Auftragsverarbeitungsvereinbarung

v1.0-2026-05-20 · wirksam 2026-06-05 · Artikel 28 DSGVO + CCPA Service Provider

Diese Auftragsverarbeitungsvereinbarung (die “DPA”) ist in den Rahmendienstleistungsvertrag (den “MSA”) aufgenommen und Bestandteil davon, zwischen [Rechtssubjekt des Kunden] (dem “Verantwortlichen”) und Ataski, Inc. (dem “Auftragsverarbeiter”). Sie regelt die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen durchführt.

1. Begriffsbestimmungen

Die in dieser DPA verwendeten Begriffe tragen die Bedeutung, die ihnen gegebenenfalls in der DSGVO (Verordnung (EU) 2016/679) und im CCPA (Cal. Civ. Code §1798.140) zukommt. Die folgenden Definitionen gelten für beide Regelwerke:

• Verantwortlicher. Die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Artikel 4 Abs. 7 DSGVO). Für die Zwecke dieser DPA ist der Kunde der Verantwortliche.
• Auftragsverarbeiter. Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Artikel 4 Abs. 8 DSGVO). Ataski ist der Auftragsverarbeiter. Für CCPA-Zwecke handelt Ataski als Service Provider (Cal. Civ. Code §1798.140(ag)).
• Personenbezogene Daten. Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Abs. 1 DSGVO) oder personenbezogene Informationen (CCPA §1798.140(v)), die der Verantwortliche an den oder durch den Dienst übermittelt oder die der Dienst im Auftrag des Verantwortlichen erhebt.
• Verarbeitung. Jeder mit personenbezogenen Daten durchgeführte Vorgang, einschließlich Erhebung, Speicherung, Analyse, Nutzung, Offenlegung, Löschung (Artikel 4 Abs. 2 DSGVO).
• Unterauftragsverarbeiter. Jeder von Ataski beauftragte Dritte, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die aktuelle Liste wird unter /legal/subprocessors veröffentlicht.
• Betroffene Person. Eine identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.

2. Gegenstand und Dauer

Gegenstand. Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen eines KI-Teams (die “Dienstleistungen”). Im Rahmen der Erbringung der Dienstleistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen, gemäß den dokumentierten Weisungen des Verantwortlichen.

Dauer. Diese DPA tritt in Kraft am 2026-06-05 und bleibt für die Dauer des zugrunde liegenden Abonnements in Kraft, zuzüglich eines 30-tägigen Datenaufbewahrungsfensters, in dem der Verantwortliche Kundendaten über den Self-Service-Endpunkt /api/export exportieren kann, wonach der Auftragsverarbeiter alle Kundendaten löscht (Artikel 28 Abs. 3 Buchst. g DSGVO).

3. Art und Zweck der Verarbeitung

Art und Zweck der Verarbeitung werden durch die KI-Team-Rollen bestimmt, die der Verantwortliche in seinem Workspace aktiviert (Outbound Sales Assistant, Licensed Professional Outreach, Financial Analyst, Board Pack Drafter, Support Reply Drafter, Renewal Manager, Customer Account Monitor, Vertrags-Briefing, Meeting Recap Coordinator). Die Capability Matrix jeder Rolle wird auf der entsprechenden Marketingseite veröffentlicht, und die Aktivierung der Rolle durch den Verantwortlichen stellt eine dokumentierte Weisung zur Verarbeitung personenbezogener Daten innerhalb des deklarierten Umfangs dieser Rolle dar.

4. Arten personenbezogener Daten und Kategorien betroffener Personen

Arten personenbezogener Daten. Geschäftliche Kontaktdaten (Name, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer, Berufsbezeichnung); Kommunikationsmetadaten (Zeitstempel für Versand/Empfang von E-Mails, Meeting-Teilnahme); vom Verantwortlichen bereitgestellte Inhalte (hochgeladene CSVs, Board-Materialien, Vertragsentwürfe); Modelleingaben und -ausgaben (Prompts und KI-entworfene Antworten).

Kategorien betroffener Personen. Die Mitarbeiter, Auftragnehmer, Kunden, Interessenten, Lieferanten, Vorstandsmitglieder und Meeting-Teilnehmer des Verantwortlichen, deren Daten der Verantwortliche an den oder durch den Dienst übermittelt.

5. Pflichten des Verantwortlichen

Der Verantwortliche ist für die Einhaltung der geltenden Datenschutzgesetze in Bezug auf die personenbezogenen Daten verantwortlich, die er an den Dienst übermittelt, einschließlich der Schaffung einer Rechtsgrundlage für die Verarbeitung (Artikel 6 DSGVO) und der Bereitstellung erforderlicher Hinweise an betroffene Personen. Der Verantwortliche sichert zu, dass seine dokumentierten Weisungen an den Auftragsverarbeiter der DSGVO und anderem geltenden Datenschutzrecht entsprechen.

6. Pflichten des Auftragsverarbeiters (Artikel 28 Abs. 3 DSGVO)

1. Dokumentierte Weisungen. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf internationale Datenübermittlungen, es sei denn, er ist nach dem Recht der Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, dazu verpflichtet; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, es sei denn, das Recht verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.
2. Vertraulichkeit. Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3. Sicherheit. Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen (Anhang A) um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten (Artikel 32 DSGVO).
4. Unterauftragsverarbeitung. Der Auftragsverarbeiter beauftragt Unterauftragsverarbeiter nur unter den nachstehend in §7 genannten Bedingungen.
5. Unterstützung bei den Rechten betroffener Personen. Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen gemäß Kapitel III DSGVO (Artikel 12–23).
6. Unterstützung nach Artikel 32–36. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Gewährleistung der Einhaltung der Artikel 32 (Sicherheit), 33 (Meldung von Verletzungen), 34 (Benachrichtigung über Verletzungen), 35 (DSFA) und 36 (vorherige Konsultation) DSGVO, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
7. Rückgabe oder Löschung. Nach Beendigung der Dienstleistungen gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurück oder löscht sie und löscht vorhandene Kopien, es sei denn, das Recht der Union oder eines Mitgliedstaats schreibt die Speicherung vor. Das Standardfenster beträgt 30 Tage ab Beendigung über den Self-Service-Endpunkt /api/export und den automatisierten Löschauftrag nach Ablauf der 30 Tage.
8. Prüfung. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Artikel 28 DSGVO festgelegten Pflichten erforderlich sind, und ermöglicht Prüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Prüfungen dürfen höchstens einmal pro Kalenderjahr durchgeführt werden, sofern dies nicht durch Anordnung einer Aufsichtsbehörde erforderlich ist.

7. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung der unter /legal/subprocessors aufgeführten Unterauftragsverarbeiter (durch Verweis aufgenommen). Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen dieser Liste und gewährt dem Verantwortlichen eine Vorankündigung von mindestens 30 Tagen, während der der Verantwortliche aus berechtigten Gründen Einspruch erheben kann. Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Handlungen und Unterlassungen jedes Unterauftragsverarbeiters haftbar, als ob es seine eigenen wären.

Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter durch eine schriftliche Vereinbarung gebunden ist, die Datenschutzpflichten auferlegt, die nicht weniger schützend sind als die in dieser DPA. Die aktuelle Liste der Unterauftragsverarbeiter umfasst 18 Anbieter mit Stand vom 2026-06-05 (die verbindliche Liste finden Sie auf der öffentlichen Seite der Unterauftragsverarbeiter).

8. Internationale Übermittlungen

Werden personenbezogene Daten aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich oder der Schweiz in ein Drittland übermittelt, das nicht von einem Angemessenheitsbeschluss profitiert, vereinbaren der Auftragsverarbeiter und der Verantwortliche, dass die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission) gelten, Modul Zwei (Verantwortlicher an Auftragsverarbeiter), sofern der Verantwortliche im EWR niedergelassen ist, wobei Ataski als Datenimporteur handelt. Der UK International Data Transfer Addendum und die Leitlinien des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gelten mutatis mutandis für Übermittlungen in das Vereinigte Königreich bzw. die Schweiz. Soweit anwendbar, nimmt Ataski am EU–US Data Privacy Framework und seinen Erweiterungen für das Vereinigte Königreich und die Schweiz teil; der Verantwortliche kann sich nach seiner Wahl entweder auf die DPF-Zertifizierung oder die SCCs stützen.

9. Verletzung des Schutzes personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist (Artikel 4 Abs. 12, 33 DSGVO). Die Benachrichtigung beschreibt die Art der Verletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen, der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.

10. Laufzeit und Beendigung

Diese DPA bleibt in Kraft, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen des MSA verarbeitet. Jede Partei kann diese DPA nur durch Beendigung des MSA gemäß dessen Bedingungen beenden; bei Beendigung schließt der Auftragsverarbeiter das Rückgabe-/Löschverfahren gemäß §6(7) oben ab.

11. Anwendbares Recht

Diese DPA unterliegt dem im MSA festgelegten Recht. Nichts in dieser DPA schränkt die den betroffenen Personen durch das Recht der Union, eines Mitgliedstaats oder anderes anwendbares Datenschutzrecht gewährten Rechte ein.

Anhang A — Technische und organisatorische Maßnahmen (Artikel 32 DSGVO)

Der Auftragsverarbeiter setzt die folgenden technischen und organisatorischen Maßnahmen (“TOMs”) um, um ein dem Risiko angemessenes Sicherheitsniveau gemäß Artikel 32 DSGVO zu gewährleisten:

• Multi-tenancy. Per-tenant data isolation via Postgres Row Level Security; every customer-data table enforces the tenant_id session variable at the database layer (defence-in-depth on top of application-level scoping).
• Encryption at rest. All credential material stored encrypted via Fernet (AES-128 in CBC mode with HMAC-SHA-256 authentication). Database storage layer encryption provided by Neon (AES-256); object storage encryption provided by Cloudflare R2 (AES-256).
• Encryption in transit. TLS 1.3 enforced on every HTTPS endpoint and database connection; mutual-TLS for sub-processor API calls where the vendor supports it.
• Access control. WorkOS-backed SSO + SAML for tenant workspaces; role-gated approval workflows for high-stakes actions (board pack approval, monthly investor update send, outbound email send) per CLAUDE.md principle #9 capability matrix.
• Audit logging. Append-only audit_log table with database-level REVOKE UPDATE/DELETE; every LLM call, external API call, and data modification logged with tenant_id, user_id, correlation_id, cost, and latency.
• PII handling. Service Provider posture per CCPA §1798.140(ag); contact records stay in per-tenant RLS scope and are never aggregated across tenants. Per-tenant deletion within 45 days of request via /privacy/optout.
• Cost guardrails. Four-tier cost ceiling (provider limit, per-task budget, per-customer daily cap, global kill switch) prevents runaway exfiltration via a compromised credential.
• Incident response. Bugsink error tracking with 24-hour customer notification for any incident involving Customer Data; status page operated via Better Stack with uptime monitoring on every tenant-facing endpoint.
• Personnel. All personnel with access to Customer Data bound by confidentiality covenants; principle of least privilege enforced via role-gated routes; access reviewed quarterly.

Anhang B — Unterauftragsverarbeiter

Die aktuelle Liste der Unterauftragsverarbeiter wird unter /legal/subprocessors veröffentlicht und ist durch Verweis in diese DPA aufgenommen. Mit Stand vom 2026-06-05 umfasst die Liste 18 Anbieter.