Nach Art. 28 DSGVO
Dieser Datenverarbeitungsvertrag ("Vertrag") wird geschlossen zwischen:
Z360.AI (Inh. Alper Koyuncu), Konrad-Adenauer-Str. 4, 93077 Bad Abbach, Deutschland – nachfolgend "Auftragsverarbeiter" –
und
dem jeweiligen Kunden, der die Leistungen von Z360.AI in Anspruch nimmt – nachfolgend "Verantwortlicher" –
gemeinsam als "Parteien" bezeichnet.
(1) Dieser Vertrag konkretisiert die Pflichten der Parteien im Hinblick auf den Schutz personenbezogener Daten gemäß der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – "DSGVO") sowie des Bundesdatenschutzgesetzes (BDSG).
(2) Er ergänzt den zugrunde liegenden Dienstleistungsvertrag von Z360.AI und regelt sämtliche Übermittlungen personenbezogener Daten zwischen den Parteien, einschließlich der technischen und organisatorischen Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit.
(3) Eine Weitergabe oder Offenlegung personenbezogener Daten an unbefugte Dritte wird durch die in diesem Vertrag festgelegten Maßnahmen unterbunden.
Begriff Definition im Sinne der DSGVO
Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verantwortlicher Die Partei, die über Zwecke und Mittel der Verarbeitung entscheidet.
Auftragsverarbeiter Die Partei, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Vertrauliche Informationen Sämtliche nicht öffentlich zugängliche geschäftliche, technische, rechtliche oder finanzielle Informationen, insbesondere personenbezogene Daten nach Ziffer 4.
Anwendbares Datenschutzrecht DSGVO, BDSG sowie alle sonstigen einschlägigen deutschen oder europäischen Datenschutzvorschriften.
4.1 Rechtskonforme Verarbeitung
Die Parteien verarbeiten personenbezogene Daten ausschließlich im Rahmen der vertraglich vereinbarten Zwecke. Unbefugte Offenlegung, Veränderung oder Nutzung zu anderen Zwecken ist untersagt. Diese Verpflichtung gilt zeitlich unbeschränkt, auch über das Vertragsende hinaus.
4.2 Technische und organisatorische Maßnahmen
Die Parteien treffen geeignete und nachweisbare Maßnahmen, um:
• unrechtmäßige Verarbeitung zu verhindern,
• unbefugten Zugriff zu unterbinden,
• Integrität, Vertraulichkeit und Verfügbarkeit der Daten sicherzustellen,
• Daten ausschließlich zweckgebunden zu verwenden.
4.3 Einsatz weiterer Auftragsverarbeiter
Beauftragt eine Partei Subunternehmer, stellt sie vertraglich sicher, dass die in Absatz 4.1 genannten Pflichten eingehalten werden. Bei Pflichtverstößen haftet jede Partei nach dem Grad ihres Verschuldens.
4.4 Meldepflichten bei Datenschutzverletzungen
Gelangen personenbezogene Daten unrechtmäßig in die Hände Dritter, informieren die Parteien unverzüglich den jeweils anderen Vertragspartner sowie – sofern erforderlich – die Aufsichtsbehörde und die betroffenen Personen.
5.1 Vom Verantwortlichen übermittelte Daten
Datenkategorie Verarbeitungszweck(e)
Name Vertragsabwicklung, Kommunikation, Kundenservice
E-Mail, Telefon, Adresse Vertragsabwicklung, Waren-/Dienstleistungserwerb, Werbung/Kampagnen
Kaufhistorie Produktion & Betrieb, Marketinganalysen, Werbung/Kampagnen
5.2 Vom Auftragsverarbeiter übermittelte Daten
Datenkategorie Verarbeitungszweck(e)
Name, Kontaktdaten Vertragsabwicklung, Kundenservice, Marketinganalysen
Call-Center-Aufzeichnungen Kommunikation, Produktion & Betrieb, Qualitätssicherung
Bestell-/Versandinformationen Vertragsabwicklung, Warenverkehr, Kundenservice
IT-Nutzungsdaten (IP, Log-ins) Betriebssicherheit, Missbrauchsprävention
6.1 Rolle als Auftragsverarbeiter: Z360.AI verarbeitet personenbezogene Daten ausschließlich als Auftragsverarbeiter im Sinne des Art. 28 DSGVO und ist kein eigenständiger Verantwortlicher in Bezug auf die im Auftrag des Verantwortlichen verarbeiteten Daten. Die Verarbeitung erfolgt ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen. Z360.AI informiert den Verantwortlichen unverzüglich, wenn eine erteilte Weisung nach Einschätzung von Z360.AI gegen die DSGVO oder sonstige anwendbare Datenschutzvorschriften verstößt.
6.2 Jede Partei erfüllt die ihr aus dem anwendbaren Datenschutzrecht erwachsenden Pflichten eigenständig. Risiken aus Pflichtverletzungen verbleiben bei der säumigen Partei.
6.3 Die Parteien verarbeiten die jeweils erhaltenen personenbezogenen Daten ausschließlich zu den vertraglich festgelegten Zwecken und treffen alle technisch-organisatorischen Maßnahmen gegen unbefugten Zugriff oder Verlust.
6.4 Enthalten die verarbeiteten Daten besondere Kategorien nach Art. 9 DSGVO, treffen die Parteien zusätzliche Schutzmaßnahmen gemäß Art. 32 DSGVO.
6.5 Offenlegung an Arbeitnehmer erfolgt nur nach dem Need-to-know-Prinzip. Die Parteien stellen Vertraulichkeitsverpflichtungen und Datenschutzschulungen sicher.
6.6 Übermittlungen an Dritte/Drittländer bedürfen der vorherigen schriftlichen Zustimmung der anderen Partei. Ausgenommen sind infrastrukturelle Dienstleister der Parteien, sofern diese EU-Datenschutzstandards einhalten. Die aktuell eingesetzten Unterauftragsverarbeiter sind:
• Twilio Ireland Ltd., Irland – SIP-Telefondienste und Telefonnummernverwaltung
• Supabase Inc., USA – Datenbankdienste
• ElevenLabs, Inc., USA – KI-Sprachagent
• Make, Tschechische Republik – Workflow-Automatisierung
• WhatsApp Business Cloud (Meta Platforms Ireland Ltd.), Irland – Chatbot-Kommunikation
• OpenAI Ireland Ltd., Irland – KI-Sprachmodell
• ZeptoMail (Zoho Corporation), USA/Indien – Transaktions- und Benachrichtigungs-E-Mails
• DigitalOcean LLC, USA – MCP-Server / Cloud-Infrastruktur
• Vercel Inc., USA – Hosting-Infrastruktur
6.7 Nach Wegfall der Verarbeitungsgrundlage oder auf Anforderung löschen die Parteien die betroffenen Daten unwiederbringlich. Personenbezogene Daten – einschließlich Call-Center-Aufzeichnungen – werden beim Auftragsverarbeiter für maximal neunzig (90) Tage gespeichert und anschließend unwiederbringlich gelöscht, sofern keine abweichende schriftliche Weisung des Verantwortlichen vorliegt. Z360.AI verwendet personenbezogene Daten unter keinen Umständen zur Verbesserung oder zum Training von KI-Modellen oder maschinellen Lernalgorithmen. Abweichende Fristen bedürfen eines gesonderten Protokolls; Mehrkosten trägt der Verantwortliche.
6.8 Bei Auskunftsersuchen oder Datenschutzverletzungen reagieren die Parteien unverzüglich und kooperativ.
6.9 Jede Partei haftet für Verstöße ihrer Mitarbeiter oder Beauftragten.
6.10 Die Parteien sichern zu, Daten rechtmäßig erhoben und Informationspflichten erfüllt zu haben. Auf Verlangen sind Nachweise vorzulegen.
6.11 Verarbeitung erfolgt nur für legitime Zwecke im Einklang mit den DSGVO-Grundsätzen (Rechtmäßigkeit, Zweckbindung, Datenminimierung). Betroffene werden gemäß Art. 14 DSGVO informiert.
6.12 Weisungsgebundenheit: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter schriftlicher Weisungen des Verantwortlichen – einschließlich der in diesem Vertrag enthaltenen Weisungen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Auffassung ist, eine Weisung verstoße gegen geltendes Datenschutzrecht.
6.13 Unterstützung bei Betroffenenrechten: Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Kräften bei der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Art. 15–22 DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch). Eingehende Anträge betroffener Personen leitet der Auftragsverarbeiter unverzüglich an den Verantwortlichen weiter.
6.14 Prüf- und Auditrecht: Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Pflichten durch den Auftragsverarbeiter zu überprüfen. Audits sind dem Auftragsverarbeiter mindestens vierzehn (14) Tage im Voraus schriftlich anzukündigen und auf die üblichen Geschäftszeiten zu beschränken. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Inspektionen, einschließlich Überprüfungen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer.
7.1 Die Parteien behandeln Geschäftsgeheimnisse und personenbezogene Daten streng vertraulich.
7.2 Die Parteien treffen angemessene Schutzvorkehrungen und erfüllen die DSGVO-Anforderungen an Vertraulichkeit.
7.3 Vertrauliche Informationen werden nicht an Dritte weitergegeben und nur zu Vertragszwecken verarbeitet. Diese Pflicht besteht über das Vertragsende hinaus.
7.4 Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich zur Vertragserfüllung. Weitergabe an Behörden ist nur bei gesetzlicher Verpflichtung zulässig.
7.5 Der Auftragsverarbeiter trifft mindestens die nach DSGVO erforderlichen technisch-organisatorischen Maßnahmen. Zusätzliche Maßnahmen auf Anforderung des Verantwortlichen können gesondert vergütet werden.
7.6 Bei Sicherheitsverstößen informieren die Parteien einander, Betroffene und Aufsichtsbehörden unverzüglich.
7.7 Die Parteien setzen alle zumutbaren Mittel zur Schadensbegrenzung ein. Bei Verantwortlichkeit ersetzt die fehlbare Partei den entstandenen Schaden.
7.8 Nach Vertragsende werden vertrauliche Informationen zurückgegeben oder vernichtet.
Verarbeitungstätigkeiten erfolgen nach diesen Prinzipien:
• Neutralität (sachlich-objektiv)
• Gleichbehandlung (fairer Umgang)
• Redlichkeit (Treu und Glauben)
• Vertraulichkeit (höchste Sorgfalt)
• Geheimhaltung (Geschäftsgeheimnis)
• Datenminimierung (erforderlicher Umfang)
9.1 Die Parteien stellen einander alle zur Vertragserfüllung erforderlichen Informationen bereit.
9.2 Keine Partei haftet für Verzögerungen/Mängel aufgrund fehlerhafter Informationen der anderen Partei.
9.3 Vertrauliche Informationen dürfen nur berechtigten Personen zugänglich gemacht werden. Weitergabe an Dritte ohne Zustimmung ist untersagt.
9.4 Bei Einbindung Dritter haftet jede Partei für deren Compliance mit diesem Vertrag.
9.5 Bei unbefugter Offenlegung haftet die verantwortliche Partei auf Schadensersatz.
9.6 Geschäftsgeheimnisse sind besonders zu schützen:
a) Weitergabe nur an berechtigte Mitarbeiter,
b) Keine unerlaubte Vervielfältigung/Weiterleitung,
c) Physische Unterlagen unter Verschluss halten.
Nicht als vertraulich gelten Informationen, die:
(1) durch Gesetz oder Gericht offengelegt werden müssen,
(2) bereits allgemein bekannt sind,
(3) rechtmäßig ohne Geheimhaltungspflicht erlangt wurden.
Bei Pflichtverletzungen haften die Parteien nach Verschuldensgrad. Die Haftung des Auftragsverarbeiters ist auf 50% der vom Verantwortlichen gezahlten Vergütung begrenzt. Mittelbare Schäden (z.B. Gewinnentgang) sind ausgeschlossen, soweit gesetzlich zulässig.
Unwirksamkeit einzelner Bestimmungen berührt nicht die Gültigkeit des Gesamtvertrags. Unwirksame Regelungen werden durch eine wirtschaftlich gleichwertige ersetzt. Gesetzesänderungen werden unverzüglich umgesetzt.
Dieser Vertrag unterliegt deutschem Recht. Gerichtsstand für alle Streitigkeiten ist Regensburg.
Der Vertrag tritt mit elektronischer Zustimmung des Verantwortlichen in Kraft. Die datenschutzrechtlichen Pflichten gelten über das Ende des Dienstleistungsvertrags hinaus fort. Personenbezogene Daten dürfen nach Vertragsende nicht mehr verarbeitet oder übermittelt werden, es sei denn gegenüber gesetzlich befugten Behörden.
Durch Nutzung der Dienste von Z360.AI erkennt der Verantwortliche diesen Vertrag als verbindlich an. Ein gesondertes Unterzeichnen ist nicht erforderlich.
Wenn Sie Fragen zu diesem Auftragsverarbeitungsvertrag haben, kontaktieren Sie uns bitte: