Data Processing Agreement

1. Gegenstand, Geltungsbereich, Rangfolge

1. Dieser Auftragsverarbeitungsvertrag („AVV“) regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der Chatbyte Plattform einschließlich aktivierter Chat- und Voice-Module sowie hiermit verbundener produktbezogener Funktionen („Leistungen“).
2. Soweit dieser AVV und der maßgebliche Nutzungsvertrag bzw. Bestellprozess für die Leistungen widersprüchliche Regelungen zur Auftragsverarbeitung enthalten, geht dieser AVV vor.
3. Die Einzelheiten der Verarbeitung ergeben sich aus Anlage 1 (gemeinsamer Teil der Verarbeitung) sowie den produktspezifischen Modulen Anlage 1A (Chat-Modul) und Anlage 1B (Voice-Modul), soweit die jeweiligen Leistungen genutzt werden.
4. Dieser AVV erfasst ausschließlich die vom Auftragsverarbeiter auf dokumentierte Weisung des Verantwortlichen erbrachte produktbezogene Auftragsverarbeitung. Nicht von diesem AVV erfasst ist eine Verarbeitung personenbezogener Daten, für die der Auftragsverarbeiter selbst Verantwortlicher im Sinne der DSGVO ist.
5. Nicht vom AVV erfasst sind insbesondere eigene Verarbeitungen des Auftragsverarbeiters für Account- und Organisationsverwaltung, Vertrags- und Rechnungsabwicklung, Zahlungsabwicklung, Betrugs-, Missbrauchs- und Sicherheitsprävention, allgemeine System- und Betriebsüberwachung, allgemeine Support-Administration, Marketing, Website-Betrieb sowie die Erfüllung gesetzlicher Pflichten.

2. Dauer

1. Dieser AVV gilt für die Laufzeit des maßgeblichen Nutzungsvertrags bzw. des sonstigen Vertrags über die Leistungen. Er bleibt hinsichtlich solcher Verarbeitungen fortbestehen, die zur Rückgabe oder Löschung personenbezogener Daten nach § 9 noch erforderlich sind. Produktspezifische Module gelten jeweils nur, soweit und solange die betreffenden Leistungen aktiviert oder genutzt werden.
2. Der Beginn der Auftragsverarbeitung richtet sich nach dem Beginn der Leistungserbringung.

3. Weisungsrecht

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder Recht der Mitgliedstaaten zu einer Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2. Weisungen können insbesondere durch Konfigurationen in der Plattform, Tickets oder in Textform erfolgen. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzrecht verstößt.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

1. Vertraulichkeit: Personen, die unter der Verantwortung des Auftragsverarbeiters personenbezogene Daten verarbeiten, sind zur Vertraulichkeit verpflichtet.
2. Sicherheit/TOMs: angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu implementieren und aufrechtzuerhalten (siehe Anlage 2).
3. Unterauftragsverarbeiter: Unterauftragsverarbeiter nur unter den Bedingungen dieses AVV einzusetzen (siehe § 6 und Anlage 3).
4. Unterstützung: den Verantwortlichen nach Maßgabe von § 7 und § 8 bei der Erfüllung seiner Pflichten (Betroffenenrechte, Sicherheit, Meldungen, DSFA/Behördenkommunikation) zu unterstützen.
5. Nachweise: die Einhaltung dieses AVV nach Maßgabe von § 10 nachzuweisen.

5. Pflichten des Verantwortlichen

Der Verantwortliche ist verantwortlich für:

1. die Rechtmäßigkeit der Verarbeitung, die Erfüllung von Informationspflichten und das Vorliegen einer Rechtsgrundlage,
2. die Erteilung, Dokumentation und Aktualität von Weisungen,
3. die datenschutzkonforme Ausgestaltung seiner Konfigurationen, Prompts und kommunikationsbezogenen Einstellungen sowie die Einholung erforderlicher Einwilligungen (insbesondere bei Telefonie/Marketing), soweit anwendbar.

6. Unterauftragsverarbeiter

1. Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern, die in Anlage 3 aufgeführt sind.
2. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund innerhalb einer angemessenen Frist widersprechen. Details (Fristen/Kanal) können ergänzend vereinbart werden.
3. Der Auftragsverarbeiter stellt sicher, dass mit Unterauftragsverarbeitern vertragliche Verpflichtungen bestehen, die im Wesentlichen denen dieses AVV entsprechen.

7. Unterstützung bei Betroffenenrechten

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen dabei, geeignete technische und organisatorische Maßnahmen zu treffen, um seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nach Kapitel III DSGVO nachzukommen.

8. Meldung von Datenschutzverletzungen / Unterstützung

1. Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden, soweit eine Benachrichtigung nach Art. 33 DSGVO durch den Verantwortlichen in Betracht kommt.
2. Die Meldung enthält - soweit verfügbar - die in Art. 33 Abs. 3 DSGVO genannten Informationen und wird fortlaufend ergänzt, sobald weitere Informationen vorliegen.
3. Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO.

9. Rückgabe und Löschung

1. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen oder gibt sie dem Verantwortlichen nach Wahl des Verantwortlichen zurück, sofern nicht das Unionsrecht oder das Recht der Mitgliedstaaten zur Speicherung der personenbezogenen Daten verpflichtet.
2. Soweit innerhalb des vereinbarten Leistungsumfangs Export- oder Bereitstellungsfunktionen vorgesehen sind, kann der Verantwortliche vor Beendigung des Vertrags die Herausgabe bzw. den Export der von ihm eingebrachten oder im Auftrag verarbeiteten Daten verlangen. Eine Rückgabe erfolgt in einem gebräuchlichen Format, soweit technisch vorgesehen.
3. Eine sofortige vollständige Löschung in allen technischen Teilsystemen ist nicht in jedem Einzelfall zeitgleich möglich. Technische Restbestände werden nur so lange vorgehalten, wie dies für die technische Bereinigung erforderlich ist; gesetzliche Aufbewahrungspflichten bleiben unberührt.

10. Nachweise / Audit

1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem AVV niedergelegten Pflichten zur Verfügung.
2. Der Verantwortliche ist berechtigt, Audits/Inspektionen durchzuführen oder durch einen zur Verschwiegenheit verpflichteten Prüfer durchführen zu lassen, nach angemessener Vorankündigung und während üblicher Geschäftszeiten, soweit dies erforderlich und verhältnismäßig ist. Der Auftragsverarbeiter kann angemessene Schutzmaßnahmen verlangen (z. B. Geheimhaltung, Scope-Begrenzung, keine Beeinträchtigung des Betriebs).
3. Soweit verfügbar, können Nachweise auch durch geeignete Berichte/Zertifizierungen erbracht werden.

11. Drittlandübermittlungen

1. Sofern im Rahmen der Leistungserbringung eine Übermittlung personenbezogener Daten in Drittländer erforderlich ist, erfolgt diese ausschließlich im Einklang mit den Anforderungen der Art. 44 ff. DSGVO, insbesondere auf Basis geeigneter Garantien (z. B. EU-Standardvertragsklauseln) und ergänzender Maßnahmen, soweit erforderlich.
2. Details zu Unterauftragsverarbeitern, Serverstandorten bzw. Verarbeitungsorten sowie möglichen Drittlandbezügen ergeben sich aus Anlage 3.

12. Schlussbestimmungen

1. Änderungen und Ergänzungen dieses AVV bedürfen der Textform, soweit nicht gesetzlich eine strengere Form vorgeschrieben ist.
2. Es gilt das im Nutzungsvertrag vereinbarte Recht und der dort vereinbarte Gerichtsstand, soweit zulässig.
3. Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1 - Beschreibung der Verarbeitung (gemeinsamer Teil)

1. Struktur der Verarbeitung

Die Verarbeitung erfolgt modular innerhalb der Chatbyte Plattform. Dieser gemeinsame Teil beschreibt die plattformübergreifenden Grundlagen. Die produktspezifischen Verarbeitungen ergeben sich ergänzend aus Anlage 1A (Chat-Modul) und Anlage 1B (Voice-Modul), soweit die jeweiligen Module genutzt werden.

2. Gemeinsame Zwecke der Verarbeitung

Je nach aktivierten Produktmodulen und Konfigurationen können insbesondere folgende plattformübergreifende Verarbeitungszwecke vorliegen:

• Verarbeitung von Kontakt-, Kommunikations-, Wissens- und Konfigurationsdaten zur Bereitstellung der beauftragten Produktfunktionen
• Speicherung und Ausführung kundenseitiger Konfigurationen, Regeln, Prompts, Workflows und Webhook-Aufrufe, soweit diese zur Bearbeitung der Kundenkommunikation dienen
• Übermittlung von Daten an vom Verantwortlichen aktivierte, produktbezogene Zielsysteme oder Integrationen, soweit diese im Auftrag des Verantwortlichen konfiguriert wurden
• technische Verarbeitung zur Bereitstellung, Nachvollziehbarkeit und Sicherung der auftragsbezogenen Produktfunktionen

Nicht Gegenstand dieses AVV sind eigene Verarbeitungen des Auftragsverarbeiters außerhalb der Weisungssphäre des Verantwortlichen, insbesondere für Registrierung, Login, Account- und Organisationsverwaltung, Vertrags- und Zahlungsabwicklung, allgemeine Support-Administration, Missbrauchs- und Sicherheitsprävention, Marketing oder den allgemeinen Website-Betrieb.

Hinweis: Soweit Wissensquellen, Webhooks, Integrationen, Audioaufzeichnungen oder sonstige optionale Funktionen durch den Verantwortlichen aktiviert werden, ist der Verantwortliche für die erforderliche datenschutzrechtliche Grundlage, Transparenz und Parametrisierung verantwortlich.

3. Gemeinsame Kategorien personenbezogener Daten

Je nach Konfiguration und Nutzung können insbesondere folgende Kategorien betroffen sein:

• Stammdaten und Kontaktdaten, z. B. Name, E-Mail-Adresse, Telefonnummer, externe Kennungen und kundenindividuelle Kontaktattribute
• Kommunikationsdaten und Inhaltsdaten, soweit sie in den aktivierten Produktmodulen verarbeitet werden
• Wissens- und Konfigurationsdaten, z. B. kundenseitig bereitgestellte Texte, Dokumente, URLs, Wissensartikel, Prompts, Regeln, Flows und webhookbezogene Parameter
• technische Metadaten der auftragsbezogenen Verarbeitung, soweit diese zur sicheren Bereitstellung und Nachvollziehbarkeit der produktbezogenen Funktionen erforderlich sind

4. Gemeinsame Kategorien betroffener Personen

• Mitarbeiter, Beauftragte, Administratoren und sonstige Nutzer des Verantwortlichen
• Endkunden, Interessenten, Anrufende, Angerufene, E-Mail-Absender und sonstige Kommunikationspartner des Verantwortlichen
• Sonstige Personen, deren Daten der Verantwortliche im Rahmen der Nutzung der Leistungen in die Plattform einbringt

5. Häufigkeit und Dauer der Verarbeitung

Die Verarbeitung erfolgt fortlaufend während der Laufzeit des Nutzungsvertrags, soweit und solange der Verantwortliche die jeweiligen Funktionen nutzt oder Daten in der Plattform vorhält. Einzelheiten zu Beendigung, Rückgabe und Löschung ergeben sich aus § 9 dieses AVV.

Anlage 1A - Chat-Modul

1. Gegenstand des Chat-Moduls

Das Chat-Modul umfasst insbesondere die Verarbeitung von Daten im Rahmen textbasierter Kundenkommunikation, E-Mail-Verarbeitung, wissensbasierter Antwortsysteme sowie unterstützter oder automatisierter Routing- und Bearbeitungsprozesse.

2. Art und Zweck der Verarbeitung im Chat-Modul

Je nach Nutzung durch den Verantwortlichen können insbesondere folgende Verarbeitungsvorgänge erfolgen:

• Verarbeitung von Kontakt-, Konversations- und Nachrichteninhalten im Rahmen von Webchat-, Messaging- und Support-Prozessen
• Entgegennahme, Parsing, Threading, Routing und Bearbeitung eingehender E-Mails einschließlich Anhängen und technischer Zustell- bzw. Authentifizierungsmerkmale
• Erstellung, Anzeige und Speicherung KI-gestützter Antwortvorschläge oder automatisierter Antworten im Rahmen der kundenseitig aktivierten Funktionen
• Speicherung, Indizierung, Vektorisierung und Durchsuchbarkeit kundenseitig bereitgestellter Wissensbestände (z. B. Dateien, Texte, Hilfeinhalte), soweit diese Funktion genutzt wird
• Verarbeitung kundenkonfigurierter Folgeaktionen, Workflows und Integrationen im Zusammenhang mit textbasierten Kommunikationsvorgängen

3. Typische Datenkategorien im Chat-Modul

• Nachrichteninhalte, Chatverläufe, E-Mail-Inhalte, Betreffzeilen, Header-Informationen und sonstige textbasierte Kommunikationsdaten
• Anhänge und sonstige vom Verantwortlichen oder dessen Kommunikationspartnern übermittelte Dateien
• Wissensinhalte, Dokumente, URLs, Artikel, Hilfetexte und daraus abgeleitete Such- oder Abrufstrukturen
• Ergebnis-, Routing- und Bearbeitungsdaten aus KI- oder Workflow-Prozessen

Anlage 1B - Voice-Modul

1. Gegenstand des Voice-Moduls

Das Voice-Modul umfasst insbesondere die Verarbeitung von Daten im Rahmen telefonischer oder sprachbasierter Kundenkommunikation sowie kundenseitig aktivierter Voice-Automatisierungen.

2. Art und Zweck der Verarbeitung im Voice-Modul

Je nach Nutzung durch den Verantwortlichen können insbesondere folgende Verarbeitungsvorgänge erfolgen:

• Entgegennahme, Aufbau, Routing und Steuerung von Telefonieverbindungen einschließlich Verarbeitung von Rufnummern, Verbindungsdaten, Gesprächsereignissen und Gesprächsergebnissen
• Verarbeitung von Gesprächsinhalten (Audio) zur Erbringung kundenseitig genutzter Voice-Funktionen
• optionale Erstellung und Verarbeitung von Transkripten, Zusammenfassungen, strukturierten Gesprächsergebnissen und kundenkonfigurierten Folgeaktionen
• Verarbeitung kundenkonfigurierter Voice-Webhooks, Integrationen oder nachgelagerter Systeme im Zusammenhang mit Gesprächsvorgängen

3. Typische Datenkategorien im Voice-Modul

• Rufnummern, Verbindungsdaten, Zeitstempel, Gesprächsstatus und sonstige telekommunikationsbezogene Metadaten
• Audioinhalte, Transkripte, Zusammenfassungen sowie Stimmungs-, Routing- und Ergebnisdaten
• kundenkonfigurierte Parameter, dynamische Werte und Folgeaktionsdaten im Zusammenhang mit Gesprächsvorgängen

Anlage 2 - Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter implementiert angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Die nachstehende Beschreibung bildet den aktuellen, produktbezogenen Mindeststand ab; die Maßnahmen werden risikobasiert fortentwickelt, soweit dies zur Wahrung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit erforderlich ist.

1. Zutrittskontrolle

• Betrieb der produktbezogenen Infrastruktur über professionelle Cloud- und Plattformanbieter mit eigenen physischen Sicherheitsmaßnahmen
• kein allgemeiner physischer Direktzugriff auf produktive Rechenzentrumsinfrastruktur durch beliebige Mitarbeiter des Auftragsverarbeiters

2. Zugangskontrolle

• rollenbasierte Zugriffssteuerung für Organisations- und Produktfunktionen
• authentifizierte Sessions und organisationsbezogene Berechtigungsmodelle für administrative und operative Zugriffe
• technische Trennung zwischen allgemeinen Nutzerkonten, Organisationsmitgliedschaften und produktspezifischen API-Zugängen

3. Zugriffskontrolle / Berechtigungskonzepte

• Mandantenlogik und organisationsbezogene Zugriffsbeschränkungen innerhalb der Plattform
• gesonderte API-Schlüssel und Integrationszugänge für definierte Produktbereiche
• Schutz sensibler Integrationszugangsdaten durch verschlüsselte Speicherung

4. Weitergabekontrolle / Transportverschlüsselung

• verschlüsselte Übertragung für externe Schnittstellen nach dem Stand der Technik
• Signatur- bzw. Verifikationsmechanismen für ausgewählte ein- und ausgehende Webhooks
• abgesicherte Kommunikation mit angebundenen Infrastruktur- und Integrationsdiensten

5. Speicherkontrolle / Verschlüsselung ruhender Daten

• getrennte Speicherbereiche für private Inhalte, öffentliche Assets und temporäre Upload-Prozesse
• verschlüsselte Speicherung von Integrationszugangsdaten mittels anwendungseitiger Kryptografie
• Secret- und Schlüsselverwaltung nach dem Stand der Technik für anwendungsbezogene Geheimnisse

6. Eingabekontrolle / Nachvollziehbarkeit

• Protokollierung ausgewählter sicherheits- und abrechnungsrelevanter Ereignisse sowie bestimmter Workflow- und Webhook-Vorgänge
• Nachvollziehbarkeit definierter Änderungen und Systemereignisse im Rahmen der eingesetzten Plattformkomponenten
• Beschränkung des Zugriffs auf Protokolldaten auf berechtigte Personen und Systeme

7. Verfügbarkeitskontrolle

• Nutzung professioneller Cloud- und Plattformdienste für Hosting, Speicherung und Kommunikationsverarbeitung
• Monitoring sowie technische Maßnahmen zur Erkennung fehlerhafter oder missbräuchlicher Zugriffe
• Lifecycle-Regeln und kontrollierte Bereinigung für definierte temporäre Speicherbereiche

Klarstellung: Diese Anlage enthält kein eigenständiges Versprechen zu bestimmten Backup-, Restore- oder Disaster-Recovery-Zeiten, soweit solche Zusagen nicht ausdrücklich anderweitig vereinbart wurden.

8. Trennungsgebot

• logische Trennung von Kundendaten, Organisationskontexten und Funktionsbereichen innerhalb der Anwendung
• Trennung von Entwicklungs-, Staging- und Produktivumgebungen sowie zugehörigen Speicherbereichen
• funktionale Trennung zwischen auftragsbezogener Produktverarbeitung und eigenen administrativen bzw. geschäftlichen Prozessen des Auftragsverarbeiters

9. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

• Konfigurierbarkeit optionaler Funktionen wie Webhooks, Integrationen und kanalbezogener Verarbeitungen
• Beschränkung auf erforderliche Datenzugriffe nach dem Need-to-Know-Prinzip
• zweckbezogene Ausgestaltung von produktiven Schnittstellen und Verarbeitungsprozessen

10. Organisationsmaßnahmen

• Vertraulichkeitsbindung der mit der Verarbeitung befassten Personen
• definierte Verfahren für den Umgang mit Sicherheitsereignissen, Integrationen und produktbezogenen Änderungsprozessen in angemessenem Umfang
• regelmäßige Überprüfung und Weiterentwicklung der technischen und organisatorischen Maßnahmen

Anlage 3 - Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung für die in dieser Anlage aufgeführten Unterauftragsverarbeiter. Änderungen werden nach Maßgabe von § 6 AVV mitgeteilt.

A. Plattformübergreifende Standard-Unterauftragsverarbeiter

Diese Liste enthält die derzeit für die Chatbyte Plattform vorgesehenen plattformübergreifenden Standard-Unterauftragsverarbeiter für produktbezogene Auftragsverarbeitung. Änderungen werden nach Maßgabe von § 6 AVV mitgeteilt.

B. Modulabhängige Unterauftragsverarbeiter

Die folgenden Dienstleister sind nur relevant, soweit die jeweils genannten Funktionen oder Module tatsächlich aktiviert und genutzt werden.

C. Kundenseitig autorisierte Drittsysteme (keine Standard-Unterauftragsverarbeiter)

Soweit der Verantwortliche innerhalb der Leistungen optionale Zielsysteme oder Integrationen aktiviert oder eine kundeneigene bzw. deployment-spezifische Infrastruktur nutzt, erfolgt die Übermittlung an diese Systeme auf gesonderte Konfiguration und Weisung des Verantwortlichen. Solche Systeme sind nicht automatisch Teil der vorstehenden Standardliste von Unterauftragsverarbeitern; ihre Einordnung als Unterauftragsverarbeiter, kundenseitig benannte Empfänger oder eigenständig Verantwortliche richtet sich nach der konkreten Integrations- und Vertragsgestaltung.

Dies betrifft insbesondere:

• kundeneigene oder kundenseitig benannte Telephony-, Carrier- oder SIP-Anbindungen, soweit nicht die vorstehend beschriebene von Chatbyte bereitgestellte Telephony-Infrastruktur genutzt wird
• kundenseitige CRM-, Kalender-, Kollaborations- oder Ticket-Systeme, soweit diese auf Weisung des Verantwortlichen verbunden und genutzt werden