DE
ENG
PL
ES
Anmelden
Registriere Dich
DE
ENG
PL
ES
Anmelden
Registriere Dich

DPA

1. Parteien und Rollen

1.1. Dieser Auftragsverarbeitungsvertrag (“AVV”) ist ein integraler Bestandteil des PromptEye-Dienstleistungsvertrags.

1.2. Soweit der Kunde personenbezogene Daten in den Dienst eingibt, vereinbaren die Parteien, dass:

    • der Kunde als Verantwortlicher für personenbezogene Daten im Sinne der DSGVO handelt,
    • PromptEye als Auftragsverarbeiter handelt.

1.3. In Bezug auf personenbezogene Daten von Kontobenutzern, Abrechnungsdaten, Kontaktdaten und Marketingdaten handelt PromptEye als Verantwortlicher – gemäß den in der Datenschutzerklärung festgelegten Bedingungen.

2. Gegenstand, Art und Zweck der Verarbeitung

2.1. Gegenstand dieses AVV ist die Festlegung der Bedingungen, unter denen PromptEye personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit der Erbringung des Dienstes verarbeitet.

2.2. Die Verarbeitung umfasst insbesondere:

    • Kontodaten: Vorname, Nachname (sofern angegeben), geschäftliche E-Mail-Adresse, Unternehmensname und -daten, Nutzerrolle,
    • Technische Daten: IP-Adresse, Geräte- und Browserdaten, Sitzungskennungen, technische Protokolle,
    • Geschäftsdaten: Prompts, Markennamen, analytische Inhalte und andere vom Kunden oder Nutzern in den Dienst eingegebene Daten, soweit diese personenbezogene Daten enthalten.

2.3. Die Art der Verarbeitungsvorgänge umfasst u. a.: Erhebung, Organisation, Speicherung, Änderung, Analyse, Verwendung zur Berichtserstellung, Offenlegung gegenüber dem Kunden, Löschung und Anonymisierung.

2.4. Zweck der Verarbeitung ist die Erbringung des Dienstes durch PromptEye für den Kunden, einschließlich der Gewährleistung von Sicherheit, Abrechnung, technischem Support und Weiterentwicklung des Dienstes gemäß dem Vertrag.

2.5. Personenbezogene Daten werden ausschließlich auf dokumentierte Weisung des Kunden verarbeitet, es sei denn, die Verarbeitung ist nach dem Recht der Europäischen Union oder eines Mitgliedstaats erforderlich – in diesem Fall informiert PromptEye den Kunden vor der Verarbeitung über diese Anforderung, sofern das Recht dies nicht untersagt.

3. Dauer der Verarbeitung

3.1. Personenbezogene Daten werden von PromptEye für die Dauer des Vertrags und für einen zusätzlichen Zeitraum verarbeitet, der erforderlich ist für:

    • die Erfüllung von Pflichten im Zusammenhang mit der Löschung oder Rückgabe von Daten,
    • die Sicherung von Ansprüchen,
    • die Erfüllung gesetzlicher Pflichten (z. B. buchhalterische, steuerliche),

gemäß der Datenschutzerklärung.

3.2. Grundsätzlich werden Kundendaten innerhalb von 30 Tagen nach Beendigung des Vertrags aus den Produktivsystemen von PromptEye gelöscht; Kopien in Backup-Systemen können bis zu 60 Tage ab dem Datum der Löschung aus den Produktivsystemen aufbewahrt werden.

4. Kategorien betroffener Personen, Daten und Rechtsgrundlage

4.1. Der Dienst ist grundsätzlich nicht für die umfangreiche Verarbeitung personenbezogener Daten Dritter (z. B. Massendaten von Endkunden) bestimmt, es sei denn, die Parteien vereinbaren dies ausdrücklich im Vertrag und in der Konfiguration des Dienstes.

Kategorien betroffener Personen, deren Daten verarbeitet werden können:

    • Mitarbeiter, Mitarbeiter und andere Vertreter des Kunden,
    • andere Personen, deren Daten der Kunde in den Dienst eingibt.

4.2. Datenkategorien:

    • Identifikations- und Kontaktdaten (z. B. Vorname, Nachname, E-Mail-Adresse, Berufsbezeichnung, Unternehmensdaten),
    • Daten zur Nutzung der Plattform (Protokolle, Kontokennungen, Einstellungen),
    • Daten in Prompts, Berichten und vom Kunden übermittelten Inhalten (je nach Nutzung des Dienstes durch den Kunden können diese personenbezogene Daten enthalten).

4.3. Der Kunde erklärt, dass er über eine angemessene Rechtsgrundlage für die Verarbeitung personenbezogener Daten und deren Übermittlung an PromptEye gemäß der DSGVO verfügt.

5. Pflichten von PromptEye als Auftragsverarbeiter

5.1. PromptEye verpflichtet sich:

    • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden zu verarbeiten,
    • sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,
    • geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen,
    • den Kunden bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen im Rahmen von Abschnitt 7 zu unterstützen,
    • den Kunden bei der Erfüllung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, DSFA, Vorabkonsultation) in angemessenem Umfang und unter Berücksichtigung der Art der Verarbeitung und der PromptEye zur Verfügung stehenden Informationen zu unterstützen,
    • nach Beendigung der Verarbeitungsdienstleistungen alle personenbezogenen Daten nach Wahl des Kunden zu löschen oder an ihn zurückzugeben und bestehende Kopien zu löschen, vorbehaltlich gesetzlicher Pflichten,
    • dem Kunden alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der in diesem AVV und in Art. 28 DSGVO festgelegten Pflichten nachzuweisen.

6. Sicherheitsmaßnahmen

6.1. PromptEye implementiert und pflegt technische und organisatorische Maßnahmen, die ein dem Risiko angemessenes Sicherheitsniveau gewährleisten, darunter mindestens:

    • Verschlüsselung personenbezogener Daten während der Übertragung (TLS) und im Ruhezustand,
    • rollenbasierte Zugriffskontrolle (RBAC),
    • Anforderungen an starke Passwörter und die Möglichkeit zur Aktivierung der Multi-Faktor-Authentifizierung (MFA),
    • Backups und Notfallwiederherstellungsverfahren,
    • Überwachung und Protokollierung sicherheitsrelevanter Ereignisse,
    • Zugangskontrolle zur Infrastruktur (Netzwerke, Rechenzentren, Cloud-Umgebungen),
    • regelmäßige Software- und Abhängigkeitsaktualisierungen.

6.2. Eine detaillierte Beschreibung der aktuellen Sicherheitsmaßnahmen kann dem Kunden in einem separaten Dokument oder auf der PromptEye-Website zur Verfügung gestellt werden.

7. Rechte betroffener Personen

7.1. Unter Berücksichtigung der Art der Verarbeitung unterstützt PromptEye den Kunden, soweit technisch und organisatorisch möglich, bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen, insbesondere bezüglich:

    • des Auskunftsrechts,
    • der Berichtigung,
    • der Löschung (“Recht auf Vergessenwerden”),
    • der Einschränkung der Verarbeitung,
    • der Datenübertragbarkeit,
    • des Widerspruchsrechts,
    • der Rechte im Zusammenhang mit Profiling und automatisierter Entscheidungsfindung.

7.2. Erhält PromptEye eine Anfrage bezüglich Daten, die im Auftrag des Kunden verarbeitet werden, leitet PromptEye diese Anfrage, sofern es in der Lage ist, den entsprechenden Verantwortlichen zu identifizieren, unverzüglich an den Kunden weiter, es sei denn, gesonderte gesetzliche Vorschriften verlangen eine eigenständige Antwort von PromptEye.

7.3. Die Unterstützung von PromptEye bei der Wahrnehmung der Rechte betroffener Personen kann mit zusätzlichen Kosten für den Kunden verbunden sein, wenn Anfragen übermäßig sind oder über den üblichen Umfang der Unterstützung hinausgehen.

8. Unterauftragsverarbeiter

8.1. Der Kunde erteilt PromptEye eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern zum Zweck der Erbringung des Dienstes. Die aktuelle Liste der wichtigsten Unterauftragsverarbeiter umfasst insbesondere Anbieter von KI-Modellen (LLMs) und Cloud-Infrastruktur und -Tools, wie z. B. Anbieter von Sprachmodellen (z. B. OpenAI – GPT-Modelle, Perplexity, DeepSeek, Anbieter von KI-Overview-Antwort-Aggregationsschichten) sowie Anbieter von Infrastruktur und Tools zur Unterstützung der Diensterbringung (z. B. Cloud-Anbieter, Datenbankdienste, Kommunikationstools und Marketing-Automatisierung). Die Liste der Unterauftragsverarbeiter kann sich ändern und umfasst auch andere KI-Modell- und Infrastrukturanbieter, die im Rahmen des Dienstes eingesetzt werden, gemäß dem in diesem AVV beschriebenen Benachrichtigungsverfahren.

8.2. PromptEye stellt sicher, dass jeder Unterauftragsverarbeiter durch einen Vertrag gebunden ist, der ihm Pflichten auferlegt, die nicht weniger streng sind als die aus diesem AVV, insbesondere hinsichtlich Sicherheit und Vertraulichkeit.

8.3. PromptEye wird den Kunden (z. B. über die Website oder per E-Mail) über die Hinzufügung, den Austausch oder die Entfernung eines Unterauftragsverarbeiters informieren. Der Kunde kann innerhalb einer angemessenen Frist nach Erhalt dieser Mitteilung einen begründeten Einwand gegen die Beauftragung eines bestimmten Unterauftragsverarbeiters erheben.

8.4. Im Falle eines wirksamen Einwands werden die Parteien in gutem Glauben verhandeln, um eine Lösung zu finden (z. B. Deaktivierung einer bestimmten Funktionalität, alternativer Unterauftragsverarbeiter). Ist dies nicht möglich, kann der Kunde den Vertrag hinsichtlich der von dem betreffenden Unterauftragsverarbeiter abhängigen Funktionalitäten kündigen oder, falls dies nicht möglich ist, den gesamten Vertrag mit Wirkung zum Ende des laufenden Abrechnungszeitraums.

9. Datenübermittlungen außerhalb des EWR

9.1. Personenbezogene Daten können in Drittländer (außerhalb des Europäischen Wirtschaftsraums), insbesondere in die Vereinigten Staaten, übermittelt werden, im Zusammenhang mit der Nutzung der Dienste von Unterauftragsverarbeitern wie LLM-Modell- und Infrastrukturanbietern (z. B. OpenAI, Perplexity, DeepSeek, Anbieter von AI-Overview-Antwort-Aggregationsschichten, Cloud-Anbieter und Marketing-Automatisierungstools).

9.2. In diesem Fall stellt PromptEye sicher, dass die Datenübermittlungen mit geeigneten rechtlichen Garantien gemäß Kapitel V DSGVO erfolgen, insbesondere durch:

    • den Abschluss von Standardvertragsklauseln (SCC) der Europäischen Kommission und/oder
    • die Nutzung von Anbietern, die am EU–US Data Privacy Framework (DPF) teilnehmen, soweit anwendbar.

9.3. Auf Anfrage des Kunden kann PromptEye allgemeine Informationen über die angewendeten Transfergarantien bereitstellen (ohne Inhalte offenzulegen, die Geschäftsgeheimnisse darstellen oder einer NDA unterliegen).

10. Meldung von Datenschutzverletzungen

10.1. PromptEye wird den Kunden unverzüglich, ohne unangemessene Verzögerung, über eine festgestellte Verletzung des Schutzes personenbezogener Daten informieren, die Daten betrifft, die im Auftrag des Kunden verarbeitet werden.

10.2. Die Meldung enthält – soweit verfügbar – die nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen, insbesondere:

    • eine Beschreibung der Art der Verletzung,
    • die Kategorien und die ungefähre Anzahl der betroffenen Personen,
    • die Kategorien und die ungefähre Anzahl der betroffenen Datensätze,
    • eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
    • eine Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

10.3. PromptEye wird mit dem Kunden bei der Erfüllung seiner Pflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen in angemessenem Umfang zusammenarbeiten, unter Berücksichtigung der Art der Verletzung und der entsprechenden gesetzlichen Pflichten der Parteien.

11. Audits und Inspektionen

11.1. Auf Anfrage des Kunden stellt PromptEye Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses AVV und Art. 28 DSGVO nachzuweisen, insbesondere in Form von:

    • Antworten auf Sicherheits-/DSGVO-Fragebögen,
    • Zusammenfassungen externer Auditberichte oder Zertifizierungen (soweit vorhanden),
    • Beschreibungen technischer und organisatorischer Maßnahmen.

11.2. In begründeten Fällen kann der Kunde (oder ein unabhängiger Auditor) ein Vor-Ort-Audit oder eine Inspektion durchführen, nach vorheriger schriftlicher Vereinbarung über Umfang, Zeitpunkt und Bedingungen des Audits sowie Unterzeichnung einer NDA.

11.3. Vor-Ort-Audits können höchstens einmal alle 12 Monate stattfinden, es sei denn, es ist zu einer wesentlichen Datenschutzverletzung gekommen. Die Kosten des Audits trägt der Kunde, sofern gesetzlich nichts anderes vorgeschrieben ist.

12. Beendigung der Verarbeitung, Löschung und Rückgabe von Daten

12.1. Nach Beendigung der Datenverarbeitungsdienstleistungen für den Kunden wird PromptEye – gemäß der vor Vertragsende mitgeteilten Wahl des Kunden –:

    • personenbezogene Daten aus seinen eigenen Systemen löschen, oder
    • dem Kunden eine Kopie der Daten in einem vereinbarten Format (z. B. CSV/JSON-Export) bereitstellen und die Daten anschließend aus seinen Systemen löschen,

vorbehaltlich Abschnitt 12.2.

12.2. PromptEye kann personenbezogene Daten in dem Umfang und für den Zeitraum aufbewahren, der erforderlich ist für:

    • die Erfüllung gesetzlicher Pflichten (z. B. Steuer- und Buchführungsvorschriften),
    • die Feststellung, Geltendmachung oder Verteidigung von Ansprüchen.

12.3. Nach Ablauf der in Abschnitt 3.2 genannten Aufbewahrungsfrist werden personenbezogene Daten dauerhaft aus den Backup-Systemen gelöscht oder anonymisiert, soweit rechtlich zulässig und technisch realisierbar.

13. Haftung und Verhältnis zum Vertrag

13.1. Die Haftung der Parteien im Zusammenhang mit diesem AVV richtet sich nach dem Vertrag und den Nutzungsbedingungen, vorbehaltlich zwingender gesetzlicher Vorschriften.

13.2. Soweit die Bestimmungen dieses AVV spezifischer sind als die Nutzungsbedingungen, hat der AVV in Angelegenheiten der Verarbeitung personenbezogener Daten durch PromptEye als Auftragsverarbeiter Vorrang.