Neu: Kwamle AI Studio ist da — erstellen Sie intelligente Chatbots in Minuten.Entdecken →
Rechtliches

Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag (DPA) regelt die Verarbeitung personenbezogener Daten im Auftrag unserer Kunden gemäß DSGVO (EU) und CCPA (Kalifornien).

Zuletzt aktualisiert: 12. Juni 2026

1. Parteien

Diese Vereinbarung wird zwischen Kwamle Media (dem „Auftragsverarbeiter“) und dem Kunden (dem „Verantwortlichen“) geschlossen, der die Plattform kwamlemedia.com / app.kwamlemedia.com nutzt.

2. Definitionen

  • „Personenbezogene Daten“: alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.
  • „Verarbeitung“: jeder mit personenbezogenen Daten durchgeführte Vorgang (Erhebung, Speicherung, Nutzung, Übermittlung, Löschung).
  • „DSGVO“: die Datenschutz-Grundverordnung der EU (Verordnung 2016/679).
  • „CCPA“: der California Consumer Privacy Act.
  • „Unterauftragsverarbeiter“: jeder Dritte, der Daten im Auftrag von Kwamle verarbeitet.

3. Umfang der Verarbeitung

Kwamle verarbeitet personenbezogene Daten zu folgenden Zwecken:

  • Betrieb von Marketing-Automatisierungsdiensten und intelligenten Bots.
  • Verwaltung von Meta-Seiten und -Konten sowie Interaktion mit dem Publikum des Kunden.
  • Erstellung von Analysen und Statistiken.
  • Ausführen von KI-Aufrufen gemäß den Einstellungen des Kunden.

Zu den Daten gehören: Namen, Telefonnummern, E-Mail-Adressen, Facebook-/Instagram-Kennungen, Nachrichteninhalte und Kommentare.

4. Pflichten von Kwamle als Auftragsverarbeiter

  • Daten ausschließlich auf dokumentierte Anweisung des Kunden zu verarbeiten.
  • Die Vertraulichkeit der Daten bei allen Mitarbeitern mit Zugriff sicherzustellen.
  • Geeignete Sicherheitsmaßnahmen anzuwenden (Artikel 32 DSGVO).
  • Den Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen.
  • Den Kunden über jede Datenschutzverletzung innerhalb von 72 Stunden zu informieren.
  • Keinen Unterauftragsverarbeiter ohne Zustimmung des Kunden zu beauftragen.
  • Die Daten des Kunden zu löschen oder zurückzugeben, wenn der Dienst endet.

5. Sicherheitsmaßnahmen

  • Verschlüsselung der Daten bei der Übertragung (TLS 1.3) und im Ruhezustand (AES-256).
  • Rollenbasierte Zugriffskontrolle (RBAC) und das Prinzip der geringsten Rechte.
  • Audit-Protokolle, die 12 Monate aufbewahrt werden.
  • Jährliche Penetrationstests durch Dritte.
  • Zwei-Faktor-Authentifizierung für Mitarbeiter auf Produktivsystemen.
  • Verschlüsselte Backups alle 24 Stunden an einem anderen geografischen Standort.
  • Ein Schwachstellenmanagement-Programm sowie sofortige Sicherheitsupdates.

6. Aktuelle Unterauftragsverarbeiter

AuftragsverarbeiterZweckStandort
DigitalOceanInfrastruktur-HostingAmsterdam, Frankfurt
CloudflareCDN, DDoS-SchutzGlobal (Edge-Netzwerk)
OpenAIKI-Modelle (optional)Vereinigte Staaten
Google (Gemini)KI-Modelle (optional)Global
AnthropicKI-Modelle (optional)Vereinigte Staaten
StripeZahlungsabwicklungVereinigte Staaten, Irland
PaymobZahlungsabwicklung (Ägypten)Kairo
PostmarkE-Mail-ZustellungVereinigte Staaten

Der Kunde kann der Hinzufügung eines neuen Unterauftragsverarbeiters innerhalb von 30 Tagen nach der Benachrichtigung widersprechen.

7. Internationale Datenübermittlungen

Bei der Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums stützen wir uns auf:

  • Die neuen Standardvertragsklauseln (SCCs 2021).
  • Angemessenheitsbeschlüsse für von der Europäischen Kommission genehmigte Länder.
  • Eine Transfer-Folgenabschätzung (TIA) für jede Beziehung zu einem Unterauftragsverarbeiter.

8. Datenschutzverletzungen

Wenn eine Verletzung festgestellt wird:

  • Den Kunden innerhalb von 72 Stunden mit den Details des Vorfalls zu benachrichtigen.
  • Einen umfassenden Bericht über Ursache, Umfang und ergriffene Maßnahmen bereitzustellen.
  • Bei der Reaktion und der Meldung an die Aufsichtsbehörden uneingeschränkt zu kooperieren.

9. Auditrecht

Der Kunde hat das Recht:

  • Den jährlichen SOC 2 Type II-Bericht anzufordern.
  • Einmal jährlich ein Audit mit einer Vorankündigung von 30 Tagen auf eigene Kosten durchzuführen.
  • Eine Zusammenfassung der Penetrationstestergebnisse zu erhalten.

10. Datenlöschung bei Beendigung des Dienstes

  • Nach Beendigung der Vereinbarung löscht Kwamle alle personenbezogenen Daten innerhalb von 90 Tagen.
  • Abrechnungsunterlagen werden 7 Jahre lang aufbewahrt (eine buchhalterische Anforderung).
  • Auf Anfrage erhält der Kunde vor der Löschung eine Kopie seiner Daten im JSON-/CSV-Format.

Bereit zu unterschreiben?

Kontaktiere unser Rechtsteam, um einen unterzeichneten AVV für deine Organisation zu erhalten.

legal@kwamlemedia.com →