 Tage vor Beginn der Datenverarbeitung durch den Subunternehmer in Textform zu informieren.

  3. Der Auftraggeber hat das Recht, der Beauftragung eines Subunternehmers zu widersprechen, wenn ein berechtigtes Interesse (z. B. unzureichende Datenschutzmaßnahmen) vorliegt. Ein solcher Widerspruch ist innerhalb von 14 Tagen nach Mitteilung schriftlich zu erklären.

  4. Erfolgt kein Widerspruch, gilt die Beauftragung des Subunternehmers als genehmigt.

  5. Der Auftragnehmer stellt sicher, dass Subunternehmer denselben Datenschutzverpflichtungen unterliegen.

  6. Die Verarbeitung personenbezogener Daten durch Subunternehmer in Drittstaaten erfolgt ausschließlich auf Basis geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere durch den Abschluss von Standardvertragsklauseln (SCC) der EU-Kommission. Der Auftragnehmer stellt sicher, dass die Übermittlung auf rechtlicher Grundlage erfolgt und ein angemessenes Datenschutzniveau gewährleistet ist.

6. Technische und organisatorische Maßnahmen (TOMs)

  1. FlowLyne verpflichtet sich, ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten sicherzustellen. Zu diesem Zweck setzt FlowLyne die folgenden Maßnahmen um:
    Verschlüsselung: Alle Datenübertragungen erfolgen TLS-verschlüsselt, um die Vertraulichkeit und Integrität der Daten während der Übertragung zu gewährleisten.
    Authentifizierung: API-Zugriffe werden durch kryptografische Schlüssel authentifiziert, um sicherzustellen, dass nur autorisierte Systeme oder Personen Zugriff auf die Daten haben.
    Sicherung sensibler Daten: Sensible Konfigurationsdaten (z. B. Zugangsdaten, Tokens) werden sicher im Google Secret Manager gespeichert, um unbefugten Zugriff zu verhindern.
    Zugriffskontrolle: Der Zugriff auf Systeme und Daten ist durch rollenbasierte Berechtigungen beschränkt, sodass nur autorisierte Personen Zugriff auf die erforderlichen Informationen haben.
    Protokollierung: Zugriffe auf personenbezogene Daten werden protokolliert, um potenzielle Vorfälle nachvollziehbar zu machen und unberechtigte Zugriffe zu erkennen.

  2. Änderungen an den technischen und organisatorischen Maßnahmen, die das Schutzniveau nicht beeinträchtigen, dürfen im Rahmen der technischen Weiterentwicklung vorgenommen werden. Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen.

7. Rechte und Pflichten des Kunden

  1. Der Auftraggeber trägt die Verantwortung für die Rechtmäßigkeit der Verarbeitung.

  2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.

  3. Der Auftraggeber ist berechtigt, Kontrollrechte auszuüben, z. B. durch Audits oder Berichte.

8. Mitteilungspflichten

  1. Der Auftragnehmer meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden.

  2. Bei Anfragen von Betroffenen leitet der Auftragnehmer diese unverzüglich an den Auftraggeber weiter.

9. Beendigung der Verarbeitung

  1. Nach Beendigung des Hauptvertrags hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben.

  2. Der Auftragnehmer dokumentiert die ordnungsgemäße Löschung oder Rückgabe.

10. Haftung

  1. Der Auftragnehmer haftet nur für Schäden, die durch einen Verstoß gegen diesen Vertrag oder geltende Datenschutzgesetze entstehen.

  2. Die Haftung des Auftragnehmers für Schäden, die im Rahmen der Auftragsverarbeitung entstehen, ist auf die Höhe der im jeweiligen Vertragsjahr an den Auftragnehmer gezahlten Vergütung begrenzt. Diese Haftungsbegrenzung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.

11. Schlussbestimmungen

  1. Diese Regelungen sind Bestandteil der Allgemeinen Geschäftsbedingungen von FlowLyne. Änderungen erfolgen gemäß den in den AGB festgelegten Bestimmungen.

  2. Es gilt deutsches Recht. Gerichtsstand ist Berlin.

Stand: 30.10.2024