VeyroRechtliches
ende

Rechtliches

Auftragsverarbeitungsvertrag

Die Bedingungen nach Art. 28 DSGVO, unter denen wir personenbezogene Daten in Ihrem Auftrag verarbeiten.

Zuletzt aktualisiert: 1. Juni 2026

1. Parteien und Einbeziehung

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der AGB zwischen dem Kunden (dem „Verantwortlichen“) und TODO: Veyro GmbH (dem „Auftragsverarbeiter“) und gilt, soweit wir personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit Veyro verarbeiten. Ist der Kunde selbst Auftragsverarbeiter für einen Dritten, gelten die Verweise auf den „Verantwortlichen“ entsprechend und wir handeln als Unterauftragsverarbeiter.

2. Gegenstand, Art und Zweck

  • Gegenstand: Verarbeitung personenbezogener Daten zur Bereitstellung des Support-Posteingangs, der KI-gestützten Antworten, der Chatbot-Automatisierung und des verbundenen Shop-Kontexts.
  • Art und Zweck: Erheben, Speichern, Organisieren, Abrufen, Übermitteln und Löschen personenbezogener Daten, soweit zur Erbringung des Dienstes erforderlich und vom Verantwortlichen angewiesen.
  • Dauer: für die Laufzeit der AGB und bis zur nachfolgend geregelten Löschung oder Rückgabe der Daten.

3. Kategorien von Daten und betroffenen Personen

Kategorien personenbezogener Daten

  • Kontakt- und Identitätsdaten (Namen, E-Mail-Adressen, Telefonnummern).
  • Kommunikationsinhalte (E-Mails, Chatbot-Nachrichten, Anhänge, Notizen).
  • Handelsdaten (Bestellungen, Retouren, Versand- und Produktinformationen aus verbundenen Shops).
  • Sonstige personenbezogene Daten, die der Verantwortliche an den Dienst übermittelt.

Kategorien betroffener Personen

  • Kunden und Endnutzer des Verantwortlichen, die den Support kontaktieren.
  • Mitarbeiter, Beauftragte und Teammitglieder des Verantwortlichen, die den Dienst nutzen.

4. Verarbeitung nach dokumentierten Weisungen

Wir verarbeiten personenbezogene Daten nur nach dokumentierten Weisungen des Verantwortlichen, auch hinsichtlich internationaler Übermittlungen, sofern nicht das Recht der EU oder eines Mitgliedstaats uns zu einer anderen Verarbeitung verpflichtet; in diesem Fall informieren wir den Verantwortlichen vor der Verarbeitung, sofern das betreffende Recht dies nicht verbietet. Die AGB, dieser AVV und die Konfiguration des Dienstes bilden die vollständigen Weisungen des Verantwortlichen. Wir informieren den Verantwortlichen, wenn eine Weisung unseres Erachtens gegen die DSGVO verstößt.

5. Vertraulichkeit

Wir stellen sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet und hinsichtlich ihrer Datenschutzpflichten geschult sind. Der Zugriff erfolgt nach dem Need-to-know- und Least-Privilege-Prinzip.

6. Sicherheit der Verarbeitung (Art. 32)

Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, darunter:

  • Verschlüsselung bei der Übertragung (TLS) und, soweit von unserer Infrastruktur unterstützt, im Ruhezustand;
  • logische Trennung der Daten der einzelnen Kunden;
  • rollenbasierte Zugriffskontrolle und Least-Privilege-Zugriff für Personal;
  • gehashte Zugangsdaten und sichere Verwaltung von Geheimnissen;
  • Überwachung, Protokollierung und Sicherung der Produktivsysteme; und
  • Verfahren zur Wiederherstellung der Verfügbarkeit und des Zugangs zu Daten nach einem Vorfall.

7. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung der auf unserer Seite „Unterauftragsverarbeiter“ aufgeführten Unterauftragsverarbeiter. Wir verpflichten jeden Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die nicht weniger schützend sind als die in diesem AVV, und bleiben für deren Leistung verantwortlich. Über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters informieren wir den Verantwortlichen im Voraus, sodass er aus berechtigten datenschutzrechtlichen Gründen widersprechen kann. Kann ein Widerspruch nicht ausgeräumt werden, kann der Verantwortliche den betroffenen Teil des Dienstes kündigen.

8. Unterstützung bei Betroffenenrechten

Unter Berücksichtigung der Art der Verarbeitung unterstützen wir den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch). Wendet sich eine betroffene Person direkt an uns, verweisen wir sie an den Verantwortlichen.

9. Verletzungen des Schutzes personenbezogener Daten

Wir benachrichtigen den Verantwortlichen unverzüglich, nachdem uns eine Verletzung des Schutzes der Daten des Verantwortlichen bekannt geworden ist, und stellen die Informationen bereit, die der Verantwortliche zur Erfüllung seiner Meldepflichten nach Art. 33/34 DSGVO benötigt.

10. DSFA und vorherige Konsultation

Wir unterstützen den Verantwortlichen in angemessenem Umfang bei Datenschutz-Folgenabschätzungen und etwaigen vorherigen Konsultationen einer Aufsichtsbehörde, unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen.

11. Rückgabe und Löschung

Nach Beendigung des Dienstes löschen oder retournieren wir nach Wahl des Verantwortlichen die personenbezogenen Daten und löschen vorhandene Kopien, sofern nicht das Recht der EU oder eines Mitgliedstaats eine Speicherung vorschreibt. Wir stellen für einen begrenzten Zeitraum nach Beendigung vor der Löschung eine Exportmöglichkeit bereit.

12. Audits

Wir stellen dem Verantwortlichen die zum Nachweis der Einhaltung von Art. 28 erforderlichen Informationen zur Verfügung und ermöglichen sowie unterstützen Überprüfungen einschließlich Inspektionen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer. Audits erfolgen nach angemessener Vorankündigung, während der Geschäftszeiten, unter Wahrung der Vertraulichkeit und in einer Weise, die unseren Betrieb nicht stört; wir können Auditanfragen durch Bereitstellung vorhandener Dokumentation oder Berichte Dritter erfüllen, soweit verfügbar.

13. Internationale Übermittlungen

Soweit die Verarbeitung eine Übermittlung personenbezogener Daten außerhalb des EWR umfasst, stellen wir einen geeigneten Übermittlungsmechanismus sicher (z. B. EU-Standardvertragsklauseln, einen Angemessenheitsbeschluss oder das EU-US Data Privacy Framework), wie auf unserer Seite „Unterauftragsverarbeiter“ dargestellt.

14. Haftung und Vorrang

Die Haftung nach diesem AVV unterliegt den in den AGB vereinbarten Beschränkungen, soweit nach geltendem Datenschutzrecht zulässig. Im Falle eines Widerspruchs zwischen diesem AVV und den AGB hinsichtlich der Verarbeitung personenbezogener Daten geht dieser AVV vor.

Dieses Dokument dient der Transparenz. Es stellt keine Rechtsberatung dar. Bitte konsultieren Sie für Ihre konkrete Situation einen qualifizierten Rechtsanwalt.

← Alle rechtlichen Dokumente