Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") ergänzt den Hauptvertrag zwischen v9Labs GmbH (im Folgenden „Auftragsverarbeiter") und dem Auftraggeber (im Folgenden „Verantwortlicher") über die Nutzung der KI-Use-Case-Workshop- Plattform und konkretisiert die Verpflichtungen aus Art. 28 DSGVO.

Gegenstand der Verarbeitung ist die Bereitstellung der Plattform. Der Auftragsverarbeiter verarbeitet die im Folgenden beschriebenen personenbezogenen Daten ausschließlich, um die Workshop- Funktionalität bereitzustellen. Der AVV läuft so lange, wie ein aktiver Hauptvertrag zwischen den Parteien besteht.

Verarbeitung von E-Mail-Adressen zur Versendung von Einladungs- und Login-Links sowie Verarbeitung der von den Teilnehmern eingegebenen Workshop-Antworten zum Zweck der Erstellung einer aggregierten Auswertung. Die Inferenz erfolgt über Amazon Bedrock in der Region Frankfurt (eu-central-1).

E-Mail-Adressen, Workshop-Inhalte (Textantworten), abgeleitete Teilnehmer-Dokumente, IP-Adressen und User-Agents im Rahmen der Sicherheit. Es werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet.

Mitarbeitende des Verantwortlichen, die zu einem Workshop eingeladen werden, sowie der bestellende Manager.

Der Verantwortliche stimmt der Einbindung der unter /legal/processors aufgeführten Subunternehmer zu. Änderungen werden mindestens 30 Tage im Voraus per E-Mail angekündigt; ein Widerspruchsrecht aus wichtigem Grund bleibt unberührt.

v9Labs setzt insbesondere folgende Maßnahmen um:

• TLS 1.3 mit HSTS-Preload für alle Endpunkte.
• Zugriff auf den Server ausschließlich über SSH mit Public-Key- Authentifizierung; kein Passwort-Login.
• Tägliche, AES-verschlüsselte restic-Backups in eine zweite Hetzner-Region.
• Audit-Logs für alle privacy-relevanten Aktionen mit 90-Tage- Aufbewahrung.
• Strikte Trennung zwischen Manager-Sicht und Teilnehmer-Inhalten: keine Admin-Override.

Die Verarbeitung findet vollständig in der Europäischen Union statt. Ein Transfer in die USA findet im Rahmen der KI-Inferenz nicht statt; Cross-Region-Inferenz ist explizit deaktiviert. Stripe als Subunternehmer wickelt einzelne operative Vorgänge in den USA unter Standardvertragsklauseln ab.

Workshop-Inhalte werden 90 Tage nach Ende des Teilnahme-Fensters automatisch gelöscht. Auf Anweisung des Verantwortlichen erfolgt eine sofortige Löschung. Eine Rückgabe der Inhalte kann auf Anforderung als JSON-Export erfolgen.

Der Verantwortliche hat das Recht, die Einhaltung der vereinbarten Maßnahmen zu kontrollieren. v9Labs stellt die notwendigen Informationen zur Verfügung und ermöglicht angekündigte Audits zu üblichen Geschäftszeiten.