Datenverarbeitungsvereinbarung (DPA)

Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der Nutzungsbedingungen zwischen Boostrad AI („Verarbeiter“, „wir“, „uns“ oder „unser“) und dem Kunden oder Benutzer, der als Datenverantwortlicher fungiert („Verantwortlicher“, „Sie“ oder „Ihr“).

Diese DPA regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung des Dienstes.

Diese DPA soll die Einhaltung der geltenden Datenschutzgesetze sicherstellen, einschließlich:

• Verordnung (EU) 2016/679 („DSGVO“)
• Britische DSGVO
• Schweizer Bundesgesetz über den Datenschutz

"Persönliche Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen

"Verarbeitung" bezeichnet jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird

"Regler" bezeichnet die Stelle, die die Zwecke und Mittel der Verarbeitung bestimmt

"Prozessor" bezeichnet das Unternehmen, das Daten im Auftrag des Verantwortlichen verarbeitet

Alle anderen Begriffe haben die ihnen im Rahmen der geltenden Datenschutzgesetze zugewiesene Bedeutung.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur:

• Auf dokumentierte Anweisungen des Verantwortlichen
• Zum Zweck der Bereitstellung des Dienstes

Die Verarbeitung kann Folgendes umfassen:

• Lagerung
• Analyse
• Übertragung
• Transformation
• KI-basierte Verarbeitung

Zu den Verarbeitungstätigkeiten gehören:

• Hosting und Speicherung von Benutzerdaten
• KI-gesteuerte Inhaltsgenerierung
• Analytik und Leistungsmessung
• Integration mit Diensten von Drittanbietern

Personenbezogene Daten können sich beziehen auf:

• Endbenutzer
• Kunden
• Mitarbeiter
• Marketing-Zielgruppen
• Personen, die in hochgeladenen Inhalten erscheinen

Zu den Kategorien der verarbeiteten personenbezogenen Daten können gehören:

• Identifikationsdaten (Name, E-Mail)
• Kontodaten
• Benutzergenerierte Inhalte (Bilder, Videos, Audio, Text)
• Verhaltens- und Nutzungsdaten
• Werbe- und Leistungsdaten
• Technische Daten und Gerätedaten

Der Verantwortliche erklärt und gewährleistet, dass:

• Es gibt eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten
• Es wurden alle erforderlichen Zustimmungen und Genehmigungen eingeholt
• Es entspricht allen geltenden Datenschutzgesetzen
• Es ist für die Rechtmäßigkeit der in den Dienst hochgeladenen personenbezogenen Daten verantwortlich

Der Auftragsverarbeiter muss:

• Verarbeiten Sie personenbezogene Daten nur in Übereinstimmung mit diesem DPA
• Stellen Sie die Vertraulichkeit des Personals sicher
• Setzen Sie geeignete technische und organisatorische Maßnahmen um
• Unterstützen Sie den Verantwortlichen bei der Erfüllung seiner Pflichten

Der Auftragsverarbeiter muss geeignete Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich:

• Gegebenenfalls Verschlüsselung
• Zugangskontrollen
• Überwachung und Protokollierung
• Datenisolation

Der Verantwortliche erkennt jedoch an, dass kein System völlig sicher ist.

Der Verantwortliche ermächtigt den Auftragsverarbeiter, Unterauftragsverarbeiter zu beauftragen.

Zu den Unterauftragsverarbeitern können gehören:

• aws.amazon.com
• fal.ai
• stripe.com
• analytics.google.com
• amplitude.com
• Google AI (Gemini / generative APIs)
• OpenAI (ChatGPT / API)

Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter an Datenschutzverpflichtungen gebunden sind, die dieser DPA gleichwertig sind.

Wenn der Dienst personenbezogene Daten an LLM-APIs von Drittanbietern weiterleitet (z. B. Google Gemini oder OpenAI ChatGPT, einschließlich Modelle wie Gemini 3.1 Pro oder ChatGPT 5.4), muss der Auftragsverarbeiter solche Anbieter unter schriftlichen Bedingungen einbinden, die angemessene Vertraulichkeits- und Sicherheitsmaßnahmen vorschreiben. Der Verantwortliche erkennt an, dass weitere Unterauftragsverarbeiter in den Nutzungsbedingungen oder der Datenschutzrichtlinie aufgeführt sein können.

Der Auftragsverarbeiter kann personenbezogene Daten außerhalb des EWR, des Vereinigten Königreichs oder der Schweiz übertragen.

Sofern erforderlich, muss der Auftragsverarbeiter geeignete Sicherheitsvorkehrungen treffen, darunter:

• Standardvertragsklauseln (SCCs)
• Angemessenheitsentscheidungen
• Gleichwertiger Schutz

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Beantwortung von Anfragen betroffener Personen, einschließlich:

• Zugang
• Berichtigung
• Löschen
• Beschränkung
• Datenportabilität

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat.

Die Benachrichtigung muss Folgendes enthalten:

• Art des Verstoßes
• Kategorien der betroffenen Daten
• Wahrscheinliche Konsequenzen
• Maßnahmen ergriffen

Nach Beendigung des Dienstes muss der Auftragsverarbeiter:

• Personenbezogene Daten löschen oder zurückgeben, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben

Der Auftragsverarbeiter stellt die erforderlichen Informationen zur Verfügung, um die Einhaltung dieser DPA nachzuweisen.

Audits müssen sein:

• Vernünftig
• Begrenzter Umfang
• Unterliegt der Schweigepflicht

Jede Partei haftet für Schäden, die durch ihren eigenen Verstoß gegen diese DPA entstehen.

Die Haftung unterliegt den in den Nutzungsbedingungen festgelegten Beschränkungen.

Boostrad KI

info@boostrad.ai