← HomeAuftragsverarbeitungsvertrag
Dieser Auftragsverarbeitungsvertrag ("AVV") regelt, wie die Be Digital AI e.U. ("Auftragsverarbeiter" oder "wir") personenbezogene Daten im Auftrag von Arbeitsbereichsadministratoren ("Verantwortlicher" oder "Sie") über die Be-Digital-Plattform verarbeitet. Dieser AVV gilt für alle über die Plattform verarbeiteten personenbezogenen Daten, einschließlich Kontaktinformationen, Konversationsdaten und Verhaltensdaten.
1. Einleitung
Dieser AVV regelt, wie die Be Digital AI e.U. personenbezogene Daten im Auftrag von Arbeitsbereichsadministratoren über die Be-Digital-Plattform verarbeitet. Er gilt für alle über die Plattform verarbeiteten personenbezogenen Daten, einschließlich Kontaktinformationen, Konversationsdaten und Verhaltensdaten.
2. Begriffsbestimmungen
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
- Verarbeitung: Jeder mit personenbezogenen Daten ausgeführte Vorgang (Erhebung, Speicherung, Nutzung, Offenlegung, Löschung)
- Verantwortlicher: Sie (der Arbeitsbereichsadministrator), der über Zwecke und Mittel der Verarbeitung entscheidet
- Auftragsverarbeiter: Be Digital, das Daten nach Ihren Weisungen verarbeitet
- Arbeitsbereich: Ihre isolierte, mandantengetrennte Umgebung innerhalb der Plattform
- Unterauftragsverarbeiter: Von Be Digital beauftragte Dritte zur Verarbeitung personenbezogener Daten
3. Umfang der Verarbeitung
3.1 Arten der verarbeiteten personenbezogenen Daten
- Kontaktinformationen: Namen, E-Mail-Adressen, Telefonnummern, Postanschriften, Geschäftsinformationen, Social-Media-Handles (WhatsApp, Instagram, Facebook, TikTok), Profilbilder und Avatare
- Konversationsdaten: Nachrichteninhalte (Text, Bilder, Audio, Video), Konversationsverlauf und Metadaten, Zeitstempel, Absender-/Empfängerinformationen, Zustell- und Lesestatus, Anhänge und Dateien
- Verhaltens- & Interaktionsdaten: Nutzungsmuster und Interaktionshäufigkeit, Konversationsdauer und Engagement-Metriken, Automatisierungs-Auslöser, KI-Funktionsnutzung
- Geschäftsdaten: Opportunities, Pipeline-Phasen, Deal-Werte, benutzerdefinierte Feldwerte, Labels, Tags, Termin- und Kalenderinformationen
- System- & technische Daten: IP-Adressen und Gerätekennungen, Anmeldezeiten und Zugriffsprotokolle, API-Nutzung und Ratenbegrenzungsdaten, Fehler- und Debugging-Protokolle
3.2 Zweck der Verarbeitung
Be Digital verarbeitet personenbezogene Daten, um:
- Mehrkanal-Messaging bereitzustellen (WhatsApp, Instagram, Facebook, TikTok)
- Automatisierungs-Workflows und geplante Aufgaben auszuführen
- KI-gestützte Vorschläge und Antwortgenerierung bereitzustellen
- Konversationsverlauf und Kontaktdatenbanken zu pflegen
- Echtzeit-Messaging über Socket.IO zu ermöglichen
- Hintergrundjobs über Inngest zu verarbeiten
- Analysen und Berichte bereitzustellen
- Nutzer zu authentifizieren und Arbeitsbereichszugriff zu verwalten
- Plattformsicherheit zu gewährleisten und Betrug zu verhindern
- gesetzliche Pflichten zu erfüllen
3.3 Dauer der Verarbeitung
- Aktive Verarbeitung: Daten werden verarbeitet und gespeichert, solange Ihr Arbeitsbereich aktiv ist
- Backup-Aufbewahrung: Backup-Daten werden nach Löschung 30 Tage zur Notfallwiederherstellung aufbewahrt
- Gesetzliche Aufbewahrung: Daten können bei gesetzlicher Vorgabe länger aufbewahrt werden
- Beendigung: Nach Beendigung des Arbeitsbereichs werden personenbezogene Daten innerhalb von 30 Tagen gelöscht oder anonymisiert
4. Rechtsgrundlage der Verarbeitung
Be Digital verarbeitet personenbezogene Daten auf folgender Grundlage:
- Vertragserfüllung: Erforderlich zur Bereitstellung der Plattformdienste
- Berechtigtes Interesse: Verbesserung der Sicherheit, Betrugsprävention, Analysen
- Gesetzliche Verpflichtung: Einhaltung von Behörden-, Steuervorschriften usw.
- Einwilligung: Sofern ausdrücklich für optionale Funktionen erteilt (z. B. KI-Datenverarbeitung)
5. Rechte der betroffenen Personen
Sie erkennen an, dass Sie als Verantwortlicher für die Erfüllung von Anfragen betroffener Personen verantwortlich sind, betreffend:
5.1 Auskunftsrecht
- Betroffene Personen können Kopien ihrer personenbezogenen Daten anfordern
- Sie müssen solche Anfragen innerhalb von 30 Tagen beantworten
- Be Digital unterstützt durch Werkzeuge zum Datenexport
5.2 Recht auf Berichtigung
- Betroffene Personen können die Berichtigung unrichtiger Daten verlangen
- Sie können Kontaktinformationen innerhalb der Plattform aktualisieren
- Be Digital erleichtert Berichtigungen auf Ihre Anfrage
5.3 Recht auf Löschung ("Recht auf Vergessenwerden")
- Betroffene Personen können die Löschung ihrer personenbezogenen Daten verlangen
- Sie müssen Löschanfragen an Be Digital übermitteln
- Be Digital löscht Daten (außer Backups und gesetzlich erforderlicher Aufbewahrung) innerhalb von 30 Tagen
- Die Löschung betrifft den aktiven Speicher; Backups folgen den Aufbewahrungsfristen
5.4 Recht auf Einschränkung der Verarbeitung
- Sie können eine Einschränkung der Datenverarbeitung verlangen
- Be Digital schränkt die Verarbeitung auf Ihre schriftliche Anfrage ein
- Eingeschränkte Daten werden aufbewahrt, aber nicht aktiv verarbeitet
5.5 Recht auf Datenübertragbarkeit
- Betroffene Personen können ihre Daten in einem strukturierten, maschinenlesbaren Format anfordern
- Sie können Arbeitsbereichsdaten im JSON-Format exportieren
- Be Digital erleichtert den Export innerhalb von 30 Tagen
5.6 Widerspruchsrecht
- Betroffene Personen können der Verarbeitung zu Marketing- oder berechtigten Interessen widersprechen
- Sie müssen solche Widersprüche beachten
- Be Digital unterstützt durch Deaktivierung relevanter Funktionen auf Ihre Anfrage
5.7 Rechte bei automatisierter Entscheidungsfindung
- Die KI-Funktionen von Be Digital liefern Vorschläge; Sie treffen die endgültigen Entscheidungen
- Nutzer unterliegen keinen rein automatisierten Entscheidungen mit Rechtsfolgen
- Sie können eine menschliche Überprüfung automatisierungsbasierter Entscheidungen verlangen
6. Unterauftragsverarbeiter und Drittanbieterdienste
Be Digital beauftragt die folgenden Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten:
6.1 Infrastruktur & Speicher
- PostgreSQL-Datenbank — Primäre Datenspeicherung
- DigitalOcean Spaces — Datei- und Medienspeicherung
- Redis — Echtzeit-Messaging-Cache
6.2 Kommunikation & Messaging
- Meta WhatsApp Cloud API v23.0 — WhatsApp-Messaging (Kontaktinfo, Nachrichten, Medien)
- Meta Instagram API — Instagram-Messaging (Kontaktinfo, Nachrichten, Medien)
- Meta Facebook API — Facebook-Messaging (Kontaktinfo, Nachrichten, Medien)
- TikTok Messaging API — TikTok-Messaging (Kontaktinfo, Nachrichten, Medien)
6.3 KI & Automatisierung
- Inngest — Ausführung von Hintergrundjobs (Workflow-Daten, Auslöser)
- Claude / OpenAI / Gemini — KI-gestützte Vorschläge (Nachrichteninhalte, falls aktiviert)
6.4 Zahlungsabwicklung
- Stripe — Zahlungsabwicklung (Abrechnungsdaten, Transaktionsdaten)
6.5 E-Mail & Benachrichtigungen
- SMTP-Anbieter — E-Mail-Benachrichtigungen (E-Mail-Adressen, Benachrichtigungsinhalte)
6.6 Änderungen bei Unterauftragsverarbeitern
- Wir können Unterauftragsverarbeiter hinzufügen oder ändern, um Dienste zu verbessern
- Wir benachrichtigen Sie 30 Tage vor wesentlichen Änderungen
- Sie können neuen Unterauftragsverarbeitern schriftlich widersprechen
- Die fortgesetzte Nutzung nach dem Änderungszeitraum gilt als Zustimmung
7. Datenübermittlung und internationale Verarbeitung
7.1 Geografischer Geltungsbereich
Be Digital verarbeitet Daten vorrangig innerhalb der Europäischen Union. Je nach Ihrer Rechtsordnung können Daten international übermittelt werden:
- EU in Nicht-EU: Kann Standardvertragsklauseln (SCCs) oder verbindliche interne Vorschriften erfordern
- Kalifornien/andere Staaten: Unterliegt den geltenden bundesstaatlichen Datenschutzgesetzen
- Andere Rechtsordnungen: Übermittlungsmechanismen nach geltendem Recht
7.2 Standardvertragsklauseln
Für internationale Übermittlungen stützt sich Be Digital auf:
- EU-Standardvertragsklauseln (SCCs) zur DSGVO-Konformität
- Ergänzende Schutzmaßnahmen, soweit gesetzlich erforderlich
- Angemessenheitsbeschlüsse, soweit anwendbar
8. Einwilligung und Opt-Ins betroffener Personen
8.1 Messaging-Einwilligung
Sie sind dafür verantwortlich, vor Folgendem eine Einwilligung einzuholen:
- Nachrichten an Kunden über WhatsApp, Instagram, Facebook oder TikTok
- Erhebung von Kontaktinformationen von Kunden
- Nutzung von Konversationsdaten für Marketing oder sekundäre Zwecke
8.2 Einwilligung zur KI-Verarbeitung
- Wenn Sie KI-Funktionen aktivieren, können personenbezogene Daten von externen KI-Anbietern verarbeitet werden
- Sie müssen die Einwilligung der betroffenen Person zur KI-Verarbeitung einholen
- Die KI-Verarbeitung ist in der Plattform deutlich gekennzeichnet
- Sie können KI-Funktionen jederzeit deaktivieren
8.3 Nachweis der Einwilligung
- Sie müssen Aufzeichnungen über die Einwilligung der Kunden führen
- Be Digital stellt keine Einwilligungsverfolgung bereit
- Sie sind für die Einhaltung von Anti-Spam-Gesetzen (CAN-SPAM, DSGVO, CASL, LGPD usw.) verantwortlich
9. Datensicherheit und Schutz
9.1 Sicherheitsmaßnahmen
Be Digital setzt um:
- Verschlüsselung: Daten bei der Übertragung (TLS/SSL) und im Ruhezustand verschlüsselt
- Zugriffskontrolle: Rollenbasierter Zugriff (ADMIN/MEMBER) mit Arbeitsbereichsisolierung
- Authentifizierung: JWT-basierte Authentifizierung mit sicherer Token-Speicherung
- Ratenbegrenzung: 500 Anfragen/Min. allgemein; 5 Anmeldeversuche/Min. pro IP
- Monitoring: Echtzeit-Überwachung und Protokollierung von Zugriffen
- Incident Response: Reaktionsplan und Benachrichtigungsverfahren bei Sicherheitsvorfällen
- Regelmäßige Audits: Sicherheitsaudits und Penetrationstests
9.2 Ihre Verantwortung
Sie müssen:
- sichere Passwörter pflegen und Zugangsdaten schützen
- den Zugriff auf autorisierte Nutzer beschränken
- die ADMIN-Rolle sparsam verwenden
- Nutzeraktivitäten überwachen und prüfen
- Ihre eigenen Sicherheitsrichtlinien einhalten
9.3 Benachrichtigung bei Datenschutzverletzungen
- Im Falle einer Datenschutzverletzung benachrichtigt Be Digital Sie unverzüglich
- Die Benachrichtigung enthält Einzelheiten zur Verletzung und zu den betroffenen Daten
- Sie sind dafür verantwortlich, betroffene Personen gemäß den gesetzlichen Anforderungen zu benachrichtigen
10. Datenschutz-Folgenabschätzung (DSFA)
- Sie sind für die Durchführung einer DSFA verantwortlich, wenn die Datenverarbeitung ein hohes Risiko darstellt
- Be Digital unterstützt durch Informationen über unsere Verarbeitung
- Sie können Unterstützung bei der Durchführung Ihrer DSFA anfordern
- Kontaktieren Sie office@be-digital.ai, um die DSFA-Anforderungen zu besprechen
11. Einhaltung von Datenschutzgesetzen
11.1 DSGVO-Konformität
- Be Digital verarbeitet personenbezogene Daten in Übereinstimmung mit der DSGVO (EU-Verordnung 2016/679)
- Wir unterstützen bei der Erfüllung der Rechte betroffener Personen
- Wir führen ein Verzeichnis von Verarbeitungstätigkeiten
11.2 CCPA / California Privacy Rights Act
- Be Digital hält den CCPA (California Consumer Privacy Act) ein
- Einwohner Kaliforniens haben Rechte auf Auskunft, Löschung und Opt-out
- Wir erfüllen Verbraucheranfragen gemäß den CPRA-Anforderungen
11.3 Weitere Datenschutzgesetze
- LGPD (Brasilien)
- PIPEDA (Kanada)
- Weitere geltende Datenschutzvorschriften in Ihrer Rechtsordnung
12. Aufbewahrung und Löschung
12.1 Aufbewahrung aktiver Daten
- Personenbezogene Daten werden aufbewahrt, solange Ihr Arbeitsbereich aktiv ist
- Sie können einzelne Datensätze, Konversationen oder Kontakte jederzeit löschen
- Gelöschte Daten werden sofort aus aktiven Systemen entfernt
12.2 Backup-Aufbewahrung
- Gelöschte Daten können 30 Tage in Backups aufbewahrt werden
- Backups dienen ausschließlich der Notfallwiederherstellung
- Backup-Daten sind über die Plattformoberfläche nicht zugänglich
12.3 Beendigung des Arbeitsbereichs
- Nach Beendigung des Arbeitsbereichs werden personenbezogene Daten innerhalb von 30 Tagen gelöscht
- Backup-Daten werden gemäß der Standard-Backup-Aufbewahrung gelöscht
- Gesetzlich erforderliche Daten können länger aufbewahrt werden
12.4 Löschanfragen betroffener Personen
- Sie müssen Löschanfragen betroffener Personen innerhalb von 30 Tagen übermitteln
- Be Digital löscht personenbezogene Daten innerhalb von 30 Tagen nach Eingang
- Die Löschung gilt nicht für gesetzlich erforderliche Aufbewahrung
13. Prüfungs- und Inspektionsrechte
13.1 Ihre Prüfungsrechte
- Sie haben das Recht, unsere Verarbeitung personenbezogener Daten zu prüfen
- Wir kooperieren bei Prüfungen und Inspektionen
- Sie können einen Nachweis der DSGVO-/CCPA-Konformität anfordern
- Prüfungen können höchstens einmal pro Jahr durchgeführt werden, sofern nicht gesetzlich erforderlich
13.2 Behördliche Prüfungen
- Wir kooperieren mit Datenschutzbehörden und Aufsichtsbehörden
- Wir benachrichtigen Sie über behördliche Anfragen, soweit gesetzlich zulässig
14. Unterstützung durch den Auftragsverarbeiter
Be Digital unterstützt Sie bei:
- der Beantwortung von Anfragen zu Rechten betroffener Personen
- der Durchführung von Datenschutz-Folgenabschätzungen
- der Pflege der Dokumentation von Verarbeitungstätigkeiten
- der Umsetzung von Sicherheitsmaßnahmen
- dem Nachweis der Einhaltung von Datenschutzgesetzen
15. Mitarbeiterschulung und Vertraulichkeit
- Be Digital stellt sicher, dass alle Mitarbeiter, die personenbezogene Daten verarbeiten, im Datenschutz geschult sind
- Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet
- Die Vertraulichkeitspflichten bestehen über das Ende des Beschäftigungsverhältnisses hinaus fort
16. Reaktionsplan bei Vorfällen
16.1 Reaktion auf Datenschutzverletzungen
Be Digital verfügt über einen dokumentierten Reaktionsplan, der Folgendes umfasst:
- Erkennung und Untersuchung von Vorfällen
- Eindämmung und Behebung
- Benachrichtigungsverfahren
- Dokumentation und Berichterstattung
16.2 Ihre Benachrichtigungspflichten
- Wir informieren Sie über Verletzungen, die Ihre Daten betreffen
- Sie sind für die Benachrichtigung betroffener Personen und Behörden verantwortlich
- Sie sind für die Bewertung des Verletzungsrisikos und der Compliance verantwortlich
17. Löschung bei Beendigung
17.1 Beendigung des Arbeitsbereichs
- Nach Beendigung löschen wir alle aktiven personenbezogenen Daten sicher
- Wir halten die Aufbewahrungsfristen für Backups ein
- Wir stellen eine Dokumentation der Löschung bereit
17.2 Anforderung einer Löschbescheinigung
- Sie können bei Beendigung eine Löschbescheinigung anfordern
- Be Digital stellt die Bescheinigung innerhalb von 30 Tagen nach Anfrage bereit
18. Kontakt für Fragen zur Datenverarbeitung
Bei Fragen zur Datenverarbeitung:
- Büro: office@be-digital.ai
- Support: support@be-digital.ai
19. Anwendbares Recht
Dieser AVV unterliegt österreichischem Recht und schließt die in Ihrer Region geltenden Datenschutzgesetze ein. Ausschließlicher Gerichtsstand ist Wien, Österreich, soweit zwingende gesetzliche Vorschriften nicht entgegenstehen.
20. Änderungen
- Be Digital kann diesen AVV ändern, um gesetzliche oder behördliche Änderungen widerzuspiegeln
- Wesentliche Änderungen werden 30 Tage im Voraus mitgeteilt
- Ihre fortgesetzte Nutzung gilt als Zustimmung zu den Änderungen
Datum des Inkrafttretens: 17. Juni 2026
Dieser Vertrag tritt mit dem Datum Ihrer Annahme oder der Aufnahme der Nutzung der Be-Digital-Plattform in Kraft, je nachdem, was früher eintritt.