Velvet Reply
ENDE

Auftragsverarbeitungsvereinbarung

Zuletzt aktualisiert: 15. Januar 2025

1. Einführung

Diese Auftragsverarbeitungsvereinbarung (AVV) ist Teil unserer Nutzungsbedingungen und beschreibt, wie VelvetReply personenbezogene Daten im Auftrag unserer Kunden in Übereinstimmung mit geltenden Datenschutzgesetzen verarbeitet.

1.1 Zweck

Diese AVV stellt die Einhaltung sicher von:

  • Datenschutz-Grundverordnung (DSGVO)
  • California Consumer Privacy Act (CCPA)
  • Anderen geltenden Datenschutzgesetzen
  • Branchenbest Practices und Standards

1.2 Geltungsbereich

Diese AVV gilt für alle Datenverarbeitungsaktivitäten, die von VelvetReply im Zusammenhang mit unseren KI-gestützten Bewertungsverwaltungsdiensten durchgeführt werden.

2. Begriffsbestimmungen

Für die Zwecke dieser AVV haben die folgenden Begriffe die nachstehend festgelegten Bedeutungen:

2.1 Schlüsselbegriffe

  • "Verantwortlicher" bedeutet unser Kunde, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt
  • "Auftragsverarbeiter" bedeutet VelvetReply, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
  • "Personenbezogene Daten" bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
  • "Verarbeitung" bedeutet jeden mit personenbezogenen Daten ausgeführten Vorgang

2.2 Rechtsrahmen

  • "DSGVO" bedeutet Verordnung (EU) 2016/679
  • "CCPA" bedeutet California Consumer Privacy Act von 2018
  • "Betroffener" bedeutet die Person, auf die sich die personenbezogenen Daten beziehen

3. Verarbeitungsaktivitäten

Wir verarbeiten personenbezogene Daten, um unsere KI-gestützten Bewertungsverwaltungsdienste bereitzustellen, einschließlich Bewertungsüberwachung, Antwortgenerierung und Analysen.

3.1 Dienstbezogene Verarbeitung

  • Bewertungsverwaltung: Verarbeitung von Kundenbewertungen und Geschäftsinformationen
  • KI-Training: Nutzung von Daten zur Schulung und Verbesserung unserer KI-Modelle
  • Antwortgenerierung: Erstellung automatisierter Bewertungsantworten
  • Analysen: Bereitstellung von Einblicken und Berichten zur Bewertungsleistung

3.2 Technische Verarbeitung

  • Authentifizierung: Benutzerkontoverwaltung und Sicherheit
  • Infrastruktur: Hosting und technische Support-Dienste
  • Überwachung: Serviceleistungs- und Sicherheitsüberwachung
  • Backup: Datenbackup und Disaster Recovery

4. Datentypen

Wir können die folgenden Kategorien personenbezogener Daten verarbeiten, soweit dies für die Erbringung unserer Dienste erforderlich ist:

4.1 Kundendaten

  • Geschäftskontaktinformationen (Name, E-Mail, Unternehmen)
  • Kontozugangsdaten und Authentifizierungsdaten
  • Service-Nutzungsmuster und -präferenzen
  • Zahlungs- und Abrechnungsinformationen

4.2 Bewertungsdaten

  • Kundenbewertungsinhalte und -bewertungen
  • Geschäftsantwortinhalte
  • Bewertungsmetadaten (Zeitstempel, Plattformen, etc.)
  • Interaktionshistorie und Engagement-Daten

4.3 Technische Daten

  • IP-Adressen und Geräteinformationen
  • Browser- und Anwendungsprotokolle
  • Leistungsmetriken und Fehlerprotokolle
  • Sicherheitsereignisdaten

5. Sicherheitsmaßnahmen

Wir implementieren angemessene technische und organisatorische Sicherheitsmaßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Änderung oder Zerstörung zu schützen.

5.1 Technische Schutzmaßnahmen

  • Verschlüsselung: Ende-zu-Ende-Verschlüsselung für Daten im Übertragungsweg und ruhend
  • Zugriffskontrolle: Multi-Faktor-Authentifizierung und rollenbasierter Zugriff
  • Netzwerksicherheit: Firewalls, Intrusion Detection und DDoS-Schutz
  • Datenbackup: Regelmäßige verschlüsselte Backups mit geografischer Redundanz

5.2 Organisatorische Maßnahmen

  • Mitarbeiterschulung: Regelmäßige Sicherheitsbewusstsein-Schulungen
  • Zugriffsverwaltung: Strenge Zugriffskontrollen und Überwachung
  • Vorfallreaktionsverfahren: Umfassende Vorfallreaktionsverfahren
  • Lieferantenverwaltung: Sicherheitsbewertungen von Drittanbietern

5.3 Compliance-Zertifizierungen

  • SOC 2 Type II-Zertifizierung
  • ISO 27001 Informationssicherheitsmanagement
  • DSGVO-Compliance-Verifizierung
  • Regelmäßige Drittanbieter-Sicherheitsaudits

6. Datenaufbewahrung

Wir bewahren personenbezogene Daten nur so lange auf, wie es für die Erbringung unserer Dienste oder gesetzlich erforderlich ist.

6.1 Aufbewahrungszeiträume

  • Aktive Konten: Daten werden aufbewahrt, solange das Konto aktiv ist
  • Inaktive Konten: Daten werden nach 12 Monaten Inaktivität gelöscht
  • Rechtliche Anforderungen: Erweiterte Aufbewahrung, wo gesetzlich erforderlich
  • Backup-Daten: Verschlüsselte Backups werden für Disaster Recovery aufbewahrt

6.2 Löschverfahren

  • Sofortige Löschung: Bei Kontokündigungsanfrage
  • Sichere Löschung: Verwendung branchenüblicher Löschmethoden
  • Verifizierung: Bestätigung der Datenlöschung
  • Audit-Trail: Dokumentation aller Löschaktivitäten

7. Unterauftragsverarbeiter

Wir können Unterauftragsverarbeiter zur Erbringung unserer Dienste einsetzen. Alle Unterauftragsverarbeiter sind an Datenschutzverpflichtungen gebunden, die nicht weniger schützend sind als die in dieser AVV.

7.1 Unterauftragsverarbeiter-Kategorien

  • Cloud-Infrastruktur: Hosting- und Computing-Dienste
  • KI-Dienste: Sprachmodell- und Machine Learning-Anbieter
  • Analysen: Leistungsüberwachung und Analysetools
  • Support-Dienste: Kundensupport und Kommunikationstools

7.2 Unterauftragsverarbeiter-Anforderungen

  • Datenschutzvereinbarungen: Bindende vertragliche Verpflichtungen
  • Sicherheitsstandards: Mindestsicherheitsanforderungen
  • Geografische Beschränkungen: Datenverarbeitungsstandort-Kontrollen
  • Audit-Rechte: Recht zur Auditierung der Unterauftragsverarbeiter-Compliance

7.3 Aktuelle Unterauftragsverarbeiter

Eine aktuelle Liste unserer Unterauftragsverarbeiter ist unter /de/recht/unterauftragsverarbeiter verfügbar und wird regelmäßig aktualisiert.

8. Betroffenenrechte

Wir unterstützen unsere Kunden bei der Erfüllung von Betroffenenanfragen, einschließlich Zugang, Berichtigung, Löschung und Datenportabilität.

8.1 Rechteunterstützung

  • Zugangsanfragen: Bereitstellung von Datenkopien in strukturiertem Format
  • Berichtigung: Korrektur ungenauer oder unvollständiger Daten
  • Löschung: Löschung von Daten bei gültiger Anfrage
  • Portabilität: Export von Daten in maschinenlesbarem Format

8.2 Antwortzeitrahmen

  • Standardanfragen: Innerhalb von 30 Tagen beantwortet
  • Komplexe Anfragen: Erweiterter Zeitrahmen mit Begründung
  • Gebührenverzicht: Keine Gebühren für Standardanfragen
  • Einspruchsverfahren: Recht auf Einspruch gegen nachteilige Entscheidungen

9. Verletzungsbenachrichtigung

Im Falle einer Datenverletzung werden wir betroffene Kunden innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung benachrichtigen.

9.1 Benachrichtigungsanforderungen

  • Zeitrahmen: Innerhalb von 72 Stunden nach Verletzungsentdeckung
  • Inhalt: Detaillierte Verletzungsbeschreibung und Auswirkungsbewertung
  • Empfänger: Alle betroffenen Kunden und relevante Behörden
  • Updates: Laufende Kommunikation während der Untersuchung

9.2 Verletzungsreaktion

  • Sofortige Maßnahmen: Eindämmungs- und Minderungsmaßnahmen
  • Untersuchung: Umfassende Verletzungsuntersuchung
  • Sanierung: Implementierung korrektiver Maßnahmen
  • Prävention: Maßnahmen zur Verhinderung zukünftiger Verletzungen

10. Internationale Übertragungen

Wir können personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen, wenn dies für die Erbringung unserer Dienste erforderlich ist.

10.1 Übertragungsmechanismen

  • Angemessenheitsbeschlüsse: Übertragungen in Länder mit angemessenem Schutz
  • Standardvertragsklauseln: EU-genehmigte Übertragungsmechanismen
  • Binding Corporate Rules: Intragruppen-Übertragungsschutzmaßnahmen
  • Andere Schutzmaßnahmen: Zusätzliche Maßnahmen nach Bedarf

10.2 Geografische Verteilung

  • Primäre Verarbeitung: Europäische Union und Vereinigte Staaten
  • Backup- und Disaster Recovery-Standorte: Geografische Redundanz für Geschäftskontinuität
  • Unterauftragsverarbeiter-Standorte: Wie in unserer Unterauftragsverarbeiter-Liste angegeben
  • Datenlokalisierung: Bemühungen, Daten in der Region des Kunden zu verarbeiten

11. Compliance

Wir halten die Einhaltung geltender Datenschutzgesetze aufrecht, einschließlich DSGVO, CCPA und anderen relevanten Vorschriften.

11.1 Regulatorische Compliance

  • DSGVO: Vollständige Einhaltung der europäischen Datenschutzanforderungen
  • CCPA: Einhaltung der kalifornischen Datenschutzvorschriften
  • Branchenstandards: Einhaltung relevanter Branchenrahmen
  • Regelmäßige Audits: Laufende Compliance-Überwachung und -verifizierung

11.2 Compliance-Überwachung

  • Interne Überprüfungen: Regelmäßige Compliance-Bewertungen
  • Externe Audits: Drittanbieter-Compliance-Verifizierung
  • Richtlinien-Updates: Regelmäßige Überprüfung und Aktualisierung von Richtlinien
  • Schulung: Laufende Mitarbeiter-Compliance-Schulung

12. Kontakt

Bei Fragen zu dieser AVV kontaktieren Sie unseren Datenschutzbeauftragten:

Datenschutzbeauftragter: dpo@velvetreply.com
Rechtsabteilung: legal@velvetreply.com
Postanschrift: [Ihre Firmenadresse]
Telefon: [Ihre Telefonnummer]

12.1 Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei Ihrer örtlichen Datenschutzbehörde einzulegen, wenn Sie der Ansicht sind, dass wir Ihre Bedenken nicht angemessen behandelt haben.

Diese Auftragsverarbeitungsvereinbarung ist ab dem 15. Januar 2025 wirksam und bleibt in Kraft, bis sie gekündigt oder durch eine neue Vereinbarung ersetzt wird.