1 Gegenstand der Beauftragung

Der Kunde („Auftraggeber") lässt durch uns („Auftragnehmer") auf Grundlage eines Vertrages, zu dem dieser Auftragsverarbeitungsvertrag Anlage ist, (der „Hauptvertrag") personenbezogene Daten im Auftrag verarbeiten. Zur Durchführung des Hauptvertrages beauftragt der Auftraggeber den Auftragnehmer mit einer Auftragsverarbeitung gem. Art. 28 DSGVO. Dieser Auftragsverarbeitungsvertrag geht im Fall von Widersprüchen dem Hauptvertrag vor.

Ziel der Verarbeitung personenbezogener Daten durch den Auftragnehmer ist die Erbringung der im Hauptvertrag vereinbarten Leistungen, insbesondere:

• Verwaltung von Kundenkontakten und Lead-Daten

• Automatisierte Kommunikation via WhatsApp und andere Kanäle

• KI-gestützte Chatbot-Funktionen zur Kontaktreaktivierung

• CRM-Funktionen und Marketing-Automatisierung

Die Kategorien der von der Verarbeitung Betroffenen und personenbezogenen Daten sind in der Anlage 1 wiedergegeben.

2 Ort der Auftragsverarbeitung

Die Auftragsverarbeitung erfolgt über verschiedene Unterauftragsverarbeiter. Für die CRM- und Marketing-Automatisierungsfunktionen wird die Plattform von GoHighLevel Inc. eingesetzt (Rechenzentren: AWS und Google Cloud).

Drittlandtransfers in die USA sind durch EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. GoHighLevel Inc. hat entsprechende SCCs mit dem Auftragnehmer abgeschlossen (siehe Annex C der GoHighLevel DPA, abrufbar unter: https://www.gohighlevel.com/data-processing-agreement).

Für Verarbeitungen innerhalb der EU erfolgt die Verarbeitung durch Meta Platforms Ireland Ltd. (WhatsApp Business API) in Irland.

Jede Verlagerung der Auftragsverarbeitung in ein Drittland darf nur erfolgen, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

3 Verantwortlichkeit und Weisungsrecht des Auftraggebers

Der Auftraggeber ist für die Zwecke der Auftragsverarbeitung der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Er ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Übermittlung der Daten an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung durch diesen, verantwortlich.

Der Auftraggeber hat jederzeit das Recht, den Hauptvertrag ergänzende Weisungen über Art, Umfang und Verfahren der Verarbeitung der personenbezogenen Daten zu erteilen. Weisungen können mündlich oder in Textform erfolgen. Mündliche Weisungen des Auftraggebers sind durch diesen unverzüglich in Textform zu bestätigen. Soweit der Auftraggeber Weisungen mittels der vom Auftragnehmer für die Zwecke der Auftragsverarbeitung bereitgestellten Webseite erteilt, dokumentiert der Auftragnehmer die Erteilung der Weisungen.

Der Auftragnehmer wird den Auftraggeber unverzüglich in Textform informieren, wenn nach seiner Auffassung eine vom Auftraggeber erteilte Weisung gegen gesetzliche Regelungen verstößt. Solange die Parteien die Bedenken des Auftragnehmers nicht ausgeräumt haben, ist der Auftragnehmer berechtigt, die Durchführung der betreffenden Weisung auszusetzen.

Sofern der Auftragnehmer der Auffassung sein sollte, eine Weisung des Auftraggebers aus technischen Gründen nicht befolgen zu können, wird er den Auftraggeber hierüber in Textform informieren und sich zum weiteren Vorgehen mit diesem abstimmen.

4 Pflichten des Auftragnehmers

Jegliche Verarbeitung der personenbezogenen Daten erfolgt ausschließlich entsprechend den Vorgaben des Hauptvertrages sowie den ggf. vom Auftraggeber erteilten Weisungen. Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Dieser Absatz 1 gilt nicht, wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Der Auftragnehmer bestätigt, dass er gesetzlich nicht verpflichtet ist, einen betrieblichen Datenschutzbeauftragten zu bestellen. Er benennt dem Auftraggeber an dessen Stelle einen Ansprechpartner für alle Belange des Datenschutzes und der Durchführung dieses Vertrages.

Der Auftragnehmer hat die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützen. Hierfür wird er insbesondere die in diesem Vertrag vorgesehenen Leistungen erbringen.

Soweit erforderlich, unterstützt der Auftragnehmer den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und wird ihm alle hierfür aus seiner Sphäre erforderlichen Informationen und Nachweise überlassen. Er ist entsprechend verpflichtet, wenn der Auftraggeber eine vorherige Konsultation nach Art. 36 DSGVO mit einer Aufsichtsbehörde durchführen muss. Für die unter diesem Absatz zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

Auf berechtigten Wunsch des Auftraggebers wird der Auftragnehmer diesem alle erforderlichen Informationen zum Nachweis der Einhaltung der dem Auftragnehmer nach Artikel 28 DSGVO obliegenden Pflichten zur Verfügung stellen.

Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung, Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden oder ist es zu entsprechenden Maßnahmen gekommen, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber umfassend zu informieren, es sei denn, dies ist ihm gesetzlich nicht gestattet. Ferner ist der Auftragnehmer verpflichtet, alle insoweit relevanten Dritten darauf hinzuweisen, dass es sich bei den Daten um personenbezogene Daten handelt, für die der Auftraggeber Verantwortlicher ist und er selbst nur als Auftragsverarbeiter tätig wird.

5 Pflichten des Auftraggebers

Der Auftraggeber hat den Auftragnehmer unverzüglich unter Angabe der Gründe zu informieren, wenn er in den Auftragsergebnissen oder hinsichtlich der Tätigkeit des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich der Vorgaben dieses Vertrages oder der DSGVO feststellt.

6 Sicherheit der Verarbeitung

Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere geeignete technische und organisatorische Maßnahmen, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Zum Zeitpunkt des Vertragsschlusses sind dies die in der Anlage 2 beschriebenen Maßnahmen. Er hat die Einhaltung dieser Vorgaben dem Auftraggeber auf dessen Verlangen mit geeigneten Mitteln nachzuweisen.

Der Auftragnehmer ist zur Anpassung an geänderte technische oder rechtliche Gegebenheiten berechtigt, Änderungen an den in Anlage 2 beschriebenen Maßnahmen vorzunehmen. Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen, eine Erhöhung der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen oder generell eine Reduktion des vereinbarten Schutzniveaus mit sich bringen könnten, bedürfen der Zustimmung des Auftraggebers. Andere Änderungen, insbesondere eine Verbesserung der ergriffenen Maßnahmen, können vom Auftragnehmer ohne Zustimmung des Auftraggebers umgesetzt werden. Nach Vornahme solcher Änderungen passt der Auftragnehmer die Anlage 2 entsprechend an und übermittelt die jeweils aktuelle Version der Anlage 2 unverzüglich dem Auftraggeber bzw. weist diesen darauf hin, wo die neue Version auf der Webseite des Auftragnehmers zur Verfügung gestellt wird.

7 Betroffenenrechte

Der Auftragnehmer wird, soweit es ihm möglich und zumutbar ist, den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel 3 der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Hierfür hat der Auftraggeber den Auftragnehmer in Textform zu informieren, welche Unterstützungshandlung des Auftragnehmers er benötigt und diesem insoweit die Daten zu überlassen, die zur Erfüllung der Anfrage erforderlich sind. Soweit eine Partei weitere Informationen von der anderen Partei benötigt, wird sie diese unverzüglich in Textform darauf hinweisen. Der Auftragnehmer erbringt seine Unterstützungshandlung in angemessener Frist, so dass der Auftraggeber die ihm obliegenden Fristen wahren kann. Er hat den Auftraggeber unverzüglich unter Angabe der Gründe zu informieren, wenn er sich nicht in der Lage sieht, die verlangte Unterstützungshandlung zu erbringen.

Wenn ein Betroffener sich zur Ausübung der diesem aus Kapitel 3 der DSGVO zustehenden Rechte unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer diesen an den Auftraggeber verweisen, soweit ihm die Zuordnung zu diesem möglich ist. Sollte ihm eine Zuordnung nicht möglich und der Auftragnehmer auch nicht als Verantwortlicher unmittelbar gegenüber dem Betroffenen aus Kapitel 3 der DSGVO verpflichtet sein, wird er ihn darüber informieren, dass er als Auftragsverarbeiter für Dritte tätig ist und er den Dritten hinsichtlich des Betroffenen nicht identifizieren kann. Sofern und soweit der Auftragnehmer gegenüber dem Betroffenen selbst als Verantwortlicher nach Kapitel 3 der DSGVO verpflichtet ist, obliegt die Erfüllung der entsprechenden Verpflichtungen alleine dem Auftragnehmer als Verantwortlichen.

Für die unter dieser Ziffer für den Auftraggeber zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

8 Kontrollrechte des Auftraggebers

Dem Auftraggeber stehen alle Kontrollrechte, insbesondere Inspektionen, zu, die zur Wahrung der ihm nach den Vorgaben der DSGVO obliegenden Pflichten erforderlich sind. Das Kontrollrecht ist mit einer angemessenen Ankündigungsfrist von mindestens vier Wochen und zu den üblichen Geschäftszeiten des Auftragnehmers auszuüben. Der Auftragnehmer ist zur Reduktion der Auswirkungen von Inspektionen auf seinen Geschäftsbetrieb berechtigt, diese mit denen anderer Auftraggeber zu verbinden, soweit dies dem Auftraggeber zumutbar ist (z.B. gemeinsame Inspektionstermine, die in angemessener Frist durchgeführt werden). Der Auftraggeber wird Sorge dafür tragen, dass Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig zu stören.

Der Auftraggeber ist berechtigt, die Ausübung der Kontrollrechte auf einen von diesem beauftragten Dritten zu übertragen. Sollte der Dritte in einem Wettbewerbsverhältnis zum Auftragnehmer stehen, hat dieser gegen dessen Tätigkeit ein Einspruchsrecht.

Der Auftragnehmer hat an der Ausübung der Kontrollrechte im erforderlichen Umfang mitzuwirken. Er darf Kontrollen durch den Auftraggeber von der Unterzeichnung einer üblichen und angemessenen Verschwiegenheitserklärung abhängig machen, soweit dies zum Schutz seiner Geschäftsgeheimnisse nach den gesetzlichen Vorgaben erforderlich ist.

Für die unter dieser Ziffer zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

9 Maßnahmen von Aufsichtsbehörden

Der Auftragnehmer informiert, soweit zulässig, den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer (Aufsichts-)Behörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt insbesondere, soweit eine Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Auftragsverarbeitung beim Auftragnehmer ermittelt.

Soweit der Auftraggeber seinerseits einer Kontrolle der (Aufsichts-)Behörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer im erforderlichen Umfang zu unterstützen. Für die insoweit zu erbringenden Leistungen steht dem Auftragnehmer ein angemessenes, am Zeitaufwand orientiertes Entgelt zu, sofern und soweit er die entsprechende Kontrolle etc. nicht zu vertreten hat. Der Auftragnehmer darf die Erbringung der von ihm geschuldeten Leistungen nicht davon abhängig machen, dass der Auftraggeber eine bestimmte Vergütung anerkennt und/oder vorab leistet.

10 Unterauftragsverarbeiter

Der Auftragnehmer setzt für die Verarbeitung die in der Anlage 3 benannten Unterauftragsverarbeiter ein.

Der Auftragnehmer wird den Auftraggeber in Textform über Änderungen an der Beauftragung von Unterauftragsverarbeitern informieren.

Der Auftraggeber kann innerhalb einer Frist von vier Wochen seit Zugang der Information der Änderung widersprechen. Der Auftragnehmer setzt die Änderung nicht vor Ablauf der Widerspruchsfrist um. Im Falle eines Widerspruchs ist der Auftragnehmer berechtigt, den Auftragsverarbeitungsvertrag mit einer Frist von mindestens einem Monat zu kündigen, sofern die Änderung dem Auftraggeber zumutbar gewesen wäre und der Widerspruch dem Auftragnehmer unzumutbar ist. Zumutbarkeit für den Auftraggeber ist gegeben, wenn mit der Änderung keine Nachteile für ihn zu befürchten gewesen wären und insbesondere sichergestellt gewesen wäre, dass die Vorgaben dieses Vertrages und der DSGVO bei Umsetzung der Änderung weiter eingehalten worden wären. Unzumutbarkeit für den Auftragnehmer ist gegeben, wenn er seine Auftragsverarbeitungsleistungen als im Wesentlichen gleichförmigen Prozess für eine Vielzahl von Auftraggebern erbringt und individuelle Abweichungen bei den Unterauftragsverarbeitern für den Auftragnehmer nicht einfach umzusetzen sind (z.B. alle Auftraggeber nutzen dieselbe, standardisierte Softwareplattform).

Der Auftragnehmer wird für eventuelle Unterauftragsverarbeiter die in den Absätzen 2 und 4 des Art. 28 DSGVO genannten Bedingungen einhalten. Er hat ferner sicherzustellen, dass die sonst mit dem Auftraggeber insoweit getroffenen vertraglichen Vereinbarungen sowie die ggf. ergänzenden Weisungen des Auftraggebers auch von den Unterauftragsverarbeitern eingehalten werden. Er hat dies dem Auftraggeber auf dessen Wunsch nachzuweisen.

11 Verstoß gegen datenschutzrechtliche Vorschriften, Vereinbarungen oder Weisungen

Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen unverzüglich mitzuteilen:

• Erste Statusmeldung: Innerhalb von 4 Stunden nach Kenntniserlangung

• Vollständige Meldung: Spätestens 12 Stunden nach erster Kenntnis in Textform

Jegliche, etwaige erforderliche Meldung an eine Aufsichtsbehörde oder Information von Betroffenen obliegt allein dem Auftraggeber. Der Auftragnehmer wird hieran im erforderlichen Umfang mitwirken.

Der Auftragnehmer ist weiter verpflichtet, den Verstoß im erforderlichen Umfang unverzüglich aufzuklären und dem Auftraggeber eine entsprechende Dokumentation zu überlassen. Die Dokumentation hat eine Darstellung zu umfassen, welche Maßnahmen der Auftragnehmer ergriffen hat, um weitere Verstöße zu unterbinden und warum er der Auffassung ist, dass die ergriffenen Maßnahmen ausreichend sind, um den Vorgaben dieses Vertrages und der gesetzlichen Vorschriften zu genügen.

12 Vergütung des Auftragnehmers

Dem Auftragnehmer steht für die von ihm unter diesem Vertrag erbrachten Leistungen kein gesondertes Entgelt zu, sofern nicht anders in diesem Vertrag vereinbart.

13 Dauer des Vertrages

Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages. Er kann isoliert vom Hauptvertrag nur aus wichtigem Grund gekündigt werden, es sei denn dieser Vertrag oder zwingende gesetzliche Vorschriften bestimmen etwas Anderes.

14 Regulatorische Änderungen und Exit-Strategie

Sollten neue Urteile des Europäischen Gerichtshofs (z. B. „Schrems III") oder Änderungen der Rechtslage die Rechtmäßigkeit von Datenübermittlungen in die USA grundlegend in Frage stellen, verpflichtet sich der Auftragnehmer:

a) Den Auftraggeber unverzüglich (innerhalb von 5 Werktagen) über die rechtliche Entwicklung zu informieren,

b) Innerhalb von 30 Tagen eine rechtliche Bewertung der Auswirkungen auf die Vertragserfüllung vorzulegen,

c) Geeignete Maßnahmen zur Aufrechterhaltung der Rechtmäßigkeit zu prüfen (z. B. Migration auf EU-Hosting, Einsatz alternativer Anbieter).

Ist eine Fortsetzung der Auftragsverarbeitung aufgrund regulatorischer Änderungen nicht mehr rechtmäßig möglich, räumen sich die Parteien eine Übergangsfrist von 6 Monaten ein, um alternative Lösungen zu finden. Der Auftraggeber ist in diesem Fall berechtigt, den Vertrag außerordentlich und ohne Einhaltung einer Kündigungsfrist zu kündigen, ohne dass Schadensersatzansprüche des Auftragnehmers entstehen.

ANLAGEN

• Anlage 1: Kategorien personenbezogener Daten und Betroffener

• Anlage 2: Technische und organisatorische Maßnahmen (TOM)

• Anlage 3: Unterauftragsverarbeiter

• Anlage 4: KI-spezifisches Addendum

ANLAGE 1 - KATEGORIEN PERSONENBEZOGENER DATEN UND BETROFFENER

Kategorien personenbezogener Daten

• Namen, Adressen und andere Kontaktdaten (E-Mail, Telefonnummer, Social-Media-Profile)

• Daten für den Abschluss und die Durchführung von Verträgen

• CRM-Daten (Interaktionshistorie, Präferenzen, Status)

• Kommunikationsdaten (WhatsApp-Nachrichten, Chatverlauf)

• Metadaten (IP-Adressen, Geräteinformationen, Nutzungsverhalten)

Kategorien der von der Auftragsverarbeitung Betroffenen

• Der Auftraggeber und seine Mitarbeiter

• Kunden und potenzielle Kunden des Auftraggebers

• Geschäftspartner des Auftraggebers

ANLAGE 2 - TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Technische und organisatorische Maßnahmen des Auftragnehmers

Der Auftragnehmer nutzt die Infrastruktur und Sicherheitsmaßnahmen der folgenden Unterauftragsverarbeiter:

GoHighLevel Inc.

Für die von GoHighLevel ergriffenen Maßnahmen verweisen wir auf das Data Processing Agreement (DPA): https://www.gohighlevel.com/data-processing-agreement

Wesentliche Sicherheitsmerkmale (basierend auf GoHighLevel DPA, Annex B):

• Verschlüsselung: AES-256 CBC (at rest), TLS 1.2+ (in transit)

• Rechenzentren: AWS (US) und Google Cloud Platform (US)

• Backup: 5-Minuten-Granularität über AWS/GCP

• Zugriffskontrolle: Rollenbasierte Authentifizierung, 2-Faktor-Authentifizierung

• Monitoring: Google Cloud Ops, AWS CloudWatch

• Zertifizierungen: HIPAA Seal of Compliance (The Compliancy Group)

Meta Platforms Ireland Ltd. (WhatsApp Business API)

Meta verarbeitet WhatsApp-Kommunikationsdaten gemäß der WhatsApp Business API Terms und dem Meta Data Processing Addendum.

Wesentliche Sicherheitsmerkmale:

• Verschlüsselung: End-to-End-Verschlüsselung für WhatsApp-Nachrichten

• Rechenzentren: EU (Irland) für europäische Daten

• Compliance: GDPR-konform, SCCs für Drittlandtransfers

Twilio Inc.

Twilio stellt virtuelle Telefonnummern für WhatsApp-Integration bereit.

Wesentliche Sicherheitsmerkmale:

• Verschlüsselung: TLS 1.2+ für Datenübertragung

• Zugriffskontrolle: API-Key-basierte Authentifizierung

• Compliance: GDPR-konform, ISO 27001, SOC 2 Type II

KI-Anbieter (OpenAI, Anthropic, Google)

Je nach Kundenkonfiguration können folgende KI-Modelle zum Einsatz kommen. Die konkreten Sicherheitsmaßnahmen richten sich nach den jeweiligen DPAs der Anbieter:

OpenAI (GPT-4):

• DPA: https://openai.com/enterprise-privacy

• Verschlüsselung: TLS 1.2+, Daten at rest verschlüsselt

• Rechenzentren: US (Azure)

• Zertifizierungen: SOC 2 Type II

Anthropic (Claude):

• DPA: https://www.anthropic.com/legal/commercial-terms

• Verschlüsselung: TLS 1.2+, AES-256

• Rechenzentren: US (AWS, GCP)

• Zertifizierungen: SOC 2 Type II

Google (Gemini):

• DPA: https://cloud.google.com/terms/data-processing-addendum

• Verschlüsselung: TLS 1.3, AES-256

• Rechenzentren: Global (inkl. EU)

• Zertifizierungen: ISO 27001, SOC 2, GDPR-konform

Ergänzende Maßnahmen des Auftragnehmers

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

• Türsicherungen (elektrische Türöffner für Hauptgebäude)

• Sicherheitstüren / -fenster

• Schlüsselverwaltung/Dokumentation der Schlüsselvergabe

• Alarmanlage

• Besucherregelung mit Begleitpflicht

Zugangskontrolle:

• Persönlicher und individueller User-Log-In

• Autorisierungsprozess für Zugangsberechtigungen

• Begrenzung der befugten Benutzer

• BIOS-Passwörter

• Elektronische Dokumentation von Passwörtern

• 2-Faktor-Authentifizierung

• Protokollierung des Zugangs

• Automatische Sperrung nach Inaktivität

• Firewall

Zugriffskontrolle:

• Verwaltung differenzierter Berechtigungen

• Auswertungen/Protokollierungen von Datenverarbeitungen

• Autorisierungsprozess für Berechtigungen

• Profile/Rollen

• Maßnahmen zur Verhinderung unbefugten Kopierens

• Vier-Augen-Prinzip bei kritischen Vorgängen

• Funktionstrennung

• Fachkundige Akten- und Datenträgervernichtung (DIN 66399)

Trennungskontrolle:

• Verarbeitung auf getrennten Systemen

• Zugriffsberechtigungen nach funktioneller Zuständigkeit

• Mandantenfähigkeit von IT-Systemen

• Verwendung von Testdaten (keine Produktivdaten)

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

• Gesicherter File Transfer (sftp)

• Gesicherter Datentransport (SSL, TLS)

• Elektronische Signatur

• Gesichertes WLAN

• Regelung zum Umgang mit mobilen Speichermedien

• Protokollierung von Datenübertragungen

Eingabekontrolle:

• Systemseitige Protokollierungen

• Funktionelle Verantwortlichkeiten

• Mehraugenprinzip bei kritischen Änderungen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Backup und Recovery:

• Regelmäßige Datensicherung über Unterauftragsverarbeiter

• Wiederherstellungsplan für Notfälle

• Redundante Systeme

Verfahren zur Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management:

• Interne Datenschutz-Richtlinie

• Verpflichtung der Mitarbeiter auf das Datengeheimnis

• Schulungen der Mitarbeiter

• Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)

Incident-Response-Management:

• Meldeprozess für Datenschutzverletzungen (Art. 33/34 DSGVO)

• Dokumentation von Sicherheitsvorfällen

• Regelmäßige Sicherheitsüberprüfungen

Auftragskontrolle:

• Vereinbarung zur Auftragsverarbeitung

• Prozess zur Erteilung/Befolgung von Weisungen

• Bestimmung von Ansprechpartnern

• Schulungen zugriffsberechtigter Mitarbeiter

• Verpflichtung auf Datengeheimnis

• Formalisiertes Auftragsmanagement

• Dokumentiertes Verfahren zur Auswahl von Dienstleistern

ANLAGE 3 - UNTERAUFTRAGSVERARBEITER

GoHighLevel Inc.

Adresse: 400 N. Saint Paul St. Suite 920, Dallas, TX 75202, USA
Zweck: Bereitstellung der CRM- und Marketing-Automatisierungsplattform
Land: USA

Meta Platforms Ireland Ltd.

Adresse: 4 Grand Canal Square, Dublin 2, Irland
Zweck: Bereitstellung der WhatsApp Business API zur automatisierten Kundenkommunikation
Land: Irland (EU)

Twilio Inc.

Adresse: 101 Spear Street, San Francisco, CA 94105, USA
Zweck: Bereitstellung virtueller Telefonnummern für SMS, Telefon und WhatsApp-Integration
Land: USA

CloseBot Inc. (optional)

Adresse: 2817 Wetmore Ave, Everett, WA 98201, USA
Zweck: Chatbot-Middleware für erweiterte Gesprächslogik (nur bei spezifischer Kundenkonfiguration)
Land: USA
Status: Optionaler Subprocessor, nicht standardmäßig aktiv

Synthflow by AgentFlow AI GmbH (optional)

Adresse: Leipziger Straße 48, 10117 Berlin, Deutschland
Zweck: Bereitstellung von KI-gestützten Voice-AI-Agenten für automatisierte Sprachkommunikation
Land: Deutschland (EU)

KI-Anbieter (je nach Kundenkonfiguration)

Die folgenden KI-Anbieter werden je nach individueller Kundenkonfiguration eingesetzt. Nicht alle Anbieter werden zwingend für jeden Auftraggeber verwendet:

OpenAI OpCo, LLC

Adresse: 3180 18th Street, San Francisco, CA 94110, USA
Zweck: KI-Sprachmodelle (GPT-4) für automatisierte Konversationen (optional)
Land: USA

Anthropic PBC

Adresse: 548 Market St #41122, San Francisco, CA 94104, USA
Zweck: KI-Sprachmodelle (Claude) für automatisierte Konversationen (optional)
Land: USA

Google LLC

Adresse: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Zweck: KI-Sprachmodelle (Gemini) für automatisierte Konversationen (optional)
Land: USA

Hinweis zu Drittlandtransfers:
Unterauftragsverarbeiter mit Sitz in den USA sind durch EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.