SND Automations Monogramm
Audit buchen
Rechtliche Informationen

Auftragsverarbeitungsvertrag (AVV)

Rahmenbedingungen gemäß Art. 28 DSGVO für die Verarbeitung in Frontend-, Consent- und Automationssystemen.

Dieser Text dient als vertraglicher Rahmen für typische Verarbeitungsleistungen von SND Automations und wird projektbezogen konkretisiert.

1. Gegenstand der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen vereinbarter Frontend-, Consent-, Lead-, Buchungs- und Automationsleistungen.

2. Kategorien der Daten

  • Kontaktdaten: Name, Unternehmen, E-Mail-Adresse, Telefonnummer
  • Kommunikationsdaten: Chat-Eingaben, Formularnachrichten, Buchungsinformationen
  • Systemmetadaten: Consent-Version, Consent-Zeitpunkt, Session-ID, technische Request-Metadaten

3. Weisungsgebundenheit und Vertraulichkeit

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen. Zur Verarbeitung befugte Personen werden zur Vertraulichkeit verpflichtet.

4. Technische und organisatorische Maßnahmen

  • TLS-gesicherte Übertragung
  • Versioniertes Consent-Management
  • Rate Limiting und Missbrauchsschutz
  • Signaturprüfung auf Webhook-Pfaden
  • Rollen- und Secret-Trennung über Umgebungsvariablen
  • Zeitlich begrenztes Session-Memory, soweit aktiviert

5. Unterauftragsverarbeiter

Aktiv eingebundene Unterauftragsverarbeiter:

Vercel Inc. (USA) — Hosting und Serverless-Auslieferung. Datentransfer: EU-Standardvertragsklauseln (SCCs).

Upstash Inc. (USA) — Redis-Datenbank für Rate Limiting und Chat-Memory (TTL 24h). Datentransfer: SCCs.

Groq Inc. (USA) — KI-Inferenz (primärer Chat-Provider, SONA). Datentransfer: SCCs. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Google LLC (USA) — Gemini API (Fallback-Chat-Provider, SONA). Datentransfer: SCCs. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Weitere Unterauftragsverarbeiter (z. B. Buchungsanbieter, selbst gehostete Infrastruktur) werden auf Anfrage transparent gemacht. Soweit erforderlich, werden entsprechende Vereinbarungen geschlossen.

6. Betroffenenrechte, Löschung und Nachweise

Der Auftragnehmer unterstützt den Verantwortlichen bei Anfragen betroffener Personen sowie bei Lösch-, Berichtigungs- und Nachweispflichten im gesetzlich geschuldeten Umfang.

Nach Ende des Auftrags werden personenbezogene Daten nach Maßgabe gesetzlicher Aufbewahrungspflichten gelöscht oder zurückgegeben.