Datenschutzbestimmungen
Bereitstellung von Software-as-a-Service-Leistungen in Form von „Digitalen Mitarbeitenden" – Auftragsverarbeitungsvertrag gemäß Art. 28 der Verordnung (EU) 2016/679 „DSGVO"
Unsere Kontaktdaten
Der Schutz deiner Daten ist uns besonders wichtig. Wir sind für dich unter den unten angeführten Kontaktdaten jederzeit für deine Fragen oder deinen Widerruf erreichbar.
E-Mail: office@thynkai.at
Web: thynkai.at/kontakt
Adresse: Europaplatz 7, 3100 St. Pölten, Österreich
Parteien
Kunde, nachfolgend „Auftraggeber" bzw. „Nutzer" genannt, und „thynkAI" (dryven GmbH, Europaplatz 7, 3100 St. Pölten, Österreich, 590486 m, ATU78748278), nachfolgend auch „Auftragnehmer" genannt. Auftraggeber und Auftragnehmer gemeinsam die „Parteien".
Präambel
Diese Datenschutzbestimmungen konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien, die sich aus dem zwischen ihnen geschlossenen Vertrag über die Plattform für „Digitale Mitarbeitende" ergeben.
Der Auftragnehmer verarbeitet im Rahmen der Erfüllung des Vertrags personenbezogene Daten für den Auftraggeber als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Dieser Vertrag stellt sicher, dass die Verarbeitung im Einklang mit den geltenden Datenschutzbestimmungen erfolgt.
1. Gegenstand und Dauer
1.1.
Gegenstand dieses Vertrages ist die Durchführung der im über die Plattform geschlossenen Vertrag spezifizierten Tätigkeiten durch den Auftragnehmer als Auftragsverarbeiter im Sinne des Art. 28 DSGVO.
1.2.
Die Dauer dieser Vereinbarung entspricht der Laufzeit des über die Plattform geschlossenen Vertrags.
2. Spezifizierung der Auftragsverarbeitung
2.1. Art und Zweck der Verarbeitung
Der Zweck ist die Automatisierung der Geschäftsprozesse des Auftraggebers durch den Einsatz von Digitalen Mitarbeitenden. Die Verarbeitung umfasst insbesondere:
- 2.1.1. Das Auslesen von Daten aus den vom Auftraggeber angebundenen Systemen (z.B. E-Mail-Postfächer, ERP, CRM, HR-Systeme) über vom Auftraggeber autorisierte API-Schnittstellen.
- 2.1.2. Die Analyse, Strukturierung und Verarbeitung dieser Daten unter Zuhilfenahme von künstlicher Intelligenz (insbesondere Large Language Models) und teilweise Automatisierungsplattformen, um die in der Leistungsbeschreibung definierten Aufgaben auszuführen.
- 2.1.3. Der Auftraggeber nimmt zur Kenntnis, dass die vom Auftragnehmer eingesetzten KI-Modelle (z.B. von OpenAI) die zur Verarbeitung übermittelten Daten temporär nutzen, um das jeweilige Ergebnis zu generieren. Eine Speicherung der Daten zum Training der allgemeinen Modelle durch die Anbieter der KI-Modelle ist vertraglich ausgeschlossen. Der Auftragnehmer bleibt jedoch der datenschutzrechtliche Auftragsverarbeiter.
- 2.1.4. Das Erstellen von neuen Daten, Inhalten, Analysen oder Kommunikationsentwürfen als Ergebnis der Verarbeitung.
- 2.1.5. Das Zurückschreiben oder Ablegen der generierten Ergebnisse in die vom Auftraggeber bestimmten Systeme oder Speicherorte. Der Auftraggeber nimmt zur Kenntnis, dass die Verarbeitung auf probabilistischen KI-Systemen beruht und die Ergebnisse einer obligatorischen menschlichen Kontrolle durch den Auftraggeber bedürfen („Human in the Loop"-Prinzip).
2.2. Art der personenbezogenen Daten
Je nach Konfiguration und Anwendungsfall durch den Auftraggeber können insbesondere folgende Kategorien von personenbezogenen Daten verarbeitet werden:
- 2.2.1. Kontaktdaten (z.B. Name, Adresse, E-Mail, Telefonnummer)
- 2.2.2. Vertragsdaten (z.B. Vertragsnummer, Laufzeiten, Leistungen)
- 2.2.3. Kommunikationsdaten (z.B. Inhalte von E-Mails, Chats, Dokumenten)
- 2.2.4. Mitarbeiterdaten (z.B. Name, Abteilung, Kontaktdaten)
- 2.2.5. Geschäfts- und Transaktionsdaten (z.B. Rechnungsdaten, Bestelldaten, Kundennummern)
- 2.2.6. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) nur dann, wenn der Auftraggeber diese explizit in die angebundenen Systeme einbringt und deren Verarbeitung durch den Digitalen Mitarbeitenden beauftragt. Die Verantwortung hierfür liegt ausschließlich beim Auftraggeber.
2.3. Kreis der betroffenen Personen
Betroffen von der Verarbeitung können insbesondere folgende Personengruppen sein:
- 2.3.1. Mitarbeiter des Auftraggebers
- 2.3.2. Kunden und Interessenten des Auftraggebers
- 2.3.3. Geschäftspartner und Lieferanten des Auftraggebers
- 2.3.4. Sonstige Dritte, deren Daten in den vom Auftraggeber angebundenen Systemen verarbeitet werden
3. Pflichten des Auftragnehmers
3.1.
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, einschließlich der Übermittlung von Daten an ein Drittland. Die Konfiguration des Digitalen Mitarbeitenden und die Nutzung der Plattform durch den Auftraggeber gelten als primäre Weisung.
3.2.
Der Auftragnehmer stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3.3.
Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen sind in Anlage I zu diesem Vertrag dokumentiert. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme.
3.4.
Der Auftragnehmer hält die Bedingungen für die Inanspruchnahme von weiteren Auftragsverarbeitern (Subunternehmern) gemäß § 5 dieses Vertrages ein.
3.5.
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht, Anfragen zur Ausübung der Rechte der betroffenen Personen (gemäß Kapitel III der DSGVO: Information, Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) zu beantworten.
3.6.
Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung). Insbesondere ist der Auftragnehmer verpflichtet, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber per E-Mail zu melden.
3.7.
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten oder gibt sie an den Auftraggeber zurück, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
3.8.
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden.
3.9.
Der Auftragnehmer führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Auftraggebers durchgeführt werden, gemäß Art. 30 Abs. 2 DSGVO.
3.10.
Der Auftraggeber hat das Recht, sich in angemessenem Umfang von der Einhaltung der technischen und organisatorischen Maßnahmen durch den Auftragnehmer zu überzeugen, z.B. durch Einsichtnahme in relevante Zertifizierungen, Audits oder Selbstauskünfte.
4. Pflichten des Auftraggebers
4.1.
Der Auftraggeber ist für die Zulässigkeit der Verarbeitung der personenbezogenen Daten verantwortlich (Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO).
4.2.
Der Auftraggeber hat die dem Auftragnehmer übermittelten Daten auf ihre datenschutzrechtliche Zulässigkeit hin zu prüfen und sicherzustellen, dass eine hinreichende Rechtsgrundlage für die Verarbeitung besteht.
4.3.
Der Auftraggeber erteilt alle Weisungen schriftlich oder in einem elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder elektronisch zu bestätigen.
4.4.
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
5. Rechte des Auftraggebers
5.1.
Dem Auftraggeber stehen bezüglich der beim Auftragnehmer gespeicherten Daten grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu.
5.2.
Wenn der Auftraggeber der Auffassung ist, dass die Verarbeitung seiner Daten gegen das Datenschutzrecht verstößt oder seine datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, kann er sich beim Auftragnehmer (office@thynkai.at) oder bei der Österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien (dsb@dsb.gv.at) beschweren.
6. Unterauftragsverhältnisse
6.1.
Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) für die Erbringung der vertraglichen Leistung heranzuziehen.
6.2.
Eine Liste der aktuell vom Auftragnehmer eingesetzten Subunternehmer, einschließlich ihres Firmensitzes, des Verarbeitungszwecks und der Rechtsgrundlage für eine allfällige Datenübermittlung in ein Drittland, findet sich in Anlage II zu diesem Vertrag.
6.3.
Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Subunternehmern schriftlich oder per E-Mail. Der Auftraggeber kann gegen eine solche Änderung innerhalb von 14 Tagen nach Zugang der Information aus wichtigem, datenschutzrechtlich relevantem Grund Einspruch erheben.
6.4.
Der Auftragnehmer stellt sicher, dass er den Subunternehmern vertraglich dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag festgelegt sind (gemäß Art. 28 Abs. 4 DSGVO).
6.5.
Die Weitergabe von personenbezogenen Daten des Auftraggebers an einen geänderten Sub-Auftragsverarbeiter bzw. einen neuen Sub-Auftragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Änderung des Sub-Auftragsverarbeiters bzw. für eine Heranziehung eines neuen Sub-Auftragsverarbeiters gestattet.
6.6.
Datenübermittlungen in ein Drittland oder an eine internationale Organisation erfolgen nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss, Standardvertragsklauseln). Die jeweilige Grundlage wird in Anlage II dokumentiert.
7. Meldung von Verletzungen des Schutzes personenbezogener Daten
7.1.
Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, nachdem ihm die Verletzung bekannt wurde. Die Meldung enthält zumindest die in Art. 33 Abs. 3 DSGVO geforderten Informationen, soweit diese dem Auftragnehmer vorliegen.
8. Haftung
8.1.
Für die Haftung der Parteien gelten die gesetzlichen Bestimmungen, soweit nachfolgend nichts Abweichendes geregelt ist. Der Auftraggeber ist als Verantwortlicher gegenüber den betroffenen Personen für Schäden aus einer unzulässigen Verarbeitung haftbar.
8.2.
Im Innenverhältnis haften die Parteien im Ausmaß ihres jeweiligen Verschuldens. Die Haftungsbeschränkungen, die im über die Plattform geschlossenen Vertrag vereinbart wurden, gelten sinngemäß auch für die Haftung aus diesem Auftragsverarbeitungsvertrag.
8.3.
Der Auftragnehmer haftet für Schäden, die eine betroffene Person erleidet, nur dann, wenn er seinen spezifisch in diesem Vertrag festgelegten Pflichten als Auftragsverarbeiter nicht nachgekommen ist oder die rechtmäßigen Weisungen des Auftraggebers missachtet hat.
8.4.
Wenn der Auftraggeber Unternehmer ist, ist die Haftung des Auftragnehmers auf leichte Fahrlässigkeit beschränkt.
8.5.
Schadenersatzansprüche aus diesem Vertrag verjähren binnen eines Jahres ab Kenntnis von Schaden und Schädiger.
9. Cookies
9.1.
Sowohl die Plattform als auch die Website verwendet „Cookies", um das Angebot nutzerfreundlicher, effektiver und sicherer zu gestalten.
9.2.
Ein „Cookie" ist eine kleine Textdatei, die vom Auftragnehmer über einen Web-Server an die Cookie-Datei des Browsers auf die Festplatte des Auftraggebers übermittelt wird. Damit wird es der Plattform bzw. Website ermöglicht, den Auftraggeber als Nutzer wiederzuerkennen, wenn eine Verbindung zwischen dem Web-Server und dem Browser des Auftraggebers hergestellt wird. Cookies helfen u.a. dabei, die Nutzungshäufigkeit und Nutzungsart der Plattform bzw. Website zu ermitteln. Der Inhalt der vom Auftragnehmer verwendeten Cookies beschränkt sich auf eine Identifikationsnummer, die keine Personenbeziehbarkeit mehr auf den Nutzer zulässt.
9.3. Arten von Cookies
Zwei Arten von Cookies werden auf der Plattform bzw. Website verwendet:
- 9.3.1. Session Cookies: Das sind temporäre Cookies, die bis zum Verlassen der Plattform bzw. Website in der Cookie-Datei des Browsers verweilen und nach Ende des Besuchs automatisch gelöscht werden.
- 9.3.2. Dauerhafte Cookies: Für eine bessere Benutzerfreundlichkeit bleiben die Cookies auf dem jeweiligen Endgerät gespeichert und erlauben es dem Auftragnehmer, den Nutzer bei einem erneuten Besuch der Plattform bzw. Website wiederzuerkennen.
9.4.
Der Nutzer kann die Verwendung von Cookies über seine Browser-Einstellungen einschränken oder Cookies gänzlich ablehnen. Bereits gesetzte Cookies können jederzeit gelöscht werden. Es wird darauf hingewiesen, dass einzelne Funktionen der Plattform bzw. Website bei Deaktivierung von Cookies möglicherweise nicht oder nur eingeschränkt nutzbar sind.
9.5. Cookie-Kategorien
Die auf der Plattform bzw. Website verwendeten Cookies unterteilen sich in die folgenden Kategorien:
9.5.1. Essenzielle Cookies
Zweck: Damit die Cookie-Präferenzen des Auftraggebers berücksichtigt werden können, werden diese in den Cookies abgelegt.
Daten: Akzeptierte bzw. abgelehnte Cookie-Kategorien
Gesetzt von: dryven GmbH
Datenschutzerklärung: thynkai.at/datenschutz
9.5.2. Analytische Cookies
Zweck: Durch dieses Webanalyse-Tool ist es dem Auftragnehmer möglich, Nutzerstatistiken über die Aktivitäten zu erstellen und das Angebot bestmöglich an die Interessen und Bedürfnisse der Nutzer anzupassen.
Daten: Anonymisierte IP-Adresse; pseudonymisierte Benutzer-Identifikation; Datum und Uhrzeit der Anfrage; übertragene Datenmenge inkl. Meldung, ob die Anfrage erfolgreich war; verwendeter Browser; verwendetes Betriebssystem; Website, von der der Zugriff erfolgte
Gesetzt von: Google Ireland Limited
Datenschutzerklärung: policies.google.com/privacy
9.5.3. YouTube
Zweck: Diese Datenverarbeitung wird von YouTube durchgeführt, um die Funktionalität des Video-Players zu gewährleisten.
Daten: Geräteinformationen; IP-Adresse; Referrer-URL; angesehene Videos
Gesetzt von: Google Ireland Limited
Datenschutzerklärung: policies.google.com/privacy
10. Server-Log-Files
10.1.
Zur Optimierung der Plattform bzw. Website in Bezug auf die System-Performance, Benutzerfreundlichkeit und Bereitstellung von nützlichen Informationen erhebt und speichert der Provider der Website automatisch Informationen in so genannten Server-Log Files, die der Browser des Nutzers automatisch übermittelt. Davon umfasst sind die Internet-Protokoll Adresse (IP-Adresse), Browser und Spracheinstellung, Betriebssystem, Referrer URL, Internet Service Provider sowie Datum und Uhrzeit.
10.2.
Eine Zusammenführung dieser Daten mit personenbezogenen Datenquellen wird nicht vorgenommen. Der Auftragnehmer behält sich vor, diese Daten nachträglich zu prüfen, wenn ihm konkrete Anhaltspunkte für eine rechtswidrige Nutzung bekannt werden.
11. Analytics
11.1.
Die Plattform bzw. Website verwendet Google Analytics, um die Website-Nutzung zu analysieren. Die daraus gewonnenen Daten werden genutzt, um die Plattform bzw. Website sowie Werbemaßnahmen zu optimieren. Google Analytics ist ein Webanalysedienst, der von Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, United States) betrieben und bereitgestellt wird. Daten werden laut DSGVO somit in ein unsicheres Drittland versendet. Google verarbeitet die Daten zur Website-Nutzung im Auftrag des Auftragnehmers.
11.2.
Google Analytics speichert Cookies im Webbrowser des Nutzers für die Dauer von zwei Jahren seit dem letzten Besuch. Diese Cookies enthalten eine zufallsgenerierte User-ID, mit der der Nutzer bei zukünftigen Website-Besuchen wiedererkannt werden kann. Google hat sich vertraglich zu Maßnahmen verpflichtet, um die Vertraulichkeit der verarbeiteten Daten zu gewährleisten. Diese Daten werden an einen Server von Google in den USA übertragen. Google beachtet dabei die Datenschutzbestimmungen des „EU-US Data Privacy Framework"-Abkommens.
11.3.
Über das Google Conversion-Tracking erhebt, verarbeitet und speichert die Website mittels Cookies personenbezogene Daten. Hierfür wurde mit Google ein Auftragsverarbeitungsvertrag abgeschlossen und die IP-Adresse der Nutzer wird anonymisiert. Der Nutzer kann der Datenerhebung von Google Services (Google Analytics, Google Conversion-Tracking) jederzeit widersprechen, indem er die Cookie-Einstellungen aufruft und „Analytische Cookies" deaktiviert.
11.4.
Die aufgezeichneten Daten werden zusammen mit der zufallsgenerierten User-ID gespeichert, was die Auswertung pseudonymer Nutzerprofile ermöglicht. Diese nutzerbezogenen Daten werden automatisch nach 14 Monaten gelöscht. Sonstige Daten bleiben in aggregierter Form unbefristet gespeichert.
11.5.
Sollte der Nutzer mit der Erfassung nicht einverstanden sein, kann er diese mit der einmaligen Installation des Browser-Add-ons zur Deaktivierung von Google Analytics unterbinden: tools.google.com/dlpage/gaoptout
12. Kommunikation per E-Mail
12.1.
Der Nutzer muss bei der Kommunikation per E-Mail zur Gewährleistung der Vertraulichkeit der Inhalte eigene Vorkehrungen treffen: Wenn er den Auftragnehmer auf keine andere Antwortform hinweist, geht der Auftragnehmer davon aus, dass er dem Nutzer unter der gleichen Anschrift eine E-Mail senden kann. Für Schäden bei einer solchen Kommunikation haftet der Auftragnehmer nicht.
13. Schlussbestimmungen
13.1.
Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
13.2.
Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der ursprünglichen Bestimmung am nächsten kommt.
13.3.
Dieser Vertrag unterliegt österreichischem Recht unter Ausschluss seiner Verweisungsnormen.
Anlage I: Technische und Organisatorische Maßnahmen (TOMs)
Der Auftragnehmer trifft die nachfolgenden Maßnahmen gemäß Art. 32 DSGVO, um die Sicherheit der Verarbeitung zu gewährleisten.
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren (z.B. Schlüsselregelungen, Sicherheitsschlösser, Alarmanlagen bei Rechenzentren).
- Zugangskontrolle: Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (z.B. Passwortrichtlinien, Zwei-Faktor-Authentifizierung, automatische Sperrmechanismen).
- Zugriffskontrolle: Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (z.B. Rollen- und Berechtigungskonzepte, Need-to-know-Prinzip).
- Trennungskontrolle: Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (z.B. logische Mandantentrennung in der Softwarearchitektur).
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle: Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (z.B. Verschlüsselung wie TLS/SSL, VPN).
- Eingabekontrolle: Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (z.B. Protokollierung/Logging von administrativen Zugriffen).
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
- Verfügbarkeitskontrolle: Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (z.B. Backup- und Recovery-Konzepte, redundante Systemauslegung bei Cloud-Anbietern).
- Rasche Wiederherstellbarkeit: Verfahren, um die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige Überprüfung: Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen.
- Datenschutz-Management: Etablierte Datenschutz-Management-Prozesse zur kontinuierlichen Verbesserung des Datenschutzniveaus.
- Incident-Response-Management: Definierte Prozesse zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen und Datenschutzverletzungen.
Anlage II: Genehmigte Unterauftragsverarbeiter
Der Auftraggeber genehmigt dem Auftragnehmer den Einsatz der nachfolgend genannten Unterauftragsverarbeiter. Der Auftragnehmer stellt sicher, dass mit allen Unterauftragsverarbeitern datenschutzkonforme Verträge (gem. Art. 28 Abs. 4 DSGVO) geschlossen wurden.
| Dienst | Provider | Terms of Use / Zusammenarbeit |
|---|---|---|
| Gemini‑Modelle, Claude‑Modelle | Google Cloud Platform (Google Ireland Limited) | thynkAI nutzt für die Bereitstellung bestimmter Digitaler Mitarbeitender die KI‑Dienste von Google Vertex AI. Die Verarbeitung erfolgt auf Basis eines Kundenvertrags mit Google sowie der Service Specific Terms und des Data Processing Addendum (DPA). Google verarbeitet Kundendaten ausschließlich zur Durchführung von Modellanfragen. Eine Nutzung für Trainingszwecke findet nicht statt. Die Datenverarbeitung erfolgt grundsätzlich innerhalb der von thynkAI ausgewählten EU‑Region („EU Residency"). Für bestimmte Digitale Mitarbeitende können Modellvarianten verwendet werden, die global gehostet sind. In diesen Fällen kann die Verarbeitung außerhalb der EU stattfinden. Die betroffenen Digitalen Mitarbeitenden sind entsprechend gekennzeichnet. Google ist nach EU‑Standardvertragsklauseln und dem EU‑US Data Privacy Framework zertifiziert. Eine Weitergabe an unbefugte Dritte findet nicht statt. |
| Hosting, Infrastruktur | Lovable GmbH (EU Region) | thynkAI betreibt seine Plattform vollständig in den EU‑Rechenzentren von Lovable Cloud. Lovable agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO und stellt Hosting, Infrastruktur, Datenbankzugriffe sowie API‑Kommunikation bereit. Lovable verpflichtet sich zur Einhaltung der DSGVO, zur Nutzung ausschließlich europäischer Datenregionen, sowie zur Führung und Offenlegung seiner Sub‑Processor‑Liste. |
| Datenbank, Auth, Storage | Supabase, Inc. (EU Region über Google Cloud) | thynkAI betreibt eine Supabase‑Instanz in der EU‑Region der Google Cloud. Supabase speichert Benutzer‑ und Lizenzverwaltungsdaten, System‑Prompts (technisch notwendig) sowie API‑Konfigurationen. Supabase nutzt Kundendaten nicht zu eigenen Zwecken und verarbeitet ausschließlich innerhalb europäischer Regionen gemäß DPA, TOMs und SCCs. |
| Zahlungsabwicklung, Billing | Stripe Payments Europe Ltd. | Stripe wird als Auftragsverarbeiter für Zahlungsdaten eingesetzt. Für bestimmte gesetzlich erforderliche Prüfungen (z.B. KYC, Risikobewertung) ist Stripe gleichzeitig eigener Verantwortlicher. Stripe speichert und verarbeitet personenbezogene Daten ausschließlich gemäß dem Stripe DPA, den Service Terms und EU‑Standardvertragsklauseln. Stripe arbeitet nach dem „EU‑First"-Prinzip, kann jedoch im Rahmen seiner globalen Finanzdienstleisterstruktur Daten an geprüfte Unterdienstleister weitergeben. |
| Fehlerdiagnose, Monitoring | Sentry EU (Functional Software Inc.) | Sentry wird ausschließlich zur technischen Fehleridentifikation genutzt. thynkAI übermittelt an Sentry keine Kundendaten, keine Inhalte, keine Prompts, sondern lediglich pseudonymisierte technische Metadaten (z.B. Fehlercodes, Hashes, Systemzustände). Die Verarbeitung findet über das Sentry‑EU‑Hosting statt und unterliegt dem Sentry DPA sowie den EU‑Standardvertragsklauseln. Sentry nutzt die bereitgestellten Daten nicht zu eigenen Zwecken und speichert keine personenbezogenen Inhalte aus Nutzereingaben. |
| LLM‑Routing, API‑Management | Eigenbetrieb von thynkAI | LiteLLM wird vollständig von thynkAI betrieben und ist kein externer Auftragsverarbeiter. Die Instanz läuft in der EU‑Region der Google Cloud. Es findet keine Speicherung von personenbezogenen Daten statt. LiteLLM dient ausschließlich der Weiterleitung von Anfragen an die gewünschten LLM‑Provider. Auftragsverarbeiter ist ausschließlich der Hosting‑Provider (Google Cloud), nicht LiteLLM selbst. |
Stand: März 2026