Auftragsverarbeitungsvertrag
Bedingungen für die Verarbeitung personenbezogener Daten gemäß DSGVO
1. Hintergrund
Dieser Auftragsverarbeitungsvertrag ("AVV") ist durch Verweis in die Bedingungen aufgenommen und bildet einen integralen Bestandteil des Vertrags zwischen Revial (Auftragsverarbeiter) und dem Kunden. Er legt die Bedingungen fest, unter denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Kunden verarbeitet.
2. Geltungsbereich
Soweit der Kunde personenbezogene Daten in die Dienste eingibt oder diese im Rahmen der Diensterbringung verarbeitet werden, erkennen beide Parteien an, dass der Kunde als Verantwortlicher und der Auftragsverarbeiter als Auftragsverarbeiter handelt, der personenbezogene Daten im Auftrag des Kunden zur Erbringung der Dienste verarbeitet.
Im Falle von Widersprüchen zwischen diesem AVV und anderen Vertragsbedingungen hat dieser AVV Vorrang.
3. Definitionen
Die hier verwendeten Begriffe — wie "Verantwortlicher", "Auftragsverarbeiter", "betroffene Person" und "personenbezogene Daten" — haben die Bedeutungen, die mit der Datenschutz-Grundverordnung (EU) 2016/679 und anderen anwendbaren Datenschutzvorschriften übereinstimmen.
4. Verarbeitung Personenbezogener Daten
Der Zweck der Verarbeitung ist die Bereitstellung der Dienste für den Kunden. Dies umfasst Speicherung, Wartung und notwendige operative Verarbeitung. Verarbeitungsdetails, betroffene Personengruppen und Datentypen sind in Anhang 1 beschrieben.
Die Datenverarbeitung wird während des Dienstzeitraums fortgesetzt und danach, wenn dies gesetzlich oder vertraglich erforderlich ist.
5. Anweisungen und Verantwortung des Kunden
Der Auftragsverarbeiter verarbeitet Daten gemäß den in diesem AVV bestätigten schriftlichen Anweisungen. Dieses Dokument stellt die vollständigen schriftlichen Anweisungen des Kunden dar. Zusätzliche Anweisungen erfordern eine separate schriftliche Vereinbarung.
Der Kunde stellt sicher, dass seine Datenverarbeitung den anwendbaren Datenschutzbestimmungen entspricht.
6. Allgemeine Pflichten des Auftragsverarbeiters
Auf schriftliche Anfrage und auf Kosten des Kunden unterstützt der Auftragsverarbeiter bei der Beantwortung von Anfragen betroffener Personen oder Behörden. Die Unterstützung wird zu den jeweils geltenden Standardstundensätzen abgerechnet, sofern nichts anderes vereinbart ist.
Der Auftragsverarbeiter benachrichtigt den Kunden umgehend über Anfragen betroffener Personen zur Ausübung von Rechten gemäß DSGVO.
Der Auftragsverarbeiter führt Aufzeichnungen über seine Verarbeitungstätigkeiten zum Nachweis der Compliance und stellt dem Kunden auf schriftliche Anfrage hin ausreichende Informationen zur Verfügung.
7. Datensicherheit
Der Auftragsverarbeiter implementiert geeignete technische und organisatorische Maßnahmen, um angemessene Sicherheitsniveaus zu gewährleisten und personenbezogene Daten vor unbefugter Verarbeitung, versehentlichem Verlust, Zerstörung, Beschädigung, Veränderung oder Offenlegung zu schützen. Die Sicherheitsmaßnahmen sind in Anhang 2 beschrieben.
Der Auftragsverarbeiter kann Sicherheitsmaßnahmen aktualisieren, wobei angemessene Schutzstandards aufrechterhalten werden.
Bei Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Kunden umgehend und ergreift angemessene Maßnahmen zur Schadensminderung. Die Benachrichtigungen umfassen: (a) Beschreibung der Art der Verletzung und der betroffenen Personengruppen; (b) Kontaktinformationen für weitere Details; (c) wahrscheinliche Folgen; und (d) implementierte oder vorgeschlagene Abhilfemaßnahmen.
Der Auftragsverarbeiter kooperiert in wirtschaftlich angemessener Weise bei behördlichen Verletzungsmeldungen und führt eine Verletzungsdokumentation zur Einsichtnahme durch den Kunden.
8. Unterauftragsverarbeiter
Der Auftragsverarbeiter darf Unterauftragsverarbeiter zur Diensterbringung einsetzen. Informationen zu Unterauftragsverarbeitern erscheinen in Anhang 3 und auf der Website mit aktuellen Informationen.
Der Auftragsverarbeiter informiert mindestens vierzehn (14) Tage im Voraus schriftlich über Änderungen bei Unterauftragsverarbeitern, sodass der Kunde ausreichend Zeit hat, Einspruch zu erheben. Der Kunde stimmt der Nutzung von Unterauftragsverarbeitern wie beschrieben zu.
Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter im Wesentlichen gleichwertige Datenschutzpflichten einhalten, und ist für deren Compliance verantwortlich.
9. Übermittlung Personenbezogener Daten
Der Dienst nutzt Unterauftragsverarbeiter, von denen einige im Europäischen Wirtschaftsraum ("EWR") ansässig sind, wo personenbezogene Daten verbleiben. Einige Unterauftragsverarbeiter können außerhalb des EWR tätig sein (gemäß Anhang 3), was der Kunde akzeptiert, sofern der Unterauftragsverarbeiter: (i) Übermittlungen unter den anwendbaren EU-Standardvertragsklauseln (SCC) durchführt; oder (ii) andere geeignete Mechanismen wie das EU-U.S. Data Privacy Framework oder Angemessenheitsbeschlüsse nutzt.
10. Audits
Auf schriftliche Anfrage und auf Kosten des Kunden kann der Kunde die Einhaltung des AVV und der DSGVO durch den Auftragsverarbeiter einmal in zwölf (12) Monaten prüfen. Auditberichte gelten als vertrauliche Informationen des Auftragsverarbeiters.
11. Datenvertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass Personal und Stellen, die Daten unter diesem AVV verarbeiten, angemessene Vertraulichkeit wahren. Vertraulichkeitspflichten richten sich im Übrigen nach den Bedingungen.
12. Sonstige Bedingungen, Wirksamkeit und Beendigung
Im Übrigen gelten die Bestimmungen der Bedingungen, einschließlich Haftungs- und Schadensbeschränkungen.
Dieser AVV wird zusammen mit dem Hauptvertrag wirksam und bleibt in Kraft, bis der Vertrag endet oder solange der Auftragsverarbeiter Kundendaten verarbeitet.
Sofern der Kunde keine anderen schriftlichen Anweisungen erteilt und keine gesetzliche Aufbewahrungspflicht besteht, löscht und vernichtet der Auftragsverarbeiter die verarbeiteten personenbezogenen Daten innerhalb der Fristen gemäß Abschnitt 4.4 der Bedingungen, während derer der Kunde Daten aus dem Dienst abrufen kann.
Anhang 1: Verarbeitungsdetails
Die folgenden Informationen ergänzen diesen AVV und beschreiben die Parteien, die Art, den Zweck und die Dauer der Verarbeitung sowie die Arten personenbezogener Daten und Kategorien betroffener Personen, wie in Artikel 28 DSGVO gefordert.
Verantwortlicher: Der Kunde (die im Hauptvertrag von Revial definierte Kundenorganisation). Adresse: Die offizielle Adresse des Kunden (wie im Hauptvertrag angegeben). Kontaktperson: Der Vertreter des Kunden (z. B. Unterzeichner oder Datenschutzbeauftragter).
Rolle: Verantwortlicher – Der Kunde nutzt den Revial-Dienst zur Verarbeitung personenbezogener Daten für eigene Zwecke (Vertrieb und Kundenbeziehungen) und bestimmt Zwecke und Mittel der Verarbeitung.
Auftragsverarbeiter: Spinder Company Oy (Geschäfts-ID 3384117-2, eine finnische Gesellschaft mit beschränkter Haftung). Adresse: c/o Toinen Toimisto, Kempeleentie 7, 90400 Oulu. Kontaktperson: Datenschutzbeauftragter oder Kontaktperson von Revial (support@revial.com).
Rolle: Auftragsverarbeiter – Revial bietet einen cloudbasierten Vertriebssoftwaredienst (einschließlich KI-Funktionen) an und verarbeitet die personenbezogenen Daten des Kunden in dessen Auftrag zur Erbringung des Dienstes gemäß den Bedingungen des Hauptvertrags.
Art und Zweck der Verarbeitung: Die Verarbeitung personenbezogener Daten ist erforderlich, damit Revial dem Kunden die Funktionen des Dienstes bereitstellen kann. Die Verarbeitung umfasst u. a. das Speichern von Daten in Revials cloudbasiertem System (Kundendaten und -notizen in CRM-ähnlicher Form), das Organisieren und Abrufen von Daten, die Erstellung KI-basierter Analysen und Zusammenfassungen aus vom Kunden eingegebenen Inhalten (z. B. automatische Zusammenfassung von Besprechungsnotizen oder Erstellung von E-Mail-Entwürfen) und Kommunikationsfunktionen (z. B. E-Mail-Integration, Erinnerungen). Die Verarbeitung erfolgt überwiegend automatisiert und resultiert aus den vom Kunden im Dienst durchgeführten Aktionen. Revial verarbeitet Daten nur in dem Umfang, der für die Bereitstellung und technische Wartung des Dienstes erforderlich ist.
Der Zweck der Verarbeitung besteht darin, die Optimierung der Vertriebsprozesse des Kunden zu ermöglichen: Der Kunde kann Vertriebs-Leads, Kundendaten und -kontakte speichern und verwalten, Vertriebsgespräche verfolgen und KI-generierte Analysen und Vorschläge als Teil seiner Vertriebsarbeit nutzen.
Gegenstand und Dauer der Verarbeitung: Gegenstand der Verarbeitung sind vom Kunden bereitgestellte oder im Auftrag des Kunden erhobene personenbezogene Daten im Zusammenhang mit den Vertriebs- und Kundenbeziehungsaktivitäten des Kunden. Die Verarbeitung beginnt, wenn der Kunde erstmals personenbezogene Daten in den Revial-Dienst hochlädt, und dauert die gesamte Laufzeit des Hauptvertrags an. Die Verarbeitung personenbezogener Daten endet, wenn der Hauptvertrag endet und alle personenbezogenen Daten des Kunden gemäß diesem AVV zurückgegeben oder aus Revials Umgebung gelöscht wurden. Typischerweise erfolgt die Verarbeitung kontinuierlich während der Vertragslaufzeit.
Arten personenbezogener Daten: Im Dienst werden folgende Hauptkategorien personenbezogener Daten verarbeitet:
- Kontaktinformationen: Namen, Berufsbezeichnungen, Name des Arbeitgebers oder der Organisation, geschäftliche E-Mail-Adressen, Telefonnummern, Postanschriften und ähnliche Kontaktinformationen.
- Kommunikationsinhalte: Inhalte von Gesprächen und Nachrichten im Zusammenhang mit Vertrieb und Kundenkontakten. Dies kann Besprechungsnotizen, Besprechungs- und Anrufaufzeichnungen sowie deren Transkriptionen, E-Mail-Nachrichten und -Threads, Chat- oder Messaging-Plattformgespräche, Angebote und Vertragsentwürfe sowie andere Dokumente umfassen.
- Ereignis- und Tracking-Daten: Informationen über Aktionen und Interaktionen im Vertriebsprozess. Beispielsweise Aufzeichnungen über Besprechungstermine und Teilnehmer, gesendete Angebote, Anruf- oder Präsentationstermine und zugehörige Ergebnisse.
- Benutzerkonto- und Protokolldaten: Grundinformationen zu den Konten der vom Kunden autorisierten Benutzer im Dienst (z. B. Name, Benutzername, E-Mail-Adresse) sowie Protokolldaten, die durch die Nutzung des Dienstes entstehen.
- Besondere Kategorien personenbezogener Daten (z. B. rassische/ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheits- oder biometrische Daten, Strafregisterdaten) sollen oder dürfen im Dienst nicht verarbeitet werden.
Kategorien betroffener Personen: Die vom Kunden im Dienst verarbeiteten personenbezogenen Daten können folgende Kategorien betroffener Personen betreffen:
- Eigenes Personal des Kunden: Mitarbeiter, Vertreter oder andere Dienstnutzer des Kunden, deren personenbezogene Daten im Zusammenhang mit der Nutzung des Dienstes verarbeitet werden.
- Kunden und Leads des Kunden: natürliche Personen (Einzelunternehmer, Ansprechpartner von Geschäftskunden, Verbraucher), auf die sich die Vertriebs- oder Marketingaktivitäten des Kunden beziehen.
- Vertreter Dritter: sonstige Personen, die in den vom Kunden gespeicherten Daten erscheinen können (z. B. Vertreter eines anderen Unternehmens, die an einer Besprechung teilnehmen).
Dauer und Beendigung der Verarbeitung: Die Verarbeitung personenbezogener Daten dauert die gesamte Vertragslaufzeit. Der Kunde kann Aufbewahrungsfristen während der Nutzung des Dienstes selbst festlegen. Bei Beendigung der Vereinbarung werden personenbezogene Daten entweder an den Kunden zurückgegeben oder dauerhaft gelöscht, wie in Abschnitt 12 des AVV vereinbart.
Anhang 2: Technische und Organisatorische Sicherheitsmaßnahmen von Revial
Revial hat die folgenden wesentlichen technischen und organisatorischen Maßnahmen implementiert, um personenbezogene Daten vor unbefugter oder rechtswidriger Verarbeitung, Verlust, Zerstörung und Beschädigung zu schützen.
Zugriffskontrolle: Der Zugriff auf die personenbezogenen Daten des Kunden ist auf autorisierte Personen beschränkt, die eine arbeitsbedingte Notwendigkeit zur Verarbeitung der Daten haben. Revial verwendet rollenbasierte Zugriffsrechte nach den Prinzipien "Need-to-know" und "Least Privilege". Die Anmeldung erfordert starke Authentifizierung; für kritische Systeme ist zusätzlich Multi-Faktor-Authentifizierung (MFA) erforderlich, soweit möglich.
Verschlüsselung: Revial schützt personenbezogene Daten mit starken Verschlüsselungsmethoden sowohl bei der Übertragung als auch im Ruhezustand. Sämtlicher Netzwerkverkehr wird mit TLS (mindestens Version 1.2) verschlüsselt. Daten auf Servern und in Datenbanken werden im Ruhezustand mit starken Verschlüsselungsalgorithmen (z. B. AES-256) verschlüsselt.
Netzwerk- und Anwendungssicherheit: Revials Cloud-Infrastruktur nutzt Firewalls und Netzwerksegmentierung. Nur wesentliche Dienste und Ports sind dem Internet ausgesetzt. Revial aktualisiert kontinuierlich seine Softwarekomponenten gegen bekannte Schwachstellen und führt regelmäßige Schwachstellen-Scans und Penetrationstests durch.
Protokollierung und Überwachung: Revial überwacht seine Systeme zur Erkennung von Sicherheitsbedrohungen und Fehlerzuständen. Schlüsselsysteme verfügen über umfassende Protokollerfassung. Automatische Warnmeldungen werden an das Operations-Team gesendet.
Schulung und Zuverlässigkeit des Personals: Sicherheit und Datenschutz sind Teil der Unternehmenskultur von Revial. Alle Mitarbeiter erhalten mindestens jährliche Schulungen zu DSGVO-Prinzipien und Sicherheitspraktiken und haben Vertraulichkeitsvereinbarungen unterzeichnet.
Backups und Kontinuität: Revial gewährleistet die Verfügbarkeit und Integrität personenbezogener Daten durch regelmäßige Backups. Backups werden verschlüsselt an einem separaten Speicherort gespeichert. RTO typischerweise 24–48 Stunden, RPO maximal 24 Stunden.
Vorfallmanagement: Revial hat einen schriftlichen Plan für das Management von Sicherheitsvorfällen erstellt. Bei Erkennung eines möglichen Vorfalls leitet das Incident-Team eine Untersuchung ein und ergreift Korrekturmaßnahmen. Revial benachrichtigt den Kunden gemäß AVV.
Management der Unterauftragsverarbeiter: Revial stellt sicher, dass die eingesetzten Unterauftragsverarbeiter mindestens ebenso strenge Sicherheitsmaßnahmen einhalten. Vor dem Einsatz eines neuen Unterauftragsverarbeiters bewertet Revial dessen Sicherheitspraktiken und Zertifizierungen.
Anhang 3: Unterauftragsverarbeiter
Nachstehend sind die von Revial eingesetzten Unterauftragsverarbeiter aufgeführt, die personenbezogene Daten des Kunden im Rahmen der Diensterbringung verarbeiten. Für jeden Unterauftragsverarbeiter sind der angebotene Dienst/die Rolle sowie der primäre Standort beschrieben, an dem personenbezogene Daten verarbeitet werden. Liegt der Standort außerhalb des EU/EWR, wird die angewandte Übermittlungsgrundlage genannt (z. B. SCC).
| Unterauftragsverarbeiter | Beschreibung (Funktion) | Standort |
|---|---|---|
| Supabase, Inc. | Cloud-Datenbank-, Authentifizierungs- und Speicherplattform. Hostet die Datenbank des Revial-Dienstes, in der personenbezogene Daten des Kunden gespeichert sind (Kontakte, Notizen, Transkriptionen, Dateien). | EU (Stockholm) |
| Stripe, Inc. | Zahlungsdienstleister. Verarbeitet die Zahlungs- und Abrechnungsinformationen des Kunden für sichere Zahlungstransaktionen. | EU |
| Skribe VOF (Skribby) | Transkriptionsdienst für Besprechungen. Verarbeitet Audioaufnahmen von Besprechungen und erstellt Textzusammenfassungen für die Nutzung durch den Kunden. | EU (Belgien) |
| AssemblyAI, Inc. | Spracherkennungs- und Transkriptionsdienst (EU-Endpunkt). Verarbeitet die Audioaufnahmen der Besprechungen des Kunden und erstellt Texttranskriptionen für den Dienst. Bei Nutzung des EU-Endpunkts von AssemblyAI werden Audioaufnahmen und Transkriptionen in der EU-Region verarbeitet und gespeichert. Die Daten werden nur für die Dauer aufbewahrt, die zur Transkription des Audios und zur Übermittlung der Transkription an Revial erforderlich ist; danach werden sie unverzüglich aus den Systemen von AssemblyAI gelöscht. | EU (Irland) |
| Resend, Inc. | E-Mail-Dienstanbieter. Verarbeitet die Zustellung von E-Mails für die Kommunikationsfunktionen des Dienstes. | USA (SCC) |
| Google LLC | Kalenderintegration (Google Calendar API). Ermöglicht die Synchronisierung der Kalenderdaten des Kunden mit dem Dienst nach Autorisierung durch den Kunden. | USA (SCC, EU-U.S. Data Privacy Framework) |
| Microsoft Corporation | Kalender- und E-Mail-Integration (Microsoft Graph API). Ermöglicht die Synchronisierung der Microsoft 365-Daten des Kunden mit dem Dienst nach Autorisierung durch den Kunden. | USA (SCC, EU-U.S. Data Privacy Framework) |
| PostHog, Inc. | Analysedienst. Erfasst und verarbeitet anonymisierte Nutzungsdaten zur Verbesserung des Dienstes und der Benutzererfahrung. | EU (Frankfurt) |
| Zapier, Inc. | Integrationsplattform. Ermöglicht vom Kunden konfigurierte Automatisierungen und Integrationen mit Drittanbieterdiensten unter der Leitung und Autorisierung des Kunden. Hinweis: vom Kunden gesteuerte Integration. | USA (SCC) |
| Vercel, Inc. | Cloud-Infrastruktur für die Revial-Anwendung. Stellt das Hosting der Dienstoberfläche und der Backend-Funktionen sowie die CDN-Inhaltsbereitstellung bereit. | EU (primär) & globales CDN (EU/USA, SCC für Übermittlungen) |
Revial pflegt eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter. Bei Hinzufügung, Wechsel oder Entfernung eines Unterauftragsverarbeiters informiert Revial den Kunden im Voraus gemäß Abschnitt 8.