Rechtliches

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO zwischen Ihnen (Verantwortlicher) und InfinityMade (Auftragsverarbeiter). Wirksam mit Vertragsabschluss.

§ 1 Gegenstand und Dauer

(1) Dieser AVV regelt die Verarbeitung personenbezogener Daten durch InfinityMade (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der Bereitstellung der vereinbarten SaaS-Dienste (WhatsApp KI-Bot, Online-Buchung, Webdesign).

(2) Die Dauer des AVV entspricht der Dauer des Hauptvertrags zwischen den Parteien.

§ 2 Art und Zweck der Verarbeitung

InfinityMade verarbeitet die folgenden personenbezogenen Daten zum Zweck der Bereitstellung des Dienstes:

  • Endkunden des Kunden: Vorname, Nachname (sofern angegeben), Telefonnummer (WhatsApp), Nachrichteninhalte, Termindaten, IP-Adresse
  • Kunde selbst: Geschäftsname, Adresse, Kontaktdaten, Zahlungsinformationen (durch Stripe verarbeitet)

§ 3 Kategorien betroffener Personen

  • Endkunden des Kunden, die mit dem WhatsApp-Bot interagieren oder online Termine buchen
  • Mitarbeiter des Kunden, die das Dashboard nutzen

§ 4 Pflichten des Auftragsverarbeiters

InfinityMade verpflichtet sich:

  • Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten;
  • Die Vertraulichkeit der Daten zu gewährleisten und seine Mitarbeiter entsprechend zu verpflichten;
  • Geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu treffen, insbesondere TLS-Verschlüsselung, Vault-basierte Speicherung sensibler Schlüssel, Zugriffskontrollen, regelmäßige Backups;
  • Den Kunden bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Datenübertragbarkeit) zu unterstützen;
  • Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden, an den Kunden zu melden;
  • Auf Verlangen Audits zu ermöglichen und Nachweise über die Einhaltung der Pflichten vorzulegen;
  • Nach Beendigung des Vertrags alle Daten des Kunden auf dessen Wahl zurückzugeben oder zu löschen.

§ 5 Unterauftragsverarbeiter (Sub-Processors)

Der Kunde willigt ein, dass InfinityMade folgende Unterauftragsverarbeiter zur Erbringung der Dienste einsetzt:

Twilio Inc.

WhatsApp Business API. Hosting in EU-Region. DPA

OpenAI L.L.C.

KI-Sprachmodell für Bot-Antworten. Daten werden NICHT zum Training verwendet. DPA

Supabase Inc.

Datenbank- und Authentifizierungsservice. Hosting in Frankfurt (EU). DPA

Vercel Inc.

Hosting der Anwendung. EU-Region. DPA

Stripe Payments Europe Ltd.

Zahlungsabwicklung. Sitz in Irland. DPA

n8n GmbH

Workflow-Automatisierung. Self-hosted in DE. DPA

InfinityMade wird den Kunden mindestens 30 Tage vor Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters informieren. Der Kunde hat das Recht, dem zu widersprechen.

§ 6 Datenübertragung in Drittländer

Soweit Daten in Länder außerhalb der EU/EWR übertragen werden (insbesondere USA bei OpenAI, Twilio, Stripe), wird dies auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO durchgeführt. InfinityMade hat mit den entsprechenden Anbietern SCCs abgeschlossen.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

  • Zutrittskontrolle: Server in zertifizierten Rechenzentren der Sub-Prozessoren
  • Zugangskontrolle: Authentifizierung über Supabase Auth, JWT-Tokens, Multi-Faktor-Authentifizierung möglich
  • Zugriffskontrolle: Row-Level-Security in der Datenbank, RBAC im Dashboard
  • Weitergabekontrolle: TLS 1.2+ für alle Verbindungen
  • Eingabekontrolle: Logging aller Änderungen mit Zeitstempel
  • Verfügbarkeitskontrolle: Tägliche Backups, geografische Redundanz
  • Trennungskontrolle: Multi-Tenant-Architektur mit business_id-basierter Isolation
  • Verschlüsselung sensibler Daten: Supabase Vault für API-Keys, AES-256

§ 8 Rechte und Pflichten des Kunden

Der Kunde ist als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Insbesondere:

  • Sicherstellung einer Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse);
  • Information seiner Endkunden über die Datenverarbeitung (Datenschutzerklärung);
  • Einholung einer ausdrücklichen Einwilligung der Endkunden für WhatsApp-Kommunikation (Opt-in);
  • Erfüllung der Auskunfts-, Löschungs- und Berichtigungsrechte gegenüber den Endkunden.

§ 9 Beendigung

Nach Beendigung des Hauptvertrags wird InfinityMade auf Wunsch des Kunden alle Daten des Kunden zurückgeben oder löschen. Eine Aufbewahrung erfolgt nur, soweit gesetzlich erforderlich (z.B. handelsrechtliche Aufbewahrungspflichten für Rechnungen).

§ 10 Schlussbestimmungen

(1) Bei Widersprüchen zwischen Hauptvertrag, AGB und diesem AVV gehen die Bestimmungen dieses AVV in Datenschutzfragen vor.

(2) Es gilt deutsches Recht. Gerichtsstand ist Siegburg.

(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Stand: . Bei Fragen zum AVV: kontakt@infinitymade.de