Allgemeine Nutzungsbedingungen der Beyond the Loop GmbH
1. Geltungsbereich
Diese Nutzungsbedingungen gelten für alle Verträge („Nutzungsverträge“) zwischen der Beyond the Loop GmbH, eingetragen im Handelsregister des Amtsgerichts Hamburg unter HRB 187163, (der „Provider“) und ihren Kunden („Kunden“) über die Bereitstellung und Nutzung einer softwarebasierten Applikation für Unternehmen zur Nutzung von künstlicher Intelligenz („KI“) verschiedener Anbieter über das Medium Internet (die „Applikation“; die der Applikation des Providers zugrunde liegende Software die „Software“).
Diese Nutzungsbedingungen gelten ausschließlich gegenüber Unternehmern im Sinne des § 14 BGB.
2. Vertragsgegenstand
2.1 Gegenstand des Nutzungsvertrages ist die entgeltliche und zeitlich auf die Dauer des Vertrags begrenzte Gewährung der internetbasierten Nutzung der Applikation im Unternehmen des Kunden.
2.2 Der Kunde hat über die Applikation, insbesondere Zugang zu verschiedenen KI Modellen unterschiedlicher KI Anbieter (jeweils ein „KI Modell“), insbesondere Zugriff auf große Sprachmodelle (sog. LLMs).
2.3 Das KI-Modell verarbeitet jede von dem Kunden in der Maske der KI oder über die Applikation eingegebene Einheit des Eingabetextes (wie Wörter, Satzzeichen und Wortteile) (jede Einheit eines Eingabetextes nach Maßgabe der Nutzungsbedingungen des entsprechenden KI Modells ein „Token“).
3. Vertragsschluss
3.1 Der Nutzungsvertrag zwischen Provider und Kunde kommt durch Registrierung auf der Plattform des Providers und das Klicken auf den entsprechend bezeichneten Button („Jetzt registrieren“, „Kostenpflichtig bestellen“ o. Ä.) zustande.
3.2 Mit Abschluss des Registrierungsvorgangs erklärt sich der Kunde mit der Geltung dieser AGB einverstanden.
4. Leistungen des Providers
4.1 Der Provider gewährt dem Kunden die Nutzung der jeweils aktuellen Version der Applikation nach Maßgabe von Ziffer 5 dieser Nutzungsbedingungen über das Internet mittels Zugriffs durch einen Browser.
4.2 Der Provider gewährleistet die Funktionsfähigkeit und Verfügbarkeit der Applikation während der Dauer des Vertragsverhältnisses und wird diese in einem zum vertragsgemäßen Gebrauch geeigneten Zustand erhalten. Der Funktionsumfang der Applikation sowie die Einsatzbedingungen ergeben sich aus den Angaben auf der Internetseite des Providers sowie in der Applikation.
4.3 Der Kunde kann nach Belieben seine Mitarbeiter als Nutzer der Applikation hinzufügen. Der Provider wird dem Kunden Zugangsdaten in elektronischer Form für die entsprechende Anzahl Nutzern übermitteln.
4.4 Der Kunde hat über die Applikation Zugang zu einer Benutzerdokumentation.
4.5 Der Provider kann, ohne hierzu verpflichtet zu sein, die Software jederzeit aktualisieren oder weiterentwickeln und insbesondere aufgrund geänderter Rechtslage, technischer Entwicklungen oder zur Verbesserung der IT-Sicherheit anpassen. Der Provider wird dabei die berechtigten Interessen des Kunden angemessen berücksichtigen und den Kunden rechtzeitig über notwendige Updates informieren. Im Falle einer wesentlichen Beeinträchtigung der berechtigten Interessen des Kunden steht diesem ein Sonderkündigungsrecht zu.
4.6 Eine Anpassung auf die individuellen Bedürfnisse oder die IT-Umgebung des Kunden schuldet der Provider nicht.
4.7 Der Provider wird die Applikation und Software regelmäßig warten und den Kunden über etwaige hiermit verbundene Einschränkungen rechtzeitig informieren. Die Wartung wird regelmäßig zwischen 20.00 Uhr und 07.00 Uhr durchgeführt, es sei denn, aufgrund zwingender Gründe muss eine Wartung zu einer anderen Zeit vorgenommen werden.
4.8 Der Provider wird dem Stand der Technik entsprechende Maßnahmen zum Schutz der Daten vornehmen. Den Provider treffen jedoch keine Verwahrungs- oder Obhutspflichten hinsichtlich der Daten. Für eine ausreichende Sicherung der Daten ist der Kunde verantwortlich.
4.9 Der Kunde bleibt Inhaber der auf den Servern des Providers abgelegten Daten und kann diese jederzeit herausverlangen.
4.10 Zur Klarstellung wird darauf hingewiesen, dass der Provider dem Kunden nicht die Nutzung einer von dem Provider entwickelten KI zur Verfügung stellt. Vielmehr wird der Provider dem Kunden die Nutzung von KI-Modellen externer Anbieter über die Applikation ermöglichen. Der Provider steht ausdrücklich nicht für die Verfügbarkeit und Funktionsfähigkeit der über die Applikation genutzten KI sowie für die von der KI generierten Inhalte ein. Ebenso wenig steht der Provider für die Verfügbarkeit eines KI Modells bzw. Nutzbarkeit eines KI Modells in der Applikation ein.
5. Nutzungsumfang und -rechte
5.1 Eine physische Überlassung der Software an den Kunden erfolgt nicht.
5.2 Der Kunde erhält an der jeweils aktuellen Version der Software das einfache, d.h. nicht unterlizenzierbare und nicht übertragbare, zeitlich auf die Dauer des Nutzungsvertrags beschränkte Recht, die Software und die Applikation mittels Zugriffs über einen Browser nach Maßgabe der vertraglichen Regelungen zu nutzen.
5.3 Der Kunde darf die Applikation und die Software nur im Rahmen seiner eigenen geschäftlichen Tätigkeit durch eigenes Personal nutzen. Eine weitergehende Nutzung der Applikation und Software durch den Kunden ist nicht gestattet.
6. Support
Der Provider richtet für Anfragen des Kunden zu Funktionen der Software einen Support-Service ein. Anfragen können über das auf der Website des Providers angebotene textbasierte Dialogsystem (sog. Chatbot) gestellt werden. Für Anfragen, denen durch dieses System
nicht abgeholfen werden kann, bietet der Provider zudem die Möglichkeit, diese Anfragen online (über ein sog. Ticket-System) zu adressieren; die Anfragen werden grundsätzlich in zeitlicher Reihenfolge ihres Eingangs bearbeitet.
7. Service Levels; Störungsbehebung
7.1 Der Provider gewährt eine Gesamtverfügbarkeit der Leistungen der Applikation von mindestens 98,5% im Monat am Übergabepunkt. Der Übergabepunkt ist der Routerausgang des Rechenzentrums des Providers.
7.2 Als Verfügbarkeit gilt die Möglichkeit des Kunden, sämtliche Hauptfunktionen der Applikation zu nutzen. Wartungszeiten sowie Zeiten der Störung unter Einhaltung der Behebungszeiten gemäß Ziffern 7.4 und 7.5 gelten als Zeiten der Verfügbarkeit der Applikation. Zeiten unerheblicher Störungen bleiben bei der Berechnung der Verfügbarkeit außer Betracht. Für den Nachweis der Verfügbarkeit sind die Messinstrumente des Providers im Rechenzentrum maßgeblich.
7.3 Der Kunde hat Störungen unverzüglich an die ihm vom Provider mitgeteilten Kontaktdaten zu melden. Eine Störungsmeldung und -behebung ist Montag bis Freitag (ausgenommen bundesweite Feiertage) zwischen 9:00 Uhr und 18:00 Uhr gewährleistet („Servicezeiten“).
7.4 Schwerwiegende Störungen (die Nutzung der Applikation insgesamt oder eine Hauptfunktion der Applikation ist nicht möglich) wird der Provider auch außerhalb der Servicezeiten spätestens binnen acht (8) Stunden ab Eingang der Meldung der Störung – sofern die Meldung innerhalb der Servicezeiten erfolgt – soweit möglich beheben.
7.5 Sonstige erhebliche Störungen (Haupt- oder Nebenfunktionen der Applikation sind gestört, können aber genutzt werden) werden spätestens binnen 18 Stunden innerhalb der Servicezeiten behoben.
7.6 Die Beseitigung von unerheblichen Störungen liegt im Ermessen des Providers.
8. Haftung und Schadensersatz
8.1 Über Ziffer 7 hinaus haftet der Provider nach den gesetzlichen Bestimmungen und unbeschränkt, sofern der Schaden vorsätzlich oder grob fahrlässig durch den Provider, seine gesetzlichen Vertreter oder Erfüllungsgehilfen verursacht wurde oder der Schaden Folge einer schuldhaften Verletzung der Gesundheit, des Körpers oder des Lebens durch den Provider, seine gesetzlichen Vertreter oder Erfüllungsgehilfen ist. Bei leicht fahrlässig verursachten Verletzungen wesentlicher Vertragspflichten (sogenannter Kardinalpflichten) oder Fehlen einer garantierten Beschaffenheit haftet der Provider der Höhe nach begrenzt auf den vertragstypisch vorhersehbaren Schaden. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Nutzungsvertrags überhaupt erst ermöglicht und auf deren Einhaltung die Vertragsparteien regelmäßig vertrauen dürfen. Eine etwaige Haftung nach dem Produkthaftungsgesetz bleibt unberührt.
8.2 Bei Verletzung einer Kardinalpflicht ist die Haftung – soweit der Schaden lediglich auf leichter Fahrlässigkeit beruht – beschränkt auf unmittelbare Schäden, mit deren Entstehung beim Einsatz der Applikation typischerweise gerechnet werden muss.
8.3 Im Übrigen ist die Haftung – gleich aus welchem Rechtsgrund – ausgeschlossen; ausgenommen hiervon sind Ansprüche nach Ziffer 9.
8.4 Resultieren Schäden des Kunden aus dem Verlust von Daten, so haftet der Provider hierfür nicht, soweit die Schäden durch eine regelmäßige und vollständige Sicherung aller relevanten Daten durch den Kunden vermieden worden wären. Der Kunde wird eine regelmäßige und vollständige Datensicherung selbst oder durch einen Dritten durchführen bzw. durchführen lassen und ist hierfür allein verantwortlich.
8.5 Der Provider haftet insbesondere nicht für die Funktionalität, Funktionsfähigkeit und Verfügbarkeit der unter der Applikation genutzten KI sowie für die von der KI generierten Inhalte.
9. Pflichten des Kunden
9.1 Der Kunde hat bei der Registrierung richtige und vollständige Angaben zu machen und die Applikation.
9.2 Der Kunde hat die ihm übermittelten Zugangsdaten dem Stand der Technik entsprechend vor Zugriffen Dritter zu schützen und zu verwahren. Der Kunde wird dafür sorgen, dass eine Nutzung durch seine Mitarbeiter nur im vertraglich vereinbarten Umfang geschieht. Ein unberechtigter Zugriff ist dem Provider unverzüglich mitzuteilen.
9.3 Der Kunde ist verpflichtet, auf dem zur Verfügung gestellten Speicherplatz keine Daten abzulegen, deren Nutzung gegen geltendes Recht, behördliche Anordnungen, Rechte Dritter oder Vereinbarungen mit Dritten verstößt. Der Kunde wird Daten vor deren Ablage oder Nutzung in der Applikation auf Viren oder sonstige schädliche Komponenten prüfen und hierfür dem Stand der Technik entsprechende Maßnahmen (z.B. Virenschutzprogramme) einsetzen.
9.4 Der Kunde hat in eigener Verantwortung regelmäßig angemessene Datensicherungen vorzunehmen.
10. Rechtsmängel, Freistellung
10.1 Der Provider gewährleistet, dass die Applikation und die Software keine Rechte Dritter verletzten.
10.2 Der Kunde wird den Provider unverzüglich über Ansprüche von Dritten, die diese aufgrund der vertragsgemäßen Nutzung der Software gegen ihn geltend machen, informieren und ihm sämtliche erforderlichen Vollmachten erteilen und Befugnisse einräumen, um die Ansprüche zu verteidigen.
10.3 Der Kunde sichert zu, dass die auf den Servern des Providers abgelegten Inhalte und Daten sowie dessen Nutzung und Bereitstellung durch den Provider, nicht gegen geltendes Recht, behördliche Anordnungen, Rechte Dritter oder Vereinbarungen mit Dritten verstoßen. Der Kunde wird den Provider von Ansprüchen, die Dritte aufgrund eines Verstoßes gegen diese Ziffer geltend machen, auf erstes Anfordern freistellen.
10.4 Allein der Kunde haftet für die von der KI bzw. dem KI-Modell und der Applikation generierten Inhalte. Der Kunde wird den Provider von Ansprüchen, die Dritte aufgrund des von der KI oder dem KI-Modell generierten Inhalts geltend machen, auf erstes Anfordern hin freistellen sowie die Kosten einer angemessenen Rechtsverfolgung ersetzen.
11. Vergütungs- und Zahlungsbedingungen
11.1 Der Kunde hat für jeden über seinen Nutzeraccount verarbeiteten Token eine Gebühr zu entrichten. Die Höhe der für einen Token zu zahlenden Gebühr ist auf der Internetseite und in der Applikation des Providers ersichtlich und variiert insbesondere in Abhängigkeit von der Art des Tokens, dem genutzten KI Anbieter und dem KI Modell. Der Provider soll jeweils zum Ablauf eines Monats eine Abrechnung in Bezug auf den Kunden für den vorhergegangenen Monat erstellen und in Textform an den Kunden übermitteln sowie in der Applikation zur Verfügung stellen. Die angefallenen Beträge sind innerhalb von sieben (7) Kalendertagen nach Übersendung der Abrechnung durch den Provider zahlbar und werden über das von dem Kunden gewählte Zahlungsmittel automatisch abgewickelt.
11.2 Darüber hinaus hat der Kunde für die Anzahl seiner Nutzer eine Vergütung an den Provider zu zahlen.
11.3 Der Provider bietet drei verschiedene Nutzungspakete an. Im sogenannten „Starter Plan“ haben fünf (5) von dem Kunden zu benennende Nutzer Zugriff auf die Applikation und dem Kunden steht ein Freibetrag in Höhe von EUR 5,00 für die Gebühr nach Ziffer 11.1 zur Verfügung. Im sogenannten „Business Plan“ haben 25 von dem Kunden zu benennende Nutzer Zugriff auf die Applikation und dem
Kunden steht ein Freibetrag in Höhe von EUR 50,00 für die Gebühr nach Ziffer 11.1 zur Verfügung. Im sogenannten „Growth Plan“ haben 1000 von dem Kunden zu benennende Nutzer Zugriff auf die Applikation und dem Kunden steht ein Freibetrag in Höhe von EUR 150,00 für die Gebühr nach Ziffer 11.1 zur Verfügung.
11.4 Darüber hinaus bietet der Provider weitere variable Vergütungsmodelle und eine detaillierte Preisaufschlüsselung über die Applikation an.
11.5 Der jeweils an den Provider zu zahlende Betrag ist innerhalb von sieben (7) Kalendertagen nach Ablauf des entsprechenden Monats zahlbar und wird über das von dem Kunden gewählte Zahlungsmittel automatisch abgewickelt.
12. Vertragslaufzeit und Beendigung
12.1 Der Nutzungsvertrag tritt mit seinem Abschluss (Registrierung auf der Plattform des Providers und das Klicken auf den entsprechend bezeichneten Button (Ziffer 3)) in Kraft. Er kann je nach gewählter Abrechnungsart entweder monatlich oder jährlich von beiden Parteien mit einer Frist von einem Monat zum Ablauf des Folgemonats bzw. zum Ablauf des jeweiligen Abrechnungsjahres gekündigt werden.
12.2 Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Die Kündigung bedarf in jedem Fall der Textform.
12.3 Der Provider wird dem Kunden auf eigene Kosten nach Beendigung des Nutzungsvertrags angemessen bei der Rückübertragung oder Sicherung der Daten unterstützen.
12.4 Der Provider wird sämtliche auf seinen Servern verbleibenden Daten des Kunden 30 Tage nach Beendigung des Vertragsverhältnisses löschen, ohne dass die Daten wieder hergestellt werden können. Ein Zurückbehaltungsrecht oder Pfandrechte an den Daten zugunsten des Providers bestehen nicht.
13. Datenschutz und sonstige vertrauliche Informationen
13.1 Die Parteien werden die für sie jeweils geltenden anwendbaren datenschutzrechtlichen Bestimmungen einhalten.
13.2 Die Parteien schließen zugleich den als Anlage beigefügten (und separat dem Kunden über die Plattform zur Verfügung gestellten) Auftragsverarbeitungsvertrag. Der Provider ist berechtigt, Auftraggeberdaten zur Verbesserung der Leistungsfähigkeit der Applikation zu verarbeiten.
13.3 Der Provider verpflichtet sich, über alle vertraulichen Informationen (einschließlich Geschäftsgeheimnissen), die er im Zusammenhang mit dem Nutzungsvertrag und dessen Durchführung erfährt, Stilschweigen zu bewahren und diese nicht gegenüber Dritten offenzulegen, weiterzugeben oder auf sonstige Art zu verwenden. Vertrauliche Informationen sind dabei solche, die als vertraulich gekennzeichnet sind oder deren Vertraulichkeit sich aus den Umständen ergibt, unabhängig davon, ob sie in schriftlicher, elektronischer, verkörperter oder mündlicher Form mitgeteilt worden sind. Die Geheimhaltungsverpflichtung gilt nicht, soweit der Provider gesetzlich oder aufgrund bestands- bzw. rechtskräftiger Behörden oder Gerichtsentscheidung zur Offenlegung der vertraulichen Information verpflichtet ist. Der Provider verpflichtet sich, mit allen Mitarbeitern und Subunternehmern eine den vorstehenden Absatz inhaltgleiche Regelung zu vereinbaren.
14. Schlussbestimmungen
14.1 Der Provider behält sich vor, diese Nutzungsbedingungen mit Wirkung für die Zukunft zu ändern. Der Kunde wird über Änderungen mindestens vier (4) Wochen vor Inkrafttreten per E-Mail und über die
Applikation informiert. Widerspricht der Kunde nicht innerhalb von zwei (2) Wochen, gelten die geänderten Bedingungen als angenommen.
14.2 Auf den Nutzungsvertrag ist das Recht der Bundesrepublik Deutschland anwendbar unter Ausschluss der Regeln des Internationalen Privatrechts.
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem Nutzungsvertrag ist Hamburg, sofern der Kunde Kaufmann im Sinne des HGB ist.
Auftragsverarbeitungsvereinbarung (AVV)
Präambel
Der Provider (nachfolgend „Auftragnehmer“) erbringt für den Kunden (nachfolgend „Auftraggeber“) Leistungen gemäß Annex 1 dieser Vereinbarung. Dabei wird auch eine Verarbeitung personenbezogener Daten erfolgen. Zur Wahrung der geltenden datenschutzrechtlichen Anforderungen schließen die Parteien die nachfolgende Vereinbarung.
1. Gegenstand/Umfang der Beauftragung
1.1. Die Zusammenarbeit der Parteien hat zur Folge, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend "Auftraggeberdaten") erhält und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO verarbeitet.
1.2. Die Verarbeitung der Auftraggeberdaten erfolgt gemäß Annex 1 dieser Vereinbarung.
1.3. Soweit andere Vereinbarungen zwischen Auftraggeber und Auftragnehmer abweichende Regelungen zum Schutz personenbezogener Daten enthalten, gilt vorrangig dieser Vertrag zur Auftragsverarbeitung, sofern die Parteien nicht ausdrücklich etwas anderes vereinbaren..
2. Technisch-organisatorische Maßnahmen
2.1. Der Auftragnehmer trifft in seinem Verantwortungsbereich gemäß Annex 2 dieser Vereinbarung alle erforderlichen technisch-organisatorische Maßnahmen entsprechend Art. 32 DSGVO zum Schutz der personenbezogenen Daten.
2.2. Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es daher gestattet, künftig alternative, gleichwertige Maßnahmen umzusetzen, sofern das festgelegte Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber unverzüglich mitzuteilen.
3. Betroffenenrechte
3.1. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich durch geeignete technisch-organisatorische Maßnahmen bei der Bearbeitung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die im Auftrag verarbeiteten Daten nur auf Grundlage einer dokumentierten Weisung des Auftraggebers beauskunften, übertragen, berichtigen, löschen oder deren Verarbeitung einschränken. Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.
3.2. Soweit im Leistungsumfang enthalten, sind die Rechte auf Auskunft,
Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
4. Sonstige Pflichten des Auftragnehmers
Der Auftragnehmer stellt insbesondere die Einhaltung der folgenden Vorgaben sicher:
4.1. Die Gewährleistung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, Art. 29 und Art. 32 Abs. 4 DSGVO. Der Auftragnehmer setzt für die Durchführung des Auftrags nur Beschäftigte ein, die zur Vertraulichkeit verpflichtet wurden und zuvor über die für sie relevanten Datenschutzbestimmungen informiert wurden.
Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die berechtigterweise Zugang zu personenbezogenen Daten hat, dürfen diese ausschließlich gemäß den Weisungen des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, eine gesetzliche Verpflichtung zur Verarbeitung liegt vor.
4.2. Der Auftraggeber und der Auftragnehmer kooperieren auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben.
4.3. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit diese den vorliegenden Vertrag betreffen. Dies gilt ebenso für Ermittlungen einer zuständigen Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens, die die Verarbeitung personenbezogener Daten im Zusammenhang mit der Auftragsverarbeitung durch den Auftragnehmer betreffen.
4.4. Der Auftragnehmer überprüft regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung im Verantwortungsbereich des Auftragnehmers den Anforderungen des geltenden Datenschutzrechts entspricht und der Schutz der Rechte der betroffenen Personen gewährleistet ist.
4.5. Der Auftragnehmer stellt sicher, dass die getroffenen technischen und organisatorischen Maßnahmen dem Auftraggeber auf Anfrage im Rahmen seiner Kontrollbefugnisse gemäß Ziffer 7 dieser Anlage nachgewiesen werden können.
4.6. Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber, damit dieser seinen gesetzlichen Pflichten, insbesondere nach Art. 33 und Art. 34 DSGVO, nachkommen kann. Der Auftragnehmer erstellt eine vollständige Dokumentation des Vorfalls und stellt diese dem Auftraggeber zur Verfügung, um weitere Maßnahmen zu ermöglichen
4.7. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich bei der Erfüllung der
Informationspflichten gegenüber Aufsichtsbehörden und betroffenen Personen, indem er ihm unverzüglich sämtliche relevanten Informationen zur Verfügung stellt.
4.8. Sollte der Auftraggeber verpflichtet sein, eine Datenschutz-Folgenabschätzung durchzuführen, unterstützt der Auftragnehmer ihn entsprechend der Art der Verarbeitung und den ihm vorliegenden Informationen. Dies gilt auch für etwaige Verpflichtungen zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.
5. Unterauftragsverhältnisse
5.1. Unterauftragsverhältnisse im Sinne dieser Regelung beziehen sich auf Dienstleistungen, die sich direkt auf die Erbringung der Hauptleistung beziehen. Nicht umfasst sind Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Reinigungsleistungen oder Bewachungs-dienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
5.2. Der Auftragnehmer verfügt über eine allgemeine Genehmigung des Auftraggebers für die Beauftragung von Unterauftragsverarbeitern. Diese sind in einer separaten Liste aufgeführt. Der Auftragnehmer ist verpflichtet, den Auftraggeber über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern zu informieren und dem Auftraggeber damit ausreichend Zeit einzuräumen, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können.
5.3. Wenn der Auftragnehmer einen Unterauftragsverarbeiter für die Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Auftraggebers einsetzt, ist dies durch einen entsprechenden Unterauftragsverarbeitungsvertrag abzubilden. Dabei ist sicherzustellen, dass der Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten erfüllt wie der Auftragnehmer. Der Auftragnehmer stellt sicher, dass der Unterauftragsverarbeiter alle Datenschutzanforderungen einhält, die auch für den Auftragnehmer nach diesen Klauseln und den geltenden Datenschutzgesetzen gelten.
5.4. Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer sicher, dass die datenschutzrechtlichen Anforderungen durch geeignete Maßnahmen erfüllt werden..
6. Internationale Datenübermittlungen
6.1. Jegliche Übermittlung von personenbezogenen Daten durch den Auftragnehmer an ein Drittland oder an eine internationale Organisation erfolgt ausschließlich auf Basis dokumentierter Weisungen des Auftraggebers oder zur Erfüllung einer spezifischen Vorschrift des Unionsrechts oder des Rechts eines Mitgliedstaats, dem der Auftragnehmer unterliegt. Diese Übermittlungen müssen den Anforderungen von Kapitel V der DSGVO entsprechen
6.2. Der Auftraggeber stimmt zu, dass der Auftragnehmer im Rahmen des Einsatzes von Unterauftragsverarbeitern gemäß Ziffer 8 dieser Vereinbarung, insoweit Kapitel V der DSGVO gilt, dessen Anforderungen unter anderem durch den Einsatz von Standardvertragsklauseln einhalten kann.
7. Kontrollrechte
7.1. Der Auftraggeber ist berechtigt, nach Abstimmung mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen.
7.2. Der Auftragnehmer stellt sicher, dass der Auftraggeber sich von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann.
7.3. Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung technischen und organisatorischen Maßnahmen durch geeignete Nachweise nachweisen.
8. Weisungsbefugnis des Auftraggebers
8.1. Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Auftraggebers, es sei denn er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die Festlegung der initialen Weisungen des Auftraggebers erfolgen im Rahmen dieser Vereinbarung.
8.2. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen geltendes Datenschutzrecht. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange zu unterbrechen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
9. Löschung & Rückgabe personenbezogener Daten
9.1. Es erfolgt keine Erstellung von Kopien oder Duplikaten der Daten ohne Wissen des Auftraggebers. Hiervon ausgenommen sind zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderliche Sicherheitskopien sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
9.2. Nach Abschluss der vertraglich vereinbarten Verarbeitungstätigkeiten oder zu einem früheren Zeitpunkt nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.
Annex 1: Beschreibung der Verarbeitung
1. Gegenstand
Der Gegenstand der Verarbeitung ergibt sich aus den AGBs.
2. Dauer
Die Dauer dieser Verarbeitung (Laufzeit) entspricht der Laufzeit des Nutzungsvertrages.
3. Art und Zweck der vorgesehenen Verarbeitung personenbezogener Daten
Vertragsgemäße Bereitstellung der Plattform des Auftragnehmers sowie Nutzung von Large Language Models (nachfolgend „LLMs“)
4. Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien :
- Namen und E-Mail-Adressen von Mitarbeitern und sonstigen Nutzern des Auftraggebers
- User-Prompts/Kommunikation mit LLMs
- Informationen aus Dokumenten, die der Auftraggeber in der Plattform
speichert
5. Kategorien betroffener Personen
- Mitarbeiter und sonstige Nutzer des Auftraggebers
- Personen, auf die sich Kommunikationsinhalte der LLMs beziehen
- Personen, auf die sich jene Dokumente beziehen, die der Auftraggeber in der Plattform speichert
Annex 2: Technisch-organisatorische Maßnahmen
1. Einführung
Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die von der Beyond the Loop GmbH zum Schutz von Informationen, insbesondere personenbezogenen Daten, unter Berücksichtigung von Art. 32 DSGVO festgelegt und implementiert wurden. Alle getroffenen Maßnahmen berücksichtigen das mit der jeweiligen Datenverarbeitung verbundene Risiko.
2. Standort des Rechenzentrums
Google Cloud Data Center Frankfurt, Deutschland
3. Vertraulichkeit
3.1. Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren.
☒ Videoüberwachung der Eingänge
☒ Sorgfalt bei Auswahl von Wachpersonal
☒ Sorgfalt bei Auswahl von Reinigungspersonal
Detailerläuterungen zu einzelnen Maßnahmen:
● Besucherregelung
Unbefugte haben keinen Zugang zu den Google-Rechenzentren. Besucher müssen im Voraus angemeldet werden und durchlaufen strenge Sicherheitsprotokolle. Der Zugang ist nur ausgewählten Personen vorbehalten, die in speziellen Rollen tätig sind.
● Schlüsselregelung und Zutrittskonzept
Der Zugang zu den Rechenzentren erfolgt nur über spezielle Zutrittsberechtigungen, die durch Sicherheitsausweise und biometrische Identifikationsmechanismen wie Fingerabdruckscanner gesteuert werden. Diese Maßnahmen gewährleisten, dass nur autorisierte Mitarbeiter in bestimmte Bereiche gelangen können.
● Videoüberwachung
Alle relevanten Bereiche innerhalb und außerhalb der Rechenzentren werden durch hochauflösende Videokameras rund um die Uhr überwacht. Die Aufnahmen werden zur späteren Analyse und zur Nachverfolgung von Zwischenfällen gespeichert.
● Alarmanlage
Google-Rechenzentren sind mit Alarmsystemen ausgestattet. Bei einem Alarm werden umgehend Sicherheitsmaßnahmen eingeleitet, einschließlich der Benachrichtigung von Sicherheitspersonal und der Isolierung des betroffenen Bereichs, um Eindringlinge zu abzuhalten.
● Werksschutz oder Pförtner
Geschultes Sicherheitspersonal bewacht die Rechenzentren rund um die Uhr. Die Mitarbeiter durchlaufen strenge Überprüfungen und Schulungen, um auf jegliche Sicherheitsvorfälle vorbereitet zu sein.
● Sonstige Maßnahmen
Zusätzlich zu den oben genannten Maßnahmen verwendet Google fortschrittliche Technologien wie Lasersysteme zur Eindringlingserkennung, metallische Detektoren, und sichere Server-Designs, um maximale physische Sicherheit zu gewährleisten. Geräte werden zudem mit Barcodes und Asset-Tags ausgestattet, um ihren Standort jederzeit nachverfolgen zu können.
3.2. Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.
☒ Anti-Virus-Software
☒ Automatische
Desktopsperre
Detailerläuterungen zu einzelnen Maßnahmen:
● Der Zugang zu Netzwerken, Systemen (z.B. Servern, Endgeräte, Datenbanken) und deren Diensten ist eingeschränkt. Der Zugang wird nur den Nutzern gewährt, die zur Nutzung berechtigt sind (Berechtigungskonzept).
● Daten im Unternehmen werden maßgeblich über Google Workspace und die damit verbundenen Produkte wie Google Drive, Google Docs und Gmail gesammelt, verarbeitet und geteilt, wodurch eine zentrale Plattform für die Zusammenarbeit und den Datenaustausch bereitgestellt wird. Die Zugangssteuerung für Goolge Workspace wird durch die folgenden Maßnahmen umgesetzt:
o Es erfolgt eine personengebundene Benutzerregistrierung und Deregistrierung (keine anonymen Benutzer wie „Benutzer #1“). Google Workspace erzwingt eine individuelle Registrierung und De-Registrierung durch die Admin-Konsole, um sicherzustellen, dass keine anonymen oder generischen Konten verwendet werden.
o Alle Benutzer greifen mit eindeutiger Kennung zu; generische Konten sind verboten, es sei denn, es liegt eine geschäftsbezogene Begründung vor. Administratoren in Google Workspace müssen individuelle Zugriffsrechte vergeben und haben die Möglichkeit, generische Konten zu verbieten.
o Benutzer müssen ein sicheres Kennwort oder ein anderes Mittel zur Authentifizierung wählen. Google Workspace verwendet standardmäßig eine Mindestpasswortlänge von 8 Zeichen und erfordert die Einhaltung von Passwortkomplexität, die vom Administrator durchgesetzt wird..
o Für den Fernzugriff ist eine Zwei-Faktor-Authentifizierung (2FA) implementiert.
o Google Workspace verfügt über ein umfassendes Verfahren zur Deaktivierung von Benutzern und deren Zugang, wenn Mitarbeiter das Unternehmen verlassen. Administratoren können Nutzerkonten sofort sperren und deren Zugang zu Daten beenden.
o Jeder Zugriff auf das System wird protokolliert und überwacht. Alle Aktivitäten, wie die Erteilung oder der Entzug von Berechtigungen, werden in den Audit-Logs von Google Workspace festgehalten, die von Administratoren überwacht
3.3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigungen unterliegenden Daten zugreifen können und personenbezogenen Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Detailerläuterungen zu einzelnen Maßnahmen:
● Differenzierte Vergabe von Berechtigungen: Die Berechtigungen werden auf Grundlage von Benutzerrollen und spezifischen Zugriffsrechten vergeben. Dies stellt sicher, dass nur autorisierte Personen auf bestimmte Daten und Anwendungen zugreifen können.
● Regelmäßige Überprüfung von Benutzerrollen und Berechtigungen: Benutzerrollen und ihre damit verbundenen Berechtigungen werden in regelmäßigen Abständen, meist vierteljährlich oder halbjährlich, überprüft, um sicherzustellen, dass sie den aktuellen Erfordernissen entsprechen.
● Entzug von Rechten bei Ausscheiden oder Aufgabenwechsel: Wenn Mitarbeiter das Unternehmen verlassen oder ihre Aufgaben wechseln, werden ihre Zugangsberechtigungen sofort entzogen, um unbefugten Zugriff zu verhindern. Dies geschieht zentral über die Admin-Konsole.
● Minimierung der Anzahl der Administratoren: Die Anzahl der Administratoren ist auf das Notwendigste beschränkt. Es wird sichergestellt, dass nur diejenigen Administratorrechte erhalten, die diese für ihre Aufgaben zwingend benötigen, und regelmäßige Überprüfungen stellen dies sicher.
● Protokollierung von Zugriffen auf Anwendungen und Daten: Zugriffe und Änderungen an Daten sowie Anwendungen wie Google Drive werden automatisch protokolliert und können von Administratoren eingesehen und überwacht werden.
● Sichere Löschung nicht mehr verwendeter Datenträger: Digitale Datenträger, die nicht mehr verwendet werden, werden entweder sicher gelöscht oder physisch vernichtet, um sicherzustellen, dass keine Daten unautorisiert zugänglich sind.
● Sichere Vernichtung von Papierunterlagen: Da Papierunterlagen weitgehend minimiert werden, erfolgt die Speicherung von Dokumenten primär in Google Drive. Falls dennoch Papierunterlagen mit personenbezogenen Daten anfallen, werden diese durch Schreddern sicher vernichtet.
3.4. Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
☒ Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System
☒ Separate Tables innerhalb von Datenbanken
Detailerläuterungen zu einzelnen Maßnahmen:
● Daten für verschiedene Zwecke werden getrennt verarbeitet, indem klare Kategorien oder Tags den Daten zugewiesen werden und dann strenge Regeln verwendet werden, um sie während der Speicherung und Verarbeitung getrennt zu halten. Dies stellt sicher, dass jede Art von Daten nur für den vorgesehenen Zweck verwendet wird.
● Daten von verschiedenen Kunden werden getrennt verarbeitet, indem in derselben Datenbank eindeutige Identifikatoren (wie Kunden-IDs) verwendet werden. Zugriffskontrollen (Eigentumsprüfungen) stellen sicher, dass nur autorisierte Benutzer auf ihre Daten zugreifen können und verhindern, dass Kunden Informationen anderer sehen.
● Die Trennung von Test- und Produktionssystemen wird durch die Aufrechterhaltung völlig getrennter Umgebungen für jedes System sichergestellt. Testsysteme verwenden Mock- oder anonymisierte Daten und sind nicht mit Live-Produktionsdaten verbunden. Separate Datenbankserver verhindern, dass die Testumgebung auf Produktionsdaten zugreift und umgekehrt.
4. Pseudonymisierung & Verschlüsselung
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.
☒ Im Falle von Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten Systemen (mögl. verschlüsselt)
Detailerläuterungen zu einzelnen Maßnahmen:
● Pseudonymisierung oder Verschlüsselung von Daten wird verwendet, um sensible Informationen zu schützen. Bei der Pseudonymisierung werden identifizierbare Informationen durch Pseudonyme ersetzt (z.B. Ersetzung eines Namens durch eine Benutzer-ID), was es schwieriger macht, Daten mit Einzelpersonen zu verknüpfen. Verschlüsselung stellt sicher, dass Daten in einem sicheren, unlesbaren Format gespeichert und übertragen werden, wobei kryptographische Methoden verwendet werden, um Daten vor unbefugtem Zugriff zu schützen.
5. Integrität
5.1. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert, oder entfernt worden sind.
Eingabekontrolle wird durch Protokollierung erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden kann.
5.2. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder Ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen sind.
Detailerläuterungen zu einzelnen Maßnahmen:
● Personenbezogene Daten werden zwischen Auftraggeber und Auftragnehmer über sichere Kommunikationskanäle wie HTTPS, SFTP oder verschlüsselte E-Mails übertragen. Diese Methoden stellen sicher, dass Daten sicher über das Internet übertragen werden und vor unbefugtem Zugriff geschützt sind.
● Der Datenschutz während des Transports wird durch die Verwendung von Verschlüsselungsprotokollen wie TLS (Transport Layer Security) für Daten in Transit gewährleistet. Dies stellt sicher, dass die Daten, selbst wenn sie abgefangen werden, nicht gelesen oder manipuliert werden können. Zusätzlich beschränken Zugriffskontrollen, wer Datenübertragungen initiieren oder empfangen kann.
● Maßnahmen in der Cloud-Infrastruktur:
o Übertragung personenbezogener Daten zwischen Auftraggeber und Auftragnehmer über Gmail: Die Übertragung personenbezogener Daten über Gmail erfolgt standardmäßig verschlüsselt durch TLS (Transport Layer Security).
o Sichere Löschung der Daten nach Beendigung des Auftrags: Nach Abschluss eines Auftrags werden personenbezogene Daten, die nicht mehr benötigt werden, gemäß den festgelegten Datenschutzrichtlinien des Unternehmens sicher gelöscht. Google Workspace bietet die Möglichkeit, Daten dauerhaft zu löschen und sie innerhalb von 180 Tagen vollständig aus allen Systemen zu entfernen.
o Dokumentation der Löschung: Die Löschung von Daten wird protokolliert und dokumentiert, um nachzuweisen, dass personenbezogene Daten ordnungsgemäß und sicher entfernt wurden. Diese Dokumentation erfolgt in Form von Audit-Logs, die sicherstellen, dass der Löschvorgang vollständig nachvollziehbar ist.
6. Verfügbarkeit und Belastbarkeit
6.1. Verfügbarkeitskontrolle
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (USV, Klimatisierung, Brandschutz, Datensicherung, sichere Aufbewahrung von Datenträgern, Virenschutz, Raid-Systeme, Festplattenspiegelung, usw.).
☒ Serverraumüberwachung Temperatur und Feuchtigkeit
☒ Serverraum klimatisiert
☒ Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
☒ Alarmmeldung bei unberechtigten Zutritten zum Serverraum
☒ Hosting in zertifizierten Rechenzentren von Google
Detailerläuterungen zu einzelnen Maßnahmen:
● Wir speichern keine Dokumente auf unserem Server. Sobald Embeddings erstellt und die Daten in die Vektordatenbank aufgenommen wurden, wird das Dokument dauerhaft vom Server gelöscht.
● Verschlüsselung von Datensicherungen: Alle Datensicherungen werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt, um den Schutz der Daten zu gewährleisten.
● Notfallplan: Google verfügt über einen umfassenden Notfallplan, der regelmäßig getestet wird und sicherstellt, dass im Fall eines Vorfalls sofortige Maßnahmen ergriffen werden.
● Rasche Datenwiederherstellung: Die rasche Wiederherstellung der Daten wird durch die Datenreplikation auf mehrere Standorte und durch Backup-Mechanismen gewährleistet, sodass die Daten im Falle eines Systemausfalls schnell verfügbar sind.
6.2. Wiederherstellbarkeit:
Maßnahmen zur raschen Wiederherstellung der Verfügbarkeit von und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls.
7. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
7.1. Datenschutz-Management
8. Privacy-by-Design“ und „Privacy-by-Default“
Sicherstellung der Einhaltung der Grundsätze von „Privacy-by-Design“ und „Privacy-by-Default“
☒ Anonymisierung von personenbezogenen Daten, sofern Widerspruchsrecht nicht gänzlich umgesetzt werden kann
☒ Einsatz von datenschutzfreundlichen Voreinstellungen in Standard- und Individualsoftware
Detailerläuterungen zu einzelnen Maßnahmen:
Regelmäßige Schulung der Software-Developer auf Privacy-by-Design
9. Auftragskontrolle (Outsourcing an Dritte)
Maßnahmen, die gewährleisten, dass personenbezogenen Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
☒ Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
☒ Abschluss der notwendigen Vereinbarungen zur (Unter-)Auftragsverarbeitung und geeigneter Garantien bei Drittlandbezug
10. Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen
Annex 3: Genehmigte Unterauftragsverhältnisse
Folgende Firmen treten als Unterauftragnehmer auf:
Google Ireland Limited (für „Google Cloud“, „Google Drive“ und „Gemini“). Die Anschrift lautet Gordon House, Barrow Street, Dublin 4, Irland. Die Leistungserbringung erfolgt gemäß Nutzungsvertrag. Die Verarbeitung findet in der EU statt.
Google LLC (für „Google Cloud“, „Google Drive“ und „Gemini“). Sitz: 1600 Amphitheatre Parkway, Mountain View, California, USA. Die Leistungserbringung erfolgt gemäß Nutzungsvertrag. Die Verarbeitung findet in den USA statt.
Dropbox International Unlimited Company mit Sitz One Park Place, Hatch Street, Dublin 2, Irland. Leistungserbringung gemäß Nutzungsvertrag. Verarbeitung innerhalb der EU.
Microsoft Ireland Operations Limited (für „One Drive“). Sitz: The Atrium Building, Block B, Carmanhall Road, Sandyford Business Estate, Dublin 18, Irland. Leistungserbringung gemäß Nutzungsvertrag. Verarbeitung in der EU.
Microsoft Corporation (für „One Drive“). Sitz: One Microsoft Way, Redmond, Washington 98052, USA. Leistungserbringung gemäß Nutzungsvertrag. Verarbeitung in den USA.
OpenAI OpCo, LLC mit Sitz 3180 18th St., San Francisco, CA 94110, USA. Leistungserbringung gemäß Nutzungsvertrag. Verarbeitung in den USA.
Mistral AI SAS mit Sitz 15 rue des Halles, 75001 Paris, Frankreich. Leistungserbringung gemäß Nutzungsvertrag. Verarbeitung in der EU.
Perplexity AI Inc. mit Sitz 341 Moultrie St, San Francisco, California 94110-5618, USA. Leistungserbringung gemäß Nutzungsvertrag. Verarbeitung in den USA.
Bei Datenübermittlungen in Drittländer werden geeignete Garantien gemäß der geltenden Datenschutzbestimmungen sichergestellt.