Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO
Letzte Aktualisierung: 01.08.2025
Durch Inanspruchnahme der Leistungen der weblens GmbH erkennt der Kunde diese AVV als verbindlich an.
1. Vertragsparteien
Verantwortlicher:
Der Kunde (insbesondere der Betreiber der Website bzw. der Online-Dienste, in denen die beauftragte Lösung eingesetzt wird)
Auftragsverarbeiter:
Weblens GmbH
Birkenstraße 23, 40233 Düsseldorf
HRB 104423 (AG Düsseldorf)
Geschäftsführer: Paul Tiedtke, Giovanni Cascio, Florian Piltz
2. Gegenstand der Verarbeitung
Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen zur Bereitstellung einer KI-gestützten Dialog- und Beratungslösung zur Unterstützung von Website- oder Plattform-Nutzern, insbesondere in den Bereichen:
Informationssuche
Produktempfehlung
Entscheidungsfindung
Kundeninteraktion (Beratung, Navigation, Lead-Generierung)
Details zu Kategorien personenbezogener Daten und betroffenen Personen: siehe Anlage 1.
3. Dauer
Diese AVV gilt für die Dauer des Vertragsverhältnisses zwischen den Parteien.
4. Rechte & Pflichten
Verantwortlicher: Einhaltung der DSGVO, Weisungsrecht
Auftragsverarbeiter: Verarbeitung nur auf Weisung, Einhaltung von Art. 32 DSGVO, Unterstützung bei Betroffenenrechten
5. Unterauftragsverarbeiter
Dienstleister
Leistung | Sitz | Drittlandübertragung | Schutzmaßnahmen | |
|---|---|---|---|---|
OpenAI Ireland Ltd. | Sprachverarbeitung API | Irland / USA | Ja | SCC, DPA |
Cloudflare Inc. | CDN, DNS, TLS, DDoS, Hosting | USA | Ja | SCC, DPA |
Neon Inc. | PostgreSQL-Hosting | USA | Ja | SCC, DPA |
Clerk Inc. | Authentifizierung | USA | Ja | SCC, DPA |
Sentry Inc. | Logging, Monitoring | USA | Ja | SCC, DPA |
Weitere Subunternehmer nur nach vorheriger Information.
6. Technische & organisatorische Maßnahmen
Siehe Anlage 2.
7. Löschung
Daten werden nach Vertragsende oder auf Weisung gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
8. Kontrollrechte
Der Verantwortliche kann die Einhaltung dieser AVV prüfen. Erforderliche Informationen werden bereitgestellt.
9. Vertraulichkeit
Alle mit der Verarbeitung befassten Personen sind auf Vertraulichkeit verpflichtet.
10. Schlussbestimmungen
Es gilt deutsches Recht. Änderungen in Textform; weitere Nutzung nach Mitteilung gilt als Zustimmung.
Anlage 1 – Beschreibung der Verarbeitung
Betroffene Personen: Website-Besucher, Kunden
Datenarten: Texteingaben, Chatverläufe, ggf. IP-Adresse, Browserinfos
Verarbeitung: Analyse, Antwortgenerierung, temporäre Speicherung zur Qualitätsverbesserung
Speicherdauer: nur solange erforderlich; Löschung auf Weisung oder nach gesetzlichen Vorgaben
Anlage 2 – Technische & organisatorische Maßnahmen
Zutrittskontrolle: Verarbeitung nur in zertifizierten Rechenzentren
Zugangskontrolle: Nutzerbasierte Logins, Authentifizierung
Zugriffskontrolle: Rollenbasiert, nur autorisierte Personen
Weitergabekontrolle: Verschlüsselte Übertragung, vertraglich gebundene Subverarbeiter
Eingabekontrolle: Protokollierte Admin-Zugriffe
Auftragskontrolle: Verarbeitung nur gemäß Vertrag
Trennungskontrolle: Logische Mandantentrennung
Löschungskontrolle: Manuell/automatisch nach Zweckerfüllung
Verfügbarkeitskontrolle: Redundanz, Backups
Privacy by Design: Datenminimierung, Transparenz
Vertraulichkeit: Schulung & Verpflichtung der Mitarbeitenden
Dokumentation: Nachweis der TOM