Regelungen zur Auftragsverarbeitung personenbezogener Daten

1. Geltungsbereich

  1. FlowLyne verarbeitet personenbezogene Daten des Kunden im Rahmen der Nutzung der angebotenen Dienstleistungen gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO). Diese Regelungen gelten für alle Tätigkeiten, bei denen FlowLyne personenbezogene Daten des Kunden im Auftrag verarbeitet.

2. Gegenstand und Dauer der Verarbeitung

  1. Gegenstand: FlowLyne stellt KI-gestützte Telefonassistenten bereit, die personenbezogene Daten im Rahmen der vertraglich vereinbarten Leistungen verarbeiten.

  2. Dauer: Die Verarbeitung erfolgt für die Dauer der Nutzung der Dienstleistungen von FlowLyne. Nach Beendigung der Nutzung gelten die Regelungen zur Datenlöschung (siehe Punkt 9).

3. Art, Zweck und betroffene Daten

  1. Art der Verarbeitung: Speicherung, Abfrage, Organisation, Anpassung, Übermittlung und Löschung von personenbezogenen Daten.

  2. Zweck der Verarbeitung: Bereitstellung eines Telefonassistenten zur Unterstützung der Kommunikationsprozesse des Auftraggebers.

  3. Betroffene Datenkategorien:

    • Kontaktdaten (z. B. Name, Telefonnummer, E-Mail-Adresse).

    • Gesprächsinhalte (z. B. Nachrichten, Aufzeichnungen, Protokolle).

  4. Betroffene Personen: Kunden, Interessenten, Lieferanten und Mitarbeiter des Auftraggebers sowieAnrufer, die mit dem KI-Telefonassistenten interagieren.

4. Pflichten des Auftragnehmers

  1. FlowLyne verpflichtet sich Personenbezogene Daten ausschließlich im Rahmen der vertraglich vereinbarten Leistungen zu verarbeiten.

  2. FlowLyne stellt sicher, dass alle zur Verarbeitung eingesetzten Personen auf Vertraulichkeit verpflichtet sind.

  3. Auskünfte an Dritte oder den Betroffenen darf FlowLyne nur nach vorheriger Zustimmung durch den Kunden erteilen. Direkt an FlowLyne gerichtete Anfragen wird FlowLyne unverzüglich an den Kunden weiterleiten.

  4. Es werden technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO umgesetzt, um ein angemessenes Schutzniveau sicherzustellen.

  5. Unterstützungspflichten von FlowLyne, insbesondere bei:

    • der Erfüllung von Betroffenenrechten (z. B. Auskunft, Berichtigung, Löschung).

    • der Durchführung von Datenschutz-Folgenabschätzungen.

    • der Meldung von Datenschutzverletzungen.

5. Subunternehmer

  1. FlowLyne ist berechtigt, Subunternehmer zur Verarbeitung personenbezogener Daten einzusetzen oder zu wechseln, ohne dass hierfür die vorherige Zustimmung des Kunden erforderlich ist.

  2. FlowLyne verpflichtet sich jedoch, den Kunden über Änderungen oder neue Subunternehmer spätestens 30 Tage vor Beginn der Datenverarbeitung durch den Subunternehmer in Textform zu informieren.

  3. Der Kunde hat das Recht, der Beauftragung eines Subunternehmers zu widersprechen, wenn ein berechtigtes Interesse (z. B. unzureichende Datenschutzmaßnahmen) vorliegt. Ein solcher Widerspruch ist innerhalb von 14 Tagen nach Mitteilung schriftlich zu erklären.

  4. Erfolgt kein Widerspruch, gilt die Beauftragung des Subunternehmers als genehmigt.

  5. FlowLyne stellt sicher, dass Subunternehmer denselben Datenschutzverpflichtungen unterliegen.

6. Technische und organisatorische Maßnahmen (TOMs)

  1. FlowLyne verpflichtet sich, ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten sicherzustellen. Zu diesem Zweck setzt FlowLyne die folgenden Maßnahmen um:
    Verschlüsselung: Alle Datenübertragungen erfolgen TLS-verschlüsselt, um die Vertraulichkeit und Integrität der Daten während der Übertragung zu gewährleisten.
    Authentifizierung: API-Zugriffe werden durch kryptografische Schlüssel authentifiziert, um sicherzustellen, dass nur autorisierte Systeme oder Personen Zugriff auf die Daten haben.
    Sicherung sensibler Daten: Sensible Konfigurationsdaten (z. B. Zugangsdaten, Tokens) werden sicher im Google Secret Manager gespeichert, um unbefugten Zugriff zu verhindern.
    Zugriffskontrolle: Der Zugriff auf Systeme und Daten ist durch rollenbasierte Berechtigungen beschränkt, sodass nur autorisierte Personen Zugriff auf die erforderlichen Informationen haben.
    Protokollierung: Zugriffe auf personenbezogene Daten werden protokolliert, um potenzielle Vorfälle nachvollziehbar zu machen und unberechtigte Zugriffe zu erkennen.

  2. Änderungen, die das Schutzniveau nicht beeinträchtigen, können im Rahmen der technischen Weiterentwicklung vorgenommen werden. Wesentliche Änderungen werden dem Kunden mitgeteilt.

7. Rechte und Pflichten des Kunden

  1. Der Kunde trägt die Verantwortung für die Rechtmäßigkeit der Verarbeitung.

  2. Der Kunde erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Kunde unverzüglich dokumentiert bestätigen.

  3. Der Kunde ist berechtigt, Kontrollrechte auszuüben, z. B. durch Audits oder Berichte.

8. Mitteilungspflichten

  1. FlowLyne meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden, nachdem sie bekannt geworden sind.

  2. Bei Anfragen von Betroffenen leitet FlowLyne diese unverzüglich an den Kunden weiter.

9. Beendigung der Verarbeitung

  1. Nach Beendigung der Nutzung der Dienstleistungen von FlowLyne werden alle personenbezogenen Daten des Kunden nach dessen Wahl entweder gelöscht oder zurückgegeben.

  2. FlowLyne dokumentiert die ordnungsgemäße Löschung oder Rückgabe der Daten.

10. Haftung

  1. FlowLyne haftet nur für Schäden, die durch einen Verstoß gegen diese Regelungen oder geltende Datenschutzgesetze entstehen.

  2. Die Haftung ist auf die Höhe der im jeweiligen Vertragsjahr gezahlten Vergütung beschränkt. Diese Begrenzung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.

11. Schlussbestimmungen

  1. Diese Regelungen sind Bestandteil der Allgemeinen Geschäftsbedingungen von FlowLyne. Änderungen erfolgen gemäß den in den AGB festgelegten Bestimmungen.

  2. Es gilt deutsches Recht. Gerichtsstand ist Berlin.

Stand: 30.10.2024