Dieser AVV wird Bestandteil des Vertrags, sobald und soweit wir personenbezogene Daten im Auftrag des Kunden (Verantwortlicher) verarbeiten. Verantwortlicher ist der Kunde; Auftragsverarbeiter ist Arti-IT.
1. Gegenstand & Dauer
(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch Arti-IT (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der Nutzung der SaaS-Produkte Blina Desk AI bzw. Blina Space.
(2) Die Dauer dieses Vertrags entspricht der Laufzeit des jeweiligen Hauptvertrags (SaaS-Nutzungsvertrag). Er endet mit dessen Beendigung, vorbehaltlich der Regelungen zu Löschung und Rückgabe (Ziffer 9).
2. Art, Zweck & Daten der Verarbeitung
| Art der Verarbeitung | Erheben, Speichern, Organisieren, Indexieren, Durchsuchen, Anzeigen, Übermitteln (im erforderlichen Umfang), Löschen personenbezogener Daten in der Software. |
|---|---|
| Zweck | Bereitstellung der vertraglich vereinbarten SaaS-Funktionen (Dokumentenarchiv, semantische Suche, OCR, KI-gestützte Auswertung, Verwaltung, Benachrichtigungen). |
| Kategorien betroffener Personen | Mitarbeitende, Kunden, Lieferanten, Interessenten und sonstige Kontakte des Verantwortlichen, deren Daten in hochgeladenen Dokumenten oder im System enthalten sind. |
| Kategorien personenbezogener Daten | Stammdaten (Name, Kontaktdaten), Kommunikations- und Vertragsdaten, Inhalte hochgeladener Dokumente, Nutzungs- und Protokolldaten. Der konkrete Umfang wird durch den Verantwortlichen durch die von ihm eingestellten Inhalte bestimmt. |
Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erfolgt nur, soweit der Verantwortliche solche Daten in das System einstellt; er ist für die Rechtmäßigkeit verantwortlich.
3. Pflichten des Auftragsverarbeiters
- Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine gesetzliche Verpflichtung besteht (Art. 28 Abs. 3 lit. a DSGVO).
- Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
- Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Ziffer 4).
- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen sowie bei Datenschutz-Folgenabschätzungen und Meldepflichten (Art. 28 Abs. 3 lit. e und f DSGVO).
- Unverzügliche Information des Verantwortlichen, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen Datenschutzrecht verstößt.
4. Technische & organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft geeignete TOM nach Art. 32 DSGVO, insbesondere:
- Vertraulichkeit: Zugangs- und Zugriffskontrolle, rollenbasierte Berechtigungen (RBAC), getrennte Datenbank pro Mandant (Mandantentrennung).
- Verschlüsselung: Transportverschlüsselung (TLS/SSL); Verschlüsselung sensibler Schlüssel (z. B. API-Keys) im Ruhezustand.
- Integrität: automatischer Virenscan beim Upload, Audit-Logs, Eingabe- und Weitergabekontrolle.
- Verfügbarkeit & Belastbarkeit: regelmäßige Backups, unveränderbares Off-site-Backup (WORM/Object-Lock) zum Schutz vor Ransomware, Monitoring.
- Wiederherstellbarkeit: Verfahren zur Wiederherstellung der Verfügbarkeit nach einem Zwischenfall.
- Evaluierung: regelmäßige Überprüfung und Aktualisierung der Maßnahmen.
5. Unterauftragsverarbeiter
(1) Der Verantwortliche stimmt dem Einsatz der nachfolgend genannten Unterauftragsverarbeiter zu. Der Auftragsverarbeiter informiert über beabsichtigte Änderungen und räumt dem Verantwortlichen ein Widerspruchsrecht ein.
| Dienstleister | Zweck | Ort / Hinweis |
|---|---|---|
| Hetzner Online GmbH | Hosting & Infrastruktur (SaaS, Datenbanken, Speicher, Backup) | Deutschland (EU) |
| Hostinger International Ltd. | Website-Hosting (arti-it.de), E-Mail/SMTP | EU/EWR |
| OpenAI Ireland Ltd. | KI-Verarbeitung (Chat, Einbettungen / semantische Suche) | EU-Vertragspartner; ggf. Übermittlung in Drittland mit Garantien (SCC) |
| Brevo (Sendinblue GmbH) | Transaktions-E-Mail (Verifizierung, Benachrichtigungen) | EU/EWR |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (nur bei kostenpflichtigen Tarifen) | EU (Irland) |
| Google Ireland Ltd. | Betrieb des Chat-Assistenten (Proxy, Cloud-Region EU) | EU (europe-west3) |
(2) Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter Verträge, die ein dem vorliegenden AVV im Wesentlichen entsprechendes Datenschutzniveau gewährleisten.
6. Rechte betroffener Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten dabei, Anträgen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch nachzukommen. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
7. Kontrollrechte
Der Verantwortliche ist berechtigt, sich von der Einhaltung der TOM und der Pflichten aus diesem Vertrag zu überzeugen. Der Auftragsverarbeiter stellt hierzu die erforderlichen Informationen bereit; Nachweise können auch durch geeignete Zertifikate, Berichte oder Selbstauskünfte erbracht werden. Vor-Ort-Kontrollen sind mit angemessener Vorankündigung und ohne Störung des Betriebsablaufs möglich.
8. Meldung von Verletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei der Erfüllung seiner Melde- und Benachrichtigungspflichten nach Art. 33, 34 DSGVO.
9. Löschung & Rückgabe
Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Dem Verantwortlichen wird vor der Löschung ein angemessener Zeitraum zum Export seiner Daten eingeräumt.
10. Haftung & Schlussbestimmungen
(1) Für die Haftung gelten die Bestimmungen des Hauptvertrags (AGB) sowie Art. 82 DSGVO.
(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
(3) Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.