Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch [Max Mustermann] („Auftragsverarbeiter“) im Auftrag des Coach- Kunden („Verantwortlicher“) im Rahmen der Nutzung von Megabrain. Er ergänzt die zwischen den Parteien geschlossenen AGB und die Datenschutzerklärung.
Gegenstand der Verarbeitung ist die im Rahmen des Hauptvertrags (SaaS-Nutzung von Megabrain) erbrachte Leistung. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.
Verarbeitung umfasst: Speicherung hochgeladener Gesprächstranskripte, automatisierte Klassifikation, Extraktion strukturierter Entitäten (Glaubenssätze, Einwände, Kauf-Trigger, Zitate), Aggregation zu Avatar-Profilen, Coach-Voice-Profiling, semantische Suche sowie Content-Generierung.
Es werden verarbeitet: Stammdaten des Verantwortlichen (Name, E-Mail), Inhalts-Daten der hochgeladenen Transkripte sowie besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO(etwa Gesundheits- oder Therapie-Bezugsdaten in Klienten-Transkripten), sofern der Verantwortliche diese einstellt.
Betroffen sind: (a) der Verantwortliche selbst (als Account-Inhaber), (b) Klienten des Verantwortlichen, deren Gespräche in hochgeladenen Transkripten erfasst sind.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, wahrt Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO) und setzt die in Abschnitt 8 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO um.
Der Verantwortliche genehmigt folgende Sub-Processors:
Eine Änderung oder Ergänzung dieser Liste teilt der Auftragsverarbeiter dem Verantwortlichen mit mindestens 30-tägiger Ankündigung mit; ein Widerspruchsrecht bleibt ausdrücklich vorbehalten.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anträgen Betroffener (Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch) mittels technischer Maßnahmen (Export- und Löschfunktion in den Kontoeinstellungen).
Umgesetzt sind: Verschlüsselung bei Übertragung (TLS) und Speicherung; Zugriffskontrolle über Row Level Security (RLS) in der Datenbank; AES-256-GCM-Verschlüsselung für Kunden-API-Keys (Bring-Your-Own-Key-Modell); regelmäßige Systemprotokolle; Rollen- und Berechtigungskonzept.
Der Auftragsverarbeiter meldet dem Verantwortlichen einen ihm bekannt gewordenen Datenschutzvorfall unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme, unter Angabe der verfügbaren Informationen.
Der Verantwortliche hat das Recht, die Einhaltung dieser AVV im erforderlichen Umfang zu überprüfen. Der Auftragsverarbeiter stellt die hierfür nötigen Informationen bereit, insbesondere TOMs-Beschreibung und gegebenenfalls Zertifikate.
Nach Ende des Hauptvertrags gibt der Auftragsverarbeiter dem Verantwortlichen seine Daten in einem gängigen Format zurück (Export-Funktion) und löscht sämtliche bei ihm gespeicherten personenbezogenen Daten binnen 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Die Haftung der Parteien richtet sich nach dem Hauptvertrag und den einschlägigen Bestimmungen der DSGVO (Art. 82).
Diese Website verwendet Cookies. Mehr erfahren