OpenAlice Embed← Startseite
Rechtliches · Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV)

Version 2.0 · 04.07.2026 · zur anwaltlichen Prüfung vorbereitet · English

1. Gegenstand & Rollen

Dieser AVV ist Bestandteil der AGB. Für Unterhaltungen, die Besucher mit dem eingebetteten Widget des Kunden führen, ist der Kunde Verantwortlicher und OpenAlice Laboratories Auftragsverarbeiter (Art. 28 DSGVO). Wir verarbeiten Besucherdaten ausschließlich zur Erbringung des Dienstes und nur auf dokumentierte Weisung des Kunden, wie sie in der Dashboard-Konfiguration und diesen Bedingungen zum Ausdruck kommt.

2. Art und Zweck der Verarbeitung

Entgegennahme, Speicherung, Analyse und Beantwortung von Besuchernachrichten (Text und, wo aktiviert, Sprache); Erfassung vom Besucher übermittelter Lead-Daten; Unterhaltungsanalysen für den Kunden; Eskalation an das Team des Kunden.

3. Datenkategorien & betroffene Personen

4. Dauer, Löschung & Rückgabe

Die Verarbeitung dauert für die Vertragslaufzeit. Die Aufbewahrung konfiguriert der Verantwortliche je Widget: nur Sitzung oder 7 / 30 / 90 / 365 Tage; Ablauf löscht automatisch. Bei Vertragsende kann der Kunde Transkripte und Leads exportieren; verbleibende personenbezogene Daten löschen wir binnen 30 Tagen, Backup-Rotation binnen weiterer 35 Tage, soweit keine gesetzliche Pflicht längere Aufbewahrung verlangt.

5. Technische und organisatorische Maßnahmen (Art. 32)

6. Unterauftragsverarbeiter (Art. 28 Abs. 2)

Der Kunde erteilt die allgemeine Genehmigung für die in der Datenschutzerklärung § 5 gelisteten Unterauftragsverarbeiter (Hetzner DE, Mistral FR, Mollie NL; optional OpenRouter US, ElevenLabs US, Fish Audio US — die US-Anbieter nur, wenn der Kunde sie aktiviert und der Besucher nach Art. 49 Abs. 1 lit. a einwilligt). Ergänzungen oder Ersetzungen kündigen wir mindestens 14 Tage vorher an; der Kunde kann aus berechtigten Datenschutzgründen widersprechen — die betroffene Funktion bleibt dann für ihn deaktiviert.

7. Verletzung des Schutzes personenbezogener Daten

Wir melden dem Kunden unverzüglich, nachdem uns eine Verletzung bekannt wird, die seine Daten betrifft, mit den Informationen nach Art. 33 Abs. 3, und unterstützen seine eigenen Meldepflichten.

8. Unterstützung & Betroffenenrechte

Unter Berücksichtigung der Art der Verarbeitung unterstützen wir den Kunden bei Anfragen nach Art. 12–23 (Export, Berichtigung, Löschung einzelner Unterhaltungen via Dashboard oder Support) und bei Pflichten nach Art. 32–36 (diese TOM-Liste, DSFA-Input auf Anfrage).

9. Nachweise & Audits

Wir stellen die zum Nachweis der Art.-28-Compliance erforderlichen Informationen bereit und ermöglichen Audits — regelmäßig erfüllt durch Dokumentation und Bescheinigungen; Vor-Ort-Audits erfordern 30 Tage Vorlauf, Geschäftszeiten, Vertraulichkeit und keinen Zugriff auf Daten anderer Kunden.

10. Vertraulichkeit

Zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet. Unsere Betriebsagenten (menschlich wie KI) greifen auf Unterhaltungsdaten nur für Betrieb, Support und Sicherheitsprüfung zu — stets protokolliert.