Auftragsverarbeitungsvereinbarung (AVV)
gemäß Art. 28 DSGVO
Stand: April 2026 · MeinBot — Leon Kaiev, Steiermark, Österreich
1. Gegenstand und Dauer der Verarbeitung
Diese Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch MeinBot (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher). Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags (SaaS-Nutzungsvertrag).
2. Art und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung des KI-Chatbot-Dienstes. Dies umfasst: die Verarbeitung von Chat-Nachrichten der Endkunden des Verantwortlichen, die Speicherung und Weiterleitung von Kontaktanfragen (Name, E-Mail, Telefon, Nachricht), die Analyse von Chat-Verläufen zur Qualitätssicherung und Statistik, sowie den Versand von E-Mail-Benachrichtigungen an den Verantwortlichen.
3. Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet: Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer), Chat-Nachrichten und -Verläufe, IP-Adressen (anonymisiert nach Sitzungsende), Firmendaten des Verantwortlichen, sowie Metadaten (Zeitstempel, Sitzungsdauer, verwendete Sprache).
4. Kategorien betroffener Personen
Betroffene Personen sind: Website-Besucher des Verantwortlichen, die den Chatbot nutzen, sowie Mitarbeiter des Verantwortlichen, die das Dashboard nutzen.
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich: personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, die Vertraulichkeit zu wahren, geeignete technische und organisatorische Maßnahmen zu ergreifen, Unterauftragsverarbeiter nur mit vorheriger Zustimmung einzusetzen, den Verantwortlichen bei der Erfüllung seiner DSGVO-Pflichten zu unterstützen, nach Ende der Verarbeitung alle Daten zu löschen oder zurückzugeben, und dem Verantwortlichen alle erforderlichen Informationen für Nachweise zur Verfügung zu stellen.
6. Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein: (1) Anthropic, PBC (San Francisco, USA) — KI-Sprachmodell (Claude API), Verarbeitung auf Basis von EU-Standardvertragsklauseln (SCCs); (2) Vercel Inc. (San Francisco, USA) — Hosting und CDN, Datenverarbeitung in der EU-Region (Frankfurt); (3) Supabase Inc. (San Francisco, USA) — Datenbank und Authentifizierung, Datenverarbeitung in der EU-Region (Frankfurt); (4) Resend Inc. (San Francisco, USA) — E-Mail-Versand, Verarbeitung auf Basis von SCCs; (5) Stripe Inc. (San Francisco, USA) — Zahlungsabwicklung, eigener Verantwortlicher gemäß PCI DSS. Änderungen an der Liste der Unterauftragsverarbeiter werden dem Verantwortlichen 30 Tage im Voraus mitgeteilt.
7. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat folgende Maßnahmen implementiert: Verschlüsselung der Datenübertragung (TLS 1.3), Verschlüsselung der gespeicherten Daten (AES-256), Zugriffskontrolle durch JWT-basierte Authentifizierung, rollenbasierte Autorisierung (Kunde/Admin), regelmäßige Sicherheitsupdates, Protokollierung von Zugriffen (Audit-Logging), automatische Löschung von Chat-Sitzungen nach 30 Minuten Inaktivität, keine dauerhafte Speicherung von Chat-Inhalten auf KI-Servern, sowie Hosting ausschließlich auf EU-Servern (Frankfurt, Deutschland).
8. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten informieren. Die Meldung enthält: eine Beschreibung der Art der Verletzung, die betroffenen Datenkategorien und betroffenen Personen, die wahrscheinlichen Folgen, sowie die ergriffenen oder vorgeschlagenen Maßnahmen.
9. Rechte der betroffenen Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte gemäß Art. 15-22 DSGVO. Dies umfasst: Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, sowie Widerspruchsrecht. Anfragen betroffener Personen werden unverzüglich an den Verantwortlichen weitergeleitet.
10. Löschung und Rückgabe von Daten
Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch des Verantwortlichen werden die Daten vor der Löschung in einem maschinenlesbaren Format exportiert und übermittelt.
11. Kontakt
Für Fragen zur Auftragsverarbeitung erreichen Sie uns unter: office@meinbot.at. Verantwortlicher im Sinne der DSGVO: Leon Kaiev, Steiermark, Österreich.
Diese AVV tritt mit Vertragsschluss in Kraft und gilt für die Dauer des Hauptvertrags. Für eine rechtsverbindliche Prüfung empfehlen wir die Konsultation eines Rechtsanwalts.