Auftragsverarbeitungsvertrag (AVV)
1. Gegenstand & Rollen
Dieser AVV ist Bestandteil der AGB. Für Unterhaltungen, die Besucher mit dem eingebetteten Widget des Kunden führen, ist der Kunde Verantwortlicher und OpenAlice Laboratories Auftragsverarbeiter (Art. 28 DSGVO). Wir verarbeiten Besucherdaten ausschließlich zur Erbringung des Dienstes und nur auf dokumentierte Weisung des Kunden, wie sie in der Dashboard-Konfiguration und diesen Bedingungen zum Ausdruck kommt.
2. Art und Zweck der Verarbeitung
Entgegennahme, Speicherung, Analyse und Beantwortung von Besuchernachrichten (Text und, wo aktiviert, Sprache); Erfassung vom Besucher übermittelter Lead-Daten; Unterhaltungsanalysen für den Kunden; Eskalation an das Team des Kunden.
3. Datenkategorien & betroffene Personen
- Betroffene: Besucher der Kunden-Website, die mit dem Widget interagieren.
- Daten: Nachrichteninhalte, optional Sprachaudio (transient, zur Transkription/Synthese), optional Lead-Kontaktdaten (Name, E-Mail, Telefon), technische Metadaten (Sitzungskennungen, Zeitstempel, grobe Locale). Besondere Kategorien werden nicht erhoben; Kunden dürfen das Widget nicht darauf konfigurieren.
4. Dauer, Löschung & Rückgabe
Die Verarbeitung dauert für die Vertragslaufzeit. Die Aufbewahrung konfiguriert der Verantwortliche je Widget: nur Sitzung oder 7 / 30 / 90 / 365 Tage; Ablauf löscht automatisch. Bei Vertragsende kann der Kunde Transkripte und Leads exportieren; verbleibende personenbezogene Daten löschen wir binnen 30 Tagen, Backup-Rotation binnen weiterer 35 Tage, soweit keine gesetzliche Pflicht längere Aufbewahrung verlangt.
5. Technische und organisatorische Maßnahmen (Art. 32)
- Verschlüsselung im Transit (TLS 1.2+) und at rest für Transkriptinhalte und Lead-Daten (AES-256-GCM, verwaltete Cluster-Masterschlüssel).
- EU-Datenresidenz (Hetzner, Deutschland) per Standard; strikte Netzwerksegmentierung je Dienst; interne APIs mit dedizierten Secrets authentifiziert.
- Rollenbasierte Zugriffe; Zugriff auf Unterhaltungsdaten wird protokolliert (Audit-Trail); menschliche Übernahmen sind zurechenbar.
- Rate-Limiting am Edge und Missbrauchskontrollen je Widget; signierte Widget-Tokens.
- Backups mit automatischer Rotation; dokumentiertes Wiederherstellungsverfahren; Incident Response mit Meldung nach § 7.
6. Unterauftragsverarbeiter (Art. 28 Abs. 2)
Der Kunde erteilt die allgemeine Genehmigung für die in der Datenschutzerklärung § 5 gelisteten Unterauftragsverarbeiter (Hetzner DE, Mistral FR, Mollie NL; optional OpenRouter US, ElevenLabs US, Fish Audio US — die US-Anbieter nur, wenn der Kunde sie aktiviert und der Besucher nach Art. 49 Abs. 1 lit. a einwilligt). Ergänzungen oder Ersetzungen kündigen wir mindestens 14 Tage vorher an; der Kunde kann aus berechtigten Datenschutzgründen widersprechen — die betroffene Funktion bleibt dann für ihn deaktiviert.
7. Verletzung des Schutzes personenbezogener Daten
Wir melden dem Kunden unverzüglich, nachdem uns eine Verletzung bekannt wird, die seine Daten betrifft, mit den Informationen nach Art. 33 Abs. 3, und unterstützen seine eigenen Meldepflichten.
8. Unterstützung & Betroffenenrechte
Unter Berücksichtigung der Art der Verarbeitung unterstützen wir den Kunden bei Anfragen nach Art. 12–23 (Export, Berichtigung, Löschung einzelner Unterhaltungen via Dashboard oder Support) und bei Pflichten nach Art. 32–36 (diese TOM-Liste, DSFA-Input auf Anfrage).
9. Nachweise & Audits
Wir stellen die zum Nachweis der Art.-28-Compliance erforderlichen Informationen bereit und ermöglichen Audits — regelmäßig erfüllt durch Dokumentation und Bescheinigungen; Vor-Ort-Audits erfordern 30 Tage Vorlauf, Geschäftszeiten, Vertraulichkeit und keinen Zugriff auf Daten anderer Kunden.
10. Vertraulichkeit
Zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet. Unsere Betriebsagenten (menschlich wie KI) greifen auf Unterhaltungsdaten nur für Betrieb, Support und Sicherheitsprüfung zu — stets protokolliert.