Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO — Version v2.2-2026-03-08

1. Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten zwischen:

• Auftraggeber: Der Kunde (nachfolgend „Verantwortlicher“), der den BotCore-Service nutzt
• Auftragnehmer: Sebastian Danksin, SDD Studios, Wilonstraße 76, 72072 Tübingen (nachfolgend „Auftragsverarbeiter“)

Der AVV wird durch die Akzeptanz im BotCore-Admin-Dashboard oder im Rahmen der Registrierung elektronisch geschlossen.

2. Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist der Betrieb des KI-Chatbot-Services „BotCore“ (botcore.app). Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags. Nach Vertragsende werden alle personenbezogenen Daten gemäß den Regelungen in Abschnitt 9 gelöscht oder zurückgegeben.

3. Art und Zweck der Datenverarbeitung

Die Verarbeitung umfasst folgende Datenkategorien:

Datenkategorie	Zweck	Speicherdauer
IP-Adressen (als SHA-256 Hash)	Session-Zuordnung, Missbrauchsschutz	Bis Session-Löschung (konfigurierbar)
Chat-Nachrichten	KI-gestützte Antwortgenerierung	Bis Session-Löschung (konfigurierbar, Default: 30 Tage)
Session-Tokens	Zuordnung von Gesprächen	Bis Session-Löschung
Lead-Daten (Name, E-Mail, optional Telefon/Firma)	Kontaktaufnahme durch den Verantwortlichen	Bis manuelle Löschung
Consent-Protokolle	Nachweis der Einwilligung	Bis Session-Löschung
AI Audit Log	EU AI Act Compliance, Nachvollziehbarkeit	90 Tage (konfigurierbar)

4. Betroffene Personen

Betroffene Personen sind die Website-Besucher des Verantwortlichen, die mit dem Chatbot-Widget interagieren, sowie Personen, die über das Lead-Formular Kontaktdaten hinterlassen.

5. Pflichten des Auftragnehmers

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten nur gemäß den Weisungen des Verantwortlichen zu verarbeiten
• Alle mit der Verarbeitung beschäftigten Personen auf Vertraulichkeit zu verpflichten
• Geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen (s. Abschnitt 8)
• Den Verantwortlichen innerhalb von 72 Stunden über Datenschutzverletzungen zu informieren (Art. 33 DSGVO)
• Den Verantwortlichen bei der Erfüllung der Betroffenenrechte zu unterstützen
• Nach Vertragsende alle Daten zu löschen oder zurückzugeben

6. Auditrecht (Art. 28 Abs. 3 lit. h DSGVO)

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und der technisch-organisatorischen Maßnahmen zu überprüfen. Der Auftragsverarbeiter stellt hierfür alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen. Prüfungen sind mit angemessener Vorlaufzeit (mindestens 14 Werktage) anzukündigen. Der Auftragsverarbeiter kann alternativ aktuelle Zertifizierungen, Audit-Berichte oder Prüfberichte unabhängiger Stellen vorlegen.

7. Unterauftragnehmer & Drittlandtransfer

Folgende Unterauftragnehmer werden eingesetzt:

Dienstleister	Zweck	Standort	Transfer-Grundlage
Google LLC (AI Studio / Gemini API)	KI-Sprachmodell (LLM) für Antwortgenerierung	US	EU-US Data Privacy Framework (DPF)
Hetzner Online GmbH	Server-Hosting (Cloudron)	Deutschland	—
Supabase Inc.	PostgreSQL-Datenbank (pgvector)	EU (Frankfurt, eu-central-1)	—
Stripe Inc.	Zahlungsabwicklung	EU/US	DPF + SCCs
n8n (self-hosted)	E-Mail-Versand, Workflow-Automation	Deutschland (Hetzner)	—
Google LLC (Workspace/Gmail)	E-Mail-Transport via n8n	EU/US	DPF + Google DPA
OpenAI, Inc.	LLM-Antwortgenerierung (optional, vom Kunden konfigurierbar)	US	EU-US Data Privacy Framework (DPF)
Anthropic, PBC	LLM-Antwortgenerierung (optional, vom Kunden konfigurierbar)	US	EU-US Data Privacy Framework (DPF)
Vapi, Inc.	Voice-Orchestrierung (optional, nur bei aktiviertem Voice-Channel)	US	DPF + SCCs
Meta Platforms Ireland Ltd.	WhatsApp Business API (optional, nur bei aktiviertem WhatsApp-Channel)	Irland/US	DPF + SCCs
Deepgram, Inc.	Speech-to-Text via Vapi (optional, nur bei aktiviertem Voice-Channel)	US	EU-US Data Privacy Framework (DPF)
Microsoft Azure (Microsoft Corp.)	Voice-Synthese via Vapi (optional, nur bei aktiviertem Voice-Channel)	Global	DPF + SCCs

Drittlandtransfer: Soweit Daten an Unterauftragnehmer in Drittländern (insb. USA) übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework (DPF) gem. Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 und/oder auf Basis von Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO. Die Google Gemini API verarbeitet Daten in den USA; Google LLC ist unter dem DPF zertifiziert.

Änderungen an der Liste der Unterauftragnehmer werden dem Verantwortlichen vorab mitgeteilt. Der Verantwortliche kann gegen neue Unterauftragnehmer Widerspruch einlegen.

8. Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung & Transport

• TLS 1.2+ für alle Verbindungen (API, Widget, Admin-Dashboard)
• Datenbank-Verbindungen verschlüsselt (SSL)
• Sensible Felder (API-Keys, Bot-Tokens) AES-256-GCM verschlüsselt in der Datenbank

Pseudonymisierung

• IP-Adressen werden ausschließlich als SHA-256 Hash gespeichert (kein Klartext)
• Session-Tokens sind zufällige 32-Byte Hex-Strings

Zugangs- & Zugriffskontrolle

• JWT-basierte Authentifizierung mit 1h Expiry
• API-Key-Authentifizierung für Automationen
• Rollenbasierte Zugriffskontrolle (Admin, Customer-Admin, Customer)
• Multi-Tenant-Isolation: Jeder Kunde sieht ausschließlich eigene Daten
• Rate Limiting auf allen Endpunkten (7 unabhängige Rate Limiter)

Automatische Datenlöschung

• Konfigurierbare Retention Period pro Bot (Default: 30 Tage)
• Stündlicher Cleanup-Job löscht abgelaufene Sessions
• AI Audit Log: automatische Bereinigung nach 90 Tagen
• Error Log: automatische Bereinigung nach 30 Tagen

Audit & Nachvollziehbarkeit

• DSGVO Audit Log (Consent, Löschung, Export)
• AI Audit Log (EU AI Act Compliance)
• Admin Audit Log: alle administrativen Mutationen protokolliert

Verfügbarkeit & Monitoring

• Server-Standort: Deutschland (Hetzner)
• Automatisierte Health Checks (DB, API, Memory, Job-Status)
• Status Page mit 90-Tage-Uptime-Historie

9. KI-spezifische Verarbeitung

• Kein Training: Kundendaten und Chat-Nachrichten werden weder von BotCore noch von den eingesetzten LLM-Anbietern (Google, OpenAI, Anthropic) zum Training von KI-Modellen verwendet. Alle Anbieter werden ausschließlich über ihre API-Schnittstellen genutzt, die ein Training mit übermittelten Daten vertraglich ausschließen.
• Kein Prompt-Caching: Die eingesetzten LLM-APIs speichern keine Prompts über die einzelne API-Anfrage hinaus
• Automatische Löschung: Chat-Nachrichten werden nach der konfigurierten Retention Period gelöscht (Default: 30 Tage)
• Transparenz: Der Einsatz von KI wird gemäß EU AI Act Art. 50 gegenüber den Endnutzern im Widget-Consent-Banner offengelegt

10. Löschung und Rückgabe

Nach Vertragsende:

• Alle personenbezogenen Daten werden innerhalb von 30 Tagen gelöscht
• Auf Wunsch werden Daten vorher im JSON-Format exportiert (DSGVO-Export-Funktion)
• Bestätigung der Löschung auf Anfrage

11. Schlussbestimmungen

• Version: v2.2-2026-03-08
• Anwendbares Recht: Deutsches Recht
• Gerichtsstand: Tübingen
• Änderungen dieses AVV bedürfen der Schriftform bzw. der erneuten elektronischen Akzeptanz