Allgemeine Nutzungsbedingungen der Beyond the Loop GmbH
1. Geltungsbereich
1.1 Diese Nutzungsbedingungen gelten für alle Verträge („Nutzungsverträge“) zwischen der Beyond the Loop GmbH, eingetragen im Handelsregister des Amtsgerichts Hamburg unter HRB 187163, (der „Provider“) und ihren Kunden („Kunden“) über die Bereitstellung und Nutzung einer softwarebasierten Applikation für Unternehmen zur Nutzung von künstlicher Intelligenz („KI“) verschiedener Anbieter über das Medium Internet (die „Applikation“; die der Applikation des Providers zugrunde liegende Software die „Software“).
1.2 Diese Nutzungsbedingungen gelten ausschließlich gegenüber Unternehmern im Sinne des § 14 BGB.
1.3 Begriffsbestimmungen
(a) „Kundenkonto“ ist das vom Kunden im Rahmen der Registrierung angelegte Konto, über das der Kunde die Nutzung der Applikation für sein Unternehmen verwaltet.
(b) „Nutzer“ sind die vom Kunden im Kundenkonto zur Nutzung der Applikation berechtigten natürlichen Personen (insbesondere Mitarbeiter des Kunden).
(c) „Account-Typ“ bezeichnet die vom Kunden für das Kundenkonto gewählte Produkt-/Nutzungsstufe mit dem jeweils geltenden Preis- und Leistungsumfang.
(d) „Preisseite“ ist die vom Provider bereitgestellte Übersicht über Preise, Abrechnungsmodalitäten, Leistungs-/Funktionsumfänge der Account-Typen (jeweils in der aktuellen Fassung), abrufbar über die Website des Providers und/oder innerhalb der Applikation.
(e) „Fair Use Policy“ ist die vom Provider bereitgestellte Richtlinie, die zur Sicherstellung von Zuverlässigkeit und Verfügbarkeit insbesondere nutzungsbezogene Limits (z.B. Nachrichten-/Anfragenlimits je Nutzer, Zeitraum und/oder Modellkategorie) festlegt (jeweils in der aktuellen Fassung), abrufbar über die Website des Providers und/oder innerhalb der Applikation.
(g) Soweit diese Nutzungsbedingungen auf die Preisseite und/oder die Fair Use Policy verweisen, sind diese Dokumente Bestandteil des Nutzungsvertrages. Maßgeblich ist die jeweils zum Zeitpunkt der Nutzung bzw. – bei erstmaliger Buchung/Umstellung – zum Zeitpunkt der Buchung/Umstellung bereitgestellte Fassung. Änderungen richten sich nach Ziffer 14.1.
2. Vertragsgegenstand
2.1 Gegenstand des Nutzungsvertrages ist die entgeltliche und zeitlich auf die Dauer des Vertrags begrenzte Gewährung der internetbasierten Nutzung der Applikation im Unternehmen des Kunden.
2.2 Der Kunde hat über die Applikation, insbesondere Zugang zu verschiedenen KI Modellen unterschiedlicher KI Anbieter (jeweils ein „KI Modell“), insbesondere Zugriff auf große Sprachmodelle (sog. LLMs).
2.3 Das KI-Modell verarbeitet jede von dem Kunden über die Benutzeroberfläche der Applikation oder über eine vom Provider bereitgestellte API-Schnittstelle eingegebene Einheit des Eingabetextes (wie Wörter, Satzzeichen und Wortteile) (jede Einheit eines Eingabetextes nach Maßgabe der Nutzungsbedingungen des entsprechenden KI Modells ein „Token“). Die Nutzung der API-Schnittstelle ist Kunden mit einem entsprechenden Account-Typ vorbehalten. Die Einzelheiten zur technischen Anbindung sowie die Abrechnung der über die API anfallenden Nutzungskosten ergeben sich aus der Preisseite oder der technischen Dokumentation des Providers.
3. Vertragsschluss
3.1 Der Nutzungsvertrag zwischen Provider und Kunde kommt durch Registrierung auf der Plattform des Providers und das Klicken auf den entsprechend bezeichneten Button („Jetzt registrieren“, „Kostenpflichtig bestellen“, „Kostenlos registrieren“ o. Ä.) zustande.
3.2 Mit Abschluss des Registrierungsvorgangs erklärt sich der Kunde mit der Geltung dieser AGB einverstanden.
4. Leistungen des Providers
4.1 Der Provider gewährt dem Kunden die Nutzung der jeweils aktuellen Version der Applikation nach Maßgabe von Ziffer 5 dieser Nutzungsbedingungen über das Internet mittels Zugriffs durch einen Browser.
4.2 Der Provider gewährleistet die Funktionsfähigkeit und Verfügbarkeit der Applikation während der Dauer des Vertragsverhältnisses und wird diese in einem zum vertragsgemäßen Gebrauch geeigneten Zustand erhalten. Der Funktionsumfang der Applikation sowie die Einsatzbedingungen ergeben sich aus den Angaben auf der Internetseite des Providers, in der Applikation sowie, soweit dort in Bezug genommen, aus der Preisseite und der Fair Use Policy (jeweils in der zum jeweiligen Zeitpunkt aktuellen Fassung).
4.3 Der Kunde kann nach Belieben seine Mitarbeiter als Nutzer der Applikation hinzufügen. Der Provider wird dem Kunden Zugangsdaten in elektronischer Form für die entsprechende Anzahl Nutzern übermitteln. Die Nutzung erfolgt nutzerbezogen; der Kunde erwirbt für jeden zur Nutzung berechtigten Nutzer eine entsprechende Berechtigung/Lizenz (vgl. Ziffer 11). Innerhalb eines Kundenkontos/Unternehmens ist jeweils nur ein einheitlicher Account-Typ zulässig.
4.4 Der Kunde hat über die Applikation Zugang zu einer Benutzerdokumentation.
4.5 Der Provider kann, ohne hierzu verpflichtet zu sein, die Software jederzeit aktualisieren oder weiterentwickeln und insbesondere aufgrund geänderter Rechtslage, technischer Entwicklungen oder zur Verbesserung der IT-Sicherheit anpassen. Der Provider wird dabei die berechtigten Interessen des Kunden angemessen berücksichtigen und den Kunden rechtzeitig über notwendige Updates informieren. Im Falle einer wesentlichen Beeinträchtigung der berechtigten Interessen des Kunden steht diesem ein Sonderkündigungsrecht zu.
4.6 Eine Anpassung auf die individuellen Bedürfnisse oder die IT-Umgebung des Kunden schuldet der Provider nicht.
4.7 Der Provider wird die Applikation und Software regelmäßig warten und den Kunden über etwaige hiermit verbundene Einschränkungen rechtzeitig informieren. Die Wartung wird regelmäßig zwischen 20.00 Uhr und 07.00 Uhr durchgeführt, es sei denn, aufgrund zwingender Gründe muss eine Wartung zu einer anderen Zeit vorgenommen werden.
4.8 Der Provider wird dem Stand der Technik entsprechende Maßnahmen zum Schutz der Daten vornehmen. Den Provider treffen jedoch keine Verwahrungs- oder Obhutspflichten hinsichtlich der Daten. Für eine ausreichende Sicherung der Daten ist der Kunde verantwortlich.
4.9 Der Kunde bleibt Inhaber der auf den Servern des Providers abgelegten Daten und kann diese jederzeit herausverlangen.
4.10 Zur Klarstellung wird darauf hingewiesen, dass der Provider dem Kunden nicht die Nutzung einer von dem Provider entwickelten KI zur Verfügung stellt. Vielmehr wird der Provider dem Kunden die Nutzung von KI-Modellen externer Anbieter über die Applikation ermöglichen. Der Provider steht ausdrücklich nicht für die Verfügbarkeit und Funktionsfähigkeit der über die Applikation genutzten KI sowie für die von der KI generierten Inhalte ein. Ebenso wenig steht der Provider für die Verfügbarkeit eines KI Modells bzw. Nutzbarkeit eines KI Modells in der Applikation ein.
5. Nutzungsumfang und -rechte
5.1 Eine physische Überlassung der Software an den Kunden erfolgt nicht.
5.2 Der Kunde erhält an der jeweils aktuellen Version der Software das einfache, d.h. nicht unterlizenzierbare und nicht übertragbare, zeitlich auf die Dauer des Nutzungsvertrags beschränkte Recht, die Software und die Applikation mittels Zugriffs über einen Browser nach Maßgabe der vertraglichen Regelungen zu nutzen.
5.3 Der Kunde darf die Applikation und die Software nur im Rahmen seiner eigenen geschäftlichen Tätigkeit durch eigenes Personal nutzen. Eine weitergehende Nutzung der Applikation und Software durch den Kunden ist nicht gestattet. Der Kunde hat dabei die für den jeweiligen Account-Typ geltenden Nutzungsbeschränkungen und -limits, insbesondere nach Maßgabe der Fair Use Policy, einzuhalten (vgl. Ziffer 11.4)
6. Support
Der Provider richtet für Anfragen des Kunden zu Funktionen der Software einen Support-Service ein. Anfragen können über das auf der Website des Providers angebotene textbasierte Dialogsystem (sog. Chatbot) gestellt werden. Für Anfragen, denen durch dieses System nicht abgeholfen werden kann, bietet der Provider zudem die Möglichkeit, diese Anfragen online (über ein sog. Ticket-System) zu adressieren; die Anfragen werden grundsätzlich in zeitlicher Reihenfolge ihres Eingangs bearbeitet.
7. Service Levels; Störungsbehebung
7.1 Der Provider gewährt eine Gesamtverfügbarkeit der Leistungen der Applikation von mindestens 98,5% im Monat am Übergabepunkt. Der Übergabepunkt ist der Routerausgang des Rechenzentrums des Providers.
7.2 Als Verfügbarkeit gilt die Möglichkeit des Kunden, sämtliche Hauptfunktionen der Applikation zu nutzen. Wartungszeiten sowie Zeiten der Störung unter Einhaltung der Behebungszeiten gemäß Ziffern 7.4 und 7.5 gelten als Zeiten der Verfügbarkeit der Applikation. Zeiten unerheblicher Störungen bleiben bei der Berechnung der Verfügbarkeit außer Betracht. Für den Nachweis der Verfügbarkeit sind die Messinstrumente des Providers im Rechenzentrum maßgeblich.
7.3 Der Kunde hat Störungen unverzüglich an die ihm vom Provider mitgeteilten Kontaktdaten zu melden. Eine Störungsmeldung und -behebung ist Montag bis Freitag (ausgenommen bundesweite Feiertage) zwischen 9:00 Uhr und 18:00 Uhr gewährleistet („Servicezeiten“).
7.4 Schwerwiegende Störungen (die Nutzung der Applikation insgesamt oder eine Hauptfunktion der Applikation ist nicht möglich) wird der Provider auch außerhalb der Servicezeiten spätestens binnen acht (8) Stunden ab Eingang der Meldung der Störung – sofern die Meldung innerhalb der Servicezeiten erfolgt – soweit möglich beheben.
7.5 Sonstige erhebliche Störungen (Haupt- oder Nebenfunktionen der Applikation sind gestört, können aber genutzt werden) werden spätestens binnen 18 Stunden innerhalb der Servicezeiten behoben.
7.6 Die Beseitigung von unerheblichen Störungen liegt im Ermessen des Providers.
8. Haftung und Schadensersatz
8.1 Über Ziffer 7 hinaus haftet der Provider nach den gesetzlichen Bestimmungen und unbeschränkt, sofern der Schaden vorsätzlich oder grob fahrlässig durch den Provider, seine gesetzlichen Vertreter oder Erfüllungsgehilfen verursacht wurde oder der Schaden Folge einer schuldhaften Verletzung der Gesundheit, des Körpers oder des Lebens durch den Provider, seine gesetzlichen Vertreter oder Erfüllungsgehilfen ist. Bei leicht fahrlässig verursachten Verletzungen wesentlicher Vertragspflichten (sogenannter Kardinalpflichten) oder Fehlen einer garantierten Beschaffenheit haftet der Provider der Höhe nach begrenzt auf den vertragstypisch vorhersehbaren Schaden. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Nutzungsvertrags überhaupt erst ermöglicht und auf deren Einhaltung die Vertragsparteien regelmäßig vertrauen dürfen. Eine etwaige Haftung nach dem Produkthaftungsgesetz bleibt unberührt.
8.2 Bei Verletzung einer Kardinalpflicht ist die Haftung – soweit der Schaden lediglich auf leichter Fahrlässigkeit beruht – beschränkt auf unmittelbare Schäden, mit deren Entstehung beim Einsatz der Applikation typischerweise gerechnet werden muss.
8.3 Im Übrigen ist die Haftung – gleich aus welchem Rechtsgrund – ausgeschlossen; ausgenommen hiervon sind Ansprüche nach Ziffer 9.
8.4 Resultieren Schäden des Kunden aus dem Verlust von Daten, so haftet der Provider hierfür nicht, soweit die Schäden durch eine regelmäßige und vollständige Sicherung aller relevanten Daten durch den Kunden vermieden worden wären. Der Kunde wird eine regelmäßige und vollständige Datensicherung selbst oder durch einen Dritten durchführen bzw. durchführen lassen und ist hierfür allein verantwortlich.
8.5 Der Provider haftet insbesondere nicht für die Funktionalität, Funktionsfähigkeit und Verfügbarkeit der unter der Applikation genutzten KI sowie für die von der KI generierten Inhalte.
9. Pflichten des Kunden
9.1 Der Kunde hat bei der Registrierung richtige und vollständige Angaben zu machen.
9.2 Der Kunde hat die ihm übermittelten Zugangsdaten dem Stand der Technik entsprechend vor Zugriffen Dritter zu schützen und zu verwahren. Der Kunde wird dafür sorgen, dass eine Nutzung durch seine Mitarbeiter nur im vertraglich vereinbarten Umfang geschieht. Ein unberechtigter Zugriff ist dem Provider unverzüglich mitzuteilen.
9.3 Der Kunde ist verpflichtet, auf dem zur Verfügung gestellten Speicherplatz keine Daten abzulegen, deren Nutzung gegen geltendes Recht, behördliche Anordnungen, Rechte Dritter oder Vereinbarungen mit Dritten verstößt. Der Kunde wird Daten vor deren Ablage oder Nutzung in der Applikation auf Viren oder sonstige schädliche Komponenten prüfen und hierfür dem Stand der Technik entsprechende Maßnahmen (z.B. Virenschutzprogramme) einsetzen.
9.4 Der Kunde hat in eigener Verantwortung regelmäßig angemessene Datensicherungen vorzunehmen.
10. Rechtsmängel, Freistellung
10.1 Der Provider gewährleistet, dass die Applikation und die Software keine Rechte Dritter verletzten.
10.2 Der Kunde wird den Provider unverzüglich über Ansprüche von Dritten, die diese aufgrund der vertragsgemäßen Nutzung der Software gegen ihn geltend machen, informieren und ihm sämtliche erforderlichen Vollmachten erteilen und Befugnisse einräumen, um die Ansprüche zu verteidigen.
10.3 Der Kunde sichert zu, dass die auf den Servern des Providers abgelegten Inhalte und Daten sowie dessen Nutzung und Bereitstellung durch den Provider, nicht gegen geltendes Recht, behördliche Anordnungen, Rechte Dritter oder Vereinbarungen mit Dritten verstoßen. Der Kunde wird den Provider von Ansprüchen, die Dritte aufgrund eines Verstoßes gegen diese Ziffer geltend machen, auf erstes Anfordern freistellen.
10.4 Allein der Kunde haftet für die von der KI bzw. dem KI-Modell und der Applikation generierten Inhalte. Der Kunde wird den Provider von Ansprüchen, die Dritte aufgrund des von der KI oder dem KI-Modell generierten Inhalts geltend machen, auf erstes Anfordern hin freistellen sowie die Kosten einer angemessenen Rechtsverfolgung ersetzen.
11. Vergütungs- und Zahlungsbedingungen
11.1 Der Kunde schuldet für die Nutzung der Applikation eine Vergütung nach Maßgabe des vom Kunden gewählten Account-Typs und der Anzahl der zur Nutzung berechtigten Nutzer. Die jeweils aktuellen Preise und Leistungsumfänge der Account-Typen ergeben sich aus der Preisseite des Providers (in der jeweils aktuellen Fassung). Individuelle Konditionen können im Einzelfall gesondert vereinbart werden.
11.2 Die Vergütung wird nutzerbezogen abgerechnet („pro Benutzer“). Maßgeblich ist die Anzahl der im Kundenkonto zur Nutzung freigeschalteten Nutzer. Innerhalb eines Kundenkontos/Unternehmens gilt ein einheitlicher Account-Typ; eine Kombination von „Free“- und „Premium“-Nutzern innerhalb desselben Kundenkontos ist ausgeschlossen.
11.3 Die Nutzung der Applikation unterliegt einer Fair Use Policy. Zur Sicherstellung der Zuverlässigkeit und Verfügbarkeit kann insbesondere die Anzahl von Nachrichten/Anfragen pro Nutzer innerhalb eines bestimmten Zeitraums je Modellkategorie begrenzt werden. Die jeweils geltenden Limits und Details ergeben sich aus der Fair Use Policy (in der jeweils aktuellen Fassung), auf die der Provider in der Applikation und/oder auf seiner Website verweist. Überschreitet der Kunde bzw. ein Nutzer die geltenden Limits oder bestehen Anhaltspunkte für eine missbräuchliche Nutzung, ist der Provider berechtigt, die Nutzung im erforderlichen Umfang vorübergehend zu beschränken, bis die Voraussetzungen für eine vertragsgemäße Nutzung wieder vorliegen.
11.4 Die Abrechnung der nutzerbezogenen Vergütung erfolgt entsprechend der gewählten Abrechnungsart (monatlich oder jährlich). Der Provider stellt dem Kunden Rechnungen in Textform zur Verfügung (z.B. per E-Mail und/oder in der Applikation). Soweit nichts Abweichendes vereinbart ist, sind Rechnungen innerhalb von sieben (7) Kalendertagen nach Zugang zur Zahlung fällig und werden über das vom Kunden gewählte Zahlungsmittel abgewickelt.
12. Vertragslaufzeit und Beendigung
12.1 Der Nutzungsvertrag tritt mit seinem Abschluss (Registrierung auf der Plattform des Providers und das Klicken auf den entsprechend bezeichneten Button (Ziffer 3)) in Kraft. Er kann je nach gewählter Abrechnungsart entweder monatlich oder jährlich von beiden Parteien mit einer Frist von einem Monat zum Ablauf des Folgemonats bzw. zum Ablauf des jeweiligen Abrechnungsjahres gekündigt werden.
12.2 Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Die Kündigung bedarf in jedem Fall der Textform.
12.3 Der Provider wird dem Kunden auf eigene Kosten nach Beendigung des Nutzungsvertrags angemessen bei der Rückübertragung oder Sicherung der Daten unterstützen.
12.4 Der Provider wird sämtliche auf seinen Servern verbleibenden Daten des Kunden 30 Tage nach Beendigung des Vertragsverhältnisses löschen, ohne dass die Daten wieder hergestellt werden können. Ein Zurückbehaltungsrecht oder Pfandrechte an den Daten zugunsten des Providers bestehen nicht.
13. Datenschutz und sonstige vertrauliche Informationen
13.1 Die Parteien werden die für sie jeweils geltenden anwendbaren datenschutzrechtlichen Bestimmungen einhalten.
13.2 Die Parteien schließen zugleich den als Anlage beigefügten (und separat dem Kunden über die Plattform zur Verfügung gestellten) Auftragsverarbeitungsvertrag. Der Provider ist berechtigt, Auftraggeberdaten zur Verbesserung der Leistungsfähigkeit der Applikation zu verarbeiten.
13.3 Der Provider verpflichtet sich, über alle vertraulichen Informationen (einschließlich Geschäftsgeheimnissen), die er im Zusammenhang mit dem Nutzungsvertrag und dessen Durchführung erfährt, Stillschweigen zu bewahren und diese nicht gegenüber Dritten offenzulegen, weiterzugeben oder auf sonstige Art zu verwenden. Vertrauliche Informationen sind dabei solche, die als vertraulich gekennzeichnet sind oder deren Vertraulichkeit sich aus den Umständen ergibt, unabhängig davon, ob sie in schriftlicher, elektronischer, verkörperter oder mündlicher Form mitgeteilt worden sind. Die Geheimhaltungsverpflichtung gilt nicht, soweit der Provider gesetzlich oder aufgrund bestands- bzw. rechtskräftiger Behörden oder Gerichtsentscheidung zur Offenlegung der vertraulichen Information verpflichtet ist. Der Provider verpflichtet sich, mit allen Mitarbeitern und Subunternehmern eine den vorstehenden Absatz inhaltgleiche Regelung zu vereinbaren.
14. Schlussbestimmungen
14.1 Der Provider behält sich vor, diese Nutzungsbedingungen mit Wirkung für die Zukunft zu ändern. Der Kunde wird über Änderungen mindestens vier (4) Wochen vor Inkrafttreten per E-Mail und über die Applikation informiert. Widerspricht der Kunde nicht innerhalb von zwei (2) Wochen, gelten die geänderten Bedingungen als angenommen.
14.2 Auf den Nutzungsvertrag ist das Recht der Bundesrepublik Deutschland anwendbar unter Ausschluss der Regeln des Internationalen Privatrechts.
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem Nutzungsvertrag ist Hamburg, sofern der Kunde Kaufmann im Sinne des HGB ist.
Auftragsverarbeitungsvereinbarung (AVV)
Präambel
Der Provider (nachfolgend „Auftragnehmer“) erbringt für den Kunden (nachfolgend „Auftraggeber“) Leistungen gemäß Annex 1 dieser Vereinbarung. Dabei wird auch eine Verarbeitung personenbezogener Daten erfolgen. Zur Wahrung der geltenden datenschutzrechtlichen Anforderungen schließen die Parteien die nachfolgende Vereinbarung.
1. Gegenstand/Umfang der Beauftragung
1.1. Die Zusammenarbeit der Parteien hat zur Folge, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend "Auftraggeberdaten") erhält und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO verarbeitet.
1.2. Die Verarbeitung der Auftraggeberdaten erfolgt gemäß Annex 1 dieser Vereinbarung.
1.3. Soweit andere Vereinbarungen zwischen Auftraggeber und Auftragnehmer abweichende Regelungen zum Schutz personenbezogener Daten enthalten, gilt vorrangig dieser Vertrag zur Auftragsverarbeitung, sofern die Parteien nicht ausdrücklich etwas anderes vereinbaren..
2. Technisch-organisatorische Maßnahmen
2.1. Der Auftragnehmer trifft in seinem Verantwortungsbereich gemäß Annex 2 dieser Vereinbarung alle erforderlichen technisch-organisatorische Maßnahmen entsprechend Art. 32 DSGVO zum Schutz der personenbezogenen Daten.
2.2. Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es daher gestattet, künftig alternative, gleichwertige Maßnahmen umzusetzen, sofern das festgelegte Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber unverzüglich mitzuteilen.
3. Betroffenenrechte
3.1. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich durch geeignete technisch-organisatorische Maßnahmen bei der Bearbeitung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die im Auftrag verarbeiteten Daten nur auf Grundlage einer dokumentierten Weisung des Auftraggebers beauskunften, übertragen, berichtigen, löschen oder deren Verarbeitung einschränken. Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.
3.2. Soweit im Leistungsumfang enthalten, sind die Rechte auf Auskunft,
Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
4. Sonstige Pflichten des Auftragnehmers
Der Auftragnehmer stellt insbesondere die Einhaltung der folgenden Vorgaben sicher:
4.1. Die Gewährleistung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, Art. 29 und Art. 32 Abs. 4 DSGVO. Der Auftragnehmer setzt für die Durchführung des Auftrags nur Beschäftigte ein, die zur Vertraulichkeit verpflichtet wurden und zuvor über die für sie relevanten Datenschutzbestimmungen informiert wurden.
Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die berechtigterweise Zugang zu personenbezogenen Daten hat, dürfen diese ausschließlich gemäß den Weisungen des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, eine gesetzliche Verpflichtung zur Verarbeitung liegt vor.
4.2. Der Auftraggeber und der Auftragnehmer kooperieren auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben.
4.3. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit diese den vorliegenden Vertrag betreffen. Dies gilt ebenso für Ermittlungen einer zuständigen Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens, die die Verarbeitung personenbezogener Daten im Zusammenhang mit der Auftragsverarbeitung durch den Auftragnehmer betreffen.
4.4. Der Auftragnehmer überprüft regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung im Verantwortungsbereich des Auftragnehmers den Anforderungen des geltenden Datenschutzrechts entspricht und der Schutz der Rechte der betroffenen Personen gewährleistet ist.
4.5. Der Auftragnehmer stellt sicher, dass die getroffenen technischen und organisatorischen Maßnahmen dem Auftraggeber auf Anfrage im Rahmen seiner Kontrollbefugnisse gemäß Ziffer 7 dieser Anlage nachgewiesen werden können.
4.6. Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber, damit dieser seinen gesetzlichen Pflichten, insbesondere nach Art. 33 und Art. 34 DSGVO, nachkommen kann. Der Auftragnehmer erstellt eine vollständige Dokumentation des Vorfalls und stellt diese dem Auftraggeber zur Verfügung, um weitere Maßnahmen zu ermöglichen
4.7. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich bei der Erfüllung der
Informationspflichten gegenüber Aufsichtsbehörden und betroffenen Personen, indem er ihm unverzüglich sämtliche relevanten Informationen zur Verfügung stellt.
4.8. Sollte der Auftraggeber verpflichtet sein, eine Datenschutz-Folgenabschätzung durchzuführen, unterstützt der Auftragnehmer ihn entsprechend der Art der Verarbeitung und den ihm vorliegenden Informationen. Dies gilt auch für etwaige Verpflichtungen zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.
5. Unterauftragsverhältnisse
5.1. Unterauftragsverhältnisse im Sinne dieser Regelung beziehen sich auf Dienstleistungen, die sich direkt auf die Erbringung der Hauptleistung beziehen. Nicht umfasst sind Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Reinigungsleistungen oder Bewachungs-dienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
5.2. Der Auftragnehmer verfügt über eine allgemeine Genehmigung des Auftraggebers für die Beauftragung von Unterauftragsverarbeitern. Diese sind in einer separaten Liste aufgeführt. Der Auftragnehmer ist verpflichtet, den Auftraggeber über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern zu informieren und dem Auftraggeber damit ausreichend Zeit einzuräumen, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können.
5.3. Wenn der Auftragnehmer einen Unterauftragsverarbeiter für die Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Auftraggebers einsetzt, ist dies durch einen entsprechenden Unterauftragsverarbeitungsvertrag abzubilden. Dabei ist sicherzustellen, dass der Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten erfüllt wie der Auftragnehmer. Der Auftragnehmer stellt sicher, dass der Unterauftragsverarbeiter alle Datenschutzanforderungen einhält, die auch für den Auftragnehmer nach diesen Klauseln und den geltenden Datenschutzgesetzen gelten.
5.4. Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer sicher, dass die datenschutzrechtlichen Anforderungen durch geeignete Maßnahmen erfüllt werden..
6. Internationale Datenübermittlungen
6.1. Jegliche Übermittlung von personenbezogenen Daten durch den Auftragnehmer an ein Drittland oder an eine internationale Organisation erfolgt ausschließlich auf Basis dokumentierter Weisungen des Auftraggebers oder zur Erfüllung einer spezifischen Vorschrift des Unionsrechts oder des Rechts eines Mitgliedstaats, dem der Auftragnehmer unterliegt. Diese Übermittlungen müssen den Anforderungen von Kapitel V der DSGVO entsprechen
6.2. Der Auftraggeber stimmt zu, dass der Auftragnehmer im Rahmen des Einsatzes von Unterauftragsverarbeitern gemäß Ziffer 8 dieser Vereinbarung, insoweit Kapitel V der DSGVO gilt, dessen Anforderungen unter anderem durch den Einsatz von Standardvertragsklauseln einhalten kann.
7. Kontrollrechte
7.1. Der Auftraggeber ist berechtigt, nach Abstimmung mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen.
7.2. Der Auftragnehmer stellt sicher, dass der Auftraggeber sich von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann.
7.3. Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung technischen und organisatorischen Maßnahmen durch geeignete Nachweise nachweisen.
8. Weisungsbefugnis des Auftraggebers
8.1. Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Auftraggebers, es sei denn er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die Festlegung der initialen Weisungen des Auftraggebers erfolgen im Rahmen dieser Vereinbarung.
8.2. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen geltendes Datenschutzrecht. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange zu unterbrechen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
9. Löschung & Rückgabe personenbezogener Daten
9.1. Es erfolgt keine Erstellung von Kopien oder Duplikaten der Daten ohne Wissen des Auftraggebers. Hiervon ausgenommen sind zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderliche Sicherheitskopien sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
9.2. Nach Abschluss der vertraglich vereinbarten Verarbeitungstätigkeiten oder zu einem früheren Zeitpunkt nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.
Annex 1: Beschreibung der Verarbeitung
1. Gegenstand
Der Gegenstand der Verarbeitung ergibt sich aus den AGBs.
2. Dauer
Die Dauer dieser Verarbeitung (Laufzeit) entspricht der Laufzeit der Nutzungsbedingungen.
3. Art und Zweck der vorgesehenen Verarbeitung personenbezogener Daten
Vertragsgemäße Bereitstellung der Plattform des Auftragnehmers sowie Nutzung von Large Language Models (nachfolgend „LLMs“)
4. Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien :
- Namen und E-Mail-Adressen von Mitarbeitern und sonstigen Nutzern des Auftraggebers
- User-Prompts/Kommunikation mit LLMs (z. .B. vom Nutzer eingegebene Chat-Nachrichten(
- Informationen aus Dokumenten, die der Auftraggeber in der Plattform
speichert
- Von den KI-Systemen generierte Ausgaben (Outputdaten), soweit diese personenbezogene Daten enthalten oder Rückschlüsse auf identifizierbare Personen zulassen“
5. Kategorien betroffener Personen
- Mitarbeiter und sonstige Nutzer des Auftraggebers
- Personen, auf die sich Kommunikationsinhalte der LLMs beziehen
- Personen, auf die sich jene Dokumente beziehen, die der Auftraggeber in der Plattform speichert
Annex 2: Technisch-organisatorische Maßnahmen
1. Einführung
Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die von der Beyond the Loop GmbH zum Schutz von Informationen, insbesondere personenbezogenen Daten, unter Berücksichtigung von Art. 32 DSGVO festgelegt und implementiert wurden. Alle getroffenen Maßnahmen berücksichtigen das mit der jeweiligen Datenverarbeitung verbundene Risiko.
2. Standort des Rechenzentrums
Google Cloud Data Center Frankfurt, Deutschland
3. Maßnahmen
A)Vertraulichkeit
aa) Maßnahmen der Zutrittskontrolle (Gebäudesicherheit)
Definition von Sicherheitsbereichen und Sicherheitsperimetern für Büros und Räume mit Informationswerten, um unbefugten physischen Zutritt zu verhindern.
Schutz vor physischen und umweltbedingten Gefährdungen (z. B. Brand, Wasser, Naturkatastrophen) durch technische und organisatorische Schutzmaßnahmen gemäß den internen Richtlinien zur physischen und umweltbezogenen Sicherheit.
Clear-Desk- und Clear-Screen-Regeln für Arbeitsplätze, insbesondere bei Verarbeitung personenbezogener Daten.
Geregelter Umgang mit Besuchern und Fremdpersonen in Büroflächen.
bb) Maßnahmen der Zugangskontrolle (Systemzugang, Authentifizierung)
Vergabe von Benutzerkonten nach formalisierter Registrier- und Genehmigungsprozedur.
Rollenbasierte Zugangsvergabe (Role Based Access Control, RBAC) auf Basis des Need-to-know-Prinzips, individuelle Freigabe je System oder vordefinierter Rolle.
Verpflichtende Multifaktor-Authentifizierung (MFA) für alle Mitarbeitenden mit Zugriff auf kritische Systeme.
Strikte Verwaltung von Authentifizierungsinformationen (Passwortrichtlinien, sichere Login-Mechanismen, keine Shared Accounts) gemäß internen Zugriffskontroll- und Acceptable-Use-Richtlinien.
Technische Absicherung der Infrastruktur gegen direkten Zugriff aus dem Internet durch restriktive Netzwerk- und Firewall-Regelungen (z. B. deny-by-default-Ansatz für produktive Systeme, wo anwendbar).
cc) Maßnahmen der Zugriffskontrolle (Berechtigungskonzepte, Need-to-know)
Formal definiertes Berechtigungskonzept mit Zuordnung von Rollen, Rechten und Systemen.
Periodische Re-Zertifizierung von Zugriffen auf kritische Systeme und Administratorenrechte durch zuständige Stellen im Unternehmen.
Konsequente Entzugs- und Offboarding-Prozesse bei Rollenwechsel oder Ausscheiden (sofortige Deaktivierung nicht mehr benötigter Konten).
Beschränkung des direkten Zugriffs auf Produktivdatenbanken auf wenige, rollenbasiert autorisierte Personen nach dem Prinzip der geringsten Privilegien.
Segmentierung von Netzwerken und Infrastrukturassets (Inventarisierung und logische Trennung von Infrastruktur-Systemen).
dd) Maßnahmen der Trennungskontrolle (Mandantentrennung, Test/Prod-Trennung)
Strikte Trennung von Entwicklungs-, Test- und Produktionsumgebungen.
Gleichwertiger Schutz für Kundendaten in Nicht-Produktionsumgebungen (z. B. Stage), inkl. Zugangs- und Verschlüsselungskontrollen.
Regeln für den Einsatz von Testdaten (kein Einsatz echter personenbezogener Daten ohne entsprechende Anonymisierung oder Pseudonymisierung).
Netzwerksegmentierung und Isolierung kritischer Dienste.
ee) Maßnahmen der Pseudonymisierung (Verschlüsselung, Hashing)
Durchgängige Verschlüsselung von Kundendaten im Ruhezustand (at rest) in Produktionsdatenbanken nach internen Verschlüsselungsrichtlinien.
Vollverschlüsselung von Endgeräten mit Zugriff auf kritische Daten (z. B. Festplattenverschlüsselung für Mitarbeitenden-Laptops).
Verpflichtende Nutzung von Transportverschlüsselung (HTTPS/TLS) für alle Produktivsysteme und externen Schnittstellen.
Technische Datenmaskierung in Logs oder Testumgebungen, soweit anwendbar.
Klare Richtlinien und Prozesse zur Kryptographie und Schlüsselverwaltung.
B) Integrität
a) Maßnahmen der Weitergabekontrolle (sichere Übertragung, Datenträger)
Verschlüsselte Übertragung von personenbezogenen Daten über das Netzwerk per HTTPS/TLS.
Firewall-Konzept mit restriktiven Standardregeln für produktive Systeme sowie Beschränkung administrativer Zugriffe (z. B. SSH/DB-Zugriffe) auf nicht-öffentliche Netze.
Einschränkung und Überwachung von Zugriffen auf externe Websites und SaaS-Dienste (u. a. Malware-Schutz, Patch-Status, Endpoint-Security-Maßnahmen).
Geregelte Handhabung von Speichermedien (Erwerb, Nutzung, Transport, Löschung) gemäß internen Richtlinien zur Medienentsorgung.
Vertraglich und prozessual geregelte Datenübermittlung an Auftragsverarbeiter, inkl. datenschutzrechtlicher Bewertung, dokumentierter Transferregeln und geeigneter Garantien.
b) Maßnahmen der Eingabekontrolle (Protokollierung, Nachvollziehbarkeit)
Zentrale Protokollierung von sicherheitsrelevanten Ereignissen und administrativen Aktionen auf kritischen Systemen (Audit Logs).
Einsatz von Mechanismen zur Analyse von Logs und Identifikation anomaler oder mutmaßlich böswilliger Aktivitäten.
Prozeduren für die Behandlung von Sicherheitsvorfällen, inkl. Sammlung und sicherer Aufbewahrung von Beweisdaten.
Dokumentation von Änderungen in der Produktionsumgebung (Change Management, Peer Review, SDLC-Prozesse).
Protokollierung und Nachweise zu Prozessen im Zusammenhang mit Betroffenenrechten (z. B. Auskunftsersuchen), soweit erforderlich.
C) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
a) Datenschutz-Management (Audit-Prozesse, Schulungen)
Etabliertes Informationssicherheitsmanagementsystem (ISMS) mit definiertem Geltungsbereich, dokumentierten Compliance-Prozessen und regelmäßigen internen Audits.
Formalisierte Risikoanalysen (Informationssicherheit und Datenschutz) mit Bewertung von Eintrittswahrscheinlichkeit und Auswirkungen, inkl. Betrugs- und Missbrauchsrisiken.
Dokumentierte Liste relevanter gesetzlicher und regulatorischer Anforderungen, einschließlich DSGVO und relevanter Privacy-Vorgaben.
Rollen und Verantwortlichkeiten für Informationssicherheit, Datenschutz und Compliance sind definiert und dokumentiert.
Regelmäßige Schulungen zu Informationssicherheit und Datenschutz (Onboarding und wiederkehrend) inkl. dokumentierter Trainingshistorie.
b) Incident-Response-Management (Umgang mit Datenschutzverletzungen)
Formal definierte Incident-Management-Richtlinie und Verfahren mit klaren Rollen, Meldewegen und Entscheidungskriterien.
Prozess zur Erkennung, Bewertung und Klassifizierung von Sicherheitsereignissen als Incidents.
Dedizierte Regeln für die Meldung von Datenschutzverletzungen an Aufsichtsbehörden und Betroffene, inkl. Risikobewertung und zeitnahen Benachrichtigungen.
Nutzung von Audit-Logs und Monitoring zur Forensik und Beweissicherung.
Learnings aus Incidents fließen in die Verbesserung der Kontrollen und des ISMS ein (kontinuierlicher Verbesserungsprozess).
c) Auftragskontrolle (Auswahl und Prüfung von Dienstleistern)
Formaler Vendor-Risk-Management-Prozess inkl. Erst- und Folgerisikobewertung aller Subdienstleister.
Dokumentierte Regeln für Datenübermittlungen bei Transfers in Drittländer (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln) sowie regelmäßige Überprüfung der Transfermechanismen.
Vertragliche Festlegung von Sicherheits- und Datenschutzanforderungen an Auftragsverarbeiter (z. B. Auftragsverarbeitungsverträge).
Periodische Überprüfung der Lieferantenleistung und -kontrollen, einschließlich Re-Zertifizierung von kritischen Lieferanten.
D) Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle (Backup, Redundanz, BCM)
Regelmäßige Backups von System- und Nutzerdaten mit definierten RPO/RTO und Integritätsprüfungen.
Periodische Tests der Backup-Wiederherstellung (Restore-Tests) zur Sicherstellung der Wirksamkeit.
Business-Continuity-Plan sowie Business-Continuity- und Disaster-Recovery-Richtlinien mit regelmäßigen Tests des Notfall- und Wiederanlaufverfahrens.
Infrastruktur-Health-Monitoring und Kapazitätsüberwachung (z. B. Schutz gegen DoS, Erkennung von Leistungsengpässen).
Endgeräte- und Equipment-Management, regelmäßige Wartung, Patching und Malware-Schutz zur Sicherstellung der Verfügbarkeit.
Schutz vor physischen Ausfällen der Infrastruktur (Strom, Klima, Umwelteinflüsse) gemäß internen Richtlinien zur physischen und umweltbezogenen Sicherheit.
E) Datenschutzfreundliche Voreinstellungen
a) Privacy by Design / Privacy by Default (Entwicklungsprozesse, Standardeinstellungen)
Dokumentierte Privacy-by-Design- und Data-Protection-Richtlinien, die Privacy-Grundsätze in den Entwicklungsprozess integrieren.
SDLC-Prozess mit Sicherheits- und Datenschutzanforderungen als fester Bestandteil von Design, Implementierung, Code-Review und Deployment.
Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen (DPIA/DSFA) bei hohem Risiko, inkl. Kopplung an Risikomanagement und Vendor-Risk-Assessment.
Standardmäßig minimale Datenverarbeitung (Data Minimization), Speicherbegrenzung und Retentionsregeln gemäß internen Richtlinien und Verarbeitungsverzeichnissen.
Privacy-Funktionen und -Einstellungen (z. B. Opt-in/Consent, Cookie-Banner, Widerrufsmöglichkeiten, Prozesse zu Betroffenenrechten) als Standard, soweit anwendbar.
Strukturierte Rollen- und Berechtigungskonzepte (Least Privilege, Need-to-know) mit standardmäßig beschränkten Rechten.
Durchgehende Verschlüsselung als Standard für Produktivdaten, wichtige Endgeräte und Netzwerkverkehr, soweit anwendbar.
b) Mapping auf Datenschutz-Gewährleistungsziele
Die implementierten Maßnahmen sind systematisch auf die Datenschutz-Gewährleistungsziele (Vertraulichkeit, Integrität, Verfügbarkeit sowie Transparenz/Intervenierbarkeit) und die Anforderungen nach Art. 32 DSGVO ausgerichtet.
Annex 3: Genehmigte Unterauftragsverhältnisse
1. Attio Limited
Adresse: Unit 120, Exmouth House, 3-11 Pine Street, London, EC1R 0JH, United Kingdom
Zweck der Verarbeitung: CRM-System, Kontaktverwaltung, Datenanreicherung
Verarbeitungsland: Großbritannien (UK); USA (durch Nutzung von Google Cloud als Sub-Provider)
Rechtfertigungsmechanismus für Drittlandtransfer: Angemessenheitsbeschluss (UK); SCCs für Weiterübermittlung in die USA
2. SideGuide Technologies, Inc. (Firecrawl)
Adresse: 800 Haight Street, San Francisco, CA 94117, USA
Zweck der Verarbeitung: Web-Crawling, Extraktion und Strukturierung von Webdaten für KI-Kontext
Verarbeitungsland: USA
Rechtfertigungsmechanismus für Drittlandtransfer: Standardvertragsklauseln (SCCs)
3. Google Ireland Limited (GCP)
Adresse: Gordon House, Barrow Street, Dublin 4, Irland
Zweck der Verarbeitung: Cloud-Infrastruktur (IaaS/PaaS), Datenbank-Hosting, KI-Services
Verarbeitungsland: EU
Rechtfertigungsmechanismus für Drittlandtransfer: EU-U.S. Data Privacy Framework (Mutterkonzern Google LLC); Standardvertragsklauseln (SCCs)
4. GitHub, Inc.
Adresse: 88 Colin P. Kelly Jr. Street, San Francisco, CA 94107, USA
Zweck der Verarbeitung: Hosting von Quellcode, CI/CD-Pipelines, Issue-Tracking
Verarbeitungsland: USA
Rechtfertigungsmechanismus für Drittlandtransfer: EU-U.S. Data Privacy Framework (DPF); Standardvertragsklauseln (SCCs)
5. Google Ireland Limited (Workspace)
Adresse: Gordon House, Barrow Street, Dublin 4, Irland
Zweck der Verarbeitung: E-Mail-Dienste, Dokumentenablage, Videokonferenzen
Verarbeitungsland: EU
Rechtfertigungsmechanismus für Drittlandtransfer: EU-U.S. Data Privacy Framework (Mutterkonzern Google LLC); Standardvertragsklauseln (SCCs)
6. Intercom R&D Unlimited Company
Adresse: 124 St Stephen's Green, Dublin 2, Irland
Zweck der Verarbeitung: Kundensupport-Plattform, Messenger, Ticketing-System
Verarbeitungsland: USA
Rechtfertigungsmechanismus für Drittlandtransfer: EU-U.S. Data Privacy Framework (Mutterkonzern Intercom Inc.); Standardvertragsklauseln (SCCs)
7. Astrodon Corporation (Loops)
Adresse: 8 The Green #13469, Dover, DE 19901, USA
Zweck der Verarbeitung: E-Mail-Marketing-Automatisierung, Transaktions-E-Mails
Verarbeitungsland: USA
Rechtfertigungsmechanismus für Drittlandtransfer: EU-U.S. Data Privacy Framework (DPF); Standardvertragsklauseln (SCCs)
8. Microsoft Ireland Operations Ltd (Azure)
Adresse: One Microsoft Place, Leopardstown, Dublin 18, Irland
Zweck der Verarbeitung: Cloud-Computing-Infrastruktur, Server-Hosting, OpenAI-Services
Verarbeitungsland: EU
Rechtfertigungsmechanismus für Drittlandtransfer: EU-U.S. Data Privacy Framework (Mutterkonzern Microsoft Corp.); Standardvertragsklauseln (SCCs)
9. Perplexity AI, Inc.
Adresse: 341 Moultrie St, San Francisco, CA 94110, USA
Zweck der Verarbeitung: KI-gestützte Recherche, Enterprise Search, Informationszusammenfassung
Verarbeitungsland: USA
Rechtfertigungsmechanismus für Drittlandtransfer: EU-U.S. Data Privacy Framework (DPF); Standardvertragsklauseln (SCCs)
10. Stripe Payments Europe, Ltd
Adresse: The One Building, 1 Grand Canal St Lower, Dublin 2, Irland
Zweck der Verarbeitung: Zahlungsabwicklung, Abrechnung, Betrugsprävention
Verarbeitungsland: Global; USA (Datenspiegelung)
Rechtfertigungsmechanismus für Drittlandtransfer: EU-U.S. Data Privacy Framework (Mutterkonzern Stripe Inc.); Standardvertragsklauseln (SCCs)
