§ 1 Gegenstand und Dauer

(1) Dieser AVV regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden (Verantwortlicher) durch n3tz (Auftragsverarbeiter) im Rahmen der SaaS-Dienste „Empfang" und „Zentrale".

(2) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrags (AGB).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Dienste:

• Empfang: Verarbeitung von Chat-Nachrichten, Kontaktdaten und Gesprächsverläufen der Website-Besucher des Kunden zum Zweck der Lead-Qualifizierung, Terminbuchung und Angebotserstellung.
• Zentrale: Speicherung und Darstellung der aus Empfang gewonnenen Daten zur Verwaltung, Analyse und Benachrichtigung.

§ 3 Art der personenbezogenen Daten

• Kontaktdaten der Website-Besucher (Name, E-Mail, Telefonnummer – soweit vom Besucher angegeben)
• Nachrichteninhalte (Chat-Verläufe)
• Metadaten (Zeitstempel, Seite, Sprache, Gerätetyp)
• Terminbuchungsdaten (sofern Terminbuchungsfunktion genutzt wird)

§ 4 Kategorien betroffener Personen

• Website-Besucher und Interessenten des Kunden
• Mitarbeiter des Kunden (als Nutzer von Zentrale)

§ 5 Pflichten des Auftragsverarbeiters

n3tz verpflichtet sich:

• Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
• Sicherzustellen, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind
• Geeignete technische und organisatorische Maßnahmen gem. Art. 32 DSGVO umzusetzen (vgl. § 7)
• Unterauftragnehmer nur mit vorheriger Genehmigung einzusetzen (vgl. § 6)
• Den Kunden bei der Erfüllung von Betroffenenrechten zu unterstützen
• Den Kunden unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 DSGVO)
• Nach Beendigung des Auftrags alle Daten zu löschen oder zurückzugeben (Wahlrecht des Kunden), sofern keine gesetzliche Aufbewahrungspflicht besteht
• Dem Kunden Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Audits zu ermöglichen

§ 6 Unterauftragnehmer

(1) Der Kunde erteilt n3tz eine allgemeine Genehmigung zum Einsatz von Unterauftragnehmern. n3tz informiert den Kunden über Änderungen mindestens 14 Tage im Voraus per E-Mail. Der Kunde kann innerhalb von 14 Tagen Einspruch erheben.

(2) Aktuelle Unterauftragnehmer:

§ 7 Technische und organisatorische Maßnahmen (TOMs)

n3tz implementiert insbesondere folgende Maßnahmen:

• Verschlüsselung: TLS 1.3 für Datenübertragung, AES-256 für ruhende Daten
• Zugriffskontrolle: Rollenbasierte Zugriffskontrolle, Multi-Faktor-Authentifizierung für Admin-Zugriff
• Verfügbarkeit: Redundante Infrastruktur, automatische Backups
• Trennungsgebot: Strikte Mandantentrennung der Kundendaten
• Eingabekontrolle: Protokollierung von Datenzugriffen und -änderungen
• Auftragskontrolle: Weisungsgebundene Verarbeitung, keine Nutzung zu eigenen Zwecken

§ 8 Drittlandtransfer

Soweit Daten in Drittländer übermittelt werden (USA), erfolgt dies auf Basis des EU-US Data Privacy Framework (DPF) gemäß Art. 45 DSGVO. Für Anbieter ohne DPF-Zertifizierung werden Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

§ 9 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags hält n3tz die Kundendaten 30 Tage zum Export bereit.

(2) Nach Ablauf dieser Frist werden alle personenbezogenen Daten unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(3) Die Löschung wird dem Kunden auf Anfrage schriftlich bestätigt.

§ 10 Rechte des Kunden

(1) Der Kunde hat das Recht, Audits durchzuführen oder durch einen unabhängigen Prüfer durchführen zu lassen — nach angemessener Vorankündigung und unter Wahrung von Geschäftsgeheimnissen.

(2) n3tz stellt aktuelle Zertifikate, Prüfberichte oder Nachweise auf Anfrage zur Verfügung.

Kontakt für Datenschutzanfragen

Tarik Ermis / n3tz
E-Mail: mail@n3tz.io