DPA
Diese Vereinbarung über Auftragsverarbeitung („AVV“) wird geschlossen zwischen
Sebastian Spohr Media
Haydnstraße 17a
93053 Regensburg
Deutschland
– nachfolgend „Quolly“ oder „Auftragsverarbeiter“ –
und
dem jeweiligen Kunden, der mit Quolly einen Vertrag über die Nutzung des SaaS-Angebots Quolly abschließt, Quolly im Rahmen eines bestehenden Vertrags nutzt oder diese AVV wirksam elektronisch akzeptiert
– nachfolgend „Kunde“, „Auftraggeber“ oder, soweit einschlägig, „Verantwortlicher“ –
zusammen die „Parteien“.
Diese AVV ergänzt den zwischen den Parteien bestehenden Vertrag über Quolly, insbesondere AGB, Bestellung, Registrierung, Angebot, Dashboard-Bestätigung, Leistungsbeschreibung oder sonstige Vertragsunterlagen („Hauptvertrag“). Sie gilt nur, soweit Quolly personenbezogene Daten im Auftrag des Kunden im Sinne von Art. 28 DSGVO verarbeitet.
Handelt der Kunde gegenüber Dritten selbst als Auftragsverarbeiter, darf er Quolly nur einsetzen, wenn er hierzu berechtigt ist und die erforderlichen Genehmigungen für weitere Auftragsverarbeiter vorliegen. In diesem Fall gilt Quolly im Verhältnis zur jeweiligen Verarbeitungskette als weiterer Auftragsverarbeiter.
1. Gegenstand und Geltungsbereich
Quolly stellt ein SaaS-Angebot bereit, mit dem Kunden aus Notizen, bestehenden Dokumenten, Support-Antworten, Entwürfen oder vergleichbaren Inhalten strukturierte, teilbare How-to Guides, Schritt-für-Schritt-Anleitungen, Setup-Guides, Onboarding-Anleitungen, Kunden-Handoffs, Workflow-Guides, wiederverwendbare Support-Antworten, Community-Anleitungen oder vergleichbare Hilfs- und Informationsseiten erstellen, bearbeiten, veröffentlichen und über Links teilen können.
Diese AVV regelt die Verarbeitung personenbezogener Daten, die der Kunde, seine Nutzer oder Endnutzer in Quolly eingeben, importieren, hochladen, erzeugen, strukturieren, bearbeiten, veröffentlichen, teilen oder über Quolly abrufen lassen („Kundendaten“).
Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien personenbezogener Daten sowie die Kategorien betroffener Personen sind in Anlage 1 – Beschreibung der Verarbeitung beschrieben. Anlage 1 ist Bestandteil dieser AVV.
Nicht von dieser AVV umfasst sind Verarbeitungen, bei denen Quolly selbst über Zwecke und wesentliche Mittel entscheidet. Dazu gehören insbesondere Registrierung, Vertragsverwaltung, Abrechnung, Zahlungsabwicklung, Buchhaltung, Steuern, Rechtsverteidigung, allgemeine Geschäftskommunikation, eigene Website-, Newsletter- und Marketingverarbeitung sowie gesetzlich erforderliche Aufbewahrungen.
Verarbeitungen, die unmittelbar zur Bereitstellung, Absicherung, Wartung, Fehleranalyse, Supportleistung oder zum Betrieb von Quolly für den Kunden erforderlich sind, bleiben von dieser AVV umfasst, soweit Quolly dabei Kundendaten im Auftrag des Kunden verarbeitet.
Der Kunde entscheidet über Inhalt, Rechtmäßigkeit, Sichtbarkeit und Empfängerkreis seiner Guides, Seiten, Freigaben, Exporte und sonstigen Inhalte. Werden Inhalte öffentlich, per Link, eingebettet oder gegenüber bestimmten Personen bereitgestellt, geschieht dies auf Weisung und Verantwortung des Kunden. Je nach Konfiguration können veröffentlichte oder per Link geteilte Inhalte weltweit abrufbar sein.
2. Verantwortung des Kunden
Der Kunde ist für die Rechtmäßigkeit der Kundendaten und ihrer Verarbeitung verantwortlich. Das umfasst insbesondere Rechtsgrundlagen, Informationspflichten, Betroffenenrechte, Löschfristen, Veröffentlichungen, Freigaben, Einbettungen, Exporte, Integrationen und die eigene Konfiguration von Quolly.
Der Kunde stellt sicher, dass Kundendaten rechtmäßig erhoben und in Quolly verarbeitet werden dürfen. Der Kunde darf Quolly nur so nutzen, wie es mit seinen eigenen Datenschutzinformationen, Verträgen, Einwilligungen, berechtigten Interessen oder sonstigen Rechtsgrundlagen vereinbar ist.
Der Kunde ist für die sichere Verwaltung eigener Zugangsdaten, Rollen, Berechtigungen, Veröffentlichungsoptionen, Integrationen, Importschnittstellen, Exportdateien und Freigabelinks verantwortlich, soweit diese in seinem Einflussbereich liegen.
Der Kunde stellt sicher, dass Weisungen nur durch berechtigte Personen erteilt werden. Quolly darf davon ausgehen, dass Weisungen über das Kundenkonto, Administratoren, hinterlegte Kontaktadressen oder vereinbarte Kommunikationswege vom Kunden autorisiert sind, solange keine offensichtlichen Zweifel bestehen.
3. Weisungen des Kunden
Quolly verarbeitet Kundendaten ausschließlich auf dokumentierte Weisung des Kunden, sofern Quolly nicht durch Recht der Europäischen Union oder eines Mitgliedstaats zu einer Verarbeitung verpflichtet ist. In einem solchen Fall informiert Quolly den Kunden vorab, soweit das betreffende Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
Weisungen ergeben sich aus dem Hauptvertrag, dieser AVV, den Produktfunktionen, den Einstellungen des Kunden, den vom Kunden ausgelösten Handlungen sowie dokumentierten Support- oder Administrationsanfragen.
Zusätzliche oder abweichende Weisungen können in Textform, insbesondere per E-Mail oder über ein von Quolly bereitgestelltes Support- oder Administrationssystem, erteilt werden. Quolly darf eine angemessene Bestätigung verlangen, wenn Zweifel an Inhalt, Berechtigung oder Identität des Weisungsgebers bestehen.
Quolly informiert den Kunden unverzüglich, wenn Quolly der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften der Europäischen Union oder der Mitgliedstaaten verstößt. Quolly ist nicht verpflichtet, Weisungen umfassend rechtlich zu prüfen.
Weisungen, die über den vereinbarten Leistungsumfang hinausgehen, technisch nicht möglich sind, die Sicherheit, Stabilität oder Integrität von Quolly beeinträchtigen oder Rechte anderer Kunden oder Dritter berühren, müssen die Parteien gesondert abstimmen.
4. Pflichten von Quolly
Quolly verarbeitet Kundendaten ausschließlich nach Maßgabe dieser AVV, des Hauptvertrags und der dokumentierten Weisungen des Kunden.
Quolly stellt sicher, dass zur Verarbeitung von Kundendaten befugte Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht gilt auch nach Ende der jeweiligen Tätigkeit fort.
Quolly trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen sind in Anlage 2 – Technische und organisatorische Maßnahmen beschrieben. Anlage 2 ist Bestandteil dieser AVV.
Quolly unterstützt den Kunden nach Maßgabe dieser AVV bei Betroffenenrechten, Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen, vorheriger Konsultation sowie Nachweisen und Kontrollen, soweit dies unter Berücksichtigung der Art der Verarbeitung möglich ist und Quolly die erforderlichen Informationen zur Verfügung stehen.
Quolly verwendet Kundendaten nicht für eigene Werbung, verkauft oder vermietet Kundendaten nicht und stellt Kundendaten nicht Dritten für fremde Werbezwecke bereit.
Quolly verwendet Kundendaten nicht zum Training, zur Entwicklung oder zur Verbesserung eigener oder fremder KI- oder LLM-Grundmodelle, sofern der Kunde hierzu nicht ausdrücklich eine gesonderte Weisung erteilt oder eine gesonderte Vereinbarung getroffen wurde.
Quolly hält ein Verzeichnis der Kategorien von Verarbeitungstätigkeiten, soweit Quolly hierzu gesetzlich verpflichtet ist.
5. Vertraulichkeit und Zugriffsbeschränkung
Kundendaten gelten als vertrauliche Informationen des Kunden. Quolly behandelt Kundendaten vertraulich und schützt sie gegen unbefugten Zugriff nach Maßgabe dieser AVV und der TOMs.
Quolly beschränkt den Zugriff auf Kundendaten auf Personen, die diesen Zugriff zur Erfüllung des Hauptvertrags, zur Sicherheit, Wartung, Fehleranalyse, Supportleistung, Missbrauchsabwehr oder Umsetzung dokumentierter Weisungen benötigen.
Quolly vergibt, überprüft und entzieht Zugriffsmöglichkeiten nach dem Erforderlichkeitsprinzip.
Die Vertraulichkeitspflicht gilt nicht, soweit eine Information ohne Verstoß gegen diese AVV öffentlich bekannt ist, der empfangenden Partei bereits rechtmäßig bekannt war, rechtmäßig von Dritten offengelegt wurde oder aufgrund gesetzlicher Pflichten offengelegt werden muss.
Die Vertraulichkeitspflichten gelten auch nach Beendigung dieser AVV fort.
6. Technische und organisatorische Maßnahmen
Quolly trifft geeignete technische und organisatorische Maßnahmen unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umständen und Zwecken der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für betroffene Personen.
Die Maßnahmen in Anlage 2 dürfen weiterentwickelt und angepasst werden, solange das vereinbarte Schutzniveau insgesamt nicht wesentlich unterschritten wird.
Quolly darf Sicherheitsmaßnahmen kurzfristig anpassen, wenn dies zur Behebung von Sicherheitsrisiken, zur Wahrung der Verfügbarkeit, zur Fehlerbehebung oder zur Erfüllung gesetzlicher Anforderungen erforderlich ist.
Änderungen, die das Schutzniveau wesentlich nachteilig beeinflussen können, teilt Quolly dem Kunden rechtzeitig mit.
Der Kunde kann angemessene Nachweise über die Umsetzung der TOMs nach Ziffer 11 anfordern.
7. Unterauftragsverarbeiter
Der Kunde erteilt Quolly eine allgemeine vorherige Genehmigung zum Einsatz von Unterauftragsverarbeitern für die Verarbeitung von Kundendaten im Rahmen des Hauptvertrags.
Die genehmigten Unterauftragsverarbeiter sind in Anlage 3 – Unterauftragsverarbeiter benannt. Anlage 3 ist Bestandteil dieser AVV.
Quolly verpflichtet Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die den Pflichten aus dieser AVV im Sinne von Art. 28 Abs. 4 DSGVO entsprechen, soweit diese für die jeweilige Unterauftragsleistung einschlägig sind. Dazu gehören insbesondere angemessene technische und organisatorische Maßnahmen, Vertraulichkeit, Weisungsbindung, Unterstützungspflichten, Regelungen zu Löschung oder Rückgabe sowie Kontroll- und Nachweismöglichkeiten.
Quolly bleibt gegenüber dem Kunden für die Erfüllung der Datenschutzpflichten seiner Unterauftragsverarbeiter verantwortlich, soweit diese Kundendaten im Auftrag von Quolly verarbeiten.
Quolly darf Anlage 3 oder eine dort referenzierte Unterauftragsverarbeiter-Information aktualisieren, ohne dass der Hauptteil dieser AVV geändert werden muss, sofern die Informations- und Widerspruchsregelungen dieser Ziffer eingehalten werden.
Quolly informiert den Kunden über die beabsichtigte Hinzunahme oder Ersetzung von Unterauftragsverarbeitern mindestens 14 Tage vor dem Wirksamwerden der Änderung. Die Information erfolgt durch angemessene aktive Mitteilung, insbesondere per E-Mail, im Kundenkonto, über einen Benachrichtigungsmechanismus oder über einen im Hauptvertrag vorgesehenen elektronischen Änderungsmechanismus.
Der Kunde kann der Hinzunahme oder Ersetzung eines Unterauftragsverarbeiters aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen nach Mitteilung in Textform widersprechen. Der Widerspruch ist zu begründen.
Im Fall eines berechtigten Widerspruchs stimmen die Parteien eine angemessene Lösung ab. Quolly kann insbesondere einen anderen Unterauftragsverarbeiter einsetzen, die betroffene Verarbeitung ohne den betreffenden Unterauftragsverarbeiter erbringen, zusätzliche Schutzmaßnahmen anbieten oder den Kunden auf eine zumutbare alternative Produktkonfiguration verweisen. Ist keine angemessene Lösung möglich, kann jede Partei den betroffenen Teil des Hauptvertrags aus wichtigem Grund kündigen.
Widerspricht der Kunde nicht innerhalb der Frist, darf Quolly den neuen oder ersetzten Unterauftragsverarbeiter nach Ablauf der Mitteilungsfrist einsetzen.
In dringenden Fällen, insbesondere zur Sicherstellung der Sicherheit, Verfügbarkeit, Rechtskonformität oder Fortführung der Leistung, darf Quolly einen Unterauftragsverarbeiter kurzfristiger einsetzen, wenn eine vorherige Mitteilung praktisch nicht möglich oder nicht zumutbar ist. Quolly informiert den Kunden dann unverzüglich nachträglich.
Keine Unterauftragsverarbeiter im Sinne dieser AVV sind Stellen, die Quolly ohne Verarbeitung von Kundendaten im Auftrag des Kunden einsetzt oder die Quolly als eigenständig Verantwortlicher für eigene Vertrags-, Abrechnungs-, Zahlungs-, Steuer-, Rechts-, Buchhaltungs-, Marketing-, Newsletter-, Sicherheits- oder allgemeine Geschäftszwecke nutzt.
8. Drittlandübermittlungen
Eine Übermittlung von Kundendaten in ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums oder an eine internationale Organisation erfolgt nur, soweit dies zur Leistungserbringung erforderlich ist, auf dokumentierter Weisung des Kunden beruht, durch einen genehmigten Unterauftragsverarbeiter erfolgt oder rechtlich erforderlich ist und die Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden.
Besteht kein Angemessenheitsbeschluss der Europäischen Kommission, stellt Quolly sicher, dass geeignete Garantien bestehen, insbesondere EU-Standardvertragsklauseln nach Art. 46 DSGVO, soweit diese erforderlich sind und keine vorrangige gesetzliche Grundlage gilt.
Informationen zu etwaigen Drittlandübermittlungen durch Unterauftragsverarbeiter ergeben sich aus Anlage 3 oder aus dort referenzierten Anbieterinformationen.
Die bestimmungsgemäße Abrufbarkeit veröffentlichter oder per Link geteilter Kundeninhalte durch Empfänger außerhalb der EU oder des EWR erfolgt nach Konfiguration und Weisung des Kunden. Der Kunde bleibt dafür verantwortlich, keine personenbezogenen Daten weltweit bereitzustellen, wenn hierfür keine geeignete datenschutzrechtliche Grundlage besteht.
Erhält Quolly eine rechtlich bindende Anfrage einer Behörde oder öffentlichen Stelle auf Offenlegung von Kundendaten, informiert Quolly den Kunden unverzüglich, soweit dies rechtlich zulässig ist. Quolly prüft solche Anfragen angemessen und legt Kundendaten nur offen, soweit hierzu eine rechtliche Verpflichtung besteht oder die Offenlegung nach der DSGVO zulässig ist.
9. Betroffenenrechte
Quolly unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen dabei, Anfragen betroffener Personen nach Kapitel III DSGVO zu erfüllen.
Soweit Quolly Selbstbedienungsfunktionen bereitstellt, nutzt der Kunde diese vorrangig selbst, insbesondere für Auskunft, Export, Berichtigung, Löschung oder Einschränkung von Kundendaten.
Wendet sich eine betroffene Person unmittelbar an Quolly und betrifft die Anfrage erkennbar Kundendaten, leitet Quolly die Anfrage an den Kunden weiter oder weist die betroffene Person auf die Zuständigkeit des Kunden hin, soweit Quolly den Kunden zuordnen kann und keine gesetzliche Pflicht zur eigenen Bearbeitung besteht.
Quolly beantwortet Anfragen betroffener Personen zu Kundendaten nicht eigenständig inhaltlich, sofern Quolly hierzu nicht vom Kunden angewiesen wurde oder rechtlich verpflichtet ist.
10. Datenschutzverletzungen
Quolly informiert den Kunden unverzüglich, nachdem Quolly eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO bekannt geworden ist, soweit Kundendaten betroffen sind oder betroffen sein können. Soweit möglich, erfolgt eine Erstinformation innerhalb von 48 Stunden nach Bekanntwerden.
Die Mitteilung enthält, soweit Quolly die Informationen zur Verfügung stehen, insbesondere Art der Verletzung, betroffene oder voraussichtlich betroffene Daten- und Personenkategorien, ungefähre Zahl betroffener Personen und Datensätze, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen sowie eine Kontaktstelle für Rückfragen.
Liegen einzelne Informationen noch nicht vollständig vor, darf Quolly diese schrittweise ohne unangemessene Verzögerung nachreichen.
Die Verantwortung für gesetzliche Meldungen oder Benachrichtigungen gegenüber Aufsichtsbehörden oder betroffenen Personen liegt beim Kunden, soweit dieser Verantwortlicher ist. Quolly unterstützt den Kunden hierbei nach Maßgabe dieser AVV.
Maßnahmen zur Sicherung, Untersuchung, Eindämmung oder Behebung eines Vorfalls gelten nicht als Anerkennung eines Rechtsverstoßes oder einer Haftung.
11. Nachweise, Kontrollen und Unterstützung
Quolly stellt dem Kunden alle erforderlichen Informationen zur Verfügung, die zur Demonstration der Einhaltung der Pflichten aus Art. 28 DSGVO und dieser AVV erforderlich sind, soweit diese Informationen Quolly vorliegen und keine Rechte anderer Kunden, Geschäftsgeheimnisse, Sicherheitsinteressen oder gesetzlichen Pflichten entgegenstehen.
Geeignete Nachweise können insbesondere TOM-Beschreibungen, Unterauftragsverarbeiter-Informationen, Sicherheits-, Compliance- oder Datenschutznachweise, Zertifizierungen, Prüfberichte, Selbstauskünfte oder Auskünfte zu konkreten Verarbeitungen oder Vorfällen sein.
Der Kunde ist berechtigt, die Einhaltung dieser AVV selbst oder durch einen unabhängigen, zur Vertraulichkeit verpflichteten Prüfer zu überprüfen. Prüfungen erfolgen vorrangig durch Auskunft, Dokumentation, Remote-Audit oder Drittprüfberichte.
Vor-Ort-Prüfungen sind zulässig, wenn die vorrangigen Nachweismittel nicht ausreichen, ein konkreter Anlass besteht oder gesetzliche Anforderungen dies erfordern.
Prüfungen sind mit angemessener Frist, in der Regel mindestens 30 Tage im Voraus, anzukündigen und während üblicher Geschäftszeiten so durchzuführen, dass Betrieb, Sicherheit, Vertraulichkeit und Rechte anderer Kunden nicht unangemessen beeinträchtigt werden. Anlassbezogene Prüfungen, insbesondere nach einem Sicherheitsvorfall, können mit kürzerer Frist erfolgen, soweit dies erforderlich ist.
Der Kunde trägt seine eigenen Prüfungskosten. Soweit eine Prüfung erheblichen Aufwand bei Quolly verursacht und kein von Quolly zu vertretender Datenschutzverstoß festgestellt wird, kann Quolly eine angemessene Vergütung für den zusätzlichen Aufwand verlangen, sofern Quolly den Kunden hierauf vorab hinweist.
Quolly darf Informationen schwärzen oder beschränken, soweit dies zum Schutz von Geschäftsgeheimnissen, Sicherheitsarchitektur, personenbezogenen Daten Dritter oder Rechten anderer Kunden erforderlich ist. Die Nachweis- und Kontrollrechte des Kunden dürfen dadurch nicht unangemessen entwertet werden.
Quolly unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der Quolly verfügbaren Informationen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO, insbesondere bei Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorheriger Konsultation der Aufsichtsbehörde.
Soweit Unterstützungsleistungen nicht bereits durch den Hauptvertrag oder zwingende gesetzliche Pflichten von Quolly abgedeckt sind und nicht auf einem von Quolly zu vertretenden Umstand beruhen, kann Quolly eine angemessene Vergütung verlangen, sofern Quolly den Kunden hierauf vorab hinweist.
12. Rückgabe und Löschung
Während der Laufzeit des Hauptvertrags kann der Kunde Kundendaten im Rahmen der bereitgestellten Funktionen berichtigen, löschen oder exportieren. Je nach Datenart und Produktfunktion kann dies über einzelne Produktfunktionen, Datei- oder Mediendownloads, Exporte, Schnittstellen, Support- oder Administrationsprozesse oder andere angemessene elektronische Bereitstellungswege erfolgen. Eine einheitliche Exportfunktion für sämtliche Kundendaten wird nur geschuldet, soweit sie ausdrücklich bereitgestellt oder zwingend gesetzlich erforderlich ist.
Nach Beendigung des Hauptvertrags gibt Quolly Kundendaten nach Wahl des Kunden zurück oder löscht sie, sofern keine gesetzliche Pflicht zur weiteren Speicherung besteht. Die Rückgabe kann, soweit keine andere rechtlich erforderliche Form besteht, über eine oder mehrere Export- oder Downloadfunktionen, elektronische Dateien, Schnittstellen, einen Support- oder Administrationsprozess oder einen anderen angemessenen elektronischen Bereitstellungsweg erfolgen. Soweit rechtlich erforderlich, erfolgt die Rückgabe in einem gängigen, maschinenlesbaren elektronischen Format. Quolly ist nicht verpflichtet, Kundendaten in ein kundenspezifisches Schema oder in ein bestimmtes Drittsystem zu übertragen, soweit dies nicht gesetzlich vorgeschrieben oder gesondert vereinbart ist.
Soweit der Kunde keine abweichende Weisung erteilt, stellt Quolly für 30 Tage nach Vertragsende eine vorhandene Export- oder Rückgabemöglichkeit für Kundendaten bereit, sofern der Zugang zu Quolly oder eine andere elektronische Bereitstellung hierfür noch verfügbar ist. Danach darf Quolly Kundendaten in aktiven Systemen innerhalb angemessener Frist, spätestens innerhalb von 30 Tagen, löschen, sofern keine gesetzliche Pflicht zur weiteren Speicherung besteht.
Kundendaten in Backups und Sicherungskopien werden nach dem regulären Backup-Zyklus überschrieben oder gelöscht, spätestens innerhalb von 90 Tagen nach Löschung in aktiven Systemen, sofern keine gesetzliche Aufbewahrungspflicht besteht oder die weitere Speicherung im Einzelfall zur Abwehr, Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Bis zur endgültigen Löschung dürfen in Backups enthaltene Kundendaten nur für Wiederherstellungs-, Sicherheits-, Nachweis- oder Compliance-Zwecke verarbeitet werden.
Quolly ist nicht verpflichtet, Kundendaten aus Systemen, Archiven, Caches oder Kopien Dritter zu löschen, die nicht von Quolly kontrolliert werden, insbesondere wenn der Kunde Inhalte öffentlich bereitgestellt, exportiert, geteilt, eingebettet oder an Dritte weitergegeben hat.
Gesetzliche Aufbewahrungspflichten und eigenständige Verarbeitungen von Quolly als Verantwortlicher bleiben unberührt.
13. Optionale KI-, Import-, Automatisierungs- und Strukturierungsfunktionen
Soweit Quolly KI-, Import-, Automatisierungs- oder Strukturierungsfunktionen bereitstellt, verarbeitet Quolly Kundendaten in diesen Funktionen nur zur Erbringung der vom Kunden genutzten oder veranlassten Leistung.
Soweit Quolly hierfür KI- oder LLM-Unterauftragsverarbeiter einsetzt, werden diese nach Ziffer 7 eingebunden und in Anlage 3 benannt.
Der Kunde ist dafür verantwortlich, keine Inhalte in KI-, Import-, Automatisierungs- oder Strukturierungsfunktionen einzugeben oder verarbeiten zu lassen, wenn dies gegen gesetzliche Vorgaben, Rechte Dritter, Vertraulichkeitspflichten oder eigene Datenschutzinformationen des Kunden verstößt.
Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, Daten über strafrechtliche Verurteilungen oder Straftaten im Sinne von Art. 10 DSGVO sowie sonstige besonders schutzbedürftige oder regulierte Daten sind nicht Zweck der KI-, Import-, Automatisierungs- oder Strukturierungsfunktionen. Der Kunde darf solche Daten nur verarbeiten lassen, wenn dies rechtmäßig ist und Quolly hierfür ausdrücklich vorgesehen oder gesondert vereinbart wurde.
14. Haftung
Die Haftung der Parteien richtet sich nach den Regelungen des Hauptvertrags, soweit diese wirksam sind.
Zwingende gesetzliche Haftungsregelungen, insbesondere nach Art. 82 DSGVO, bleiben unberührt.
Quolly bleibt gegenüber dem Kunden nach Maßgabe von Art. 28 Abs. 4 DSGVO für die Erfüllung der Datenschutzpflichten seiner Unterauftragsverarbeiter verantwortlich.
Keine Partei beschränkt ihre Haftung, soweit eine Haftungsbeschränkung nach zwingendem Recht unzulässig ist.
15. Laufzeit, Änderungen und Rangfolge
Diese AVV tritt mit wirksamer Einbeziehung in den Hauptvertrag, mit Abschluss des Hauptvertrags oder mit elektronischer Akzeptanz durch den Kunden in Kraft und gilt für die Dauer der Auftragsverarbeitung.
Mit Beendigung des Hauptvertrags endet auch diese AVV, sofern Quolly keine Kundendaten mehr im Auftrag des Kunden verarbeitet. Regelungen, die ihrer Natur nach fortgelten müssen, insbesondere zu Vertraulichkeit, Rückgabe, Löschung, Nachweisen, Kontrollen und Haftung, bleiben unberührt.
Quolly darf diese AVV anpassen, soweit dies aufgrund geänderter gesetzlicher Anforderungen, behördlicher Vorgaben, Rechtsprechung, technischer oder organisatorischer Weiterentwicklungen, Sicherheitsanforderungen oder Änderungen der Quolly-Leistungen erforderlich oder zweckmäßig ist und die Änderung den Kunden nicht unangemessen benachteiligt.
Wesentliche Änderungen dieser AVV teilt Quolly dem Kunden in Textform oder über einen im Hauptvertrag vorgesehenen elektronischen Änderungsmechanismus mit. Änderungen, die das Datenschutzniveau wesentlich nachteilig beeinflussen, Hauptleistungspflichten wesentlich ändern oder Weisungsrechte des Kunden wesentlich beschränken, bedürfen der Zustimmung des Kunden, soweit nicht zwingendes Recht etwas anderes erfordert.
Änderungen der technischen und organisatorischen Maßnahmen richten sich nach Ziffer 6. Änderungen bei Unterauftragsverarbeitern richten sich nach Ziffer 7.
Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag geht diese AVV vor, soweit der Widerspruch die Auftragsverarbeitung von Kundendaten betrifft. Bei Widersprüchen zwischen Anlagen und Hauptteil geht der Hauptteil vor. Zwingende gesetzliche Datenschutzvorschriften gehen abweichenden vertraglichen Regelungen vor.
16. Schlussbestimmungen
Änderungen und Ergänzungen dieser AVV bedürfen der Textform, soweit nicht in dieser AVV, im Hauptvertrag oder in zwingenden gesetzlichen Vorschriften etwas anderes geregelt ist. Der elektronische Abschluss, die elektronische Einbeziehung und elektronische Änderungsmechanismen sind zulässig.
Sollte eine Bestimmung dieser AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden die unwirksame oder undurchführbare Bestimmung durch eine wirksame und durchführbare Regelung ersetzen, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der ursprünglichen Regelung möglichst nahekommt.
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss kollisionsrechtlicher Vorschriften. Zwingende datenschutzrechtliche Vorschriften der Europäischen Union und der Mitgliedstaaten bleiben unberührt.
Gerichtsstand ist, soweit gesetzlich zulässig, Regensburg. Für Kunden, die Verbraucher sind, gelten die gesetzlichen Gerichtsstände.
Anlage 1 – Beschreibung der Verarbeitung
Diese Anlage beschreibt die Auftragsverarbeitung, die Quolly im Rahmen des Hauptvertrags für den Kunden durchführt. Sie ist Bestandteil der AVV.
| Punkt | Beschreibung |
|---|---|
| Gegenstand der Verarbeitung | Technische Bereitstellung, Speicherung, Strukturierung, Verwaltung, Anzeige, Veröffentlichung, Zugriffsbeschränkung, Sicherung, Übermittlung, Wiederherstellung und Löschung von Kundendaten im Rahmen von Quolly. |
| Dauer der Verarbeitung | Laufzeit des Hauptvertrags zuzüglich der in der AVV geregelten Rückgabe-, Lösch- und Backup-Fristen. |
| Art der Verarbeitung | Erheben, Erfassen, Speichern, Organisieren, Ordnen, Strukturieren, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Anzeigen, Offenlegen durch Übermittlung oder Bereitstellung, Abgleichen, Einschränken, Exportieren, Löschen und Vernichten. |
| Zwecke der Verarbeitung | Bereitstellung von Quolly; Erstellung, Strukturierung, Bearbeitung, Verwaltung, Veröffentlichung und Teilen von Guides und Hilfsseiten; Import und Bearbeitung von Kundeninhalten; Verwaltung von Accounts, Workspaces, Projekten, Rollen und Einstellungen; technische Auslieferung, Sicherheit, Wartung, Fehleranalyse, Support, Backups, Export und Löschung; optionale KI-, Import-, Automatisierungs- oder Strukturierungsfunktionen, soweit vom Kunden genutzt oder veranlasst. |
| Kategorien personenbezogener Daten | Stammdaten und Kontaktdaten, z. B. Name, E-Mail-Adresse, Unternehmen, Rolle; Account-, Authentifizierungs- und Berechtigungsdaten; Inhaltsdaten in Guides, Dokumenten, Texten, FAQs, Bildern, Screenshots, Anhängen, Kommentaren oder vergleichbaren Inhalten; technische Nutzungs-, Zugriffs-, Protokoll- und Sicherheitsdaten, z. B. IP-Adresse, Zeitstempel, Geräte- und Browserinformationen, Session- oder Cookie-IDs, Logdaten und Fehlermeldungen; Metadaten zu Projekten, Guides, Seiten, Veröffentlichungen, Zugriffen, Versionen, Änderungen, Links, Freigaben und Einstellungen; Supportdaten, soweit sie Kundendaten enthalten. |
| Kategorien betroffener Personen | Nutzer, Administratoren, Beschäftigte, freie Mitarbeitende und sonstige Vertreter des Kunden; Kunden, Interessenten, Geschäftspartner und Kontakte des Kunden; Besucher und Endnutzer öffentlicher, geteilter, eingebetteter oder zugriffsbeschränkter Quolly-Seiten; Personen, deren Daten in Kundeninhalten enthalten sind; Support- und Kommunikationskontakte des Kunden. |
| Besondere Kategorien personenbezogener Daten | Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO und Daten über strafrechtliche Verurteilungen oder Straftaten im Sinne von Art. 10 DSGVO sind nicht Zweck von Quolly. Der Kunde darf solche Daten nur verarbeiten lassen, wenn dies rechtmäßig ist und Quolly hierfür ausdrücklich vorgesehen oder gesondert vereinbart wurde. |
| Veröffentlichung und weltweite Abrufbarkeit | Öffentliche, eingebettete oder per Link geteilte Guides und Seiten können je nach Konfiguration weltweit abrufbar sein. Diese Bereitstellung erfolgt auf Weisung und Verantwortung des Kunden. |
Anlage 2 – Technische und organisatorische Maßnahmen
Diese Anlage beschreibt die technischen und organisatorischen Maßnahmen (TOMs) von Quolly zum Schutz von Kundendaten im Rahmen der Auftragsverarbeitung. Die Maßnahmen gelten für den Betrieb des SaaS-Angebots Quolly und werden risikobasiert weiterentwickelt.
| Bereich | Maßnahmen |
|---|---|
| Physische Sicherheit | Die produktiven Kernsysteme der Quolly-Plattform werden auf Scaleway-Infrastruktur betrieben. Selbst gehostete Zusatzkomponenten wie Listmonk und Plausible Analytics Community Edition werden auf STRATO-Infrastruktur betrieben. Der physische Schutz der Rechenzentrumsinfrastruktur erfolgt durch die jeweiligen Hosting-Anbieter. Quolly betreibt keine eigenen öffentlich zugänglichen Serverräume. Lokale Arbeitsgeräte mit administrativem Zugriff werden gegen unbefugte Nutzung geschützt, insbesondere durch Benutzerkonten, Bildschirmsperre, aktuelle Betriebssysteme, Geräteverschlüsselung, soweit verfügbar, und Zugriffsbeschränkung auf berechtigte Personen. |
| Zugangskontrolle | Zugriff auf Quolly erfolgt über individualisierte Nutzerkonten. Kundenkonten werden durch Transportverschlüsselung, Session-Schutz und angemessene Passwortanforderungen geschützt. Eine verpflichtende Mehr-Faktor-Authentifizierung für Kundenkonten besteht nicht, sofern keine abweichende Produktfunktion oder Vereinbarung gilt. Passwörter werden, soweit Quolly Passwörter verarbeitet, nicht im Klartext gespeichert. |
| Administrative Zugänge | Administrative Zugänge zu Hosting-, Deployment-, Repository-, Datenbank-, Support- und Verwaltungssystemen sind auf berechtigte Administratoren beschränkt. Für administrative Zugänge wird, soweit vom jeweiligen System unterstützt, Mehr-Faktor-Authentifizierung eingesetzt. Serverzugriffe erfolgen über gesicherte Administrationswege; SSH-Zugriffe erfolgen mit individuellen Schlüsseln oder gleichwertig abgesicherten Verfahren. |
| Berechtigungskonzept | Zugriffsrechte werden nach dem Erforderlichkeitsprinzip vergeben, überprüft und bei Wegfall der Berechtigung entzogen. Administrative Zugriffe auf Kundendaten erfolgen nur, soweit dies für Betrieb, Wartung, Sicherheit, Fehleranalyse, Support, Missbrauchsabwehr oder Umsetzung dokumentierter Kundenweisungen erforderlich ist. |
| Mandantentrennung | Kundendaten unterschiedlicher Kunden werden logisch getrennt verarbeitet, insbesondere durch Mandanten-, Workspace-, Projekt-, Rollen- oder Berechtigungskonzepte innerhalb der Anwendung und Datenhaltung. Entwicklungs-, Test- und Produktivumgebungen werden getrennt betrieben. Produktive Kundendaten werden nicht für allgemeine Entwicklungs- oder Testzwecke verwendet. |
| Verschlüsselung und Übertragung | Die Kommunikation mit Quolly erfolgt über verschlüsselte Verbindungen, insbesondere HTTPS/TLS. Administrative Verbindungen erfolgen über verschlüsselte Protokolle oder gesicherte Verwaltungszugänge. Für die produktive Managed-MySQL-Datenbank bei Scaleway wird Encryption at Rest genutzt, soweit diese Funktion für die jeweilige Datenbankinstanz aktiviert ist; nach Scaleway-Dokumentation erfolgt die Verschlüsselung auf Volume-Ebene und die Schlüsselverwaltung durch Scaleway. Kundendaten werden an Unterauftragsverarbeiter nur übermittelt, soweit dies zur Leistungserbringung erforderlich und nach der AVV zulässig ist. |
| Logging und Nachvollziehbarkeit | Quolly protokolliert sicherheits- und betriebsrelevante Ereignisse in angemessenem Umfang, insbesondere technische Zugriffe, Fehlerereignisse, sicherheitsrelevante Systemereignisse und administrative Vorgänge. Protokolle werden zweckgebunden für Sicherheit, Fehleranalyse, Stabilität, Missbrauchsabwehr und Nachweiszwecke verwendet und grundsätzlich nicht länger gespeichert als hierfür erforderlich. |
| Backups | Quolly erstellt regelmäßige Backups der produktiven Datenbank und erforderlicher Anwendungsdaten. Backups erfolgen grundsätzlich täglich und werden für bis zu 30 Tage aufbewahrt, sofern keine längere Aufbewahrung aus Sicherheits-, Wiederherstellungs-, Nachweis- oder Rechtsgründen erforderlich ist. Kundendaten in Backups werden nach Löschung in aktiven Systemen spätestens innerhalb von 90 Tagen überschrieben oder gelöscht, soweit keine gesetzliche Pflicht oder ein berechtigter Sicherungs- oder Nachweiszweck entgegensteht. |
| Verfügbarkeit und Wiederherstellung | Die produktive Infrastruktur nutzt die vom Hosting-Anbieter bereitgestellten Maßnahmen zur Stromversorgung, Netzwerkanbindung, Brandschutz, Systemverfügbarkeit und Rechenzentrumssicherheit. Die Wiederherstellbarkeit von Backups wird regelmäßig oder anlassbezogen geprüft. Bei erheblichen Störungen werden angemessene Maßnahmen zur Sicherung, Eindämmung, Wiederherstellung und Dokumentation getroffen. |
| Updates und Schwachstellenmanagement | Sicherheitsrelevante Updates für Betriebssysteme, Serverkomponenten, Frameworks und abhängige Software werden zeitnah nach Verfügbarkeit und Risikobewertung eingespielt. Technische Abhängigkeiten werden angemessen gepflegt und bei relevanten Sicherheitsupdates aktualisiert. |
| Anwendungssicherheit | Änderungen an produktiven Systemen erfolgen kontrolliert und risikobasiert geprüft. Quellcode, Konfigurationen und Deployment-Prozesse werden gegen unbefugten Zugriff geschützt. Eingaben in der Anwendung werden angemessen validiert und verarbeitet, um typische Webanwendungsrisiken wie unberechtigte Zugriffe, Injection-Angriffe, Cross-Site-Scripting und Cross-Site-Request-Forgery zu reduzieren. Geheimnisse wie Zugangsdaten, API-Schlüssel und Tokens werden nicht im Klartext in öffentlich zugänglichen Repositories gespeichert. |
| Vertraulichkeit und Personalmaßnahmen | Personen mit Zugriff auf Kundendaten werden zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht. Zugriff auf Kundendaten wird nur erteilt, soweit er für Betrieb, Wartung, Support, Sicherheit, Fehleranalyse oder Umsetzung dokumentierter Weisungen erforderlich ist. Namen einzelner Administratoren werden nicht in diesen TOMs aufgeführt; der berechtigte Personenkreis wird intern geführt. |
| KI- und LLM-Funktionen | KI-gestützte Funktionen werden nur über genehmigte KI- bzw. LLM-Unterauftragsverarbeiter eingesetzt. Kundendaten werden dabei nur verarbeitet, soweit dies zur vom Kunden genutzten Funktion erforderlich ist. Quolly verwendet Kundendaten nicht zum Training, zur Entwicklung oder zur Verbesserung eigener oder fremder KI- oder LLM-Grundmodelle, sofern der Kunde dies nicht gesondert beauftragt oder vereinbart. |
| Datenminimierung und Voreinstellungen | Quolly verarbeitet Kundendaten nur, soweit dies zur Bereitstellung, Absicherung, Wartung, Fehleranalyse, Unterstützung oder Umsetzung dokumentierter Weisungen erforderlich ist. Kunden entscheiden über Inhalt, Sichtbarkeit und Empfängerkreis ihrer Guides. Öffentliche oder per Link geteilte Inhalte werden nur entsprechend der Kundeneinstellungen bereitgestellt. |
| Löschung und Export | Kunden können Kundendaten im Rahmen bereitgestellter Produktfunktionen sowie, soweit vorgesehen, über Support- oder Administrationsprozesse bearbeiten, löschen oder exportieren. Umfang, Format und technische Umsetzung können je nach Datenart und Funktion variieren. Nach Vertragsende werden Kundendaten nach Maßgabe der AVV zurückgegeben oder gelöscht. |
| Incident Response | Bei Sicherheitsvorfällen oder Datenschutzverletzungen werden angemessene Maßnahmen zur Sicherung, Untersuchung, Eindämmung, Behebung, Dokumentation und Benachrichtigung nach Maßgabe der AVV getroffen. Sicherheitsrelevante Vorfälle werden intern bewertet und, soweit erforderlich, in Verbesserungsmaßnahmen überführt. |
| Regelmäßige Überprüfung | Quolly überprüft diese TOMs regelmäßig sowie anlassbezogen, insbesondere bei wesentlichen Produktänderungen, Änderungen der Infrastruktur, neuen Unterauftragsverarbeitern, neuen KI-Funktionen, Sicherheitsvorfällen oder erheblichen Änderungen der Risikolage. |
| Mitwirkung des Kunden | Der Kunde ist verantwortlich für die sichere Verwaltung eigener Zugangsdaten, sachgerechte Rollen- und Rechtevergabe, sorgfältige Verwendung öffentlicher Links, Einbettungen und Exporte sowie die Prüfung, ob personenbezogene oder sensible Daten in Guides, Anhängen, Screenshots oder KI-Funktionen verarbeitet werden dürfen. |
Anlage 3 – Unterauftragsverarbeiter
Diese Anlage benennt die Unterauftragsverarbeiter, die Quolly zur Verarbeitung von Kundendaten im Sinne dieser AVV einsetzen darf. Soweit ein Dienst optional ist, erfolgt eine Verarbeitung nur, wenn die entsprechende Produktfunktion genutzt wird oder die Verarbeitung für Betrieb, Sicherheit, Support oder Fehlerbehebung erforderlich ist.
| Unterauftragsverarbeiter | Sitz / Land | Zweck | Mögliche Kundendaten | Ort der Verarbeitung | Drittlandtransfer / Garantien | Einsatz |
|---|---|---|---|---|---|---|
| Scaleway SAS | 8 rue de la Ville-l’Évêque, 75008 Paris, Frankreich | Primäres Hosting der Quolly-Plattform; Serverbetrieb; Managed-MySQL-Datenbank; Speicher-, Backup-, Netzwerk- und Infrastrukturleistungen | Kundeninhalte, Account- und Nutzungsdaten, technische Zugriffs-, Protokoll-, Sicherheits- und Backupdaten, Supportdaten, soweit sie in der Plattform verarbeitet werden | EU nach gewählter Scaleway-Region | Keine Drittlandübermittlung durch Quolly vorgesehen. Soweit Scaleway Unterauftragsverarbeiter einsetzt, gelten die mit Scaleway vereinbarten Datenschutzbedingungen und Schutzmaßnahmen. | Ständiger Betrieb der primären Plattform |
| STRATO GmbH | Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland | Hosting selbst gehosteter Zusatzkomponenten, insbesondere Plausible Analytics Community Edition; Listmonk wird ebenfalls auf STRATO betrieben, gehört aber regelmäßig zur eigenen Newsletter-Verarbeitung von Quolly außerhalb dieser AVV | Technische Analyse-, Zugriffs-, Nutzungs-, Protokoll-, Sicherheits- und Backupdaten, soweit über selbst gehostete Zusatzkomponenten Kundendaten im Sinne dieser AVV verarbeitet werden | Deutschland / EU nach eingesetztem STRATO-Produkt | Keine Drittlandübermittlung durch Quolly vorgesehen. Soweit STRATO seinerseits Unterauftragnehmer einsetzt, gelten die mit STRATO vereinbarten Datenschutzbedingungen und Schutzmaßnahmen. | Eingeschränkter Betrieb selbst gehosteter Zusatzkomponenten; nicht Hauptplattform |
| IONOS SE | Elgendorfer Str. 57, 56410 Montabaur, Deutschland | Domain-, DNS-, Mailserver- und E-Mail-Infrastruktur, insbesondere System-, Support-, Sicherheits- und Administrationskommunikation | E-Mail-Adressen, Namen, Kommunikationsinhalte, technische Mail-Metadaten, Support- und Administrationsdaten, soweit über die Mail-Infrastruktur verarbeitet | Deutschland / EU nach eingesetztem IONOS-Produkt | Keine Drittlandübermittlung durch Quolly vorgesehen. Soweit IONOS seinerseits Unterauftragnehmer einsetzt, gelten die mit IONOS vereinbarten Datenschutzbedingungen und Schutzmaßnahmen. | Domains und E-Mail-Kommunikation |
| EUrouter B.V. | Jacob van Lennepstraat 78H, 1053HM Amsterdam, Niederlande | KI-/LLM-Routing und Verarbeitung von Prompts, Eingaben, Ausgaben, Strukturierungs- und Inferenzanfragen für optionale KI-, Import-, Automatisierungs- oder Strukturierungsfunktionen | Inhalte aus Guides, Notizen, Support-Antworten, Entwürfen, Prompts, Instruktionen, generierte Ausgaben, technische API- und Nutzungsmetadaten | Standardmäßig EU-/EWR-Konfigurationen nach Anbieterangaben | Keine Drittlandübermittlung für Customer API Data durch Quolly vorgesehen, soweit EU-/EWR-Konfigurationen genutzt werden. Bei abweichender oder künftiger Drittlandverarbeitung gelten Art. 44 ff. DSGVO, insbesondere Angemessenheitsbeschluss oder EU-Standardvertragsklauseln mit ergänzenden Maßnahmen, soweit erforderlich. | Optional, soweit KI-/LLM-Funktionen genutzt werden |
| TensorX Ltd. ehemals Tensorix | Unit 25, Classon House, Dundrum Business Park, Dublin 14, Irland | KI-/LLM-Inferenz und Verarbeitung von Prompts, Eingaben, Ausgaben und Modellanfragen für optionale KI-, Import-, Automatisierungs- oder Strukturierungsfunktionen; ggf. auch als Anbieter innerhalb einer EUrouter-Verarbeitungskette | Inhalte aus Guides, Notizen, Support-Antworten, Entwürfen, Prompts, Instruktionen, generierte Ausgaben, technische API- und Nutzungsmetadaten | Inferenzinfrastruktur nach Anbieterangaben in der EU, insbesondere Dublin, Helsinki und Paris | Für Inferenzdaten ist keine Drittlandübermittlung durch Quolly vorgesehen, soweit EU-Konfigurationen genutzt werden. Einzelne Support-, Kommunikations- oder CRM-Dienste des Anbieters können Drittlandbezug haben und werden nach Anbieterangaben mit EU-Standardvertragsklauseln bzw. ergänzenden Mechanismen abgesichert. | Optional, soweit KI-/LLM-Funktionen genutzt werden |
| Zusätzlicher Hinweis | Inhalt |
|---|---|
| KI-Verarbeitungsketten | KI-/LLM-Dienste können weitere Unterauftragsverarbeiter oder Modellanbieter einsetzen. Diese sind keine unmittelbaren Vertragspartner von Quolly, können aber Teil der Verarbeitungskette des jeweiligen direkten Unterauftragsverarbeiters sein. Quolly nutzt KI-/LLM-Anbieter nur insoweit, wie dies zur Bereitstellung optionaler KI-/LLM-Funktionen erforderlich ist. |
| EUrouter | EUrouter gibt an, Customer API Data standardmäßig über EU-/EWR-Konfigurationen zu routen, substanzielle Prompt-, Eingabe-, Datei-, Antwort- oder Ausgabedaten nach Request-Abschluss standardmäßig nicht zu speichern und Customer API Data nicht zum Training, Fine-Tuning oder zur Verbesserung von KI-Modellen zu verwenden. EUrouter kann insbesondere Infrastruktur-, Monitoring-, Fehleranalyse- und autorisierte KI-Modellanbieter einsetzen. |
| TensorX | TensorX gibt an, Inferenzdaten mit Zero-Data-Retention zu verarbeiten, Prompts und Antworten nicht dauerhaft zu speichern, Inferenzinfrastruktur in der EU zu betreiben und keine Kundendaten an Modellentwickler oder Modellanbieter weiterzugeben. TensorX nennt als eigene Unterauftragsverarbeiter insbesondere Infrastruktur-, Rechenzentrums-, Kommunikations-, Zahlungs-, E-Mail-, Support- und CRM-Dienstleister. |
| Stripe | Zahlungsabwicklung für kostenpflichtige Accounts. Diese Verarbeitung betrifft regelmäßig Vertrags-, Zahlungs-, Abrechnungs- und Betrugspräventionsdaten von Quolly bzw. des zahlenden Nutzers, nicht die Verarbeitung von Plattform-Kundendaten im Auftrag des Kunden. Stripe ist deshalb nicht als Unterauftragsverarbeiter dieser Kunden-AVV aufgeführt, soweit keine Kundendaten im Sinne dieser AVV betroffen sind. |
| sevDesk | Buchhaltung, Rechnungsstellung und steuerliche Dokumentation. Diese Verarbeitung betrifft regelmäßig eigene Abrechnungs-, Buchhaltungs- und Steuerdaten von Quolly, nicht die Verarbeitung von Plattform-Kundendaten im Auftrag des Kunden. |
| Listmonk | Newsletter-Verwaltung. Listmonk wird nach aktuellem Setup selbst gehostet auf STRATO-Infrastruktur betrieben. Dadurch entsteht kein zusätzlicher externer Unterauftragsverarbeiter neben STRATO, soweit keine weiteren externen Versanddienste eingesetzt werden. Newsletter-Verarbeitung ist regelmäßig eigene Marketing- oder Bestandskundenkommunikation von Quolly außerhalb dieser AVV. |
| Plausible Analytics Community Edition | Analytics wird nach aktuellem Setup selbst gehostet auf STRATO-Infrastruktur betrieben. Dadurch entsteht kein zusätzlicher externer Unterauftragsverarbeiter neben STRATO, soweit keine Cloud-Version oder weiterer externer Analytics-Dienst eingesetzt wird. |
Quolly kann Unterauftragsverarbeiter nach Maßgabe der AVV hinzufügen, ersetzen oder entfernen. Aktualisierungen dieser Anlage gelten nicht als Änderung des Hauptteils der AVV, soweit die Änderung nach der AVV zulässig ist und das vereinbarte Datenschutzniveau nicht wesentlich nachteilig beeinträchtigt wird.