Auftrags­verarbeitung.
Klar geregelt.

zwischen

Digital Blocks GmbH
Starzing Süd 19
4860 Lenzing
Österreich
– nachfolgend „Auftragsverarbeiter" –

und

dem jeweiligen Kunden der Plattform QAIRO
– nachfolgend „Verantwortlicher" –

gemeinsam auch „Parteien" genannt.

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der SaaS-Plattform QAIRO.

Die Verarbeitung erfolgt ausschließlich im Rahmen der jeweils vereinbarten Leistungen.

Die Verarbeitung umfasst insbesondere:

• Speicherung
• Organisation
• Strukturierung
• Bereitstellung
• Analyse
• KI-basierte Verarbeitung
• Kommunikation
• Automatisierung
• Dokumenten- und Datenverwaltung

Die Verarbeitung erfolgt insbesondere zur:

• Bereitstellung der Plattform
• Durchführung von Benutzeranfragen
• Bereitstellung KI-basierter Funktionen
• Durchführung von Automatisierungen
• Bereitstellung von Integrationen
• Fehleranalyse und Systemsicherheit

Je nach Nutzung der Plattform können insbesondere folgende Daten verarbeitet werden:

• Stammdaten
• Kontaktdaten
• Kommunikationsdaten
• Inhaltsdaten
• Dokumente
• E-Mail-Daten
• Projekt- und Unternehmensdaten
• Nutzungsdaten
• technische Metadaten
• IP-Adressen
• Chat- und Assistenzdaten

Von der Verarbeitung können insbesondere betroffen sein:

• Mitarbeiter
• Kunden
• Geschäftspartner
• Lieferanten
• Interessenten
• Nutzer der Plattform
• Kommunikationspartner des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern keine gesetzliche Verpflichtung zur Verarbeitung besteht.

Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz personenbezogener Daten.

Dazu gehören insbesondere:

• Zugriffsbeschränkungen
• rollenbasierte Berechtigungssysteme
• verschlüsselte Datenübertragung
• Sicherheitsmonitoring
• Protokollierung sicherheitsrelevanter Vorgänge
• Backup- und Wiederherstellungsverfahren

Eine aktuelle Beschreibung der technischen und organisatorischen Maßnahmen kann dem Verantwortlichen auf Anfrage zur Verfügung gestellt werden.

Der Verantwortliche stimmt dem Einsatz der vom Auftragsverarbeiter eingesetzten Unterauftragsverarbeiter zu.

Eine aktuelle Liste der eingesetzten Subprozessoren ist unter folgendem Link abrufbar: /subprozessoren

Der Auftragsverarbeiter ist berechtigt, weitere Unterauftragsverarbeiter einzusetzen oder bestehende zu ersetzen, sofern:

• der Verantwortliche vorab informiert wird
• dem Verantwortlichen ein angemessenes Widerspruchsrecht eingeräumt wird

QAIRO nutzt externe KI-Systeme und Sprachmodelle zur Bereitstellung bestimmter Funktionen.

Dabei können Inhalte, Eingaben oder Dokumente an externe KI-Dienstleister übermittelt werden.

Die Verarbeitung erfolgt ausschließlich zur Bereitstellung der jeweiligen Funktionalität innerhalb der Plattform.

QAIRO verwendet nach Maßgabe der jeweiligen Anbieterbedingungen und API-/Enterprise-Einstellungen bevorzugt Dienste und Modelle, bei denen übermittelte Daten nicht für das Training generativer KI-Modelle verwendet werden.

Soweit personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet werden, erfolgt dies ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere:

• EU-Standardvertragsklauseln
• Angemessenheitsbeschlüssen
• vertraglichen Datenschutzvereinbarungen

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei:

• Anfragen betroffener Personen
• Datenschutzverletzungen
• Datenschutz-Folgenabschätzungen
• Sicherheitsmaßnahmen
• behördlichen Anfragen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, soweit diese Daten des Verantwortlichen betrifft.

Nach Beendigung der Verarbeitung oder auf Weisung des Verantwortlichen werden personenbezogene Daten gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Gesetzliche Aufbewahrungs- und Nachweispflichten bleiben unberührt.

Backups und sicherheitsrelevante Protokolldaten können im Rahmen technischer und organisatorischer Prozesse für einen begrenzten Zeitraum fortbestehen.

Der Verantwortliche ist berechtigt, geeignete Nachweise über die Einhaltung der Datenschutzpflichten anzufordern.

Der Auftragsverarbeiter kann geeignete Nachweise insbesondere durch:

• Dokumentationen
• technische Beschreibungen
• Zertifikate
• Sicherheitsinformationen
• Selbstauskünfte

erbringen.

Die Haftung richtet sich nach den zwischen den Parteien vereinbarten vertraglichen Regelungen sowie den gesetzlichen Bestimmungen.

Dieser Auftragsverarbeitungsvertrag tritt mit Abschluss des Hauptvertrags bzw. mit Nutzung der Plattform QAIRO in Kraft.

Der Vertrag gilt als vom Verantwortlichen akzeptiert, sobald:

• ein Benutzerkonto erstellt
• ein kostenpflichtiger Tarif gebucht oder
• die Plattform produktiv genutzt wird

Der jeweils aktuelle AVV ist jederzeit über die Plattform oder Website abrufbar.

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt österreichisches Recht.

Gerichtsstand ist, soweit gesetzlich zulässig, Wels, Österreich.