AISignal
Jetzt starten
Rechtliches

Auftragsverarbeitungsvertrag

Wie AISignal personenbezogene Daten im Auftrag seiner Kunden verarbeitet, speichert und schützt.

Gültig ab: 18. Juni 2026

1. Zusatz zur Auftragsverarbeitung

AISignal verpflichtet sich zu Datenschutz, Sicherheit und Compliance bei Kundendaten. Dieser Zusatz zur Auftragsverarbeitung (“DPA”) beschreibt die Bedingungen, nach denen wir personenbezogene Daten gemäß geltenden Datenschutzgesetzen verarbeiten, speichern und schützen. Der DPA ergänzt unsere Hauptvereinbarung mit Kunden und gilt, wenn AISignal personenbezogene Daten im Auftrag des Kunden als Auftragsverarbeiter verarbeitet.

Er legt klare Verantwortlichkeiten beider Parteien im Umgang mit Daten fest und unterstützt die Einhaltung relevanter Datenschutzgesetze. Durch die Nutzung von AISignal erkennen Kunden die Bedingungen dieses DPA an und stimmen ihnen zu. Wenn Sie für Compliance-Zwecke eine unterzeichnete Ausfertigung benötigen, kontaktieren Sie uns unter [email protected].

2. Definitionen

Verbundenes Unternehmen bezeichnet jede Einheit, die eine Partei direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit ihr steht. “Kontrolle” bedeutet den direkten oder indirekten Besitz von mindestens 50 % der Stimmrechte, Kapitalanteile oder vergleichbarer Rechte an der Einheit. Verbundene Unternehmen gelten in dem Umfang als an die in diesem DPA beschriebenen Pflichten und Verantwortlichkeiten gebunden, in dem sie an der Verarbeitung personenbezogener Daten beteiligt sind.

Autorisierter Unterauftragsverarbeiter bezeichnet jeden Drittanbieter, Dienstleister oder Auftragnehmer, den AISignal beauftragt, personenbezogene Daten des Kunden ausschließlich im Auftrag und nach Weisung von AISignal zu verarbeiten. Alle Unterauftragsverarbeiter müssen dieselben Datenschutzpflichten einhalten und Sicherheit, Vertraulichkeit und regulatorische Compliance gewährleisten.

Kontodaten bezeichnet alle geschäftsbezogenen Informationen, die AISignal im Zusammenhang mit seiner Vertragsbeziehung zum Kunden erhebt, speichert und verarbeitet. Dazu gehören Namen, E-Mail-Adressen, Telefonnummern, Zahlungsdaten und Zugangsdaten von Personen, die vom Kunden zur Verwaltung und Nutzung ihres Kontos auf der Plattform autorisiert sind. Kontodaten werden ausschließlich für administrative Zwecke, Abrechnung und Support verwendet.

Datenschutzgesetze umfassen alle geltenden Gesetze, Vorschriften und Rahmenwerke zur Erhebung, Verarbeitung, Speicherung, Übermittlung und zum Schutz personenbezogener Daten — einschließlich, aber nicht beschränkt auf, die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die UK GDPR, den California Consumer Privacy Act (CCPA) und alle anderen nationalen oder internationalen Datenschutzgesetze, die für die Datenverarbeitung im Rahmen dieser Vereinbarung relevant sind.

Personenbezogene Daten bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person”) beziehen. Personenbezogene Daten umfassen keine anonymisierten oder aggregierten Daten, die nicht zur Identifizierung einer Person verwendet werden können.

Verarbeitung bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, ob automatisiert oder manuell — einschließlich Erheben, Erfassen, Organisieren, Strukturieren, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Einschränken, Löschen oder Vernichten personenbezogener Daten.

Sicherheitsmaßnahmen bezeichnet die technischen und organisatorischen Schutzmaßnahmen, die implementiert werden, um Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten sicherzustellen. Dazu gehören Verschlüsselung, Zugriffskontrollen, Firewalls, Datenmaskierung, Pseudonymisierung, regelmäßige Sicherheitsaudits und Verfahren zur Meldung von Datenschutzverletzungen.

Aufsichtsbehörde bezeichnet eine unabhängige öffentliche Stelle, die für die Überwachung und Durchsetzung der Datenschutzgesetze zuständig ist — zum Beispiel der Europäische Datenschutzausschuss (EDPB), das UK Information Commissioner's Office (ICO) und die California Privacy Protection Agency (CPPA).

Rechte betroffener Personen bezeichnet die Rechte, die Personen nach geltenden Datenschutzgesetzen zustehen, einschließlich Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und das Recht, Beschwerden bei einer Aufsichtsbehörde einzureichen.

3. Verarbeitung von Daten

Der Kunde kann je nach Beziehung zur betroffenen Person und den Zwecken der Verarbeitung personenbezogener Daten entweder als Verantwortlicher oder als Auftragsverarbeiter handeln. In allen Fällen handelt AISignal als Auftragsverarbeiter und verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Kunden.

Der Kunde ist dafür verantwortlich sicherzustellen, dass alle über unsere Dienste durchgeführten Datenverarbeitungen geltenden Datenschutzgesetzen entsprechen. Der Kunde bestätigt, dass er über eine Rechtsgrundlage zur Verarbeitung personenbezogener Daten verfügt, und stellt AISignal von Ansprüchen, Verbindlichkeiten oder Schäden frei, die aus der Nichteinhaltung dieser gesetzlichen Anforderungen entstehen.

AISignal verarbeitet personenbezogene Daten nur gemäß den schriftlichen Weisungen des Kunden und ausschließlich, soweit dies zur Bereitstellung der Dienste erforderlich ist, sofern nicht gesetzlich etwas anderes vorgeschrieben ist. Wir verwenden, offenlegen oder teilen personenbezogene Daten nicht für andere Zwecke als die vom Kunden autorisierten oder in dieser Vereinbarung ausdrücklich beschriebenen Zwecke.

Nach Beendigung der Vereinbarung oder auf Anfrage des Kunden wird AISignal nach Wahl des Kunden entweder (a) alle im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten sicher löschen und sicherstellen, dass keine Kopien verbleiben, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht, oder (b) die personenbezogenen Daten vor der Löschung in einem strukturierten, gängigen und maschinenlesbaren Format an den Kunden zurückgeben.

4. Sicherheit und Vertraulichkeit

AISignal verpflichtet sich, Sicherheit und Vertraulichkeit personenbezogener Daten zu schützen, die im Auftrag des Kunden verarbeitet werden. Wir implementieren und unterhalten branchenübliche Sicherheitsmaßnahmen, die unbefugten Zugriff, Offenlegung, Veränderung oder Zerstörung personenbezogener Daten verhindern sollen, einschließlich:

  • Datenverschlüsselung. Personenbezogene Daten werden bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256) mit branchenüblichen Protokollen verschlüsselt.
  • Zugriffskontrollen. Strenge Zugriffsverwaltungsrichtlinien stellen sicher, dass nur autorisiertes Personal nach dem Need-to-know-Prinzip Zugriff auf personenbezogene Daten hat.
  • Netzwerk- & Systemsicherheit. Firewalls, Intrusion-Detection-Systeme und kontinuierliches Monitoring helfen, unbefugten Zugriff und Cyberbedrohungen zu verhindern.
  • Anonymisierung & Pseudonymisierung von Daten. Soweit anwendbar, werden personenbezogene Daten anonymisiert oder pseudonymisiert, um Risiken durch Datenoffenlegung zu verringern.
  • Regelmäßige Sicherheitsaudits. Wiederkehrende Sicherheitsbewertungen, Schwachstellentests und Compliance-Prüfungen identifizieren und mindern Risiken.
  • Incident-Response-Plan. Ein strukturiertes Verfahren stellt sicher, dass Sicherheitsvorfälle zeitnah erkannt, eingedämmt und gemäß geltenden Datenschutzgesetzen gemeldet werden.

Jede Person — Mitarbeiter, Auftragnehmer oder autorisierter Dienstleister —, die in unserem Auftrag personenbezogene Daten verarbeitet, ist an strenge Vertraulichkeitspflichten gebunden, einschließlich unterzeichneter Geheimhaltungsvereinbarungen und interner Richtlinien zum Umgang mit Daten.

5. Unterauftragsverarbeiter

AISignal beauftragt Unterauftragsverarbeiter, um den Dienst bereitzustellen und zu betreiben. Diese Unterauftragsverarbeiter übernehmen bestimmte Funktionen wie Infrastruktur-Hosting, Zahlungsabwicklung, transaktionale E-Mails und Sicherheit. Wir stellen sicher, dass alle beauftragten Unterauftragsverarbeiter Datenschutzpflichten einhalten, die den in diesem DPA beschriebenen Pflichten entsprechen, abgesichert durch unterzeichnete Vereinbarungen.

Eine aktuelle Liste ist auf Anfrage unter [email protected] erhältlich. Aktuelle Unterauftragsverarbeiter umfassen unter anderem:

  • Stripe — Zahlungsabwicklung, Rechnungsstellung und Betrugsprüfung.
  • Mailgun — Zustellung transaktionaler E-Mails und Benachrichtigungen.
  • Cloudflare — CDN, DDoS-Schutz und Turnstile-Bot-Prüfung.
  • Managed-Database-Anbieter — verschlüsselte Speicherung von Anwendungsdaten im Ruhezustand.

KI-Engine-Endpunkte

Um zu messen, wie generative Assistenten das Unternehmen eines Kunden beschreiben, sendet AISignal sorgfältig erstellte öffentliche Abfragen an die offiziellen APIs von ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google), Meta AI (Meta), DeepSeek und Grok (xAI). Diese Engines sind unabhängige Dienstanbieter, die ihre eigene Infrastruktur nach eigenen Bedingungen betreiben.

  • Wir senden nur die Prompts, die für den Optimierungsworkflow vorbereitet wurden — keine Kontodaten, keine privaten Dateien und keine personenbezogenen Daten Ihrer Kunden.
  • Wir übermitteln niemals personenbezogene Daten oder proprietäre Inhalte als Trainingsdaten. Wenn der Anbieter eine Einstellung “meine Daten nicht zum Trainieren von Modellen verwenden” anbietet, aktivieren wir diese für unsere Dienstkonten.
  • Jede Engine verarbeitet Prompts gemäß ihrer eigenen Datenschutzerklärung und Aufbewahrungsfristen. Links zu diesen Richtlinien sind im Anhang der Cookie-Richtlinie aufgeführt und auf Anfrage erhältlich.

Kundenrechte & Widersprüche. AISignal informiert Kunden mindestens 10 Tage im Voraus über die Beauftragung neuer Unterauftragsverarbeiter. Kunden können innerhalb dieser Frist schriftlich widersprechen, wenn sie berechtigte Datenschutzbedenken haben. Wir werden uns nach Treu und Glauben um eine Klärung bemühen; wird keine beiderseits akzeptable Lösung gefunden, kann der Kunde berechtigt sein, die betroffenen Dienste zu kündigen.

6. Übermittlungen personenbezogener Daten

AISignal kann personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR), des Vereinigten Königreichs oder der Schweiz übermitteln, um die Dienste bereitzustellen. Bei solchen Übermittlungen stellen wir sicher, dass angemessene rechtliche Schutzmaßnahmen bestehen, einschließlich:

  • Standardvertragsklauseln (SCCs), genehmigt von der Europäischen Kommission oder anderen zuständigen Behörden.
  • Ergänzende Maßnahmen — zusätzliche technische, organisatorische und vertragliche Schutzmaßnahmen.
  • Verbindliche interne Datenschutzvorschriften (BCRs), soweit auf verbundene Unternehmen anwendbar.
  • Andere genehmigte Übermittlungsmechanismen, die nach geltendem Recht anerkannt sind.

7. Rechte betroffener Personen

AISignal erkennt die Rechte betroffener Personen nach geltenden Datenschutzgesetzen an und respektiert sie. Wir unterstützen den Kunden als Verantwortlichen bei der Beantwortung von Anfragen einzelner Personen zu ihren personenbezogenen Daten:

  • Recht auf Auskunft — Bestätigung, ob Daten verarbeitet werden, und Zugang zu diesen Daten.
  • Recht auf Berichtigung — Korrektur unrichtiger oder unvollständiger Daten.
  • Recht auf Löschung (“Recht auf Vergessenwerden”) — Löschung personenbezogener Daten, vorbehaltlich gesetzlicher und vertraglicher Pflichten.
  • Recht auf Einschränkung der Verarbeitung — Begrenzung der Verarbeitung personenbezogener Daten unter bestimmten Voraussetzungen.
  • Recht auf Datenübertragbarkeit — Erhalt und Übermittlung personenbezogener Daten an einen anderen Verantwortlichen, soweit technisch machbar.
  • Widerspruchsrecht — gegen Verarbeitung auf Grundlage berechtigter Interessen, Direktmarketing oder automatisierter Entscheidungsfindung.
  • Recht auf Widerruf der Einwilligung — jederzeit, sofern die Verarbeitung auf Einwilligung beruht.

8. Meldung von Datenschutzverletzungen

AISignal implementiert vorbeugende Maßnahmen zum Schutz personenbezogener Daten. Im Fall einer bestätigten Verletzung des Schutzes personenbezogener Daten werden wir:

  • Die Auswirkungen der Verletzung bewerten und unverzüglich Maßnahmen zur Eindämmung ergreifen;
  • Den Kunden unverzüglich benachrichtigen (in der Regel innerhalb von 48 Stunden nach Bestätigung);
  • Informationen zu Art und Umfang der Verletzung, den betroffenen Datenarten, möglichen Folgen und ergriffenen Maßnahmen bereitstellen;
  • Den Kunden bei der Erfüllung etwaiger regulatorischer Meldepflichten gegenüber Behörden und betroffenen Personen unterstützen;
  • Korrekturmaßnahmen implementieren, um eine Wiederholung zu verhindern.

Der Kunde ist dafür verantwortlich zu bestimmen, ob Aufsichtsbehörden und betroffene Personen gemäß geltenden Datenschutzgesetzen zu benachrichtigen sind.

9. Datenaufbewahrung und Löschung

AISignal bewahrt personenbezogene Daten nur so lange auf, wie dies zur Erfüllung seiner Pflichten aus dieser Vereinbarung oder nach geltendem Recht erforderlich ist. Wir folgen dem Grundsatz der Datenminimierung: Daten werden nur für legitime geschäftliche und Compliance-Zwecke aufbewahrt und gelöscht oder anonymisiert, sobald sie nicht mehr erforderlich sind.

Kunden können jederzeit die Löschung personenbezogener Daten verlangen. Nach Beendigung der Dienste löscht AISignal personenbezogene Daten gemäß den Weisungen des Kunden oder gibt sie zurück. Erfolgt kein Löschantrag, werden personenbezogene Daten innerhalb eines angemessenen Zeitraums automatisch gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten gelten (Steuerunterlagen, Betrugspräventionsuntersuchungen usw.).

10. Anwendbares Recht und Streitbeilegung

Dieser DPA unterliegt denselben Gesetzen und derselben Gerichtsbarkeit wie in der Hauptvereinbarung zwischen AISignal und dem Kunden definiert und wird entsprechend ausgelegt. Streitigkeiten werden zunächst durch Verhandlungen nach Treu und Glauben gelöst; wird keine Lösung erzielt, kann die Streitigkeit einer Mediation, einem Schiedsverfahren oder den zuständigen Gerichten der anwendbaren Rechtsordnung vorgelegt werden. Bei Widersprüchen zwischen diesem DPA und der Hauptvereinbarung gehen die Bestimmungen dieses DPA in datenschutzrechtlichen Fragen vor.

11. Schlussbestimmungen

Dieser DPA ist integraler Bestandteil der Gesamtvereinbarung zwischen AISignal und dem Kunden. Durch die weitere Nutzung der Dienste erkennt der Kunde die Bedingungen dieses DPA an und akzeptiert sie. Sollte eine Bestimmung unwirksam oder undurchsetzbar sein, bleiben die übrigen Bestimmungen voll wirksam.

AISignal behält sich vor, diesen DPA zu ändern oder zu aktualisieren, um Änderungen geltender Datenschutzgesetze, Branchenpraxis oder betrieblicher Erfordernisse abzubilden. Kunden werden über wesentliche Änderungen informiert; die weitere Nutzung der Dienste gilt als Annahme der aktualisierten Bedingungen.

12. Kontakt

Bei Fragen, formellen Anfragen oder wenn Sie eine unterzeichnete Ausfertigung dieses DPA benötigen, kontaktieren Sie [email protected]. Für allgemeine Datenschutzanfragen kontaktieren Sie [email protected].

Fragen? Schreiben Sie uns über unsere Kontaktseite.