Auftragsverarbeitungsvertrag (AV-Vertrag)

zwischen

EViRAL - Inhaber: Mert Özcan

Friedrich-Ebert-Straße 322, 47139 Duisburg

E-Mail: eviralgermany@gmail.com

nachfolgend "Auftragsverarbeiter"

und

dem Kunden (Unternehmer im Sinne des § 14 BGB)

nachfolgend "Verantwortlicher"

1. Gegenstand des Vertrags

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO. Gegenstand ist die Bereitstellung der cloudbasierten Reputationsmanagement-Plattform von EViRAL, einschließlich KI-basierter Analysefunktionen, Review-Management, Kommunikationsfunktionen und Automations-Workflows.

2. Art und Zweck der Verarbeitung

Die Verarbeitung dient der Nutzung sämtlicher Funktionen der Plattform, insbesondere:

  • Aggregation und Darstellung von Bewertungen
  • Versand von Review-Requests über E-Mail, SMS oder WhatsApp
  • KI-basierte Antwortvorschläge
  • Auswertung der Reputation und Performance
  • Verwaltung von Endkundendaten
  • Nutzung von Landingpages, Widgets und QR-Codes

3. Art der Daten

Es können folgende personenbezogene Daten verarbeitet werden:

  • Namen, E-Mail-Adressen, Telefonnummern
  • Bewertungen, Antworten, Feedback
  • technische Daten (IP-Adresse, Browserinformationen, Zeitstempel)
  • Kommunikationsinhalte im Rahmen von Review-Requests
  • Metadaten und Logs

4. Kategorien betroffener Personen

  • Endkunden des Verantwortlichen
  • Mitarbeiter des Verantwortlichen
  • Nutzer der Plattform

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich im Rahmen dieses Vertrags zu verarbeiten
  • Daten nicht an Dritte weiterzugeben, außer zur Erfüllung der Dienstleistung
  • alle Personen zur Vertraulichkeit zu verpflichten
  • angemessene technische und organisatorische Maßnahmen zu ergreifen
  • den Verantwortlichen bei der Erfüllung von Betroffenenrechten zu unterstützen
  • Datenschutzverletzungen unverzüglich zu melden
  • Daten nach Vertragsende zu löschen oder zu übergeben

6. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter garantiert Maßnahmen wie:

  • TLS-Verschlüsselung
  • Zugriffsbeschränkung und Rollenmodelle
  • gesicherte EU-Serverstandorte
  • regelmäßige Datensicherungen
  • Sicherheitsprotokollierung
  • Systemüberwachung

7. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

  • White-Label-Plattformanbieter (technische Bereitstellung)
  • Hosting-Provider (EU-Server)
  • Stripe (Zahlungsabwicklung)
  • WhatsApp Business API / Meta Platforms (Kommunikationsdienste)
  • CloudTalk (VoIP-Dienste)
  • KI-Dienstleister für automatisierte Texte und Analysen

Weitere Unterauftragsverarbeiter dürfen nur mit Mitteilung an den Verantwortlichen eingesetzt werden.

8. Ort der Verarbeitung

Die Verarbeitung findet innerhalb der EU statt.

Für Dienste mit Drittlandbezug (Meta, Stripe, KI-Anbieter) werden Standardvertragsklauseln gemäß Art. 46 DSGVO eingesetzt.

9. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche bleibt Eigentümer der Daten und ist für deren Rechtmäßigkeit verantwortlich.

Er muss sicherstellen, dass alle gespeicherten Endkundendaten rechtskonform erhoben wurden.

10. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt bei:

  • Auskunftsersuchen
  • Berichtigung
  • Löschung
  • Einschränkung und Datenübertragbarkeit

11. Löschung von Daten

Nach Vertragsende werden Daten gelöscht, es sei denn gesetzliche Aufbewahrungsfristen bestehen.

Der Export liegt in der Verantwortung des Verantwortlichen.

12. Weisungsgebundenheit

Der Auftragsverarbeiter darf personenbezogene Daten nur gemäß dokumentierten Weisungen des Verantwortlichen verarbeiten.

Bei unklaren Weisungen erfolgt Rücksprache.

13. Haftung

Jede Partei haftet im Rahmen der gesetzlichen Vorgaben.

Der Auftragsverarbeiter haftet nicht für Fehler, die aus falschen oder rechtswidrigen Anweisungen des Verantwortlichen resultieren.

14. Vertragsdauer

Dieser Vertrag gilt für die Dauer der Nutzung der EViRAL-Plattform und endet automatisch mit dem Hauptvertrag.

15. Schlussbestimmungen

Es gilt deutsches Recht.

Gerichtsstand ist Duisburg.

Änderungen bedürfen der Textform.