Vertrag zur Auftragsverarbeitung (AVV)

Zwischen dem Kunden der Resolvia-Plattform (nachfolgend „Auftraggeber" oder „Verantwortlicher") und

(nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter")

– gemeinsam auch „Parteien" genannt –

wird folgender Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") geschlossen. Dieser AVV konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Nutzung der SaaS-Plattform „Resolvia" (nachfolgend „Hauptvertrag" bzw. „Dienste") ergeben, im Hinblick auf die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

1.1 Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der SaaS-Plattform „Resolvia". Die Plattform bietet KI-gestützte Kundensupport-Automatisierung, insbesondere:

• Automatisierte Verarbeitung und Beantwortung von Kundensupport-E-Mails mittels künstlicher Intelligenz (OpenAI, Google Gemini, Anthropic Claude)
• Integration und Synchronisation mit Gmail-Konten des Auftraggebers über die Gmail API
• Integration mit Shopify-Shops des Auftraggebers zur Abrufung von Bestell- und Kundendaten
• Speicherung und Verwaltung von E-Mail-Anhängen und Dateien
• Bereitstellung eines Kommunikations-Hubs für die Verwaltung von Kundeninteraktionen
• Help-Center-Erstellung und -Verwaltung für den Kundensupport
• Retourenportal-Verwaltung
• Bewertungstools und Kontaktformulare
• Live-Chat-Widget-Integration
• Analyse und Reporting von Support-Kennzahlen

1.2 Dauer

Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrags (Nutzung der Resolvia-Plattform). Der AVV beginnt mit der Registrierung des Auftraggebers und der erstmaligen Nutzung der Dienste und endet mit der vollständigen Beendigung des Hauptvertrags und der abgeschlossenen Löschung aller im Auftrag verarbeiteten personenbezogenen Daten. Die Pflichten aus diesem AVV gelten fort, solange der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet.

Die Verarbeitung personenbezogener Daten durch den Auftragnehmer erfolgt ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Dienste gemäß dem Hauptvertrag. Im Einzelnen umfasst dies:

• E-Mail-Verarbeitung: Empfang, Speicherung, Analyse und automatisierte Beantwortung von Kundensupport-E-Mails, die über die Gmail-API-Integration des Auftraggebers eingehen
• KI-gestützte Analyse: Übermittlung von E-Mail-Inhalten an KI-Dienste (OpenAI, Google Gemini, Anthropic Claude) zur semantischen Analyse, Kategorisierung, Stimmungserfassung und Generierung von Antwortvorschlägen
• Social-Media-Integration: Verarbeitung von Kundennachrichten über Instagram, Facebook Messenger und WhatsApp über die Meta-Plattform-APIs
• E-Mail-Versand: Versand automatisierter und manueller E-Mail-Antworten über Mailgun
• E-Commerce-Datenabfrage: Abruf von Bestell-, Versand- und Kundendaten aus dem Shopify-Shop des Auftraggebers zur Kontextualisierung von Kundenanfragen
• Dateispeicherung: Speicherung von E-Mail-Anhängen und Dateimakros in verschlüsselter Form auf Cloudflare R2
• Kommunikationsmanagement: Verwaltung von Kundeninteraktionen über den Kommunikations-Hub, einschließlich Thread-Verwaltung und Statusverfolgung
• Help-Center-Betrieb: Bereitstellung von Wissensdatenbanken und Hilfeinhalten für die Endkunden des Auftraggebers
• Retourenverwaltung: Verarbeitung von Retourenanfragen der Endkunden des Auftraggebers über das Retourenportal
• Live-Chat: Verarbeitung von Echtzeit-Kommunikation zwischen dem Auftraggeber und dessen Endkunden
• Analyse und Reporting: Erstellung von Auswertungen und Berichten über die Support-Aktivitäten des Auftraggebers

Die Verarbeitung erfolgt auf Grundlage und nach Maßgabe der Weisungen des Auftraggebers gemäß Art. 28 Abs. 3 lit. a DSGVO. Der Hauptvertrag (einschließlich seiner Anlagen) sowie die Nutzung der Plattformfunktionen gelten als dokumentierte Weisungen des Auftraggebers.

Im Rahmen der Auftragsverarbeitung werden folgende Arten personenbezogener Daten verarbeitet:

3.1 Daten der Endkunden des Auftraggebers

• Kontaktdaten: Name, E-Mail-Adresse, ggf. Telefonnummer, Anschrift
• Kommunikationsinhalte: E-Mail-Inhalte (Betreff, Textkörper, Metadaten), Chat-Nachrichten, Kontaktformular-Eingaben
• Bestelldaten: Bestellnummern, Bestellstatus, Versandinformationen, Rechnungsdaten, Produktinformationen (bei Shopify-Integration)
• Retourendaten: Rücksendegründe, Retourenstatus, Rückerstattungsinformationen
• Support-Daten: Ticketverlauf, Interaktionshistorie, Zufriedenheitsbewertungen
• Social-Media-Daten: Instagram-/Facebook-/WhatsApp-Nachrichten, Profilnamen, Profilbilder, Nachrichteninhalte und -metadaten
• Anhänge: Dateien und Bilder, die im Rahmen der Kundenkommunikation übermittelt werden

3.2 Daten der Mitarbeiter des Auftraggebers

• Zugangsdaten: E-Mail-Adresse, Name, Profilbild, Rolle innerhalb der Organisation
• Nutzungsdaten: Aktivitätsprotokolle, Anmeldezeiten, bearbeitete Tickets

3.3 Technische Daten

• OAuth-Zugriffstoken und Refresh-Token (verschlüsselt mit AES-256-CBC)
• API-Schlüssel für Drittanbieter-Integrationen (verschlüsselt)
• Shopify-Shop-Domains und Zugangsdaten (verschlüsselt)

Hinweis: Es werden grundsätzlich keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet, es sei denn, solche Daten sind unbeabsichtigt in den E-Mail-Inhalten der Endkunden des Auftraggebers enthalten. Der Auftraggeber ist verpflichtet, seine Endkunden entsprechend zu informieren und darauf hinzuweisen, keine sensiblen Daten in E-Mails zu übermitteln.

Die von der Verarbeitung betroffenen Personengruppen umfassen:

• Endkunden des Auftraggebers: Personen, die per E-Mail, Live-Chat, Kontaktformular oder über das Help-Center mit dem Auftraggeber kommunizieren
• Besteller und Käufer: Kunden des Shopify-Shops des Auftraggebers, deren Bestell- und Kundendaten über die Integration abgerufen werden
• Retourenmelder: Personen, die über das Retourenportal Rücksendungen anmelden
• Mitarbeiter und Beauftragte des Auftraggebers: Personen, die die Resolvia-Plattform im Namen des Auftraggebers nutzen

5.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

Der Auftragnehmer trifft gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen umfassen insbesondere:

6.1 Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

• Verschlüsselung im Ruhezustand: Alle sensiblen Daten (OAuth-Token, API-Schlüssel, Shopify-Zugangsdaten) werden mit AES-256-CBC verschlüsselt. Benutzerspezifische Verschlüsselungsschlüssel werden mittels PBKDF2 mit 100.000 Iterationen abgeleitet.
• Verschlüsselung bei der Übertragung: Sämtliche Datenübertragungen erfolgen über TLS 1.3 mit starken Cipher-Suiten.
• Datenbankverschlüsselung: PostgreSQL-Datenbank mit verschlüsselten Verbindungen und parametrisierten Abfragen zum Schutz vor SQL-Injection.
• Dateispeicherung: Dateien werden auf Cloudflare R2 mit serverseitiger Verschlüsselung und zeitlich begrenzten signierten URLs gespeichert.

6.2 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) mit organisationsbezogener Datenisolation. Mitarbeiter haben nur Zugang zu den Daten, die für ihre Aufgabenerfüllung erforderlich sind.
• Authentifizierung: Multi-Faktor-Authentifizierung über Clerk für alle Benutzerkonten; Pflicht-MFA für administrative Zugänge.
• Mandantentrennung: Strikte Multi-Tenant-Architektur mit vollständiger Datenisolation zwischen den Nutzern auf Datenbankebene.
• API-Sicherheit: Rate-Limiting, Authentifizierungstoken und sichere API-Schlüsselverwaltung.

6.3 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Eingabekontrolle: Umfassende Aktivitätsprotokolle (Activity Logs) für sämtliche Datenverarbeitungsvorgänge zur Nachvollziehbarkeit.
• Weitergabekontrolle: Verschlüsselte Übertragung aller Daten, sichere API-Kommunikation mit Drittanbieterdiensten.
• Webhook-Verifizierung: Signaturprüfung für alle eingehenden Webhooks (Clerk, Stripe) zum Schutz der Datenintegrität.

6.4 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

• Infrastruktur: Komplettes Hosting über Render (EU-Rechenzentrum Frankfurt) mit hoher Verfügbarkeit und Datenverarbeitung ausschließlich in der EU.
• Datenbankmanagement: PostgreSQL mit Connection-Pooling für stabile Datenbankverbindungen.
• Monitoring: Kontinuierliche Überwachung der Systemprotokolle, Sicherheitsereignisse und anomaler Aktivitäten mit automatisierter Alarmierung.
• Wiederherstellung: Regelmäßige Datenbanksicherungen mit definierten Wiederherstellungsverfahren.

6.5 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Sicherheitsaudits und Schwachstellenbewertungen
• Laufende Überwachung und Aktualisierung der Sicherheitsmaßnahmen
• Incident-Response-Verfahren mit definierten Eskalationswegen
• Sorgfältige Auswahl und laufende Kontrolle von Unterauftragsverarbeitern

Der Auftragnehmer überprüft die technischen und organisatorischen Maßnahmen regelmäßig und passt sie bei Bedarf dem aktuellen Stand der Technik an. Eine Änderung der Maßnahmen ist zulässig, solange das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

7.1 Genehmigung

Der Auftraggeber erteilt hiermit seine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, wobei der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

7.2 Pflichten gegenüber Unterauftragsverarbeitern

Der Auftragnehmer stellt vertraglich sicher, dass die Bestimmungen dieses AVV auch gegenüber Unterauftragsverarbeitern gelten. Insbesondere müssen Unterauftragsverarbeiter hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt. Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

7.3 Aktuelle Unterauftragsverarbeiter

Der Auftraggeber stimmt der Nutzung folgender Unterauftragsverarbeiter zu:

7.4 Einspruchsrecht

Der Auftragnehmer informiert den Auftraggeber per E-Mail über geplante Änderungen bei Unterauftragsverarbeitern mindestens 30 Tage vor deren Einsatz. Der Auftraggeber kann gegen die beabsichtigte Änderung innerhalb von 14 Tagen nach Erhalt der Mitteilung aus berechtigten datenschutzrechtlichen Gründen Einspruch erheben. Erhebt der Auftraggeber Einspruch, werden die Parteien in gutem Glauben eine Lösung suchen. Kann keine Einigung erzielt werden, steht dem Auftraggeber ein außerordentliches Kündigungsrecht des Hauptvertrags zu.

8.1 Unterstützungspflicht

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III DSGVO (Art. 15–22 DSGVO), insbesondere:

• Auskunftsrecht (Art. 15 DSGVO): Bereitstellung von Informationen über die im Auftrag verarbeiteten personenbezogenen Daten
• Recht auf Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger personenbezogener Daten
• Recht auf Löschung (Art. 17 DSGVO): Löschung personenbezogener Daten aus den Systemen des Auftragsverarbeiters
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Markierung und Einschränkung der Verarbeitung bestimmter Daten
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Bereitstellung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV)
• Widerspruchsrecht (Art. 21 DSGVO): Umsetzung von Verarbeitungseinschränkungen aufgrund eines Widerspruchs

8.2 Direktanfragen betroffener Personen

Wendet sich eine betroffene Person direkt an den Auftragnehmer zur Geltendmachung ihrer Rechte, wird der Auftragnehmer diesen Antrag unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer wird nicht eigenständig über solche Anträge entscheiden, es sei denn, der Auftraggeber hat ihn hierzu ausdrücklich ermächtigt.

9.1 Nachweispflicht

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen – einschließlich Inspektionen – bei, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).

9.2 Durchführung von Überprüfungen

Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der technischen und organisatorischen Maßnahmen und der sonstigen vertraglichen Verpflichtungen des Auftragsverarbeiters zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anfrage die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis kann erfolgen durch:

• Vorlage eines aktuellen Testats, Berichts oder Berichtsauszugs einer unabhängigen Instanz (z. B. Wirtschaftsprüfer, Datenschutzauditoren, interne Revision)
• Vorlage einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit
• Selbstauskunft des Auftragsverarbeiters mittels standardisierter Fragebögen
• Vor-Ort-Inspektionen nach vorheriger Abstimmung und angemessener Ankündigungsfrist (in der Regel 30 Tage) während der üblichen Geschäftszeiten

9.3 Kosten

Die Kosten einer Vor-Ort-Inspektion trägt der Auftraggeber, sofern die Überprüfung keine Verstöße des Auftragsverarbeiters ergibt. Bei festgestellten Verstößen trägt der Auftragnehmer die Kosten der Überprüfung.

10.1 Meldepflicht

Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, die im Zusammenhang mit der Auftragsverarbeitung steht (Art. 28 Abs. 3 lit. f i.V.m. Art. 33 Abs. 2 DSGVO).

10.2 Inhalt der Meldung

Die Meldung enthält mindestens folgende Informationen:

• Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen Datensätze
• Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
• Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

10.3 Unterstützungspflicht

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DSGVO) und gegenüber den betroffenen Personen (Art. 34 DSGVO). Der Auftragnehmer dokumentiert alle Verletzungen des Schutzes personenbezogener Daten einschließlich der damit zusammenhängenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.

11.1 Nach Beendigung des Hauptvertrags

Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers entweder oder gibt sie an ihn zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 3 lit. g DSGVO).

11.2 Löschungsfristen

• E-Mail-Daten und KI-Verarbeitungsdaten: Löschung innerhalb von 90 Tagen nach Vertragsbeendigung, sofern keine vorzeitige Löschung beantragt wird
• Integrationszugangsdaten: Sofortige Löschung verschlüsselter OAuth-Token und API-Schlüssel bei Trennung der Integration oder Vertragsbeendigung
• Dateien und Anhänge: Löschung aus Cloudflare R2 innerhalb von 90 Tagen nach Vertragsbeendigung
• Aktivitätsprotokolle: Löschung innerhalb von 12 Monaten nach Vertragsbeendigung
• Abrechnungsdaten: Aufbewahrung für 10 Jahre gemäß steuer- und handelsrechtlichen Aufbewahrungspflichten

11.3 Löschungsbestätigung

Der Auftragnehmer bestätigt dem Auftraggeber auf Verlangen die vollständige und datenschutzkonforme Löschung der Daten schriftlich. Die Löschung verschlüsselter Daten erfolgt durch Vernichtung der jeweiligen Verschlüsselungsschlüssel, wodurch die Daten unwiderruflich unlesbar werden.

Soweit im Rahmen der Auftragsverarbeitung personenbezogene Daten in ein Drittland (außerhalb des Europäischen Wirtschaftsraums) übermittelt werden, stellt der Auftragnehmer sicher, dass angemessene Garantien gemäß Art. 44 ff. DSGVO bestehen. Im Einzelnen:

• EU-Niederlassungen: Die Mehrzahl unserer Anbieter wird ausschließlich über deren EU-Niederlassungen beauftragt: OpenAI OpCo, LLC (Irland), Google Ireland Ltd. (Irland), Anthropic (Irland), Meta Platforms Ireland Ltd. (Irland), Stripe Payments Europe, Ltd. (Irland), Cloudflare Germany GmbH (Deutschland), Shopify International Ltd. (Irland). Die Datenverarbeitung erfolgt somit innerhalb der EU.
• EU-US Data Privacy Framework (DPF): Für Übermittlungen an US-Anbieter ohne EU-Niederlassung, die unter dem EU-US Data Privacy Framework zertifiziert und verifiziert sind (Clerk, Render)
• Standardvertragsklauseln (SCCs): Ergänzend Verwendung der von der Europäischen Kommission gemäß Beschluss 2021/914 genehmigten Standardvertragsklauseln als zusätzliche Absicherung
• Angemessenheitsbeschlüsse: Für Übermittlungen in Länder, für die die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen hat (z. B. Kanada für Shopify)
• Ergänzende Maßnahmen: Zusätzliche Schutzmaßnahmen wie Verschlüsselung, Zugriffsbeschränkungen und regelmäßige Sicherheitsbewertungen, um einen dem EU-Standard gleichwertigen Datenschutz sicherzustellen

Der Auftraggeber kann jederzeit unter privacy@resolvia.ai Informationen über die bestehenden Garantien für internationale Datenübermittlungen und Kopien der relevanten Dokumente anfordern.

13.1 Haftungsverteilung

Die Haftung der Parteien richtet sich nach den Bestimmungen des Art. 82 DSGVO. Demnach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wird.

13.2 Freistellung

Der Auftragnehmer haftet für Schäden, die dadurch entstehen, dass er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder über die rechtmäßigen Weisungen des Auftraggebers hinaus oder entgegen diesen Weisungen gehandelt hat. Der Auftragnehmer ist von der Haftung gemäß Art. 82 Abs. 3 DSGVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

13.3 Innenausgleich

Ist eine Partei gemäß Art. 82 Abs. 4 DSGVO zum vollständigen Ersatz des Schadens verpflichtet worden, so ist sie berechtigt, von der anderen Partei den Teil des Schadens zurückzufordern, der dem Anteil der anderen Partei an der Verantwortung für den Schaden entspricht.

Der Auftraggeber ist als Verantwortlicher im Sinne der DSGVO für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Er ist insbesondere verpflichtet:

• die Rechtmäßigkeit der Datenverarbeitung durch den Auftragnehmer sicherzustellen, insbesondere durch Einholung erforderlicher Einwilligungen seiner Endkunden oder Nachweis einer sonstigen Rechtsgrundlage gemäß Art. 6 DSGVO
• seine Endkunden über die Verarbeitung ihrer personenbezogenen Daten durch Resolvia zu informieren, insbesondere über die KI-gestützte E-Mail-Analyse und die Einbindung von Unterauftragsverarbeitern (Art. 13, 14 DSGVO)
• die Weisungen an den Auftragnehmer schriftlich oder in dokumentierter Form (einschließlich Konfiguration der Plattformfunktionen) zu erteilen
• die Einhaltung der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters in angemessenen Abständen zu überprüfen
• den Auftragnehmer unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt
• ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu führen, das die Auftragsverarbeitung durch Resolvia umfasst
• sicherzustellen, dass keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) bewusst über die Plattform verarbeitet werden, sofern hierfür keine gesonderte Vereinbarung besteht

15.1 Vorrang

Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien, einschließlich des Hauptvertrags, gehen die Bestimmungen dieses AVV vor, soweit der Gegenstand des Widerspruchs den Schutz personenbezogener Daten betrifft.

15.2 Unwirksamkeit einzelner Bestimmungen

Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die unwirksame oder undurchführbare Bestimmung ist durch eine wirksame und durchführbare Bestimmung zu ersetzen, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der ursprünglichen Bestimmung am nächsten kommt.

15.3 Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht der Europäischen Union, insbesondere der DSGVO. Ergänzend gilt das Recht der Republik Zypern. Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist, soweit gesetzlich zulässig, Paphos, Zypern.

15.4 Änderungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Der Auftragnehmer ist berechtigt, diesen AVV anzupassen, soweit dies aufgrund von Gesetzesänderungen, neuer oder geänderter Rechtsprechung oder Empfehlungen von Aufsichtsbehörden erforderlich ist. Wesentliche Änderungen werden dem Auftraggeber mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt.

15.5 Vertragssprache

Dieser AVV ist in deutscher Sprache verfasst. Sollte eine Übersetzung in eine andere Sprache erstellt werden, ist im Zweifelsfall die deutsche Fassung maßgeblich.