Dieser AVV regelt die Verarbeitung personenbezogener Daten durch JOJO IA im Auftrag des Kunden. Für den Abschluss eines individuellen AVV kontaktieren Sie uns bitte per E-Mail.
§ 1 Gegenstand und Dauer der Verarbeitung
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Tools von JOJO IA.
Auftragsverarbeiter:
Jean-Luc Gredel, JOJO IA — Intelligente Automatisierungsagentur
Bingerstraße 60a, 67549 Worms
Dauer: Die Verarbeitung erfolgt für die Dauer des Hauptvertrags (SaaS-Abonnement). Nach Beendigung werden alle personenbezogenen Daten gelöscht oder zurückgegeben (siehe § 8).
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt zum Zweck der Bereitstellung der folgenden SaaS-Dienstleistungen:
- KI-gestützte Analyse und Strukturierung von Texten, Dokumenten und Datensätzen
- Automatische Bereinigung und Validierung von Daten
- Extraktion strukturierter Informationen aus unstrukturierten Eingaben
- KI-basierte Prognosen und Compliance-Analysen
Die Art der Verarbeitung umfasst: Erhebung, Speicherung (temporär), Übermittlung an Unterauftragsverarbeiter, Auswertung, Löschung.
§ 3 Art der personenbezogenen Daten
Folgende Arten personenbezogener Daten können im Rahmen der Auftragsverarbeitung verarbeitet werden:
- Kontaktdaten (Name, E-Mail, Telefon) — bei Registrierung und Kontaktaufnahme
- Nutzungsdaten (IP-Adresse, Zeitstempel, aufgerufene URLs) — technisch bedingt
- Inhaltsdaten — die vom Verantwortlichen in die Tools eingegebenen Daten, die personenbezogene Daten enthalten können (z.B. Meeting-Protokolle mit Teilnehmernamen, CSV-Dateien mit Kundendaten, Dokumente mit Personenbezug)
- Zahlungsdaten — über den Unterauftragsverarbeiter Stripe
§ 4 Kategorien betroffener Personen
- Mitarbeiter und Beschäftigte des Verantwortlichen
- Kunden und Geschäftspartner des Verantwortlichen
- Sonstige Personen, deren Daten der Verantwortliche in die Tools eingibt
§ 5 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
- Alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten
- Alle gemäß Art. 32 DSGVO erforderlichen technisch-organisatorischen Maßnahmen zu ergreifen
- Den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen
- Den Verantwortlichen bei Datenschutz-Folgenabschätzungen (Art. 35–36 DSGVO) zu unterstützen
- Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben
- Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen und Überprüfungen zu ermöglichen
§ 6 Technisch-organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat folgende Maßnahmen implementiert:
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verschlüsselung aller Datenübertragungen via TLS/SSL
- Zugangskontrollen zu Systemen und Daten (API-Keys, Authentifizierung)
- Keine dauerhafte Speicherung von Inhaltsdaten — temporäre Verarbeitung und automatische Löschung
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Input-Validierung und Ausgabefilterung
- Protokollierung von Zugriffen auf Verarbeitungssysteme
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Hosting auf professioneller Cloud-Infrastruktur (Vercel, Cloudflare) mit redundanten Systemen
- DDoS-Schutz über Cloudflare
- Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige Überprüfung der Sicherheitsmaßnahmen
- Monitoring der Systemverfügbarkeit
- Aktualisierung von Abhängigkeiten und Sicherheitspatches
§ 7 Unterauftragsverarbeiter
Der Verantwortliche stimmt dem Einsatz der folgenden Unterauftragsverarbeiter zu:
| Unternehmen | Adresse | Zweck | Datentransfer |
|---|
| Vercel Inc. |
340 S Lemon Ave, Walnut, CA 91789, USA |
Hosting der SaaS-Anwendungen |
EU-US DPF |
| Cloudflare Inc. |
101 Townsend St, San Francisco, CA 94107, USA |
CDN, DNS, DDoS-Schutz, Hosting Hauptseite |
EU-US DPF + SCCs |
| Stripe Inc. |
354 Oyster Point Blvd, South San Francisco, CA 94080, USA |
Zahlungsabwicklung |
EU-US DPF |
| Anthropic PBC |
548 Market St, San Francisco, CA 94104, USA |
KI-API für Datenverarbeitung |
SCCs |
Der Auftragsverarbeiter wird den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informieren und dem Verantwortlichen die Möglichkeit geben, gegen derartige Änderungen Einspruch zu erheben.
§ 8 Meldepflichten bei Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (spätestens innerhalb von 24 Stunden) nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl der betroffenen Personen
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
Kontakt für Datenschutzvorfälle: jojo_ia@web.de
§ 9 Löschung und Rückgabe nach Vertragsende
Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter:
- Alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder zurückgeben
- Die Löschung schriftlich bestätigen
- Vorhandene Kopien löschen, es sei denn, eine gesetzliche Aufbewahrungspflicht besteht
Die Löschung erfolgt spätestens innerhalb von 30 Tagen nach Vertragsende.
§ 10 Kontrollrechte des Auftraggebers
Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieses AVV durch den Auftragsverarbeiter zu überprüfen. Dies umfasst:
- Einholung von Auskünften über die getroffenen technisch-organisatorischen Maßnahmen
- Überprüfung der Unterauftragsverarbeiter-Verträge
- Vor-Ort-Inspektionen nach vorheriger Ankündigung (mit angemessener Frist)
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.