← Zurück zur Startseite

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO — Stand: Januar 2026

1. Vertragsgegenstand und Laufzeit

1.1 Gegenstand

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Nutzung des DigitalRezeption-Services ergeben. Er ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und die Datenschutzerklärung.

1.2 Parteien

Auftraggeber (Verantwortlicher): Der Kunde, der den DigitalRezeption-Service nutzt und den Chatbot auf seiner Website einbindet.
Auftragnehmer (Auftragsverarbeiter):
Joshua Alsen
Rappstraße 7
20146 Hamburg
E-Mail: support@digital-rezeption.de

1.3 Laufzeit

Dieser AVV gilt für die Dauer der Nutzung des DigitalRezeption-Services. Er endet automatisch mit Beendigung des Hauptvertrags (AGB).

2. Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zum Zweck der Bereitstellung des Chatbot-Services ("digitale Rezeption"). Dies umfasst:

  • Entgegennahme und Verarbeitung von Chat-Nachrichten der Website-Besucher des Auftraggebers
  • Weiterleitung der Nachrichten an einen KI-Dienstleister zur Generierung von Antworten
  • Speicherung von Chat-Verläufen und Sitzungsdaten zur Bereitstellung des Services
  • Versendung von E-Mail-Benachrichtigungen im Zusammenhang mit dem Service

3. Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Chat-Nachrichten (Freitext-Eingaben der Besucher)
  • Sitzungsdaten (Zeitstempel, besuchte Seiten)
  • Kontaktdaten des Auftraggebers (Name, E-Mail, Telefon, Website-URL)
  • Technische Daten (IP-Adresse, Browser-Typ, Geräteinformationen)

4. Kategorien betroffener Personen

  • Website-Besucher des Auftraggebers, die den Chatbot nutzen
  • Der Auftraggeber selbst (als Nutzer des Admin-Bereichs)

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

5.1 Weisungsbindung

Personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers zu verarbeiten, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten zu einer anderweitigen Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtliche Anforderung vor der Verarbeitung mit.

5.2 Vertraulichkeit

Alle Personen, die Zugang zu den personenbezogenen Daten haben, sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).

5.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer ergreift alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO, insbesondere:

  • Verschlüsselung: SSL/TLS-Verschlüsselung für alle Datenübertragungen
  • Zugriffskontrolle: Passwortgeschützter Zugang, JWT-basierte Authentifizierung
  • Serverstandort: Alle Daten werden auf Servern in Deutschland gespeichert
  • Datentrennung: Daten verschiedener Kunden werden logisch getrennt gespeichert
  • Datensicherung: Regelmäßige Backups der Datenbank
  • Updates: Zeitnahe Einspielung von Sicherheitsupdates

5.4 Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende Unterauftragsverarbeiter ein. Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO:

DienstleisterZweckStandort
Microsoft Azure OpenAIKI-basierte AntwortgenerierungEU (Schweden/Niederlande)
Resend Inc.E-Mail-VersandUSA (EU-US DPF)
Stripe.comZahlungsabwicklungUS/EU
Hosting-ProviderServer-InfrastrukturDeutschland

Über den Wechsel oder die Hinzunahme neuer Unterauftragsverarbeiter wird der Auftraggeber vorab informiert. Dem Auftraggeber steht ein Einspruchsrecht zu.

5.5 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber bei:

  • Der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO)
  • Der Einhaltung der Meldepflichten bei Datenschutzverletzungen (Art. 33, 34 DSGVO)
  • Der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO), sofern erforderlich

5.6 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich (in der Regel innerhalb von 24 Stunden) nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 2 DSGVO.

6. Pflichten des Auftraggebers

Der Auftraggeber ist verantwortlich für:

  • Die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen
  • Die Information seiner Website-Besucher über den Einsatz des Chatbot-Services in seiner eigenen Datenschutzerklärung
  • Die Richtigkeit und Rechtmäßigkeit der auf seiner Website veröffentlichten Inhalte, die vom Chatbot verarbeitet werden
  • Die Erteilung von Weisungen an den Auftragnehmer in Textform (E-Mail ausreichend)

7. Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung dieses AVV zu überprüfen. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).

Der Auftragnehmer informiert den Auftraggeber, falls eine Weisung nach seiner Auffassung gegen Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).

8. Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers, sofern nicht gesetzliche Aufbewahrungspflichten dem entgegenstehen. Auf Wunsch des Auftraggebers erfolgt vor der Löschung eine Rückgabe der Daten in einem gängigen, maschinenlesbaren Format.

Die Löschung erfolgt spätestens 30 Tage nach Vertragsende. Der Auftragnehmer bestätigt die Löschung auf Anfrage schriftlich.

9. Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Der Auftragnehmer haftet gegenüber betroffenen Personen für Schäden aus einer nicht ordnungsgemäßen Verarbeitung nur insoweit, als er seinen speziell den Auftragsverarbeitern auferlegten Pflichten nicht nachgekommen ist oder gegen Weisungen des Auftraggebers gehandelt hat.

10. Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Hamburg, sofern der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Änderungen dieses AVV bedürfen der Textform.

11. Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag erreichen Sie uns unter:
support@digital-rezeption.de