Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
1. Gegenstand und Dauer der Verarbeitung
Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt den zwischen dem Kunden (nachfolgend „Verantwortlicher") und der MindLike UG (haftungsbeschränkt), Kurhessenstr. 3b, 63075 Offenbach am Main (nachfolgend „Auftragsverarbeiter"), geschlossenen Hauptvertrag über die Nutzung der Plattform „alkaio".
Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags. Mit Beendigung des Hauptvertrags endet auch dieser AVV, vorbehaltlich der in Abschnitt 10 geregelten Löschpflichten.
2. Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen, insbesondere:
- Empfang, Speicherung und Zustellung von WhatsApp-Nachrichten über die Meta Business API,
- automatisierte Verarbeitung von Leads und Kontaktdaten,
- KI-gestützte Generierung und Zustellung von Antworten an Endkunden des Verantwortlichen,
- Verwaltung von Terminen, Follow-ups und Statusdaten im Rahmen der Flow-Automatisierung,
- Bereitstellung des Admin-Dashboards zur Einsicht und Verwaltung der Kommunikationsdaten.
3. Art der personenbezogenen Daten
Gegenstand der Verarbeitung sind insbesondere folgende Datenkategorien:
- Kontaktdaten (Name, Telefonnummer, ggf. E-Mail-Adresse),
- Nachrichteninhalte (Text, Audio, Bild, Video, Dokumente),
- Metadaten der Kommunikation (Zeitstempel, Zustellstatus, Geräte-IDs),
- Termindaten und Statusdaten im Rahmen der Flow-Automatisierung,
- ggf. branchenspezifische Daten, die der Verantwortliche über die Plattform verarbeiten lässt (z. B. Versicherungsanfragen, Immobiliendaten).
4. Kategorien betroffener Personen
- Endkunden und Interessenten des Verantwortlichen (Leads),
- Mitarbeiter und Beauftragte des Verantwortlichen, die als Admin-Nutzer agieren.
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich der Übermittlung in Drittländer (Art. 28 Abs. 3 lit. a DSGVO),
- sicherzustellen, dass sich die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,
- alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (vgl. Abschnitt 7),
- den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen,
- den Verantwortlichen unverzüglich zu informieren, falls eine Weisung nach Auffassung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt.
6. Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Beauftragung weiterer Auftragsverarbeiter (Unterauftragsverarbeiter). Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.
Folgende Unterauftragsverarbeiter werden zum Zeitpunkt des Vertragsschlusses eingesetzt:
| Anbieter | Zweck | Standort |
|---|---|---|
| Meta Platforms Ireland Ltd. | WhatsApp Business API – Nachrichtenzustellung | Irland / USA |
| OpenAI, LLC | KI-Sprachmodelle – Chat-Generierung, Transkription, Vision | USA |
| Google Cloud Platform (Google LLC) | Hosting – App Engine, Infrastruktur | EU (Frankfurt / Belgien) |
| MongoDB, Inc. | Datenbankspeicherung | Selbst gehostet (Deutschland) |
Für Übermittlungen in Drittländer (insbesondere USA) stützt sich der Auftragsverarbeiter auf geeignete Garantien gemäß Art. 46 DSGVO, insbesondere Standardvertragsklauseln (SCC) und, soweit anwendbar, das EU-U.S. Data Privacy Framework.
7. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft insbesondere folgende Maßnahmen zum Schutz personenbezogener Daten:
- Zutrittskontrolle: Server-Infrastruktur bei zertifizierten Rechenzentren (GCP, selbst gehostete Systeme mit Zugriffsbeschränkung).
- Zugangskontrolle: Authentifizierung über individuelle Zugangsdaten, API-Schlüssel und HTTP Basic Auth für Admin-Bereiche.
- Zugriffskontrolle: Rollenbasiertes Zugriffskonzept (RBAC) – Admin-Zugriffe sind auf definierte Kundenworkspaces beschränkt.
- Weitergabekontrolle: TLS-Verschlüsselung für Datenübertragung; WhatsApp-Nachrichten sind Ende-zu-Ende-verschlüsselt (Meta).
- Eingabekontrolle: Vollständiges Logging aller Webhook-Eingänge, Statusänderungen und Admin-Aktionen in der Datenbank.
- Verfügbarkeitskontrolle: Automatische Retry-Mechanismen, Heartbeat-Monitoring (Better Stack), Replica-Set-Datenbank.
- Trennungsgebot: Mandantentrennung über eigene Workspace-Konfigurationen je Kunde (
whatsapp_number_id).
8. Rechte der betroffenen Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, wird dieser die Anfrage unverzüglich an den Verantwortlichen weiterleiten.
9. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist (Art. 33 Abs. 2 DSGVO). Die Meldung umfasst mindestens:
- eine Beschreibung der Art der Verletzung einschließlich der Kategorien und Anzahl betroffener Personen und Datensätze,
- Name und Kontaktdaten der Ansprechperson,
- eine Beschreibung der wahrscheinlichen Folgen,
- eine Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.
10. Löschung und Rückgabe von Daten
Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Auf Verlangen des Verantwortlichen werden die Daten vor Löschung in einem gängigen Format herausgegeben.
Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende, es sei denn, es wurde individuell etwas anderes vereinbart.
11. Kontrollrechte des Verantwortlichen
Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV getroffenen Regelungen und der datenschutzrechtlichen Vorgaben beim Auftragsverarbeiter zu überprüfen – auch durch Inspektionen vor Ort nach angemessener Vorankündigung. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Verpflichtungen nach Art. 28 DSGVO zur Verfügung.
12. Schlussbestimmungen
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.
Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin.