iSales KI - Auftragsverarbeitungsvertrag (AVV)

Zuletzt aktualisiert: 1. Juni 2025

Dieser Auftragsverarbeitungsvertrag („AVV“) ist integraler Bestandteil der iSales KI-Nutzungsbedingungen und aller anderen anwendbaren Rahmenverträge zwischen Ihnen („Kunde“, „Sie“ oder „Ihr“) und iSales KI („iSales KI“, „wir“, „uns“ oder „unser“) (zusammenfassend als „Vertrag“ bezeichnet).

Dieser AVV gilt für die Verarbeitung personenbezogener Daten durch iSales KI im Rahmen der Bereitstellung der iSales KI-Dienste (wie im Vertrag definiert), einschließlich KI-gestützter Chatbot-Funktionalitäten, die hauptsächlich über eine native Telegram-Bot-Schnittstelle verwaltet werden. Er legt die Bedingungen fest, unter denen iSales KI personenbezogene Daten im Auftrag des Kunden als Auftragsverarbeiter verarbeitet und wie iSales KI bestimmte personenbezogene Daten als Verantwortlicher verarbeitet.

Mit Abschluss des Vertrages schließt der Kunde diesen AVV im eigenen Namen und, soweit nach geltendem Datenschutzrecht erforderlich, im Namen und für Rechnung seiner bevollmächtigten verbundenen Unternehmen ab.

Inhaltsverzeichnis

1. Definitionen

Verbundenes Unternehmen bezeichnet jedes Unternehmen, das direkt oder indirekt die Kontrolle über das betreffende Unternehmen ausübt, von diesem kontrolliert wird oder unter gemeinsamer Kontrolle mit diesem steht. „Kontrolle“ im Sinne dieser Definition bedeutet direktes oder indirektes Eigentum oder Kontrolle von mehr als 50 % der Stimmrechte des betreffenden Unternehmens.

Geltende Datenschutzgesetze bezeichnet alle Datenschutz-, Datensicherheits- und Datenschutzgesetze, -vorschriften und -anforderungen, die für die jeweilige Partei in ihrer Rolle gemäß dem Vertrag gelten, einschließlich, aber nicht beschränkt auf die DSGVO, die UK-DSGVO, das DSG, CCPA/CPRA, LGPD, das russische Bundesgesetz Nr. 152-FZ „Über personenbezogene Daten“ und andere geltende nationale oder staatliche Gesetze. Jede Partei ist für die Feststellung und Einhaltung ihrer eigenen geltenden Datenschutzgesetze verantwortlich.

Verantwortlicher bezeichnet die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Im Kontext des russischen Bundesgesetzes Nr. 152-FZ entspricht dies dem „Betreiber“.

Kundenkontodaten bezeichnet personenbezogene Daten, die sich auf den Kunden, seine Vertreter und autorisierte Endbenutzer beziehen und die iSales KI als unabhängiger Verantwortlicher verarbeitet, wie in Anhang 1, Teil B dieses AVV näher beschrieben.

Kundeninhalte bezeichnet personenbezogene Daten, die sich auf Endbenutzer und Gesprächsteilnehmer des Kunden beziehen und die iSales KI im Auftrag des Kunden im Rahmen der Erbringung der Dienste verarbeitet, einschließlich Daten, die in KI-Funktionen eingegeben oder von diesen generiert werden, wie in Anhang 1, Teil A dieses AVV näher beschrieben.

Gesprächsteilnehmer des Kunden (oder „Gesprächsteilnehmer“) bezeichnet betroffene Personen, mit denen der Kunde über die Dienste kommuniziert (z. B. Endbenutzer der Chatbots des Kunden auf Telegram, WhatsApp, Facebook, Instagram) und/oder deren personenbezogene Daten vom oder im Auftrag des Kunden in die Dienste hochgeladen oder von diesen verarbeitet werden.

Datenschutzverletzung bezeichnet eine bestätigte Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die von iSales KI übermittelt, gespeichert oder anderweitig verarbeitet werden. Eine Datenschutzverletzung umfasst keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht gefährden, wie z. B. erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe oder andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

Data Privacy Frameworks oder „DPF“ bezeichnet zusammenfassend das EU-U.S. Data Privacy Framework (EU-U.S. DPF), die UK Extension zum EU-U.S. DPF (UK Extension) und das Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF), wie vom U.S. Department of Commerce verwaltet.

Betroffene Person bezeichnet eine identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.

Endbenutzer bezeichnet den Kunden und andere betroffene Personen, die rechtmäßigen Zugriff auf die Dienste unter dem Konto oder der Autorisierung des Kunden haben.

DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

LGPD bezeichnet das brasilianische Allgemeine Datenschutzgesetz (Gesetz Nr. 13.709/2018).

Personenbezogene Daten bezeichnet „personenbezogene Daten“, „persönliche Informationen“, „personenbezogene identifizierbare Informationen“ oder ähnliche Begriffe, wie sie in den geltenden Datenschutzgesetzen definiert sind. Im Rahmen dieses AVV umfassen personenbezogene Daten sowohl Kundeninhalte als auch Kundenkontodaten.

Verarbeitung (und seine Ableitungen wie „verarbeiten“) bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Auftragsverarbeiter bezeichnet eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Im Kontext des russischen Bundesgesetzes Nr. 152-FZ entspricht dies einer Person, die „personenbezogene Daten im Auftrag des Betreibers verarbeitet“.

Dienste bezeichnet die KI-Chatbot-Dienste, zugehörige Software, Tools und Plattform (einschließlich der nativen Telegram-Bot-Schnittstelle), die iSales KI dem Kunden gemäß dem Vertrag bereitstellt.

Standardvertragsklauseln oder „SCCs“ bezeichnet gegebenenfalls: (i) wenn die DSGVO gilt, die Standardvertragsklauseln im Anhang zum Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 (die „EU-SCCs“); (ii) wenn die UK-DSGVO gilt, die geltenden Standarddatenschutzklauseln, die gemäß Artikel 46 Absatz 2 Buchstabe c oder d der UK-DSGVO angenommen wurden, einschließlich des UK International Data Transfer Addendum zu den EU-SCCs („UK Addendum“); (iii) wenn das Schweizer Bundesgesetz über den Datenschutz („DSG“) gilt, die geltenden Standarddatenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten („EDÖB“) herausgegeben, genehmigt oder anerkannt wurden („Schweizer SCCs“); und (iv) wenn das LGPD gilt, die geltenden Standarddatenschutzklauseln („Brasilianische SCCs“), die von der brasilianischen nationalen Datenschutzbehörde („ANPD“) herausgegeben, genehmigt oder anerkannt wurden, jeweils ergänzt oder vervollständigt wie in Anhang 3 (Internationale Bestimmungen und gerichtsstandspezifische Bedingungen) dieses AVV beschrieben.

Unterauftragsverarbeiter bezeichnet jeden Auftragsverarbeiter, der von iSales KI oder einem verbundenen Unternehmen von iSales KI mit der Verarbeitung von Kundeninhalten beauftragt wird.

Alle in diesem AVV nicht definierten großgeschriebenen Begriffe haben die im Vertrag festgelegte Bedeutung.

2. Beziehung der Parteien und Rollen

2.1. iSales KI als Auftragsverarbeiter:

Die Parteien erkennen an und stimmen zu, dass iSales KI in Bezug auf die Verarbeitung von Kundeninhalten ein Auftragsverarbeiter ist, der im Auftrag des Kunden handelt. Der Kunde kann als Verantwortlicher (oder „Betreiber“ nach russischem Recht) oder als Auftragsverarbeiter für einen anderen Verantwortlichen in Bezug auf Kundeninhalte handeln. iSales KI verarbeitet Kundeninhalte nur für die in diesem AVV beschriebenen Zwecke und streng nach den dokumentierten rechtmäßigen Weisungen des Kunden gemäß Abschnitt 3 dieses AVV.

2.2. iSales KI als Verantwortlicher:

Die Parteien erkennen an, dass iSales KI in Bezug auf die Verarbeitung von Kundenkontodaten ein unabhängiger Verantwortlicher (oder „Betreiber“ nach russischem Recht) und kein gemeinsam Verantwortlicher mit dem Kunden ist. iSales KI verarbeitet Kundenkontodaten als Verantwortlicher zur Durchführung notwendiger Funktionen wie dem Abschluss des Vertrages, der Kontoverwaltung, der Einhaltung von Gesetzen, der Buchhaltung, der Besteuerung, der Abrechnung, der Prüfung, dem Vertrieb und der Marketingkommunikation mit dem Kunden sowie zur Dienstverbesserung gemäß seiner Datenschutzrichtlinie. iSales KI verarbeitet solche Kundenkontodaten gemäß seiner Datenschutzrichtlinie (https://isales.ai/privacy-policy) und den geltenden Bestimmungen dieses AVV.

2.3. Einzelheiten der Datenverarbeitung:

Anhang 1 (Einzelheiten der Verarbeitung) zu diesem AVV legt den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Arten der verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen näher fest.

3. Pflichten und Weisungen des Kunden

3.1. Weisungen des Kunden:

iSales KI verarbeitet Kundeninhalte nur gemäß den dokumentierten rechtmäßigen Weisungen des Kunden. Mit Abschluss des Vertrages und dieses AVV weist der Kunde iSales KI an, Kundeninhalte zu verarbeiten, um: (a) die Dienste gemäß der Beschreibung im Vertrag bereitzustellen, zu betreiben und zu warten; (b) andere angemessene Weisungen des Kunden zu befolgen (z. B. per E-Mail oder Support-Tickets), die mit den Bedingungen des Vertrages übereinstimmen; und (c) wie in diesem AVV näher bestimmt. Der Kunde ermächtigt iSales KI ferner, Kundeninhalte zu anonymisieren und/oder zu aggregieren für Zwecke wie Produktverbesserung, Analysen und Entwicklung neuer Funktionen, vorausgesetzt, solche anonymisierten/aggregierten Daten identifizieren keine Einzelperson oder den Kunden.

3.2. Kunde als Auftragsverarbeiter:

Wenn der Kunde ein Auftragsverarbeiter im Auftrag eines anderen Verantwortlichen in Bezug auf Kundeninhalte ist, gewährleistet der Kunde fortlaufend, dass der jeweilige Verantwortliche autorisiert hat: (i) die Weisungen an iSales KI gemäß diesem AVV und dem Vertrag; (ii) die Ernennung von iSales KI als Unterauftragsverarbeiter; und (iii) die Beauftragung weiterer Unterauftragsverarbeiter durch iSales KI gemäß Abschnitt 4. Der Kunde leitet unverzüglich alle von iSales KI gemäß diesem AVV bereitgestellten Mitteilungen (z. B. über neue Unterauftragsverarbeiter, Datenschutzverletzungen, Anfragen betroffener Personen) an den jeweiligen Verantwortlichen weiter.

3.3. Einhaltung von Gesetzen:

Jede Partei erfüllt ihre jeweiligen Verpflichtungen gemäß den geltenden Datenschutzgesetzen in Bezug auf ihre Verarbeitung personenbezogener Daten.

3.4. Verantwortlichkeiten des Kunden:

Der Kunde sichert zu und gewährleistet, dass er alle erforderlichen Mitteilungen bereitgestellt hat und weiterhin bereitstellen wird und alle erforderlichen Einwilligungen, Genehmigungen und Rechte (oder andere gültige Rechtsgrundlagen) gemäß den geltenden Datenschutzgesetzen eingeholt hat und weiterhin einholen wird, damit iSales KI Kundeninhalte rechtmäßig im Auftrag des Kunden für die im Vertrag und diesem AVV vorgesehenen Zwecke verarbeiten kann. Dies umfasst insbesondere alle Einwilligungen, die für die Nutzung von KI-Funktionen und die Übermittlung von Kundeninhalten an iSales KI und seine Unterauftragsverarbeiter erforderlich sind. Der Kunde ist verantwortlich für die Rechtmäßigkeit, Genauigkeit, Qualität und Legalität der Kundeninhalte und die Mittel, mit denen der Kunde sie erworben hat. Der Kunde informiert seine Gesprächsteilnehmer über die Nutzung von iSales KI als Auftragsverarbeiter und stellt ihnen alle nach geltendem Datenschutzrecht erforderlichen Informationen zur Verfügung.

3.5. Spezifische gerichtsstandspezifische Anforderungen:

Der Kunde muss iSales KI schriftlich über alle spezifischen Anforderungen an die Verarbeitung von Kundeninhalten durch iSales KI informieren, die durch die geltenden Datenschutzgesetze des Kunden auferlegt werden und nicht bereits durch diesen AVV oder den Vertrag abgedeckt sind. Der Kunde stellt iSales KI von allen Ansprüchen, Verbindlichkeiten, Schäden oder Kosten frei, die sich aus der Nichteinhaltung seiner Verpflichtungen gemäß diesem Abschnitt 3 durch den Kunden ergeben.

4. Unterauftragsverarbeitung

4.1. Autorisierte Unterauftragsverarbeiter:

Der Kunde erkennt an und stimmt zu, dass iSales KI Unterauftragsverarbeiter mit der Verarbeitung von Kundeninhalten im Zusammenhang mit der Erbringung der Dienste beauftragen kann. Eine Liste der aktuellen Unterauftragsverarbeiter von iSales KI ist unter KI-Unterauftragsverarbeiterliste (https://isales.ai/service-providers) (oder wie anderweitig von iSales KI zur Verfügung gestellt) („Unterauftragsverarbeiterliste“) verfügbar. Der Kunde genehmigt ausdrücklich die Beauftragung dieser Unterauftragsverarbeiter.

4.2. Pflichten des Unterauftragsverarbeiters:

In Bezug auf alle Unterauftragsverarbeiter verpflichtet sich iSales KI:

  • Eine angemessene Due-Diligence-Prüfung solcher Unterauftragsverarbeiter durchzuführen.
  • Einen rechtsverbindlichen schriftlichen Vertrag mit jedem Unterauftragsverarbeiter abzuschließen, der Datenschutzpflichten auferlegt, die im Wesentlichen denen in diesem AVV entsprechen und mindestens so schützend sind.
  • Gegenüber dem Kunden für die Erfüllung der Datenschutzpflichten des Unterauftragsverarbeiters und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters, die dazu führen, dass iSales KI eine seiner Verpflichtungen aus diesem AVV verletzt, vollumfänglich haftbar zu bleiben.

4.3. Beauftragung neuer Unterauftragsverarbeiter:

iSales KI kann neue Unterauftragsverarbeiter beauftragen. iSales KI benachrichtigt den Kunden über jede beabsichtigte neue Beauftragung eines Unterauftragsverarbeiters, indem die Unterauftragsverarbeiterliste aktualisiert und ein Mechanismus bereitgestellt wird, mit dem der Kunde Benachrichtigungen über solche Aktualisierungen abonnieren kann (z. B. per E-Mail oder RSS-Feed). Eine solche Benachrichtigung erfolgt mindestens 30 Tage, bevor der neue Unterauftragsverarbeiter Kundeninhalte verarbeitet, es sei denn, iSales KI ist vernünftigerweise der Ansicht, dass die Beauftragung eines neuen Unterauftragsverarbeiters auf beschleunigter Basis erforderlich ist, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Kundeninhalten zu schützen oder eine wesentliche Störung der Dienste zu vermeiden; in diesem Fall erfolgt die Benachrichtigung so bald wie vernünftigerweise praktikabel.

4.4. Widerspruchsrechte:

Der Kunde kann der Ernennung eines neuen Unterauftragsverarbeiters durch iSales KI widersprechen, indem er iSales KI innerhalb von 15 Tagen nach Erhalt der Mitteilung von iSales KI schriftlich benachrichtigt, vorausgesetzt, ein solcher Widerspruch beruht auf angemessenen, dokumentierten Datenschutzbedenken. Widerspricht der Kunde, wird iSales KI wirtschaftlich angemessene Anstrengungen unternehmen, um dem Kunden eine Änderung der Dienste zur Verfügung zu stellen oder eine wirtschaftlich angemessene Änderung der Konfiguration oder Nutzung der Dienste durch den Kunden zu empfehlen, um die Verarbeitung von Kundeninhalten durch den beanstandeten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Kunden unangemessen zu belasten. Ist iSales KI nicht in der Lage, eine solche Änderung innerhalb eines angemessenen Zeitraums, der 30 Tage nicht überschreiten darf, zur Verfügung zu stellen, kann der Kunde als einziges und ausschließliches Rechtsmittel den betreffenden Vertrag oder den betroffenen Dienst aus wichtigem Grund durch schriftliche Mitteilung an iSales KI kündigen, ohne Rückerstattung vorausbezahlter Gebühren. Der Kunde bleibt für alle im Rahmen eines anwendbaren Bestellformulars zugesagten Gebühren haftbar. Widerspricht der Kunde nicht innerhalb der angegebenen Frist, gilt iSales KI als vom Kunden zur Beauftragung des neuen Unterauftragsverarbeiters ermächtigt.

5. Sicherheitsmaßnahmen

5.1. Umsetzung von Sicherheitsmaßnahmen:

iSales KI wird während der Laufzeit dieses AVV angemessene technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, die darauf ausgelegt sind, Kundeninhalte vor Datenschutzverletzungen zu schützen und die Sicherheit, Vertraulichkeit und Integrität von Kundeninhalten zu wahren. Diese Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Kontext und Zwecke der Verarbeitung sowie die Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen. Solche Maßnahmen sind in Anhang 2 (Sicherheitsmaßnahmen) zu diesem AVV näher beschrieben.

5.2. Vertraulichkeit der Verarbeitung:

iSales KI stellt sicher, dass jede von iSales KI zur Verarbeitung von Kundeninhalten autorisierte Person (einschließlich ihrer Mitarbeiter, Vertreter und Unterauftragsverarbeiter) einer angemessenen Vertraulichkeitsverpflichtung (vertraglich oder gesetzlich) unterliegt.

5.3. Verantwortlichkeiten des Kunden für die Sicherheit:

Der Kunde erkennt an und stimmt zu, dass:

  • Er die in Anhang 2 beschriebenen Sicherheitsmaßnahmen überprüft und bewertet hat und sie für den Schutz von Kundeninhalten gemäß den geltenden Datenschutzgesetzen des Kunden für angemessen hält, einschließlich der Bereitstellung angemessener Garantien für grenzüberschreitende Übermittlungen personenbezogener Daten, falls zutreffend.
  • Sofern in diesem AVV nicht anders vorgesehen, ist der Kunde für die sichere Nutzung der Dienste verantwortlich, einschließlich der Sicherung seiner Kontoauthentifizierungsdaten (z. B. für die native Telegram-Bot-Schnittstelle), des Schutzes der Sicherheit von Kundeninhalten während der Übertragung zu und von den Diensten sowie der Sicherung der eigenen Systeme und Geräte des Kunden, die für den Zugriff auf die Dienste verwendet werden.

5.4. Aktualisierungen der Sicherheitsmaßnahmen:

Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen. iSales KI kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, vorausgesetzt, solche Aktualisierungen und Änderungen führen nicht zu einer wesentlichen Verschlechterung der Gesamtsicherheit der vom Kunden erworbenen Dienste. Der Kunde ist dafür verantwortlich, die von iSales KI zur Verfügung gestellten Informationen über aktualisierte Datensicherheit zu überprüfen und eine unabhängige Entscheidung darüber zu treffen, ob die Dienste den Anforderungen und gesetzlichen Verpflichtungen des Kunden gemäß den geltenden Datenschutzgesetzen des Kunden entsprechen.

6. Sicherheitsüberprüfungen und Audits

6.1. Sicherheitsberichte und Zertifizierungen:

iSales KI kann externe Prüfer einsetzen, um die Angemessenheit seiner Sicherheitsmaßnahmen zu überprüfen, und kann relevante Sicherheitszertifizierungen oder -bescheinigungen (z. B. ISO 27001, SOC 2) erhalten. Auf schriftliche Anfrage des Kunden und vorbehaltlich angemessener Vertraulichkeitsverpflichtungen stellt iSales KI dem Kunden eine zusammenfassende Kopie seines aktuellsten relevanten Prüfberichts oder seiner Zertifizierung zur Verfügung, soweit diese allgemein für Kunden verfügbar ist.

6.2. Sicherheits-Due-Diligence:

Zusätzlich zu allen verfügbaren Berichten oder Zertifizierungen wird iSales KI auf angemessene schriftliche Anfragen des Kunden nach Informationen antworten, um die Einhaltung dieses AVV durch iSales KI zu bestätigen, einschließlich Antworten auf angemessene Informationssicherheits- und Due-Diligence-Fragebögen des Kunden. Der Kunde darf dieses Recht nicht mehr als einmal pro Kalenderjahr ausüben, es sei denn, es ist eine bestätigte Datenschutzverletzung mit Kundeninhalten aufgetreten.

6.3. Audits:

Soweit nach geltendem Datenschutzrecht erforderlich, kann der Kunde (oder sein unabhängiger externer Prüfer, der kein Wettbewerber von iSales KI ist und an angemessene Vertraulichkeitsverpflichtungen gebunden ist) eine Prüfung der Einhaltung seiner Verpflichtungen aus diesem AVV durch iSales KI durchführen. Solche Prüfungen müssen: (a) auf einmal pro Kalenderjahr beschränkt sein, es sei denn, eine bestätigte Datenschutzverletzung mit Kundeninhalten erfordert eine zusätzliche Prüfung; (b) mindestens 30 Tage vorab schriftlich bei iSales KI angekündigt werden; (c) in Umfang, Zeitpunkt und Dauer mit iSales KI gegenseitig vereinbart werden; (d) während der normalen Geschäftszeiten von iSales KI durchgeführt werden; (e) auf alleinige Kosten des Kunden erfolgen; und (f) so durchgeführt werden, dass der Geschäftsbetrieb von iSales KI nicht unangemessen gestört oder die Sicherheit oder Vertraulichkeit der Daten anderer Kunden gefährdet wird. iSales KI kann solche Prüfungsanfragen durch Bereitstellung relevanter externer Prüfberichte oder Zertifizierungen gemäß Abschnitt 6.1 erfüllen.

7. Benachrichtigung über Datenschutzverletzungen

7.1. Benachrichtigungsfrist:

Nach Kenntniserlangung einer bestätigten Datenschutzverletzung, die Kundeninhalte betrifft, benachrichtigt iSales KI den Kunden unverzüglich und, soweit möglich, innerhalb von 72 Stunden nach Entdeckung, es sei denn, dies ist durch geltendes Recht oder Anweisungen von Strafverfolgungsbehörden untersagt. Eine Verzögerung bei der Abgabe einer solchen Benachrichtigung, die von Strafverfolgungsbehörden und/oder aufgrund berechtigter Bedürfnisse von iSales KI zur Untersuchung oder Behebung der Angelegenheit vor Abgabe der Benachrichtigung verlangt wird, stellt keine unangemessene Verzögerung dar.

7.2. Inhalt der Benachrichtigung:

Solche Benachrichtigungen beschreiben, soweit vernünftigerweise möglich und zum Zeitpunkt bekannt: (a) die Art der Datenschutzverletzung; (b) die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze personenbezogener Daten; (c) die wahrscheinlichen Folgen der Datenschutzverletzung; und (d) die von iSales KI ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, gegebenenfalls einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.

7.3. Zusammenarbeit durch iSales KI:

iSales KI arbeitet angemessen mit dem Kunden zusammen und ergreift solche angemessenen wirtschaftlichen Maßnahmen, die vom Kunden angeordnet werden, um bei der Untersuchung, Minderung und Behebung jeder solchen Datenschutzverletzung zu helfen. Die Benachrichtigung oder Reaktion von iSales KI auf eine Datenschutzverletzung gemäß diesem Abschnitt gilt nicht als Anerkennung eines Verschuldens oder einer Haftung von iSales KI in Bezug auf die Datenschutzverletzung.

7.4. Verantwortung des Kunden für Benachrichtigungen:

Der Kunde ist allein dafür verantwortlich, seine eigenen Verpflichtungen gemäß den geltenden Datenschutzgesetzen zur Benachrichtigung der zuständigen Aufsichtsbehörden und/oder der betroffenen Personen über jede Datenschutzverletzung zu erfüllen.

8. Rechte betroffener Personen und Zusammenarbeit

8.1. Beantwortung von Anfragen betroffener Personen:

Unter Berücksichtigung der Art der Verarbeitung unterstützt iSales KI den Kunden angemessen, auch durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, um den Kunden in die Lage zu versetzen, auf Anfragen von betroffenen Personen zu reagieren, die ihre Rechte gemäß den geltenden Datenschutzgesetzen (z. B. Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch) in Bezug auf Kundeninhalte ausüben möchten. Kann der Kunde solche Anfragen nicht vernünftigerweise selbstständig über die Self-Service-Funktionalität der Dienste erfüllen, kann der Kunde die Unterstützung von iSales KI anfordern.

8.2. Direkte Anfragen an iSales KI:

Erhält iSales KI eine Anfrage direkt von einer betroffenen Person bezüglich Kundeninhalten, benachrichtigt iSales KI den Kunden, soweit gesetzlich zulässig, unverzüglich über die Anfrage und weist die betroffene Person an, ihre Anfrage an den Kunden zu richten. Der Kunde ist für die Beantwortung einer solchen Anfrage verantwortlich. Ungeachtet dessen ermächtigt und weist der Kunde iSales KI an, angemessene Schritte zu unternehmen, um solche Anfragen direkt zu erfüllen, wenn eine betroffene Person (i) die Abmeldung von Nachrichten, die vom Kunden über die Dienste gesendet werden, oder (ii) die Löschung ihrer Kundeninhalte innerhalb der Dienste beantragt, sofern dies über die Funktionalitäten der Dienste möglich ist.

8.3. Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen:

Unter Berücksichtigung der Art der Verarbeitung und der iSales KI zur Verfügung stehenden Informationen unterstützt iSales KI den Kunden auf schriftliche Anfrage des Kunden angemessen bei Datenschutz-Folgenabschätzungen (DSFA) und vorherigen Konsultationen mit Aufsichtsbehörden, sofern dies für den Kunden gemäß den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung von Kundeninhalten durch iSales KI erforderlich ist. Erfordert eine solche Unterstützung den Einsatz erheblicher Ressourcen durch iSales KI, kann sie auf Kosten des Kunden erfolgen, wie gegenseitig vereinbart.

9. Rückgabe oder Löschung von Daten

9.1. Rückgabe oder Löschung:

Nach Beendigung oder Ablauf des Vertrages oder auf schriftliche Anfrage des Kunden jederzeit löscht oder gibt iSales KI nach Wahl des Kunden alle Kundeninhalte (einschließlich vorhandener Kopien) aus den Systemen von iSales KI, die sich in seinem Besitz oder unter seiner Kontrolle befinden, gemäß den im Vertrag festgelegten oder anderweitig vereinbarten Verfahren und Fristen zurück. Wählt der Kunde nicht innerhalb von 60 Tagen nach Beendigung/Ablauf die Rückgabe oder Löschung, kann iSales KI die Kundeninhalte löschen.

9.2. Aufbewahrung für rechtliche Zwecke:

Ungeachtet dessen versteht der Kunde, dass iSales KI bestimmte Kundeninhalte aufbewahren kann, wenn dies nach geltendem Recht oder für legitime und dokumentierte Archivierungs-, Sicherungs- oder Notfallwiederherstellungszwecke erforderlich ist; in diesem Fall unterliegen solche Daten weiterhin den Vertraulichkeits- und Sicherheitsverpflichtungen dieses AVV, solange sie aufbewahrt werden.

10. Sonstiges

10.1. Verarbeitungsorte:

Der Kunde erkennt an, dass die Erbringung der Dienste und die Tätigkeiten von iSales KI als Verantwortlicher die Verarbeitung personenbezogener Daten durch iSales KI, seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb des Gerichtsstands des Kunden, einschließlich der Vereinigten Staaten, erfordern können, wie in Anhang 1 und der Unterauftragsverarbeiterliste näher ausgeführt. Internationale Übermittlungen unterliegen den in Anhang 3 beschriebenen Garantien.

10.2. Mitteilungen:

Alle Mitteilungen, Anfragen oder sonstigen Kommunikationen an iSales KI im Zusammenhang mit diesem AVV sind an [email protected] oder wie anderweitig im Vertrag angegeben zu senden. iSales KI sendet Benachrichtigungen an den Kunden über die vom Kunden bei der Anmeldung angegebene E-Mail-Adresse oder über die Benutzeroberfläche der Dienste.

10.3. Ansprüche und Haftung:

Alle Ansprüche, die im Rahmen oder im Zusammenhang mit diesem AVV geltend gemacht werden, unterliegen den Bedingungen, einschließlich, aber nicht beschränkt auf die Haftungsausschlüsse und -beschränkungen, die im Vertrag festgelegt sind. Der Kunde stimmt zu, dass alle Bußgelder, die iSales KI im Zusammenhang mit Kundeninhalten entstehen und die sich aus oder im Zusammenhang mit der Nichteinhaltung seiner Verpflichtungen aus diesem AVV oder den geltenden Datenschutzgesetzen des Kunden durch den Kunden ergeben, auf die Haftungsobergrenze von iSales KI gemäß dem Vertrag angerechnet und diese reduzieren, als ob es sich um eine Haftung gegenüber dem Kunden handeln würde. Umgekehrt haftet iSales KI für Bußgelder, die dem Kunden oder iSales KI entstehen und die sich aus der Nichteinhaltung seiner Verpflichtungen aus diesem AVV oder den geltenden Datenschutzgesetzen von iSales KI durch iSales KI ergeben, vorbehaltlich der Beschränkungen im Vertrag. Ungeachtet anderslautender Bestimmungen ist keine Partei für Bußgelder verantwortlich, die von einer Aufsichtsbehörde gegen die andere Partei aufgrund eines unabhängigen Verstoßes der anderen Partei gegen ihre geltenden Datenschutzgesetze verhängt werden.

10.4. Keine Rechte Dritter als Begünstigte:

Dieser AVV gewährt keine Rechte Dritter als Begünstigte, es sei denn, dies ist ausdrücklich angegeben (z. B. für betroffene Personen gemäß bestimmten SCCs). Er ist nur zugunsten der Parteien dieses Vertrages und ihrer jeweiligen zulässigen Rechtsnachfolger und Abtretungsempfänger bestimmt.

10.5. Geltendes Recht und Gerichtsstand:

Dieser AVV unterliegt dem im Vertrag festgelegten geltenden Recht und Gerichtsstand und wird entsprechend ausgelegt, es sei denn, zwingende Bestimmungen der geltenden Datenschutzgesetze des Kunden oder die Bestimmungen in Anhang 3 schreiben etwas anderes vor.

10.6. Kündigung:

Dieser AVV endet automatisch mit Ablauf oder Kündigung des Vertrages. Eine Kündigung dieses AVV ist nur vorbehaltlich der Kündigung des Vertrages möglich.

10.7. Verhältnis zum Vertrag:

Dieser AVV ist integraler Bestandteil des Vertrages. Sofern in diesem AVV nicht ausdrücklich anders festgelegt, bleibt der Vertrag unverändert und in vollem Umfang in Kraft. Bei Widersprüchen zwischen diesem AVV und dem Vertrag bezüglich der Verarbeitung personenbezogener Daten hat dieser AVV Vorrang. Dieser AVV ersetzt alle bestehenden Auftragsverarbeitungsverträge, die die Parteien zuvor im Zusammenhang mit den Diensten abgeschlossen haben könnten.

Anhänge

ANHANG 1: Einzelheiten der Verarbeitung

Teil A: iSales KI als Auftragsverarbeiter

Gegenstand:

Die Verarbeitung von Kundeninhalten durch iSales KI zur Erbringung der Dienste für den Kunden gemäß der Beschreibung im Vertrag und diesem AVV.

Dauer:

Für die Laufzeit des Vertrages und bis zur Löschung oder Rückgabe von Kundeninhalten gemäß Abschnitt 9 dieses AVV.

Art und Zweck der Verarbeitung:

  • Bereitstellung von KI-gestützten Chatbot-Diensten auf verschiedenen Messaging-Plattformen (z. B. Telegram, WhatsApp, Facebook, Instagram) gemäß der Konfiguration durch den Kunden.
  • Verarbeitung von Eingaben (Prompts, Konfigurationen, Trainingsdaten, vom Kunden bereitgestellte Wissensdatenbanken) durch KI-Funktionen zur Generierung von Ausgaben (Chatbot-Antworten, Analysen usw.).
  • Speicherung, Übertragung und Verwaltung von Konversationsdaten zwischen den Chatbots des Kunden und den Gesprächsteilnehmern.
  • Ermöglichung der Verwaltung von Chatbot-Einstellungen und -Leistung durch den Kunden, hauptsächlich über eine native Telegram-Bot-Schnittstelle.
  • Bereitstellung von Support, Wartung und Fehlerbehebung für die Dienste.
  • Protokollierung von Aktivitäten zur Sicherheit, Prüfung und Fehlerverfolgung.
  • Gewährleistung der Zugänglichkeit, Sicherheit und Benutzerfreundlichkeit der Dienste.
  • Anonymisierung und/oder Aggregierung von Kundeninhalten zur Dienstverbesserung, Analyse und Entwicklung neuer Funktionen (gemäß Weisung des Kunden nach Abschnitt 3.1).

Kategorien betroffener Personen:

  • Vom Kunden autorisierte Endbenutzer zur Nutzung oder Verwaltung der Dienste.
  • Gesprächsteilnehmer des Kunden (d. h. Personen, die mit den über die Dienste bereitgestellten Chatbots des Kunden interagieren).

Kategorien personenbezogener Daten (Kundeninhalte):

Der Umfang der personenbezogenen Daten wird vom Kunden nach eigenem Ermessen durch seine Konfiguration und Nutzung der Dienste bestimmt und kontrolliert. Dies kann umfassen:

Für Endbenutzer (die den Dienst verwalten):

Identifikationsinformationen (z. B. Name, E-Mail, Benutzer-ID im Zusammenhang mit der nativen Telegram-Bot-Schnittstelle), Kontoanmeldeinformationen, Konfigurationsdaten, IP-Adressen, Nutzungsdaten, Geräteinformationen.

Für Gesprächsteilnehmer:

  • Von Messaging-Plattformen erhaltene Identifikationsinformationen (z. B. plattformspezifische Benutzer-ID, Name/Benutzername, Profilbild, Telefonnummer, falls von der Plattform/dem Benutzer bereitgestellt).
  • Kontaktdaten, falls vom Gesprächsteilnehmer bereitgestellt (z. B. E-Mail-Adresse, Telefonnummer).
  • Inhalt der Kommunikation mit Chatbots, einschließlich Text, Bilder, Sprachdaten (falls unterstützt und verwendet) und alle anderen personenbezogenen Daten, die vom Gesprächsteilnehmer im Chat geteilt werden.
  • Chat-Metadaten (z. B. Zeitstempel, Nachrichten-IDs, Plattformkennungen).
  • Technische Daten (z. B. IP-Adresse, Gerätetyp, Browserinformationen, Standortdaten, falls von der Plattform/dem Benutzer geteilt und vom Chatbot verarbeitet).
  • Alle anderen personenbezogenen Daten, die in den vom Kunden bereitgestellten Eingaben enthalten sind (z. B. in Trainingsdaten oder Wissensdatenbanken für die KI).

Verarbeitete sensible Daten (falls vorhanden):

Der Kunde verpflichtet sich, keine sensiblen personenbezogenen Daten (wie in den geltenden Datenschutzgesetzen definiert, z. B. Gesundheitsinformationen, biometrische Daten, rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen usw.) von Gesprächsteilnehmern bereitzustellen oder die Dienste so zu konfigurieren, dass diese abgefragt oder erfasst werden, es sei denn, der Kunde hat die ausdrückliche Einwilligung eingeholt oder verfügt über eine andere gültige Rechtsgrundlage gemäß den geltenden Datenschutzgesetzen für eine solche Verarbeitung und hat iSales KI darüber informiert. iSales KI verarbeitet nicht absichtlich sensible personenbezogene Daten, es sei denn, diese sind zufällig in Kundeninhalten enthalten, die gemäß den Weisungen des Kunden verarbeitet werden.

Häufigkeit der Übermittlung:

Kontinuierlich, während der Kunde die Dienste nutzt.

Datenquelle:

Kunde (oder im Auftrag des Kunden handelnde Endbenutzer) durch ihre Nutzung und Konfiguration der Dienste, einschließlich Daten, die in die native Telegram-Bot-Schnittstelle eingegeben werden, Daten von integrierten Messaging-Plattformen und Daten, die von Gesprächsteilnehmern während der Interaktion mit den Chatbots des Kunden bereitgestellt werden.

Weiterübermittlungen (Unterauftragsverarbeiter):

Wie in der Unterauftragsverarbeiterliste unter KI-Unterauftragsverarbeiterliste (https://isales.ai/service-providers) aufgeführt. Die Dauer der Unterauftragsverarbeitung ist auf die Aufbewahrungsfrist der Verarbeitung durch iSales KI beschränkt.

Teil B: iSales KI als Verantwortlicher

Gegenstand:

Verarbeitung von Kundenkontodaten durch iSales KI.

Dauer:

Für die Laufzeit des Vertrages und danach, wie es nach geltendem Recht oder für legitime Geschäftszwecke von iSales KI (z. B. Aufbewahrung von Aufzeichnungen, Beilegung von Streitigkeiten) gemäß der Datenschutzrichtlinie und den Datenaufbewahrungsrichtlinien von iSales KI erforderlich ist.

Art und Zweck der Verarbeitung:

  • Abschluss und Verwaltung der Vertragsbeziehung mit dem Kunden.
  • Kontoerstellung, -verwaltung und -management (einschließlich Verwaltung von Guthaben).
  • Bereitstellung von Kundensupport und Kommunikation mit dem Kunden bezüglich der Dienste (z. B. Aktualisierungen, Sicherheitswarnungen, Abrechnungsmitteilungen).
  • Abrechnung, Rechnungsstellung und Zahlungsabwicklung.
  • Einhaltung gesetzlicher und regulatorischer Verpflichtungen (z. B. Steuern, Buchhaltung, Sanktionsprüfung).
  • Prüfung und Sicherheitsüberwachung.
  • Vertriebs- und Marketingkommunikation mit dem Kunden (vorbehaltlich der Präferenzen des Kunden und des geltenden Rechts).
  • Verbesserung der Dienste, des Geschäftsbetriebs und Entwicklung neuer Angebote von iSales KI (typischerweise unter Verwendung aggregierter oder anonymisierter Daten, sofern möglich).

Kategorien betroffener Personen:

  • Kunde (falls eine Einzelperson).
  • Vertreter und Endbenutzer des Kunden (z. B. Mitarbeiter, Auftragnehmer, die zur Verwaltung oder Nutzung des iSales KI-Kontos des Kunden berechtigt sind).

Kategorien personenbezogener Daten (Kundenkontodaten):

Kontakt- und Identifikationsinformationen:

Name, E-Mail-Adresse, Telefonnummer, Firmenname, Berufsbezeichnung, Geschäftsadresse, Benutzername/ID (einschließlich für Einstellungen verknüpfte Telegram-Kontodetails).

Abrechnungs- und Finanzinformationen:

Rechnungsadresse, Zahlungskartendetails (z. B. letzte vier Ziffern, Ablaufdatum, verarbeitet von einem PCI-DSS-konformen Zahlungsabwickler), Bankkontoinformationen (falls zutreffend), Transaktionsverlauf, Guthabenkaufaufzeichnungen.

Konto- und Nutzungsinformationen:

Details zum Serviceplan, Kontoeinstellungen und -präferenzen, IP-Adressen, Geräteinformationen, Browsertyp, Betriebssystem, Protokolle des Zugriffs und der Nutzung der iSales KI-Plattform (ausgenommen Kundeninhalte), Aufzeichnungen der Supportkommunikation.

Verarbeitete sensible Daten:

iSales KI erhebt nicht absichtlich sensible personenbezogene Daten für Zwecke der Kundenkontodaten.

Häufigkeit der Übermittlung:

Kontinuierlich, während der Kunde mit iSales KI und den Diensten interagiert.

Datenquelle:

Direkt vom Kunden oder seinen Vertretern/Endbenutzern während des Anmeldevorgangs, der Kontokonfiguration (einschließlich der Verknüpfung eines Telegram-Kontos für Einstellungen), der Nutzung der Dienste, Zahlungstransaktionen und der Kommunikation mit iSales KI.

Weiterübermittlungen (Dienstleister):

An Dienstleister von iSales KI (die als Auftragsverarbeiter für iSales KI als Verantwortlicher handeln) für Zwecke wie Zahlungsabwicklung, CRM, E-Mail-Zustellung, Analysen, Cloud-Hosting. Weitere Einzelheiten zur Weitergabe an solche Anbieter finden Sie in der Datenschutzrichtlinie von iSales KI. Personenbezogene Daten können auch an Behörden weitergegeben werden, wenn dies gesetzlich vorgeschrieben ist.

ANHANG 2: Sicherheitsmaßnahmen

iSales KI implementiert und unterhält technische und organisatorische Sicherheitsmaßnahmen, die darauf ausgelegt sind, personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen sollen ein dem Risiko angemessenes Schutzniveau gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen.

Die Sicherheitsmaßnahmen umfassen unter anderem die folgenden Kategorien (iSales KI stellt auf begründete Anfrage weitere Einzelheiten zur Verfügung, vorbehaltlich Vertraulichkeitsverpflichtungen):

Informationssicherheitsprogramm und -richtlinien:

  • Aufrechterhaltung eines formalen, dokumentierten Informationssicherheitsprogramms und -rahmens.
  • Regelmäßige Überprüfung und Aktualisierung von Sicherheitsrichtlinien und -verfahren.
  • Zuweisung der Verantwortung für die Informationssicherheit.

Zugriffskontrolle:

  • Maßnahmen zur Verhinderung des unbefugten Zugriffs auf Systeme, die personenbezogene Daten verarbeiten, einschließlich Benutzeridentifikations- und Authentifizierungsverfahren (z. B. eindeutige IDs, sichere Passwörter, Multi-Faktor-Authentifizierung, wo angemessen).
  • Rollenbasierte Zugriffskontrollen nach dem Prinzip der geringsten Rechte („Need-to-know“).
  • Verfahren zur Verwaltung von Zugriffsrechten (Erteilung, Änderung, Widerruf).
  • Protokollierung des Zugriffs auf kritische Systeme.

Datenverschlüsselung:

  • Verschlüsselung personenbezogener Daten während der Übertragung (z. B. mit TLS/SSL).
  • Verschlüsselung personenbezogener Daten im Ruhezustand, wo angemessen und machbar (z. B. für Datenbanken, die Kundeninhalte speichern).

Personalsicherheit:

  • Vertraulichkeitsverpflichtungen für Personal, das zur Verarbeitung personenbezogener Daten befugt ist.
  • Sicherheitsschulungs- und Sensibilisierungsprogramme für Personal.
  • Hintergrundüberprüfungen für Personal in sensiblen Positionen, sofern gesetzlich zulässig.

Physische und Umgebungssicherheit:

  • Kontrollen zur Verhinderung des unbefugten physischen Zugriffs auf Räumlichkeiten und Einrichtungen, in denen personenbezogene Daten verarbeitet werden (z. B. für Rechenzentren, die von iSales KI oder seinen Cloud-Anbietern genutzt werden).
  • Maßnahmen zum Schutz vor Umweltrisiken.

Betriebssicherheit:

  • Schwachstellenmanagementprogramm, einschließlich regelmäßiger Scans und Penetrationstests (wo angemessen).
  • Patch-Management-Verfahren.
  • Sichere Softwareentwicklungs-Lebenszyklus-Praktiken.
  • Änderungsmanagementverfahren.
  • Netzwerksicherheitskontrollen (z. B. Firewalls, Intrusion-Detection-/-Prevention-Systeme).
  • Protokollierung und Überwachung von Systemen auf Sicherheitsereignisse.

Drittanbieter-Management:

  • Due-Diligence-Prozess für die Auswahl und Verwaltung von Unterauftragsverarbeitern und anderen Drittanbietern mit Zugriff auf personenbezogene Daten.
  • Vertragliche Anforderungen an Drittanbieter zur Aufrechterhaltung angemessener Sicherheitsmaßnahmen.

Geschäftskontinuität und Notfallwiederherstellung:

  • Verfahren zur Datensicherung und -wiederherstellung.
  • Geschäftskontinuitäts- und Notfallwiederherstellungspläne zur Gewährleistung der Verfügbarkeit personenbezogener Daten und Dienste.

Vorfallmanagement:

  • Verfahren zur Erkennung, Reaktion und Verwaltung von Sicherheitsvorfällen, einschließlich Datenschutzverletzungen, wie in Abschnitt 7 dieses AVV beschrieben.

Der Kunde erkennt an, dass sich die Sicherheitsanforderungen ständig ändern und dass iSales KI diese Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, solche Aktualisierungen und Änderungen führen nicht zu einer wesentlichen Verringerung der Gesamtsicherheit der Dienste.

ANHANG 3: Internationale Bestimmungen und gerichtsstandspezifische Bedingungen

Dieser Anhang gilt für die Verarbeitung personenbezogener Daten, die den Gesetzen bestimmter Gerichtsbarkeiten unterliegen.

1. Europäischer Wirtschaftsraum (EWR), Vereinigtes Königreich (UK) und Schweiz

Geltungsbereich:

Geltungsbereich: Dieser Abschnitt 1 gilt für die Verarbeitung personenbezogener Daten, die der DSGVO, der UK-DSGVO oder dem Schweizer DSG unterliegen.

Rollen:

Rollen: Für Kundeninhalte ist der Kunde der Verantwortliche (oder ein Auftragsverarbeiter, der im Auftrag eines anderen Verantwortlichen handelt) und iSales KI ist der Auftragsverarbeiter. Für Kundenkontodaten ist iSales KI ein unabhängiger Verantwortlicher.

Internationale Datenübermittlungen:

Data Privacy Frameworks (DPF):

Soweit iSales KI personenbezogene Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz in die Vereinigten Staaten übermittelt und iSales KI nach dem EU-U.S. DPF, der UK Extension zum EU-U.S. DPF und/oder dem Swiss-U.S. DPF (sofern zutreffend) zertifiziert ist, stellt iSales KI sicher, dass solche Übermittlungen in Übereinstimmung mit seiner DPF-Zertifizierung erfolgen. iSales KI benachrichtigt den Kunden, wenn seine DPF-Zertifizierung entzogen, beendet oder anderweitig ungültig wird.

Standardvertragsklauseln (SCCs):

Falls das DPF für eine bestimmte Übermittlung nicht anwendbar ist oder nicht darauf zurückgegriffen wird oder für Übermittlungen in andere Drittländer, die nicht als angemessen gelten, unterliegen solche Übermittlungen personenbezogener Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz an iSales KI (oder seine Unterauftragsverarbeiter) in einem Drittland den geltenden Standardvertragsklauseln, die hiermit durch Bezugnahme aufgenommen und wie folgt vervollständigt werden:

EU-SCCs (Durchführungsbeschluss (EU) 2021/914 der Kommission):

  • Modul Eins (Verantwortlicher an Verantwortlichen) gilt für Übermittlungen von Kundenkontodaten, wenn der Kunde Verantwortlicher und iSales KI Verantwortlicher ist.
  • Modul Zwei (Verantwortlicher an Auftragsverarbeiter) gilt für Übermittlungen von Kundeninhalten, wenn der Kunde Verantwortlicher und iSales KI Auftragsverarbeiter ist.
  • Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter) gilt für Übermittlungen von Kundeninhalten, wenn der Kunde Auftragsverarbeiter (im Auftrag eines anderen Verantwortlichen handelnd) und iSales KI Unterauftragsverarbeiter ist.
  • Klausel 7 (Docking-Klausel): Gilt nicht.
  • Klausel 9 (Einsatz von Unterauftragsverarbeitern): Option 2 (Allgemeine schriftliche Genehmigung) gilt. Die Frist für die vorherige Ankündigung von Änderungen bei Unterauftragsverarbeitern richtet sich nach Abschnitt 4.3 dieses AVV.
  • Klausel 11 (Abhilfe - Optional): Die optionale Formulierung gilt nicht.
  • Klausel 13 (Aufsicht): Die Aufsichtsbehörde wird gemäß der DSGVO bestimmt. Für Kunden mit Sitz in der EU ist dies die Aufsichtsbehörde des Mitgliedstaats, in dem der Kunde seinen Sitz hat, oder, falls nicht in der EU ansässig, die vom Kunden benannte oder gemäß der DSGVO bestimmte Behörde.
  • Klausel 17 (Geltendes Recht): Option 1 gilt. Die SCCs unterliegen dem irischen Recht.
  • Klausel 18(b) (Wahl des Gerichtsstands und der Gerichtsbarkeit): Streitigkeiten werden vor den Gerichten des in Klausel 17 genannten Gerichtsstands beigelegt.
  • Anhang I.A (Liste der Parteien):\nDatenexporteur: Kunde, wie im Vertrag definiert. Kontaktdaten wie vom Kunden bereitgestellt. Rolle: Wie im jeweiligen Modul oben angegeben.\nDatenimporteur: iSales KI. Kontakt: `[email protected]`. Rolle: Wie im jeweiligen Modul oben angegeben.
  • Anhang I.B (Beschreibung der Übermittlung): Wie in Anhang 1 dieses AVV beschrieben.
  • Anhang I.C (Zuständige Aufsichtsbehörde): Wie in Klausel 13 bestimmt.
  • Anhang II (Technische und organisatorische Maßnahmen): Wie in Anhang 2 dieses AVV beschrieben.

UK Addendum (International Data Transfer Addendum zu den EU-SCCs, Version B1.0):

Für Übermittlungen, die der UK-DSGVO unterliegen, gilt das UK Addendum, wobei die EU-SCCs (wie oben angegeben) die „Genehmigten EU-SCCs“ bilden. Tabelle 1, 2, 3 und 4 des UK Addendum werden mit den relevanten Informationen aus diesem AVV und den Abschnitten zu den EU-SCCs ausgefüllt. Der „Exporteur“ und der „Importeur“ sind wie in Anhang I.A oben definiert.

Schweizer Übermittlungen:

Für Übermittlungen, die dem Schweizer DSG unterliegen, gelten die EU-SCCs (wie oben angegeben) mit den notwendigen Änderungen zur Anpassung an das Schweizer Recht (z. B. werden Verweise auf die DSGVO als Verweise auf das DSG interpretiert; zuständige Aufsichtsbehörde ist der Schweizer EDÖB).

2. Kalifornien

Geltungsbereich:

Geltungsbereich: Dieser Abschnitt 2 gilt für die Verarbeitung von „personenbezogenen Informationen“ gemäß der Definition im California Consumer Privacy Act in der durch den California Privacy Rights Act geänderten Fassung („CCPA/CPRA“).

Rollen:

Rollen: Für Kundeninhalte, die personenbezogene Informationen darstellen, handelt iSales KI als „Dienstleister“ für den Kunden, der ein „Unternehmen“ ist. Für Kundenkontodaten kann iSales KI als Unternehmen handeln.

iSales KI als Dienstleister:

Bei der Verarbeitung von Kundeninhalten wird iSales KI:

  • Kundeninhalte nicht „verkaufen“ oder „teilen“ (wie diese Begriffe im CCPA/CPRA definiert sind).
  • Kundeninhalte nicht für andere Zwecke als den spezifischen Zweck der Erbringung der im Vertrag und diesem AVV festgelegten Dienste aufbewahren, verwenden oder offenlegen, oder wie anderweitig vom CCPA/CPRA für Dienstleister zulässig.
  • Kundeninhalte nicht außerhalb der direkten Geschäftsbeziehung zwischen Kunde und iSales KI aufbewahren, verwenden oder offenlegen, es sei denn, dies ist nach dem CCPA/CPRA zulässig.
  • Die geltenden Verpflichtungen gemäß dem CCPA/CPRA einhalten und dem Kunden angemessene Unterstützung leisten, um dem Kunden die Einhaltung seiner CCPA/CPRA-Verpflichtungen in Bezug auf Kundeninhalte zu ermöglichen.

Aggregierte/De-identifizierte Daten: Ungeachtet dessen kann iSales KI Kundeninhalte im Rahmen der Erbringung der Dienste de-identifizieren oder aggregieren und solche de-identifizierten oder aggregierten Daten für eigene Geschäftszwecke verwenden, einschließlich Dienstverbesserung und Analysen, vorausgesetzt, solche Daten identifizieren keine Einzelperson oder den Kunden und können vernünftigerweise nicht zur Identifizierung verwendet werden.

3. Brasilien

Geltungsbereich:

Geltungsbereich: Dieser Abschnitt 3 gilt für die Verarbeitung personenbezogener Daten, die dem LGPD unterliegen.

Rollen:

Rollen: Für Kundeninhalte ist der Kunde der Verantwortliche (Controlador) (oder ein Auftragsverarbeiter, der im Auftrag eines anderen Verantwortlichen handelt) und iSales KI ist der Auftragsverarbeiter (Operador). Für Kundenkontodaten ist iSales KI ein unabhängiger Verantwortlicher.

Internationale Datenübermittlungen:

Internationale Datenübermittlungen: Soweit dem LGPD unterliegende Kundeninhalte in eine Gerichtsbarkeit außerhalb Brasiliens übermittelt werden, die von der ANPD nicht als ein angemessenes Schutzniveau anerkannt wird, erfolgen solche Übermittlungen gemäß einem gültigen Übermittlungsmechanismus nach dem LGPD, der brasilianische SCCs (sofern verfügbar und anwendbar) oder andere von der ANPD zugelassene Mechanismen umfassen kann. iSales KI verpflichtet sich sicherzustellen, dass personenbezogene Daten nur in Länder übermittelt werden, die ein mit dem LGPD vereinbares Datenschutzniveau bieten, oder an Stellen, die sich vertraglich verpflichten, ein ähnliches Schutzniveau einzuhalten.

4. Russland

Geltungsbereich:

Geltungsbereich: Dieser Abschnitt 4 gilt für die Verarbeitung personenbezogener Daten russischer Staatsbürger, die dem russischen Bundesgesetz Nr. 152-FZ „Über personenbezogene Daten“ vom 27. Juli 2006 (in der jeweils gültigen Fassung) („Russisches Datenschutzgesetz“) unterliegen.

Rollen:

Rollen: Für Kundeninhalte, die personenbezogene Daten russischer Staatsbürger betreffen, ist der Kunde der „Betreiber“ (Оператор) und iSales KI die „Person, die personenbezogene Daten im Auftrag des Betreibers verarbeitet“ (Лицо, осуществляющее обработку персональных данных по поручению оператора) gemäß dem russischen Datenschutzgesetz. Für Kundenkontodaten, die personenbezogene Daten russischer Staatsbürger betreffen, handelt iSales KI als unabhängiger Betreiber.

Datenlokalisierung:

Der Kunde erkennt an und stimmt zu, dass er allein für die Einhaltung der Datenlokalisierungsanforderungen gemäß Artikel 18.5 des russischen Datenschutzgesetzes verantwortlich ist. Dies erfordert, dass die erstmalige Erhebung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung) und Abfrage personenbezogener Daten russischer Staatsbürger unter Verwendung von Datenbanken erfolgen muss, die sich auf dem Hoheitsgebiet der Russischen Föderation befinden.

Soweit der Kunde die Dienste zur Verarbeitung personenbezogener Daten russischer Staatsbürger nutzt, gewährleistet der Kunde, dass er diese primäre Lokalisierungsanforderung erfüllt hat, bevor er solche personenbezogenen Daten zur weiteren Verarbeitung an iSales KI oder zur Verarbeitung durch iSales KI außerhalb der Russischen Föderation übermittelt.

iSales KI ist nicht dafür verantwortlich, die Einhaltung der primären Datenlokalisierungsanforderung durch den Kunden sicherzustellen. Wenn iSales KI Optionen für die Verarbeitung von Kundeninhalten in Rechenzentren in der Russischen Föderation anbietet, werden die Bedingungen für eine solche Option gesondert festgelegt.

Einwilligung und Weisungen: Der Kunde sichert zu und gewährleistet, dass er alle erforderlichen gültigen Einwilligungen von russischen betroffenen Personen gemäß dem russischen Datenschutzgesetz für die Verarbeitung ihrer personenbezogenen Daten durch den Kunden, durch iSales KI (handelnd im Auftrag des Kunden) und durch alle Unterauftragsverarbeiter eingeholt hat, einschließlich für alle grenzüberschreitenden Übermittlungen personenbezogener Daten außerhalb der Russischen Föderation. Solche Einwilligungen müssen den spezifischen Form- und Inhaltsanforderungen des russischen Datenschutzgesetzes entsprechen. Alle Weisungen des Kunden an iSales KI bezüglich der Verarbeitung personenbezogener Daten russischer Staatsbürger müssen nach russischem Datenschutzgesetz rechtmäßig sein.

Grenzüberschreitende Übermittlungen: Wenn Kundeninhalte, die personenbezogene Daten russischer Staatsbürger enthalten, von iSales KI oder seinen Unterauftragsverarbeitern außerhalb der Russischen Föderation verarbeitet werden sollen (nach erstmaliger Lokalisierung durch den Kunden innerhalb Russlands), ist der Kunde dafür verantwortlich sicherzustellen, dass eine solche grenzüberschreitende Übermittlung Artikel 12 des russischen Datenschutzgesetzes entspricht. Dies beinhaltet die Sicherstellung, dass das Empfängerland ein angemessenes Schutzniveau für die Rechte der betroffenen Personen bietet oder dass spezifische Bedingungen für die Übermittlung in nicht angemessene Länder erfüllt sind (z. B. spezifische schriftliche Einwilligung der betroffenen Person, Erfüllung eines Vertrags mit der betroffenen Person). iSales KI wird dem Kunden auf dessen begründete Anfrage und auf dessen Kosten angemessene Unterstützung bei der Bewertung der Angemessenheit des Schutzes in Empfängerländern leisten, in denen iSales KI oder seine Unterauftragsverarbeiter solche Daten verarbeiten.

Verantwortung des Kunden: Der Kunde bleibt allein verantwortlich für alle seine Verpflichtungen als Betreiber gemäß dem russischen Datenschutzgesetz, einschließlich, aber nicht beschränkt auf die Bereitstellung von Mitteilungen an betroffene Personen, die Bearbeitung von Anfragen betroffener Personen, die Gewährleistung der Richtigkeit personenbezogener Daten und die Umsetzung notwendiger Sicherheitsmaßnahmen für Daten, die in seinen eigenen Systemen verarbeitet werden.

Kontaktinformationen

Bei Fragen oder Bedenken zu diesem AVV oder den Datenverarbeitungspraktiken kontaktieren Sie uns bitte unter [email protected].

Dieser AVV wird an dem Datum geschlossen und tritt in Kraft, an dem der Kunde den Vertrag abschließt.