Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Vertragsparteien
Auftraggeber (Verantwortlicher)
Der Kunde, der Askima-Dienste nutzt (juristische oder natürliche Person, die sich für Askima registriert hat).
Auftragnehmer (Verarbeiter)
Askima
[Firmenname vollständig]
[Adresse]
Österreich
Art. 1 – Gegenstand der Verarbeitung
Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten zur Bereitstellung der Askima KI-Chat-Plattform. Dies umfasst folgende Tätigkeiten:
- Speicherung und Verarbeitung von Chat-Nachrichten zur KI-Antwortgenerierung
- Verarbeitung von Dokumenten und Websites zur Erstellung der Bot-Wissensbasis
- Verarbeitung von Endnutzer-E-Mails und Namen für Lead-Management (optional)
- Protokollierung von API-Anfragen für Sicherheit und Debugging (Bridge-Plugin)
Art. 2 – Kategorien betroffener Personen und Daten
| Betroffene Personen | Datenkategorien | Rechtsgrundlage |
|---|---|---|
| Website-Besucher der Kunden | Chat-Nachrichten, IP-Adresse (gekürzt), Browser-Typ | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Lead-Kontakte | E-Mail, Name, Telefon (wenn vom Endnutzer freiwillig angegeben) | Einwilligung (Art. 6 Abs. 1 lit. a) |
| Kunden-Accounts | E-Mail, Name, Passwort-Hash, Zahlungsdaten | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| WooCommerce-Kunden (via Bridge) | Bestellnummern, Produktnamen, maskierte PII | Vertrag (Art. 6 Abs. 1 lit. b), PII maskiert |
Art. 3 – Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich:
- Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
- Zur Vertraulichkeit verpflichtete Personen einzusetzen
- Alle erforderlichen technischen und organisatorischen Maßnahmen (TOMs) umzusetzen
- Weitere Auftragsverarbeiter (Unterauftragnehmer) nur mit Zustimmung einzusetzen
- Den Auftraggeber bei Betroffenenrechten zu unterstützen
- Nach Vertragsende alle Daten zu löschen oder zurückzugeben
- Dem Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen
Art. 4 – Technische und Organisatorische Maßnahmen (TOMs)
Zutrittskontrolle
Server-Hosting bei World4You (Wien, AT) mit physischer Zugangskontrolle.
Zugangskontrolle
- JWT-Authentifizierung mit Redis-Blacklist für Token-Revokation
- Passwort-Hashing mit bcrypt (Salt-Runden: 12)
- Account-Lockout nach 5 fehlgeschlagenen Login-Versuchen (30 Minuten)
Zugriffskontrolle
- Account-isolierte Datenbankzugriffe (Multi-Tenancy)
- Role-based Access Control (RBAC) für Team-Mitglieder
- API-Key-basierte Bridge-Authentifizierung
Übertragungssicherheit
- HTTPS/TLS 1.3 für alle Verbindungen
- Verschlüsselte Datenbankverbindungen (SSL)
Verfügbarkeit und Integrität
- Regelmäßige automatische Backups der PostgreSQL-Datenbank
- Rate-Limiting gegen DDoS und Brute-Force-Angriffe
- SSRF-Validierung für externe URL-Anfragen
Datensparsamkeit
- PII-Maskierung in Bridge-Requests (E-Mail, Telefon, Namen konfigurierbar)
- Automatische Löschung alter Audit-Logs (90-Tage-Zyklus)
- Minimale Datenspeicherung: nur notwendige Felder
Art. 5 – Unterauftragnehmer (Sub-Verarbeiter)
Der Auftraggeber erteilt hiermit eine allgemeine Genehmigung für folgende Unterauftragnehmer. Über Änderungen wird mindestens 30 Tage im Voraus informiert.
| Anbieter | Sitz | Zweck | Übertragungsgrundlage |
|---|---|---|---|
| Mistral AI | Paris, FR (EU) | KI-Modelle, Embeddings, STT | EU-Datenverarbeitung, AVV |
| World4You | Wien, AT (EU) | Server-Hosting, Datenbank | EU-Datenverarbeitung, AVV |
| Stripe | Dublin, IE (EU) | Zahlungsabwicklung | EU-Datenverarbeitung, SCCs |
| ElevenLabs | New York, USA | Sprachsynthese (TTS, optional) | Standard-Contractual Clauses (SCCs) |
| SMTP-Provider | EU | System-E-Mails (Passwort-Reset) | EU-Datenverarbeitung, AVV |
Art. 6 – Datenpannen und Meldepflichten
Der Auftragnehmer meldet Datenpannen im Sinne von Art. 33 DSGVO dem Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung erfolgt per E-Mail an die hinterlegte Kontaktadresse des Auftraggebers.
Art. 7 – Laufzeit und Beendigung
Dieser AVV gilt für die Dauer des Hauptvertrags (Askima-Nutzungsvertrag). Bei Vertragsende werden alle personenbezogenen Daten des Auftraggebers und seiner Endnutzer innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Art. 8 – Anwendbares Recht
Dieser Vertrag unterliegt österreichischem Recht. Gerichtsstand ist der Firmensitz des Auftragnehmers.
Hinweis: Dieser AVV gilt durch Abschluss des Askima-Nutzungsvertrags (Registrierung und Aktivierung des Dienstes) als akzeptiert. Für Enterprise-Kunden ist ein individuell unterzeichneter AVV auf Anfrage verfügbar. Kontakt: datenschutz@askima.at
Stand: März 2026 | Dieser AVV ist rechtlich nicht geprüft und dient als Vorlage. Bitte von einem Datenschutzanwalt prüfen lassen.