1. Gegenstand und Dauer der Verarbeitung

1.1 Der Auftragsverarbeiter erbringt im Rahmen der Plattform „KIIAARA“ technische Leistungen zur Bereitstellung einer KI-gestützten Kommunikations- und Interaktionsplattform. 1.2 Gegenstand der Verarbeitung ist die technische Verarbeitung personenbezogener Daten im Zusammenhang mit:

• Nutzung der KI-Avatar-Funktion
• Verarbeitung von Chat- und Interaktionsdaten
• optionaler Erfassung von Kontakt- und Lead-Daten
• Speicherung nutzerseitig eingegebener Inhalte

1.3 Die Verarbeitung erfolgt für die Dauer des Hauptvertrags (SaaS-Nutzungsvertrag).

…………

2. Art und Zweck der Verarbeitung

2.1 Die Verarbeitung erfolgt ausschließlich zum Zweck der technischen Bereitstellung der Plattform und zur Durchführung der vom Verantwortlichen veranlassten Interaktionen. 2.2 Eine eigenständige Nutzung der Daten durch den Auftragsverarbeiter zu eigenen Zwecken, insbesondere zu Marketing- oder Trainingszwecken, erfolgt nicht.

…………

3. Art der personenbezogenen Daten

Je nach Nutzung können insbesondere folgende Daten verarbeitet werden:

• Name
• E-Mail-Adresse
• Telefonnummer
• Unternehmensangaben
• Kommunikationsinhalte (Chatverläufe)
• technisch erforderliche Nutzungsdaten (IP-Adresse, Zeitstempel)

…………

4. Kategorien betroffener Personen

• Website-Besucher des Verantwortlichen
• Kunden oder Interessenten des Verantwortlichen
• Mitarbeiter des Verantwortlichen

…………

5. Pflichten des Auftragsverarbeiters

5.1 Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen. 5.2 Vertraulichkeit: Personen, die Zugriff auf Daten haben, sind zur Vertraulichkeit verpflichtet. 5.3 Technische und organisatorische Maßnahmen (TOMs): Der Auftragsverarbeiter trifft angemessene Sicherheitsmaßnahmen, insbesondere:

• TLS-Verschlüsselung
• Zugriffsbeschränkung
• rollenbasierte Berechtigungen
• regelmäßige Sicherheitsupdates
• Backup-Strategien

5.4 Unterstützung bei Betroffenenrechten (Auskunft, Löschung, etc.), soweit technisch möglich. 5.5 Meldung von Datenschutzverletzungen unverzüglich nach Bekanntwerden.

…………

6. Pflichten des Verantwortlichen

6.1 Der Verantwortliche ist für die Rechtmäßigkeit der Datenerhebung und -verarbeitung verantwortlich. 6.2 Der Verantwortliche stellt sicher, dass eine gültige Rechtsgrundlage (z. B. Art. 6 DSGVO) vorliegt. 6.3 Der Verantwortliche informiert betroffene Personen ordnungsgemäß über die Datenverarbeitung.

…………

7. Subauftragsverarbeiter

7.1 Der Auftragsverarbeiter ist berechtigt, Subdienstleister einzusetzen. 7.2 Aktuell eingesetzte Kategorien von Subdienstleistern können insbesondere sein:

• Hosting-Anbieter
• KI-Modell-Anbieter
• Infrastruktur- und Cloud-Dienstleister
• Zahlungsdienstleister

7.3 Der Auftragsverarbeiter stellt sicher, dass mit Subdienstleistern geeignete vertragliche Vereinbarungen gemäß Art. 28 DSGVO bestehen.

…………

8. Drittlandübermittlung

8.1 Sofern eine Verarbeitung außerhalb der EU/des EWR erfolgt, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen (z. B. Standardvertragsklauseln).

…………

9. Löschung und Rückgabe von Daten

9.1 Nach Beendigung des Hauptvertrags werden personenbezogene Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. 9.2 Backups werden im Rahmen der regulären Systemzyklen überschrieben.

…………

10. Kontrollrechte

10.1 Der Verantwortliche ist berechtigt, die Einhaltung der vertraglich vereinbarten Datenschutzpflichten in angemessenem Umfang zu überprüfen. 10.2 Der Auftragsverarbeiter stellt auf Anfrage geeignete Nachweise zur Verfügung.

…………

11. Haftung

Die Haftung richtet sich nach den Regelungen des Hauptvertrags (AGB), sofern gesetzlich zulässig.

…………

12. Schlussbestimmungen

12.1 Dieser AV-Vertrag ist Bestandteil des SaaS-Nutzungsvertrags. 12.2 Im Falle von Widersprüchen gehen die Regelungen dieses AV-Vertrags hinsichtlich Datenschutzfragen vor. 12.3 Es gilt österreichisches Recht.