Home
Ressourcen
BlogBest Practices
PreiseÜber unsKontakt
Demo buchenLogin

Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil der Vereinbarung zwischen Bayescase GmbH (Auftragsverarbeiter) und dem im jeweiligen Auftrag benannten Kunden (Verantwortlicher) für die Nutzung des Dienstes und wird durch Verweisung in diese Vereinbarung einbezogen.

1. Parteien und Rollen

  • Verantwortlicher: Der im Auftrag benannte Bayescase-Kunde.
  • Auftragsverarbeiter: Bayescase GmbH, Julius-Hatry-Straße 1, 68163 Mannheim, Deutschland.
  • Rollen:
    • Für personenbezogene Daten des Kunden, die im Rahmen des Dienstes im Auftrag des Verantwortlichen verarbeitet werden, handelt Bayescase als Auftragsverarbeiter.
    • Für Konto-, Abrechnungs-, Kommunikations-, Marketing- und Telemetriedaten, für die Bayescase die Zwecke und Mittel bestimmt, handelt Bayescase als eigenständiger Verantwortlicher (außerhalb des Anwendungsbereichs dieses AVV und geregelt durch die Datenschutzerklärung von Bayescase).
    • Für die in Abschnitt 4.6 beschriebenen Tätigkeiten zur Modellverbesserung bzw. zum Modelltraining handelt Bayescase als eigenständiger Verantwortlicher; der Verantwortliche kann dem wie dort dargelegt widersprechen.

2. Begriffsbestimmungen

  • Personenbezogene Daten des Kunden: alle personenbezogenen Daten (Art. 4 Nr. 1 DSGVO), die durch den Verantwortlichen oder in dessen Namen dem Dienst zur Verarbeitung im Auftrag des Verantwortlichen bereitgestellt werden.
  • Dienst: der in der Vereinbarung beschriebene, von Bayescase gehostete Softwaredienst.
  • Unterauftragsverarbeiter: jeder von Bayescase beauftragte Auftragsverarbeiter, der personenbezogene Daten des Kunden verarbeitet.
  • EU-DSGVO, UK-DSGVO und das Schweizer DSG haben die Bedeutung nach dem jeweils anwendbaren Recht. Groß geschriebene Begriffe, die hier nicht definiert sind, haben die in der Vereinbarung oder der DSGVO festgelegte Bedeutung.

3. Gegenstand, Dauer, Art und Zweck

  • Gegenstand und Dauer: Verarbeitung personenbezogener Daten des Kunden, soweit dies zur Bereitstellung des Dienstes während der Vertragslaufzeit und für 30 Tage danach zum Export erforderlich ist, gefolgt von der Löschung vorbehaltlich der nachstehend beschriebenen Sicherungskopien.
  • Art und Zweck: Hosting, Speicherung, Abruf, Übermittlung, Analyse, Umwandlung und sonstige Verarbeitung, die erforderlich ist, um den Dienst für den Verantwortlichen bereitzustellen, abzusichern, zu warten und zu unterstützen, einschließlich optionaler KI-Funktionen, die von Nutzern angefordert werden, der Erzeugung KI-gestützter Ergebnisse sowie der Verhinderung von Betrug und Missbrauch.
  • Kategorien personenbezogener Daten: typische B2B-SaaS-Nutzer-/Kontodaten (z. B. Name, geschäftliche E-Mail-Adresse, Funktion, Organisation, Nutzer-IDs), Nutzungs- und Ereignisprotokolle, Eingabeaufforderungen (Prompts), hochgeladene Materialien, erzeugte Ergebnisse sowie alle personenbezogenen Daten, die in den Eingaben oder Datensätzen des Kunden enthalten sind, die in den Dienst hochgeladen oder eingegeben werden. Der Verantwortliche darf ohne schriftliche Ergänzung keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), biometrischen Daten, genetischen Daten, amtlichen Kennungen oder Daten von Kindern eingeben.
  • Kategorien betroffener Personen: autorisierte Nutzer, Personal des Verantwortlichen, Auftragnehmer, Geschäftskontakte und sonstige Personen, deren personenbezogene Daten der Verantwortliche in den Dienst eingibt.
  • Sensible Daten: Nicht vorgesehen. Der Verantwortliche wird dem Dienst oder den KI-Funktionen keine Gesundheits-, biometrischen, genetischen oder sonstigen Daten besonderer Kategorien oder Daten von Kindern übermitteln, sofern dies nicht ausdrücklich schriftlich vereinbart wurde.

4. Weisungen des Verantwortlichen; Pflichten des Auftragsverarbeiters

4.1 Weisungen. Bayescase verarbeitet personenbezogene Daten des Kunden ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich der in der Vereinbarung, diesem AVV und der Konfiguration des Dienstes durch den Verantwortlichen festgelegten Weisungen. Ist Bayescase nach EU-Recht, dem Recht eines Mitgliedstaats, UK-Recht, Schweizer Recht oder sonstigem anwendbarem Recht verpflichtet, personenbezogene Daten des Kunden über die Weisungen des Verantwortlichen hinaus zu verarbeiten, wird Bayescase den Verantwortlichen vor der Verarbeitung informieren, sofern das betreffende Recht eine solche Mitteilung nicht untersagt.

4.2 Vertraulichkeit. Bayescase stellt sicher, dass die zur Verarbeitung personenbezogener Daten des Kunden befugten Personen zur Vertraulichkeit verpflichtet sind.

4.3 Sicherheit. Bayescase setzt dem Risiko angemessene technische und organisatorische Maßnahmen (TOM) um, wie in Anlage II beschrieben, einschließlich Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen, Protokollierung und Sicherungskopien.

4.4 Unterstützung. Unter Berücksichtigung der Art der Verarbeitung unterstützt Bayescase den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen nach Kapitel III DSGVO sowie bei der Durchführung von Datenschutz-Folgenabschätzungen und Konsultationen der Aufsichtsbehörden (Art. 35-36 DSGVO). Bayescase kann für Unterstützung, die über die grundlegende Konfiguration oder die Selbstbedienungsfunktionen des Dienstes hinausgeht, ein angemessenes Entgelt verlangen.

4.5 Verletzungen des Schutzes personenbezogener Daten. Bayescase wird den Verantwortlichen unverzüglich benachrichtigen, nachdem Bayescase von einer Verletzung des Schutzes personenbezogener Daten des Kunden Kenntnis erlangt hat, und wird die Informationen bereitstellen, die der Verantwortliche zur Einhaltung von Art. 33-34 DSGVO nach vernünftigem Ermessen benötigt, sobald diese verfügbar sind. Die Benachrichtigung erfolgt an die im Konto hinterlegte Administrator-E-Mail-Adresse, sofern der Verantwortliche keine andere Adresse benennt.

4.6 Modellverbesserung/-training (gesonderte Verantwortliche). Zur Verbesserung und Weiterentwicklung des Dienstes kann Bayescase die Eingaben und Ergebnisse des Kunden nutzen, um Algorithmen, Modelle und Funktionen zu trainieren, zu optimieren oder anderweitig zu verbessern. Für eine solche Verbesserung/ein solches Training handelt Bayescase als eigenständiger Verantwortlicher, stützt sich auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO), wendet geeignete Schutzmaßnahmen an (z. B. Anonymisierung, soweit machbar) und berücksichtigt den jederzeitigen Widerspruch des Verantwortlichen per E-Mail an privacy@bayescase.com. Widerspricht der Verantwortliche, wird Bayescase die Eingaben/Ergebnisse des Verantwortlichen nach dem Wirksamwerden des Widerspruchs nicht in Trainingsdatensätze aufnehmen; dies berührt nicht die Verarbeitung, die zur Bereitstellung des Dienstes als Auftragsverarbeiter zwingend erforderlich ist.

5. Unterauftragsverarbeitung

5.1 Genehmigung. Der Verantwortliche erteilt Bayescase eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern mit der Verarbeitung personenbezogener Daten des Kunden. Die aktuelle Liste ist abrufbar unter https://bayescase.com/subprocessors und umfasst Auftragsverarbeiter, die von Bayescase in seiner Eigenschaft als Auftragsverarbeiter für Dienstdaten beauftragt werden, einschließlich Anbieter, die zur Verarbeitung personenbezogener Daten des Kunden im Zusammenhang mit optionalen, von den Nutzern des Verantwortlichen angeforderten KI-Funktionen eingesetzt werden. Dienstleister, die von Bayescase in seiner eigenen Eigenschaft als Verantwortlicher genutzt werden (z. B. für Abrechnung oder CRM), sind keine Unterauftragsverarbeiter im Sinne dieses AVV.

5.2 Anforderungen. Bayescase wird:

  • den Unterauftragsverarbeitern Datenschutzpflichten auferlegen, die nicht weniger schützend sind als die in diesem AVV festgelegten (einschließlich TOM und, soweit anwendbar, Standardvertragsklauseln), und
  • für die Leistungen der Unterauftragsverarbeiter verantwortlich bleiben.

5.3 Änderungen. Bayescase wird Hinzufügungen/Ersetzungen mit einer Frist von mindestens 30 Tagen über die Unterauftragsverarbeiter-Seite oder per E-Mail vorab ankündigen. Der Verantwortliche kann innerhalb dieses Zeitraums aus berechtigten Datenschutzgründen Widerspruch einlegen. Können die Parteien einen Widerspruch nicht nach Treu und Glauben ausräumen, kann der Verantwortliche den betroffenen Dienst kündigen und erhält eine anteilige Rückerstattung für im Voraus bezahlte, nicht genutzte Entgelte.

6. Internationale Datenübermittlungen

6.1 Standorte. Bayescase hostet und verarbeitet personenbezogene Daten des Kunden vorrangig in der EU/im EWR (AWS eu-central-1, Frankfurt). Bestimmte KI-bezogene Verarbeitungen von Eingabeaufforderungen, Kontext, hochgeladenen Materialien und Ergebnissen können durch den KI-Anbieter von Bayescase außerhalb der EU/des EWR, einschließlich in den Vereinigten Staaten, durchgeführt werden, soweit dies zur Bereitstellung der vom Verantwortlichen oder seinen autorisierten Nutzern angeforderten KI-Funktionen erforderlich ist.

6.2 Schutzmaßnahmen. Werden personenbezogene Daten des Kunden ohne Angemessenheitsbeschluss in ein Drittland übermittelt:

  • Für die EU-DSGVO: Die durch den Durchführungsbeschluss 2021/914 der Kommission angenommenen EU-Standardvertragsklauseln (SCC) werden durch Verweisung einbezogen. Modul 2 (Verantwortlicher an Auftragsverarbeiter) gilt für Übermittlungen vom Verantwortlichen an Bayescase; Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) gilt zwischen Bayescase und Unterauftragsverarbeitern. Die Parteien füllen die SCC gemäß Anlage I und Anlage II zu diesem AVV aus. Im Konfliktfall haben die SCC für die betreffende Übermittlung Vorrang.
  • Für die UK-DSGVO: Das UK International Data Transfer Addendum (IDTA) zu den EU-SCC (die vom UK ICO herausgegebene und am Stichtag des Inkrafttretens geltende Fassung) wird einbezogen und gilt für die betreffenden Übermittlungen; die durch das UK-Addendum geänderten EU-SCC bilden den maßgeblichen Übermittlungsmechanismus.
  • Für die Schweiz: Es gelten die Bestimmungen des Schweizer EDÖB. Die EU-SCC werden so angepasst, dass Verweise auf die DSGVO als Verweise auf Schweizer Recht zu verstehen sind und Verweise auf die Aufsichtsbehörde den EDÖB einschließen.

6.3 Ergänzende Maßnahmen. Bayescase wird geeignete ergänzende Maßnahmen umsetzen (z. B. Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen, Datenminimierung), die Rechtslage und Praxis des Bestimmungslandes bewerten, soweit dies nach vernünftigem Ermessen möglich ist, und auf Anfrage eine Folgenabschätzung zur Datenübermittlung (TIA) dokumentieren. Bayescase wird den Verantwortlichen benachrichtigen, wenn Bayescase die SCC nicht mehr einhalten kann, und wird, soweit machbar, die betreffende Übermittlung aussetzen oder eine angemessene Alternative vorschlagen.

7. Audits und Informationsrechte

  • Auf begründete schriftliche Anfrage (höchstens einmal in einem Zeitraum von 12 Monaten, sofern nicht von einer zuständigen Behörde verlangt oder infolge einer bestätigten Verletzung des Schutzes personenbezogener Daten) stellt Bayescase die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlichen Informationen bereit, die Folgendes umfassen können: Sicherheits-Whitepaper, Zusammenfassungen von Richtlinien, Antworten auf Sicherheitsfragebögen und Beschreibungen der TOM.
  • Vor-Ort-Audits sind nicht zulässig, es sei denn, sie sind nach anwendbarem Recht oder von einer zuständigen Aufsichtsbehörde erforderlich. Ein etwaiges Audit wird während der üblichen Geschäftszeiten in einer Weise durchgeführt, die Störungen minimiert, unterliegt Vertraulichkeitspflichten und erfolgt auf Kosten des Verantwortlichen.

8. Aufbewahrung, Rückgabe und Löschung von Daten

Während der Vertragslaufzeit und für 30 Tage nach Kündigung/Ablauf (vorausgesetzt, alle unstrittigen Entgelte sind bezahlt) kann der Verantwortliche personenbezogene Daten des Kunden über den Dienst oder auf Anfrage exportieren. Nach Ablauf dieses Zeitraums wird Bayescase personenbezogene Daten des Kunden aus aktiven Systemen und Verarbeitungsprozessen löschen, vorbehaltlich gesetzlicher Aufbewahrungspflichten und standardmäßiger verschlüsselter, rollierender Sicherungskopien mit einer maximalen Aufbewahrungsdauer von 35 Tagen. In Sicherungskopien enthaltene Daten werden im normalen Verlauf der Sicherungsrotation überschrieben und werden außer zur Notfallwiederherstellung nicht wiederhergestellt.

9. Haftung; Rangfolge

  • Die jeweilige Haftung der Parteien im Rahmen oder im Zusammenhang mit diesem AVV richtet sich nach der Haftungsbeschränkung in der Vereinbarung. Nichts in diesem AVV beschränkt die Haftung einer Partei, soweit eine solche Beschränkung gesetzlich nicht zulässig ist, oder nach den SCC für die betreffenden beschränkten Übermittlungen.
  • Im Falle eines Widerspruchs zwischen diesem AVV und der Vereinbarung ist dieser AVV in Bezug auf die Verarbeitung personenbezogener Daten des Kunden maßgeblich. Im Falle eines Widerspruchs zu den SCC für eine beschränkte Übermittlung haben die SCC für diese Übermittlung Vorrang.

10. Sonstiges

  • Personal; Zugriff. Bayescase stellt sicher, dass der Zugriff auf personenbezogene Daten des Kunden auf Personal beschränkt ist, das ihn für die Zwecke des Dienstes benötigt, und dass ein solcher Zugriff entzogen wird, sobald er nicht mehr benötigt wird.
  • Verzeichnisse. Bayescase führt ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und stellt es den Aufsichtsbehörden auf Anfrage zur Verfügung.
  • Behördliche Zugriffsersuchen. Soweit rechtlich zulässig, wird Bayescase den Verantwortlichen über behördliche oder sonstige Ersuchen Dritter um personenbezogene Daten des Kunden benachrichtigen und rechtswidrige Ersuchen anfechten. Bayescase legt nur das zur Einhaltung des Rechts erforderliche Mindestmaß offen.
  • Laufzeit. Dieser AVV bleibt so lange in Kraft, wie Bayescase personenbezogene Daten des Kunden im Auftrag des Verantwortlichen im Rahmen der Vereinbarung verarbeitet.
  • KI-Unterauftragsverarbeiter und Weisungen. Soweit der Verantwortliche optionale KI-Funktionen nutzt, weist der Verantwortliche Bayescase an, personenbezogene Daten des Kunden, die in Eingabeaufforderungen, Kontext, hochgeladenen Materialien und Ergebnissen enthalten sind, dem autorisierten KI-Unterauftragsverarbeiter von Bayescase ausschließlich insoweit zur Verfügung zu stellen, wie dies zur Erzeugung der angeforderten Antwort und zur Bereitstellung des Dienstes erforderlich ist.

Anlage II - Technische und organisatorische Maßnahmen

Bayescase setzt die folgenden Maßnahmen um und erhält sie aufrecht, angemessen zu den Risiken der Verarbeitung personenbezogener Daten des Kunden im Dienst. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert.

Organisation und Governance:Sicherheitsverantwortlichkeiten sind der Gründung/Geschäftsleitung von Bayescase zugewiesen. Personal mit Zugriff auf personenbezogene Daten des Kunden ist zur Vertraulichkeit verpflichtet. Grundlegende Praktiken zur Sensibilisierung für Sicherheit werden angewendet.

Zugriffskontrollen und Authentifizierung:Namentlicher Zugriff nach dem Prinzip der geringsten Rechte auf Produktionssysteme und personenbezogene Daten des Kunden. Zeitnahe Vergabe und Entziehung von Zugriffsrechten (in der Regel innerhalb von 24-48 Stunden) bei Rollenwechseln oder Ausscheiden von Mitarbeitern. Multi-Faktor-Authentifizierung (MFA) für privilegierten Zugriff auf Produktions- und Cloud-Konsolen.

Physische und Infrastruktursicherheit: Nutzung der Rechenzentren führender Cloud-Anbieter (z. B. AWS eu-central-1) mit zertifizierter physischer Sicherheit. Bayescase betreibt keine eigenen Rechenzentren.

Verschlüsselung und Schlüsselverwaltung:Verschlüsselung bei der Übertragung (TLS 1.2+) für Datenflüsse unter der Kontrolle von Bayescase. Verschlüsselung im Ruhezustand für Datenbanken, Speicher und Sicherungskopien unter Verwendung der vom Cloud-Anbieter verwalteten Verschlüsselung. Schlüssel werden mittels cloud-nativer Schlüsselverwaltung in der Primärregion verwaltet; der Zugriff auf Schlüssel ist beschränkt und wird protokolliert.

Netzwerk- und Anwendungssicherheit:Netzwerksicherheitskontrollen in der Cloud (z. B. Sicherheitsgruppen, verwaltete Firewalls), die so konfiguriert sind, dass eingehender Zugriff auf notwendige Ports/Dienste beschränkt wird. Software-Abhängigkeiten und Plattformen werden angemessen aktuell gehalten; kritische Sicherheitspatches werden innerhalb eines wirtschaftlich angemessenen Zeitraums eingespielt. Grundlegende Protokollierung administrativer Handlungen und des Zugriffs auf personenbezogene Daten des Kunden; Überwachung der Zustandsdaten kritischer Infrastruktur/Dienste.

Datenverwaltung und -trennung: Logische Trennung der Kundendaten anhand von Konto-/Mandantenkennungen. Datenminimierung und Zweckbindung werden angewendet, um die Exposition personenbezogener Daten zu reduzieren.

Sicherung und Wiederherstellung: Regelmäßige verschlüsselte Sicherungskopien der Kundendaten mit einer typischen Aufbewahrungsdauer von bis zu 35 Tagen. Verfahren zur Wiederherstellung von Daten aus Sicherungskopien; die Wiederherstellungsfähigkeit wird von Zeit zu Zeit überprüft.

Vorfallmanagement: Verfahren zur Reaktion auf Vorfälle, die Erkennung, Bewertung, Eindämmung und Wiederherstellung abdecken. Benachrichtigung des Verantwortlichen unverzüglich nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten des Kunden, mit Aktualisierungen, sobald Informationen verfügbar werden.

Verwaltung von Dienstleistern und Unterauftragsverarbeitern:Auftragsverarbeitungsverträge mit Unterauftragsverarbeitern, einschließlich geeigneter Schutzmaßnahmen für internationale Übermittlungen (z. B. SCC). Risikobasiertes Onboarding und ein gepflegtes Verzeichnis der Unterauftragsverarbeiter mit Benachrichtigungen über Änderungen.

Betriebskontinuität: Nutzung cloud-nativer Redundanz für kritische Komponenten; wirtschaftlich angemessene Bemühungen, den Dienst im Falle einer Störung wiederherzustellen.