Auftragsverarbeitungsvertrag (AVV)

1. Vertragsgegenstand

Der Auftragnehmer (Luminara AI) verarbeitet im Auftrag des Auftraggebers (Kunde) personenbezogene Daten zur Bereitstellung der AI-Visibility-Services. Der Auftragnehmer wird die personenbezogenen Daten ausschließlich im Rahmen der Weisungen des Auftraggebers verarbeiten.

2. Gegenstand und Dauer der Verarbeitung

2.1 Art und Zweck der Datenverarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten zum Zweck der:

• Bereitstellung und Verwaltung des Luminara AI Services
• Speicherung und Verarbeitung von Produktdaten
• Generierung und Bereitstellung von JSON-LD-Structured Data
• Validierung und Quality-Scoring von Produktinformationen
• E-Mail-Benachrichtigungen und Support-Kommunikation

2.2 Kategorien betroffener Personen

• Kunden (Nutzer der Plattform)
• Endkunden des Auftraggebers (sofern in Produktdaten enthalten)

2.3 Kategorien verarbeiteter Daten

• Stammdaten (Name, Firmenname, E-Mail-Adresse)
• Vertragsdaten (Tarif, Nutzungsdauer, Zahlungsstatus)
• Produktdaten (Produktbezeichnungen, Preise, Beschreibungen, URLs)
• Nutzungsdaten (Login-Zeitpunkte, API-Zugriffe, Validierungshistorie)
• Technische Daten (IP-Adressen, Browser-Informationen, Log-Daten)

2.4 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer. Nach Vertragsende werden die Daten gemäß den gesetzlichen Aufbewahrungsfristen gelöscht oder auf Wunsch des Auftraggebers herausgegeben.

3. Pflichten des Auftragnehmers

3.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers. Weisungen können schriftlich oder in elektronischer Form erteilt werden.

3.2 Vertraulichkeit

Der Auftragnehmer verpflichtet alle mit der Verarbeitung beschäftigten Personen zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO. Die Verpflichtung zur Vertraulichkeit besteht über das Vertragsende hinaus fort.

3.3 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus:

• Verschlüsselung: TLS 1.3 für Datenübertragungen, bcrypt für Passwörter
• Zugriffskontrolle: JWT-basierte Authentifizierung, rollenbasierte Berechtigungen
• Datensicherung: Tägliche Backups mit 30-Tage-Aufbewahrung
• Logging und Monitoring: Umfassendes Audit-Logging aller Datenzugriffe
• Incident Response: Dokumentierte Prozesse für Security-Incidents
• Netzwerksicherheit: Firewall, Rate-Limiting, DDoS-Protection

3.4 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber bei:

• Auskunftsanfragen betroffener Personen
• Löschung oder Berichtigung von Daten
• Datenübertragung (Portabilität)
• Meldung von Datenschutzverletzungen

3.5 Löschung und Rückgabe von Daten

Nach Ende der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer alle personenbezogenen Daten oder gibt sie auf Wunsch des Auftraggebers heraus. Die Herausgabe erfolgt in einem strukturierten, gängigen und maschinenlesbaren Format (JSON, CSV).

4. Unterauftragsverarbeitung

4.1 Genehmigung von Unterauftragnehmern

Der Auftragnehmer ist berechtigt, Unterauftragnehmer einzusetzen. Die Einschaltung erfolgt nur mit vorheriger Zustimmung des Auftraggebers. Folgende Unterauftragnehmer sind aktuell genehmigt:

• Hosting-Anbieter: IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland) - Serverstandort: Karlsruhe, Deutschland
• E-Mail-Versand: IONOS SE (mail.luminara-ai.de, Elgendorfer Str. 57, 56410 Montabaur, Deutschland) - Versand von Transaktions-E-Mails (Passwort-Reset, Willkommens-E-Mails, Rechnungen). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzerklärung: https://www.ionos.de/terms-gtc/datenschutzerklaerung/
• Zahlungsabwicklung: Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) - EU-US Data Privacy Framework (DPF) zertifiziert, EU-Standardvertragsklauseln
• Monitoring: Derzeit wird kein externer Monitoring-Provider eingesetzt. Die Systemüberwachung erfolgt ausschließlich über eigene Infrastruktur auf dem IONOS VPS-Server in Deutschland.

Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen mit einer Frist von 30 Tagen. Der Auftraggeber kann innerhalb dieser Frist Einspruch erheben.

4.2 Verpflichtungen gegenüber Unterauftragnehmern

Der Auftragnehmer verpflichtet Unterauftragnehmer zu denselben Datenschutzverpflichtungen, die in diesem AVV geregelt sind. Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Einhaltung der Verpflichtungen durch Unterauftragnehmer verantwortlich.

5. Rechte des Auftraggebers

5.1 Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der Datenschutzbestimmungen durch den Auftragnehmer zu überprüfen. Dies kann durch:

• Einholung von Auskünften
• Einsichtnahme in relevante Unterlagen
• Kontrollen vor Ort (nach vorheriger Ankündigung)
• Beauftragung eines unabhängigen Prüfers

5.2 Weisungsrecht

Der Auftraggeber kann dem Auftragnehmer jederzeit Weisungen zur Verarbeitung personenbezogener Daten erteilen. Weisungen sind in Textform zu erteilen. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung seiner Ansicht nach gegen Datenschutzvorschriften verstößt.

6. Datenschutzverletzungen

6.1 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält mindestens:

• Beschreibung der Art der Verletzung
• Kategorien und Anzahl betroffener Personen und Datensätze
• Wahrscheinliche Folgen der Verletzung
• Ergriffene oder vorgeschlagene Abhilfemaßnahmen

6.2 Dokumentation

Der Auftragnehmer dokumentiert alle Datenschutzverletzungen, einschließlich der Umstände der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.

7. Haftung und Schadensersatz

Der Auftragnehmer haftet für Schäden, die durch eine nicht ordnungsgemäße Verarbeitung personenbezogener Daten entstehen. Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO sowie den Regelungen des Hauptvertrags.

8. Schlussbestimmungen

8.1 Laufzeit

Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft und gilt für die Dauer des Vertragsverhältnisses. Änderungen oder Ergänzungen dieses AVV bedürfen der Schriftform.

8.2 Änderungen gesetzlicher Bestimmungen

Bei Änderungen der DSGVO oder anderer anwendbarer Datenschutzvorschriften passen die Parteien diesen AVV im gegenseitigen Einvernehmen an.

8.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung wird durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

8.4 Anwendbares Recht und Gerichtsstand

Für diesen AVV gilt das Recht der Bundesrepublik Deutschland sowie die EU-Datenschutz-Grundverordnung (DSGVO). Gerichtsstand ist Bochum, Deutschland, wie in den Allgemeinen Geschäftsbedingungen angegeben.

9. Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag wenden Sie sich bitte an:

E-Mail: datenschutz@luminara-ai.de

Die vollständigen Kontaktdaten finden Sie in unserem Impressum.