Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO zwischen dem jeweiligen Kunden der Global Trade Dynamics GmbH, nachfolgend „Verantwortlicher“, und Global Trade Dynamics GmbH Durlacher Allee 75 76131 Karlsruhe Deutschland Handelsregister: HRB 108329 Registergericht: Amtsgericht Mannheim Vertreten durch: Frank Meier Telefon: +49 721 98899588 E-Mail: info@global-trade-dynamics.com Umsatzsteuer-Identifikationsnummer gemäß § 27a Umsatzsteuergesetz: DE 196964661 nachfolgend „Auftragsverarbeiter“. Präambel Dieser Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Der AVV gilt nur, soweit die Global Trade Dynamics GmbH im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies betrifft insbesondere Leistungen im Zusammenhang mit Webseiten, Landingpages, Kontaktformularen, Lead-Erfassung, Lead-Weiterleitung, CRM-Anbindungen, Automationen, technischem Support, KI-Beratung, KI-gestützten Systemen und vergleichbaren digitalen Prozessen. Eine reine Beratung, Strategieentwicklung oder einmalige technische Einrichtung ohne Zugriff auf personenbezogene Daten des Verantwortlichen unterliegt diesem AVV nur, soweit tatsächlich personenbezogene Daten im Auftrag verarbeitet werden. Im Fall von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen gehen die Regelungen dieses AVV hinsichtlich der Auftragsverarbeitung vor. § 1 Gegenstand und Dauer der Verarbeitung Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Verantwortlichen im Rahmen der vereinbarten Leistungen. Gegenstand der Verarbeitung ist insbesondere die technische Erfassung, Verarbeitung, Speicherung, Strukturierung, Vorqualifizierung, Weiterleitung oder Übergabe von Kontakt-, Anfrage-, Lead-, Kommunikations- und CRM-Daten, die über vom Verantwortlichen beauftragte Webseiten, Landingpages, Formulare, Funnel, CRM-Anbindungen, Automationen, KI-gestützte Systeme oder vergleichbare digitale Prozesse erhoben oder verarbeitet werden. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des jeweiligen Vertragsverhältnisses sowie nach den dokumentierten Weisungen des Verantwortlichen. Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten nach Weisung des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen und soweit die Daten dem Auftragsverarbeiter technisch zugänglich sind. § 2 Art und Zweck der Verarbeitung Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung der vereinbarten digitalen Dienstleistungen. Die Verarbeitung umfasst insbesondere: a) Einrichtung und Betrieb von Webseiten, Landingpages, Kontaktformularen, Anfrageformularen und Funnel-Systemen, b) Erfassung von Kontakt-, Anfrage- und Lead-Daten, c) technische Weiterleitung von Anfragen an den Verantwortlichen, d) Übergabe von Daten an vom Verantwortlichen bestimmte E-Mail-Adressen, CRM-Systeme, Kalender, Automationssysteme oder sonstige Zielsysteme, e) technische Betreuung, Wartung, Fehleranalyse und Support, f) Einrichtung oder Betreuung von Automationen, soweit diese durch den Auftragsverarbeiter betrieben oder technisch verwaltet werden, g) Dokumentation und technische Sicherstellung der Funktionsfähigkeit der vereinbarten Systeme, h) Vorqualifizierung und strukturierte Übergabe von Leads, i) Betrieb oder technische Betreuung von Consent-Management-Funktionen, j) Verarbeitung im Rahmen von KI-gestützten Tools, Chatbots, Voicebots, digitalen Assistenten oder LLM-Anwendungen, soweit dies ausdrücklich vereinbart wurde. Eine Verarbeitung durch KI-Sprachmodelle, LLM-Anwendungen, Coding-Agenten oder sonstige KI-Systeme erfolgt nur, wenn dies im Einzelfall ausdrücklich vereinbart wurde oder für die vereinbarte KI-gestützte Leistung technisch erforderlich ist. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht zu eigenen Zwecken, insbesondere nicht zu eigener Werbung, eigenem Profiling, eigenem Scoring oder zum Training eigener oder fremder KI-Modelle, sofern hierfür keine ausdrückliche dokumentierte Weisung des Verantwortlichen vorliegt. § 3 Kategorien personenbezogener Daten Verarbeitet werden können insbesondere: a) Name und Vorname, b) E-Mail-Adresse, c) Telefonnummer, d) Unternehmensname, e) Anschrift oder Einsatzort, soweit angegeben, f) Anfrageinhalte, g) Formularangaben, h) Terminwünsche, i) Kommunikationsdaten, j) technische Metadaten wie Zeitstempel, IP-Adresse, Formularquelle, Übermittlungsstatus, Logdaten, Browserdaten und Geräteinformationen, k) CRM-Daten und Lead-Statusdaten, l) Webhook-Payloads und Schnittstellendaten, m) Consent- und Einwilligungsdaten, n) Chatverläufe, Eingaben, Prompts, Antwortentwürfe und Systemausgaben, soweit KI-gestützte Systeme vereinbart sind, o) Audiodaten, Gesprächstranskripte, Gesprächszusammenfassungen und Kommunikationsinhalte, soweit Voicebot-, Telefonie- oder Audioverarbeitung ausdrücklich vereinbart ist, p) Bewerber-, Beschäftigten-, Patienten-, Pflege-, Gesundheits-, Finanz-, Immobilien-, Investment-, M&A-, E-Commerce- oder sonstige branchenspezifische Daten, soweit der Verantwortliche solche Daten in beauftragte Systeme einbringt oder deren Verarbeitung ausdrücklich beauftragt, q) sonstige personenbezogene Daten, die betroffene Personen freiwillig übermitteln oder die der Verantwortliche in die Systeme einbringt. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO werden nur verarbeitet, wenn der Verantwortliche solche Daten ausdrücklich bereitstellt, deren Verarbeitung beauftragt oder die Verarbeitung aufgrund des konkreten Branchen- oder Projektkontextes erforderlich ist. Dies kann insbesondere Gesundheitsdaten, Pflegedaten, Patientendaten oder vergleichbar sensible Angaben betreffen. Der Verantwortliche ist verpflichtet, den Auftragsverarbeiter vor Beginn der Verarbeitung ausdrücklich in Textform zu informieren, wenn besondere Kategorien personenbezogener Daten, Berufsgeheimnisse, Patientendaten, Mandantendaten, Beschäftigtendaten, Bewerberdaten, Finanzdaten, Investmentdaten oder sonstige besonders schutzbedürftige Daten verarbeitet werden sollen. § 4 Kategorien betroffener Personen Betroffene Personen sind insbesondere: Kunden des Verantwortlichen, Interessenten des Verantwortlichen, Website-Besucher, Nutzer von Landingpages, Formularen, Funnels, Chatbots, Voicebots oder sonstigen digitalen Prozessen, Ansprechpartner bei Unternehmen, Bewerber, Beschäftigte oder freie Mitarbeitende, soweit entsprechende Prozesse beauftragt sind, Patienten, Pflegebedürftige, Angehörige oder Gesundheitsinteressenten, soweit entsprechende Branchen- oder Gesundheitsprozesse beauftragt sind, Verkäufer, Käufer, Tippgeber, Investoren, M&A-Interessenten oder sonstige Personen in Immobilien-, Investment-, Beratungs- oder Finanzkontexten, soweit entsprechende Prozesse beauftragt sind, sonstige Personen, die über eine Webseite, Landingpage, ein Formular, ein CRM-System, einen Kommunikationskanal oder einen digitalen Prozess Kontakt mit dem Verantwortlichen aufnehmen. § 5 Rechte und Pflichten des Verantwortlichen Der Verantwortliche bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Der Verantwortliche stellt insbesondere sicher, dass: a) für die Erhebung und Verarbeitung der Daten eine ausreichende Rechtsgrundlage besteht, b) die betroffenen Personen ordnungsgemäß über die Datenverarbeitung informiert werden, c) notwendige Einwilligungen, Datenschutzhinweise, Cookie-Hinweise, Consent-Banner, KI-Hinweise oder sonstige rechtliche Texte auf der jeweiligen Webseite, Landingpage oder im jeweiligen digitalen Prozess eingebunden werden, d) die vom Verantwortlichen vorgegebenen Empfänger, E-Mail-Adressen, CRM-Systeme, Kalender, Automationskonten, Hosting-Konten oder sonstigen Zielsysteme datenschutzkonform genutzt werden, e) der Auftragsverarbeiter nur rechtmäßige, eindeutige und umsetzbare Weisungen erhält, f) besondere Kategorien personenbezogener Daten nur verarbeitet werden, wenn hierfür eine ausreichende Rechtsgrundlage und geeignete Schutzmaßnahmen bestehen, g) automatisierte Entscheidungen, Profiling, Scoring oder KI-gestützte Interaktionen nur rechtmäßig eingesetzt werden. Soweit der Verantwortliche eigene Systeme, E-Mail-Adressen, CRM-Systeme, Automationskonten, Hosting-Konten, Kalender, Analyse-Tools oder sonstige Dienste vorgibt, ist der Verantwortliche für deren datenschutzkonforme Nutzung selbst verantwortlich. Der Verantwortliche hat den Auftragsverarbeiter unverzüglich zu informieren, wenn eine Weisung nach seiner Einschätzung gegen Datenschutzrecht verstößt oder eine besondere Risikolage besteht. § 6 Pflichten des Auftragsverarbeiters Der Auftragsverarbeiter verpflichtet sich insbesondere: a) personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, b) die Vertraulichkeit der Daten zu wahren und alle mit der Verarbeitung betrauten Personen entsprechend zu verpflichten, c) geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen, d) den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten angemessen zu unterstützen, e) den Verantwortlichen bei der Erfüllung datenschutzrechtlicher Pflichten angemessen zu unterstützen, soweit dies die Verarbeitung durch den Auftragsverarbeiter betrifft, f) den Verantwortlichen über relevante Datenschutzverletzungen unverzüglich zu informieren, g) personenbezogene Daten nach Beendigung des Auftrags nach Weisung des Verantwortlichen zu löschen oder zurückzugeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen, h) keine personenbezogenen Daten für eigene Zwecke zu verwenden, i) Kundendaten nicht zum Training, Fine-Tuning oder zur Verbesserung eigener oder fremder KI-Modelle zu verwenden, sofern keine ausdrückliche dokumentierte Weisung des Verantwortlichen vorliegt, j) Unterauftragsverarbeiter nur nach Maßgabe dieses AVV einzusetzen. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Der Auftragsverarbeiter gewährleistet, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. § 7 Weisungsbindung Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet ist. Weisungen können sich aus dem Hauptvertrag, diesem AVV, dem Angebot, der Leistungsbeschreibung, dem Projektplan, einer dokumentierten E-Mail, einem Ticket, einer Freigabe oder sonstigen dokumentierten Kommunikation ergeben. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Der Auftragsverarbeiter darf die Umsetzung rechtswidriger, unklarer oder technisch nicht umsetzbarer Weisungen aussetzen, bis eine rechtmäßige und eindeutige Weisung vorliegt. § 8 Vertraulichkeit Der Auftragsverarbeiter behandelt alle personenbezogenen Daten und sonstigen vertraulichen Informationen des Verantwortlichen vertraulich. Zugriff auf personenbezogene Daten erhalten nur Personen, die diesen Zugriff zur Erfüllung ihrer Aufgaben benötigen. Die Vertraulichkeitsverpflichtung gilt auch nach Beendigung des Vertragsverhältnisses fort. § 9 Technische und organisatorische Maßnahmen Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um. Die technischen und organisatorischen Maßnahmen sind in Anlage 3 beschrieben. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und Zwecken der Verarbeitung sowie dem Risiko für die Rechte und Freiheiten natürlicher Personen angepasst. Zu den Maßnahmen gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Weitergabekontrolle, Eingabekontrolle, Verfügbarkeitskontrolle, Trennungsgebot, TLS-Verschlüsselung, rollenbasierte Rechtevergabe, Protokollierung, sichere Passwörter, Zwei-Faktor-Authentifizierung, Pseudonymisierung soweit zweckmäßig, Minimierung lokaler Speicherung, kundenspezifische Projekttrennung sowie getrennte Verarbeitung von Inhaltsdaten und Metadaten, soweit technisch möglich und erforderlich. § 10 KI-spezifische Datenschutzregelungen Personenbezogene Daten des Verantwortlichen dürfen nicht für das Training, Fine-Tuning, Reinforcement Learning, Modellverbesserung, Produktverbesserung oder sonstige dauerhafte Optimierung eigener oder fremder KI-Modelle verwendet werden, sofern der Verantwortliche hierzu keine ausdrückliche dokumentierte Weisung erteilt hat. Soweit technisch und vertraglich verfügbar, sind KI-API-Anbieter, LLM-Systeme oder sonstige KI-Dienste so zu konfigurieren, dass keine dauerhafte Speicherung von Kundendaten zu Trainingszwecken erfolgt. Zero-Data-Retention oder vergleichbare datensparsame Konfigurationen sind einzusetzen, soweit sie technisch verfügbar, vertraglich vereinbart und mit der jeweiligen Leistung kompatibel sind. Prompts, Eingaben, Dateien, Gesprächsinhalte, Audiodaten, Transkripte, Chatverläufe und KI-Ausgaben dürfen nur so lange gespeichert werden, wie dies für die vereinbarte Leistung, Fehlersuche, Nachvollziehbarkeit, Support, Sicherheit oder gesetzliche Pflichten erforderlich ist. Eine dauerhafte Speicherung durch KI-API-Anbieter erfolgt nicht, soweit dies vertraglich ausgeschlossen, technisch verfügbar und im jeweiligen Dienst konfigurierbar ist. Der Auftragsverarbeiter wird personenbezogene Daten nicht in frei zugängliche öffentliche KI-Dienste eingeben, wenn dadurch eine unkontrollierte Nutzung, Speicherung oder Weiterverarbeitung durch Dritte erfolgen kann. Soweit der Verantwortliche die Nutzung bestimmter KI-Systeme, KI-Modelle, APIs oder Automationsdienste anweist oder eigene Accounts bereitstellt, ist der Verantwortliche für die Auswahl, Vertragsgrundlage, Datenschutzprüfung und Rechtmäßigkeit dieser Dienste verantwortlich. § 11 Löschung und Rückgabe von Daten Nach Beendigung des Vertragsverhältnisses oder auf dokumentierte Weisung des Verantwortlichen löscht der Auftragsverarbeiter personenbezogene Daten oder gibt diese an den Verantwortlichen zurück, soweit dies technisch möglich und rechtlich zulässig ist. Die Löschung oder Rückgabe erfolgt innerhalb von 30 Tagen nach Vertragsende oder nach entsprechender dokumentierter Weisung, soweit keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweisinteressen oder technische Einschränkungen entgegenstehen. Daten, die sich in Systemen befinden, die der Verantwortliche selbst betreibt oder vorgibt, sind vom Verantwortlichen selbst zu löschen, zu exportieren oder zu verwalten. Backups und Protokolldaten werden im Rahmen regulärer Sicherungs- und Löschzyklen gelöscht, soweit keine gesetzlichen oder sicherheitsbezogenen Gründe entgegenstehen. Gesetzliche Aufbewahrungspflichten bleiben unberührt. § 12 Unterstützung bei Betroffenenrechten Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren und Erforderlichen bei der Erfüllung von Anfragen betroffener Personen. Dies betrifft insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und automatisierte Entscheidungen. Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, wird der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiterleiten, sofern eine Zuordnung möglich ist. Der Auftragsverarbeiter beantwortet Betroffenenanfragen nicht eigenständig, sofern er hierzu nicht vom Verantwortlichen angewiesen wurde oder gesetzlich verpflichtet ist. § 13 Unterstützung bei Datenschutzpflichten und Datenschutzverletzungen Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren und Erforderlichen bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO, soweit die Verarbeitung durch den Auftragsverarbeiter betroffen ist. Der Auftragsverarbeiter informiert den Verantwortlichen über relevante Datenschutzverletzungen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, soweit personenbezogene Daten aus dem Auftragsverhältnis betroffen sind. Die Meldung enthält, soweit verfügbar: a) Art der Datenschutzverletzung, b) betroffene Datenkategorien, c) betroffene Personengruppen, d) voraussichtliche Folgen, e) bereits ergriffene oder vorgeschlagene Maßnahmen, f) Ansprechpartner für Rückfragen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Untersuchung, Eindämmung, Dokumentation und Behebung des Vorfalls. § 14 Unterauftragsverarbeiter Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Unterauftragsverarbeiter einzusetzen, soweit dies zur Erbringung der vereinbarten Leistungen erforderlich ist. Die genehmigten Unterauftragsverarbeiter sind in Anlage 4 aufgeführt. Der Auftragsverarbeiter stellt sicher, dass mit eingesetzten Unterauftragsverarbeitern Vereinbarungen gemäß Art. 28 DSGVO bestehen, soweit diese als Auftragsverarbeiter im Sinne der DSGVO tätig werden. Änderungen oder Ergänzungen der Unterauftragsverarbeiter werden dem Verantwortlichen rechtzeitig in Textform mitgeteilt oder über eine aktualisierte Fassung dieses AVV bereitgestellt. Der Verantwortliche kann gegen neue Unterauftragsverarbeiter aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen nach Mitteilung widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt der Einsatz als genehmigt. Vom Verantwortlichen selbst vorgegebene Systeme, insbesondere eigene E-Mail-Postfächer, CRM-Systeme, Automationskonten, Hosting-Konten, Kalender, Analytics-Systeme oder sonstige Dienste, gelten nicht als Unterauftragsverarbeiter des Auftragsverarbeiters. § 15 Datenübermittlung in Drittländer Eine Übermittlung personenbezogener Daten in Drittländer erfolgt durch den Auftragsverarbeiter nur, soweit dies zur Leistungserbringung erforderlich ist oder durch den Verantwortlichen veranlasst wird und die Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden. Geeignete Garantien können insbesondere sein: a) Angemessenheitsbeschlüsse der Europäischen Kommission, b) EU-Standardvertragsklauseln, c) Binding Corporate Rules, d) anerkannte Datenschutzrahmen wie das EU-U.S. Data Privacy Framework, e) sonstige nach der DSGVO zulässige Garantien. Nach aktueller Standardkonfiguration erfolgt die Erfassung und technische Verarbeitung von Lead-Daten über europäische beziehungsweise in der EU betriebene Systeme. Eine Weiterleitung an vom Verantwortlichen benannte Empfänger oder Systeme erfolgt nach dessen Weisung. Soweit der Verantwortliche selbst Systeme mit Drittlandbezug vorgibt, trägt der Verantwortliche die Verantwortung für die Rechtmäßigkeit der Drittlandübermittlung, sofern GTD diese Systeme nicht im eigenen Namen beauftragt. § 16 Kontrollrechte und Audits Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV im angemessenen Umfang zu überprüfen oder durch einen zur Verschwiegenheit verpflichteten Dritten überprüfen zu lassen. Die Prüfung ist vorher in Textform anzukündigen und so durchzuführen, dass der Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigt wird. Regelmäßige Vor-Ort-Prüfungen sind grundsätzlich einmal jährlich zulässig, sofern kein konkreter Anlass für eine zusätzliche Prüfung besteht. Der Auftragsverarbeiter kann geeignete Nachweise, Dokumentationen, Zertifizierungen, Sicherheitskonzepte oder Bestätigungen eingesetzter Dienstleister bereitstellen, soweit dies zur Erfüllung der Kontrollrechte angemessen und erforderlich ist. Kosten, die durch eine Prüfung entstehen, trägt jede Partei selbst, sofern nicht die Prüfung einen wesentlichen Verstoß des Auftragsverarbeiters gegen diesen AVV ergibt. § 17 Schlussbestimmungen Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht. Soweit dieser AVV keine abweichenden Regelungen enthält, gelten die Hauptvereinbarung und die AGB ergänzend. Anlage 1 – Gegenstand, Zweck und Art der Verarbeitung Gegenstand der Verarbeitung ist die Erbringung digitaler Dienstleistungen durch die Global Trade Dynamics GmbH für den Verantwortlichen, insbesondere im Zusammenhang mit Webseiten, Landingpages, Formularen, Funnel-Systemen, Lead-Erfassung, Lead-Weiterleitung, CRM-Anbindungen, Automationen, technischem Support, KI-gestützten Leistungen und vergleichbaren digitalen Prozessen. Zweck der Verarbeitung ist: a) Aufbau und Betrieb digitaler Vertriebs- und Anfrageprozesse, b) Erfassung und Weiterleitung von Leads, c) technische Bereitstellung von Webseiten, Landingpages und Formularsystemen, d) Vorqualifizierung von Anfragen, e) Anbindung an E-Mail-, CRM-, Kalender- und Automationssysteme, f) technische Wartung, Fehleranalyse und Support, g) Umsetzung von KI-gestützten Prozessen, soweit vereinbart, h) Gewährleistung von Sicherheit, Verfügbarkeit und Funktionsfähigkeit der beauftragten Systeme. Art der Verarbeitung ist insbesondere: a) Erheben, b) Erfassen, c) Speichern, d) Strukturieren, e) Übermitteln, f) Auslesen, g) Abgleichen, h) Weiterleiten, i) Löschen, j) Einschränken, k) Pseudonymisieren, soweit zweckmäßig, l) Protokollieren, m) technische Analyse, n) KI-gestützte Verarbeitung, soweit vereinbart. Anlage 2 – Kategorien personenbezogener Daten und betroffener Personen 1. Kategorien personenbezogener Daten Verarbeitet werden können insbesondere: Name und Vorname, E-Mail-Adresse, Telefonnummer, Unternehmensname, Anschrift oder Einsatzort, soweit angegeben, Anfrageinhalte, Formularangaben, Terminwünsche, Kommunikationsdaten, technische Metadaten wie Zeitstempel, IP-Adresse, Formularquelle oder Übermittlungsstatus, CRM-Daten, Lead-Statusdaten und Übergabedaten, Webhook-Payloads und Schnittstellendaten, Consent- und Einwilligungsdaten, Chatverläufe, Prompts, Eingaben und KI-Ausgaben, soweit vereinbart, Audiodaten, Gesprächstranskripte und Gesprächszusammenfassungen, soweit vereinbart, besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, insbesondere Gesundheits- oder Pflegedaten, soweit der Verantwortliche deren Verarbeitung ausdrücklich beauftragt oder solche Daten in die Systeme einbringt, sonstige personenbezogene Daten, die der Interessent freiwillig übermittelt. 2. Kategorien betroffener Personen Betroffene Personen sind insbesondere: Kunden des Verantwortlichen, Interessenten des Verantwortlichen, Website-Besucher, Ansprechpartner bei Unternehmen, Nutzer von Formularen, Landingpages, Funnel-Systemen, Chatbots, Voicebots oder digitalen Assistenten, Bewerber und Beschäftigte, soweit entsprechende Prozesse beauftragt sind, Patienten, Pflegebedürftige, Angehörige oder Gesundheitsinteressenten, soweit entsprechende Prozesse beauftragt sind, Käufer, Verkäufer, Tippgeber, Investoren, Geschäftspartner oder sonstige branchenspezifische Kontakte, soweit entsprechende Prozesse beauftragt sind, sonstige Personen, die über eine Webseite, Landingpage, ein Formular oder einen digitalen Prozess Kontakt mit dem Verantwortlichen aufnehmen. Anlage 3 – Technische und organisatorische Maßnahmen Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um. Diese umfassen insbesondere folgende Maßnahmen: 1. Zutrittskontrolle Büroräume sind gegen unbefugten Zutritt geschützt. Besucher erhalten nur begleiteten Zugang zu Arbeitsbereichen. Es werden keine eigenen physischen Serverräume durch den Auftragsverarbeiter betrieben. 2. Zugangskontrolle Zugriff auf Systeme erfolgt nur durch autorisierte Personen. Zugänge werden personenbezogen vergeben. Starke Passwörter und Passwortmanager werden eingesetzt. Zwei-Faktor-Authentifizierung wird eingesetzt, soweit technisch verfügbar und für produktive Systeme erforderlich. 3. Zugriffskontrolle Zugriff auf personenbezogene Daten erfolgt nur nach dem Need-to-know-Prinzip. Berechtigungen werden auf das notwendige Maß beschränkt. Administratorrechte werden restriktiv vergeben. Rollen- und Rechtekonzepte werden projektbezogen eingesetzt, soweit die jeweiligen Systeme dies unterstützen. Zugangsdaten und API-Schlüssel werden nicht offen oder unverschlüsselt per E-Mail weitergegeben. 4. Weitergabekontrolle Datenübertragungen erfolgen grundsätzlich verschlüsselt, insbesondere über HTTPS/TLS. Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur auf Weisung des Verantwortlichen oder im Rahmen genehmigter Unterauftragsverhältnisse. Lead-Daten werden nur an die vom Verantwortlichen bestimmten Empfänger oder Systeme weitergeleitet. Schnittstellen und Webhook-Payloads werden so konfiguriert, dass nur die für den jeweiligen Zweck erforderlichen Daten übertragen werden, soweit technisch möglich. 5. Eingabekontrolle und Nachvollziehbarkeit Änderungen an Formularen, Weiterleitungen, Automationen oder technischen Einstellungen werden projektbezogen dokumentiert. Soweit Systeme entsprechende Funktionen bereitstellen, werden technische Ereignisse oder Änderungen über Protokolle nachvollziehbar gemacht. Zugriffe und Änderungen werden im Rahmen der verfügbaren Systemfunktionen nachvollziehbar gehalten. 6. Verfügbarkeitskontrolle Die Verfügbarkeit der eingesetzten Systeme wird primär durch die jeweiligen Plattform- und Hosting-Dienstleister gewährleistet. Konfigurationen und technische Einstellungen werden so dokumentiert, dass eine Wiederherstellung oder Neueinrichtung möglich ist. Störungen werden nach Kenntnisnahme geprüft und im Rahmen der vertraglich vereinbarten Leistungen bearbeitet. Sicherheitsfunktionen wie SSL, DDoS-Schutz, Monitoring oder Backups werden eingesetzt, soweit diese Bestandteil der jeweiligen Plattform- oder Hosting-Leistungen sind. 7. Trennungsgebot Kundendaten werden organisatorisch und technisch getrennt verarbeitet. Projekte, Webseiten, Formulare oder Workspaces werden kundenspezifisch eingerichtet. Eine Vermischung von Daten verschiedener Kunden wird durch organisatorische und technische Maßnahmen vermieden. Inhaltsdaten und Metadaten werden, soweit technisch möglich und zweckmäßig, getrennt verarbeitet oder getrennt ausgewertet. 8. Speicher- und Datenträgerkontrolle Arbeitsgeräte sind passwortgeschützt. Lokale Speicherung personenbezogener Kundendaten wird auf das notwendige Minimum beschränkt. Mobile Datenträger werden nicht zur dauerhaften Speicherung personenbezogener Kundendaten genutzt. Datenexporte werden nur erstellt, soweit dies für Support, Migration, Dokumentation oder Weisungen des Verantwortlichen erforderlich ist. 9. Datenschutzfreundliche Voreinstellungen Es werden nur solche personenbezogenen Daten verarbeitet, die für den jeweiligen Zweck erforderlich sind. Formularfelder werden auf das notwendige Maß beschränkt, soweit der Verantwortliche keine abweichenden Anforderungen stellt. Weiterleitungen erfolgen nur an vom Verantwortlichen benannte Empfänger oder Systeme. Tracking-Skripte und vergleichbare Technologien werden, soweit beauftragt und technisch möglich, über Consent-Management-Funktionen gesteuert. 10. Vertraulichkeit Alle mit der Verarbeitung betrauten Personen werden zur Vertraulichkeit verpflichtet. Eine Sensibilisierung für Datenschutz und IT-Sicherheit erfolgt anlassbezogen, insbesondere bei neuen Projekten oder neuen Mitarbeitenden. 11. Auftragskontrolle Unterauftragsverarbeiter werden nur eingesetzt, soweit sie zur Leistungserbringung erforderlich sind. Mit Unterauftragsverarbeitern bestehen, soweit erforderlich, Vereinbarungen gemäß Art. 28 DSGVO. Änderungen bei Unterauftragsverarbeitern werden nach Maßgabe dieses AVV kommuniziert. 12. Umgang mit Datenschutzvorfällen Es besteht ein internes Verfahren zur Erkennung, Bewertung und Behandlung von Datenschutz- oder Sicherheitsvorfällen. Der Verantwortliche wird über relevante Datenschutzverletzungen unverzüglich informiert, soweit personenbezogene Daten aus dem Auftragsverhältnis betroffen sind. 13. KI-spezifische TOMs Kundendaten werden nicht zum Training, Fine-Tuning oder zur Verbesserung eigener oder fremder KI-Modelle verwendet, sofern keine ausdrückliche dokumentierte Weisung des Verantwortlichen vorliegt. Zero-Data-Retention oder vergleichbare datensparsame Einstellungen werden eingesetzt, soweit technisch und vertraglich verfügbar. Prompts, Chatverläufe, Transkripte, Audiodaten und KI-Ausgaben werden nur verarbeitet, soweit dies für die vereinbarte Leistung erforderlich ist. Öffentliche KI-Dienste ohne kontrollierbare Vertraulichkeits- und Datenschutzbedingungen werden nicht für personenbezogene Kundendaten eingesetzt. KI-bezogene Zugriffe erfolgen nur durch berechtigte Personen und im Rahmen des jeweiligen Projekts. Anlage 4 – Unterauftragsverarbeiter Der Verantwortliche stimmt der Beauftragung der nachfolgend aufgeführten Unterauftragsverarbeiter zu, soweit deren Einsatz zur Erbringung der vereinbarten Leistungen erforderlich ist. Onepage GmbH Sitz: Frankfurt am Main, Deutschland Leistung: Bereitstellung, Hosting und Betrieb von Webseiten, Landingpages, Formularen, Funnel-Seiten und damit verbundenen Funktionen zur Erfassung und technischen Verarbeitung von Anfragen und Lead-Daten. Datenarten: Kontaktdaten, Formulardaten, Anfrageinhalte, technische Metadaten. Datentransfer: Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union bzw. nach Maßgabe der von Onepage bereitgestellten Datenschutz- und Auftragsverarbeitungsbedingungen. Vom Verantwortlichen vorgegebene E-Mail-, CRM- oder Zielsysteme Sitz: abhängig vom jeweiligen Anbieter des Verantwortlichen Leistung: Empfang oder Weiterverarbeitung von Lead-Daten, Kontaktanfragen oder Formularübermittlungen nach Weisung des Verantwortlichen. Hinweis: Diese Systeme werden vom Verantwortlichen ausgewählt und gelten nicht als Unterauftragsverarbeiter des Auftragsverarbeiters, soweit der Auftragsverarbeiter sie nicht selbst betreibt oder im eigenen Namen beauftragt. E-Mail- und Kommunikationsdienste des Auftragsverarbeiters, soweit eingesetzt Leistung: Versand, Empfang oder Weiterleitung von E-Mails im Rahmen der Leistungserbringung. Datenarten: Kontaktdaten, Kommunikationsdaten, Anfrageinhalte. Datentransfer: Soweit Anbieter mit Sitz oder Konzernbezug außerhalb der EU eingesetzt werden, erfolgt eine Übermittlung nur nach Maßgabe der Art. 44 ff. DSGVO. Automations- und Schnittstellendienste, soweit durch GTD betrieben Leistung: Technische Verbindung von Formularen, Webseiten, CRM-Systemen, Kalendern, E-Mail-Systemen oder sonstigen digitalen Anwendungen. Beispiele: n8n, Make, Zapier oder vergleichbare Dienste, soweit diese durch den Auftragsverarbeiter im eigenen Namen betrieben oder verwaltet werden. Datenarten: Kontaktdaten, Formulardaten, Anfrageinhalte, technische Metadaten, Übermittlungsstatus. Datentransfer: Abhängig vom eingesetzten Dienst. Soweit Drittlandübermittlungen erfolgen, werden geeignete Garantien gemäß Art. 44 ff. DSGVO eingesetzt. Hosting-, Sicherheits- und Infrastruktur-Dienstleister, soweit eingesetzt Leistung: Technische Bereitstellung von Infrastruktur, Speicherplatz, Sicherheitsfunktionen, SSL-Zertifikaten, Backups, Monitoring oder Schutz gegen Angriffe. Datenarten: technische Metadaten, IP-Adressen, Logdaten, ggf. Formular- oder Lead-Daten. Datentransfer: Soweit Drittlandübermittlungen erfolgen, werden geeignete Garantien gemäß Art. 44 ff. DSGVO eingesetzt.