Auftragsverarbeitungsvertrag (AVV/DPA)

Letzte Aktualisierung: 11. Dezember 2024

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO regelt die Datenverarbeitung im Auftrag zwischen dem Auftraggeber (Kunde) und dem Auftragnehmer (Webweezl).

1. Vertragsparteien

Auftragnehmer (Webweezl):

Ahmad Fawad Sabri
Webweezl
Rüsselsheimer Str. 167
65451 Kelsterbach
Deutschland

E-Mail: info@webweezl.de

Auftraggeber: Der jeweilige Kunde, der die Webweezl Chatbot Plattform nutzt.

2. Gegenstand und Dauer

Webweezl verarbeitet personenbezogene Daten im Auftrag des Kunden im Rahmen der Bereitstellung der KI-Chatbot-Plattform. Die Laufzeit entspricht der Vertragslaufzeit der Hauptleistung.

3. Art und Zweck der Verarbeitung

Zweck: Bereitstellung und Betrieb von KI-gestützten Chatbots

Art der Verarbeitung:

  • Speicherung von Chat-Nachrichten
  • Verarbeitung hochgeladener Dokumente (PDF, DOCX, TXT)
  • KI-gestützte Antwortgenerierung über Google Gemini API
  • Verwaltung von Nutzerkonten und Workspaces

4. Art der Daten und betroffene Personen

Kategorien betroffener Personen:

  • Endnutzer, die mit dem Chatbot interagieren
  • Kunden-Mitarbeiter, die die Plattform administrieren

Kategorien personenbezogener Daten:

  • Chat-Nachrichten (Textinhalte)
  • E-Mail-Adressen (bei Lead-Erfassung)
  • Technische Daten (IP-Adresse, Browser, Zeitstempel)
  • Hochgeladene Dokumente und Wissensdatenbanken

5. Sub-Auftragnehmer

Der Auftraggeber stimmt der Beauftragung folgender Sub-Auftragnehmer zu:

Cloudflare, Inc.

Zweck: Hosting und Content Delivery (Cloudflare Pages, D1 Database, R2 Storage)

Standort: USA (EU-US Data Privacy Framework zertifiziert)

Datenschutz: cloudflare.com/privacypolicy

Google LLC

Zweck: KI-Modelle für Chatbot-Antworten (Gemini Flash, Gemini Pro, Text Embeddings)

Standort: USA (EU-US Data Privacy Framework + EU-Standardvertragsklauseln)

Speicherdauer: 30 Tage (API-Daten), kein Training auf Kundendaten (Zero Retention)

Datenschutz: policies.google.com/privacy

Stripe Payments Europe Ltd.

Zweck: Zahlungsabwicklung

Standort: Irland (EU)

Datenschutz: stripe.com/privacy

6. Technische und organisatorische Maßnahmen (TOMs)

Webweezl implementiert folgende Sicherheitsmaßnahmen:

  • Verschlüsselung: HTTPS (TLS 1.3) für Datenübertragung, Verschlüsselung at-rest für Datenbanken
  • Zugriffskontrolle: Authentifizierung via E-Mail/Passwort, Zwei-Faktor-Authentifizierung (2FA) verfügbar
  • Datentrennung: Multi-Tenant-Architektur mit Workspace-Isolation
  • Logging & Monitoring: Protokollierung sicherheitsrelevanter Ereignisse
  • Backup: Automatische tägliche Backups der Datenbanken
  • Incident Response: Meldepflicht bei Datenpannen gemäß Art. 33 DSGVO

7. Löschung und Herausgabe von Daten

Nach Beendigung der Vertragsbeziehung werden alle Kundendaten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Kunde kann jederzeit eine Löschung seiner Daten beantragen.

8. Pflichten des Auftragnehmers

  • Verarbeitung nur gemäß dokumentierten Weisungen des Auftraggebers
  • Gewährleistung der Vertraulichkeit (Verpflichtung von Mitarbeitern)
  • Unterstützung bei Betroffenenrechten (Auskunft, Löschung, etc.)
  • Meldung von Datenschutzverletzungen innerhalb von 24 Stunden
  • Bereitstellung aller erforderlichen Informationen zum Nachweis der DSGVO-Konformität

9. Rechte des Auftraggebers

Der Auftraggeber hat das Recht:

  • Weisungen zur Datenverarbeitung zu erteilen
  • Nachweise über die Einhaltung von Art. 28 DSGVO anzufordern
  • Überprüfungen und Audits durchzuführen (nach vorheriger Ankündigung)

10. Kontakt

Bei Fragen zum AVV wenden Sie sich bitte an:

E-Mail: info@webweezl.de
Telefon: +49 (0) 176 3437 5223