Auftragsverarbeitungsvertrag

1. Einleitung

Dieser Auftragsverarbeitungsvertrag ("AVV") wird zwischen Quickfix AI ("Auftragsverarbeiter", "wir" oder "uns") und Ihnen ("Verantwortlicher" oder "Kunde") geschlossen und ist Teil der Nutzungsbedingungen, die die Nutzung unseres Dienstes regeln.

Dieser AVV spiegelt die Vereinbarung der Parteien bezüglich der Verarbeitung personenbezogener Daten gemäß den Anforderungen der geltenden Datenschutzgesetze wider, einschließlich der Datenschutz-Grundverordnung (EU) 2016/679 ("DSGVO"), der UK-DSGVO und des California Consumer Privacy Act ("CCPA").

2. Definitionen

Für die Zwecke dieses AVV:

• "Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die von Quickfix AI im Auftrag des Kunden verarbeitet werden.
• "Verantwortlicher" bezeichnet die Stelle, die über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet.
• "Auftragsverarbeiter" bezeichnet die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
• "Betroffene Person" bezeichnet die natürliche Person, auf die sich personenbezogene Daten beziehen.
• "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt wird.
• "Verarbeitung" bezeichnet jeden mit personenbezogenen Daten durchgeführten Vorgang, wie Erhebung, Speicherung, Nutzung oder Offenlegung.

3. Umfang und Rollen

3.1 Rolle des Auftragsverarbeiters

Quickfix AI handelt als Auftragsverarbeiter in Bezug auf personenbezogene Daten, die an den Dienst übermittelt werden. Sie als Kunde handeln als Verantwortlicher und sind dafür verantwortlich, dass Sie eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten haben.

3.2 Verarbeitungstätigkeiten

Wir verarbeiten personenbezogene Daten nur soweit es für die Erbringung des Dienstes erforderlich ist, was beinhaltet:

• Verarbeitung von Systemdiagnosedaten zur Erstellung von Berichten
• Bereitstellung KI-gestützter Analysen und Empfehlungen
• Temporäre Speicherung von Diagnoseberichten (24 Stunden)
• Erkennung und Verhinderung von Betrug oder Missbrauch

4. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten gemäß folgenden Grundsätzen:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Wir verarbeiten Daten rechtmäßig, nach Treu und Glauben und transparent.
• Zweckbindung: Wir verarbeiten Daten nur für die festgelegten, eindeutigen und legitimen Zwecke, die in diesem AVV und unserer Datenschutzrichtlinie beschrieben sind.
• Datenminimierung: Wir erheben und verarbeiten nur die für die Erbringung des Dienstes notwendigen Daten.
• Richtigkeit: Wir ergreifen angemessene Maßnahmen, um sicherzustellen, dass personenbezogene Daten richtig und aktuell sind.
• Speicherbegrenzung: Wir bewahren personenbezogene Daten nur so lange auf, wie es notwendig ist (24 Stunden für Diagnoseberichte).
• Integrität und Vertraulichkeit: Wir implementieren angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten.

5. Kundenpflichten

Als Verantwortlicher sind Sie verantwortlich für:

• Sicherstellen, dass Sie eine rechtmäßige Grundlage für die Verarbeitung und Weitergabe personenbezogener Daten an uns haben
• Einhaltung aller geltenden Datenschutzgesetze
• Bereitstellung aller erforderlichen Informationen an betroffene Personen
• Sicherstellen der Richtigkeit der an den Dienst übermittelten personenbezogenen Daten
• Keine Übermittlung sensibler personenbezogener Daten, sofern nicht ausdrücklich erlaubt

6. Pflichten des Auftragsverarbeiters

Als Auftragsverarbeiter verpflichten wir uns:

• Personenbezogene Daten nur gemäß Ihren dokumentierten Weisungen zu verarbeiten
• Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
• Angemessene technische und organisatorische Sicherheitsmaßnahmen zu implementieren
• Unterauftragsverarbeiter nur mit angemessenen Schutzmaßnahmen einzusetzen
• Sie bei der Beantwortung von Anfragen betroffener Personen zu unterstützen
• Personenbezogene Daten bei Beendigung des Dienstes zu löschen (automatisch nach 24 Stunden)
• Die zur Nachweisung der Compliance erforderlichen Informationen bereitzustellen

7. Sicherheitsmaßnahmen

7.1 Technische Maßnahmen

Wir implementieren branchenübliche technische Sicherheitsmaßnahmen, einschließlich:

• Verschlüsselung aller Daten während der Übertragung mit TLS
• Verschlüsselung der Daten im Ruhezustand
• Sichere Backup- und Disaster-Recovery-Verfahren
• Zugriffskontrollen, die den Zugang zu personenbezogenen Daten auf autorisiertes Personal beschränken

7.2 Organisatorische Maßnahmen

Wir implementieren organisatorische Sicherheitsmaßnahmen, einschließlich:

• Vertraulichkeitsvereinbarungen mit Mitarbeitern
• Verfahren zur Reaktion auf Vorfälle und zur Meldung von Datenschutzverletzungen
• Sicherheitsbewertungen von Anbietern für Unterauftragsverarbeiter

8. Unterauftragsverarbeiter

Sie autorisieren uns, folgende Kategorien von Unterauftragsverarbeitern einzusetzen:

• Cloud-Infrastrukturanbieter: Für Hosting und Speicherung von Daten
• KI-Dienstanbieter: Für die Verarbeitung von Diagnosedaten und die Generierung von Empfehlungen
• Analyseanbieter: Für anonymisierte Nutzungsanalysen

Wir stellen sicher, dass alle Unterauftragsverarbeiter durch schriftliche Vereinbarungen gebunden sind, die Datenschutzverpflichtungen auferlegen, die denen in diesem AVV entsprechen.

9. Rechte der betroffenen Personen

Wir unterstützen Sie bei der Erfüllung Ihrer Pflichten zur Beantwortung von Anfragen betroffener Personen, einschließlich:

• Auskunftsrecht: Bereitstellung von Kopien personenbezogener Daten an betroffene Personen
• Recht auf Berichtigung: Berichtigung unrichtiger personenbezogener Daten
• Recht auf Löschung: Löschung personenbezogener Daten ("Recht auf Vergessenwerden")
• Recht auf Einschränkung: Einschränkung der Verarbeitung personenbezogener Daten
• Recht auf Datenübertragbarkeit: Bereitstellung personenbezogener Daten in einem strukturierten, maschinenlesbaren Format
• Widerspruchsrecht: Widerspruch gegen bestimmte Arten der Verarbeitung

10. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir:

• Sie unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen
• Ihnen ausreichende Informationen zur Verfügung stellen, damit Sie Ihren Meldepflichten nachkommen können
• Mit Ihnen zusammenarbeiten und angemessene Schritte zur Behebung der Verletzung unternehmen

11. Datenübermittlungen

Personenbezogene Daten können in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) oder Ihres Wohnsitzlandes übermittelt und dort verarbeitet werden. Wir stellen sicher, dass solche Übermittlungen den geltenden Datenschutzgesetzen entsprechen.

Für Übermittlungen personenbezogener Daten aus dem EWR oder dem Vereinigten Königreich in Länder ohne Angemessenheitsbeschluss stützen wir uns auf geeignete Garantien, einschließlich:

• Von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs)
• Andere rechtlich genehmigte Mechanismen

12. Datenspeicherung und Löschung

Wir bewahren personenbezogene Daten wie in unserer Datenschutzrichtlinie beschrieben auf:

• Diagnoseberichte: Werden automatisch nach 24 Stunden gelöscht
• Anonymisierte Benchmark-Daten: Können unbegrenzt aufbewahrt werden (können Personen nicht identifizieren)

Auf Ihre Anfrage werden wir personenbezogene Daten sofort löschen. Sie können die Löschung durch Kontaktaufnahme mit uns anfordern.

13. Laufzeit und Beendigung

Dieser AVV bleibt in Kraft, solange wir personenbezogene Daten in Ihrem Auftrag verarbeiten. Nach Beendigung des Dienstes gelten die Bestimmungen dieses AVV weiter, bis alle personenbezogenen Daten gelöscht wurden (automatisch nach 24 Stunden).

14. Kontaktinformationen

Bei Fragen zu diesem Auftragsverarbeitungsvertrag oder zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte.