GastroKI LogoBETA
Zurück

Nutzungsbedingungen

ALLGEMEINE GESCHÄFTSBEDINGUNGEN (B2B) UND NUTZUNGSBEDINGUNGEN für die Nutzung der KI‑SaaS‑Plattform „[GastroKI.com]“ („Plattform“) Stand: 01.03.2026 | Version: 1.0

Präambel, Vertragsdokumente, Rangfolge (1) Diese Allgemeinen Geschäftsbedingungen („AGB“) regeln das rechtliche Verhältnis zwischen dem Anbieter: • Fiore GmbH, Am Tafelstein 2a, 55283 Nierstein, Deutschland (Anbieter) und dem Kunden („Kunde“, „Nutzer“) für die Nutzung von Gastroki.com („Plattform“). (2) Ergänzende Vertragsdokumente sind: (a) Auftragsverarbeitungsvereinbarung („AVV“) inkl. Anlagen, (b) Order Form/Angebot/Auftragsbestätigung/Leistungsbeschreibung, (c) diese AGB, (d) Dokumentation/Preis- und Leistungsübersicht (soweit einbezogen). (3) Bei Widersprüchen gilt folgende Rangfolge: (1) AVV, (2) Order Form/Auftragsbestätigung/Leistungsbeschreibung, (3) diese AGB, (4) Dokumentation/Preis- und Leistungsübersicht.

§ 1 Geltungsbereich, B2B‑Only, Vertragsschluss, Versionierung 1.1 Diese AGB regeln die Nutzung der Plattform. 1.2 B2B‑Only. Das Angebot richtet sich ausschließlich an Unternehmer i. S. d. § 14 BGB. Verbraucher i. S. d. § 13 BGB sind von Nutzung und Vertragsschluss ausgeschlossen. 1.3 Unternehmerbestätigung. Der Kunde bestätigt bei Registrierung und bei jeder Bestellung, dass er als Unternehmer handelt und/oder vertretungsberechtigt handelt. Der Anbieter ist berechtigt, Verträge fristlos zu kündigen, wenn sich herausstellt, dass der Kunde als Verbraucher gehandelt hat. 1.4 B2B‑Verifizierung. Der Anbieter ist berechtigt, geeignete Nachweise zur Unternehmereigenschaft anzufordern (z. B. USt‑IdNr. [UID], Handelsregisterangaben, Geschäftsadresse, Firmen‑E‑Mail‑Domain [DOMAIN]) und Accounts bis zur erfolgreichen Verifizierung vorläufig zu beschränken, zu sperren oder den Vertragsschluss abzulehnen. 1.5 Vertragsschluss. Der Vertrag kommt zustande durch (a) Abschluss des Bestellvorgangs/Registrierung, (b) Bestätigung dieser Nutzungsbedingungen (AGB und AVV), (c) Zugang der Auftragsbestätigung in Textform oder Freischaltung durch den Anbieter (je nach Prozess). Ein Anspruch auf Freischaltung besteht nicht. 1.6 Versionierung/Archiv. Die bei Vertragsschluss gültige Fassung dieser AGB wird dem Kunden in speicherbarer Form bereitgestellt und vom Anbieter versioniert archiviert (AGB‑Version‑ID, Stand). Der Anbieter führt ein Änderungsprotokoll. 1.7 Abweichende Bedingungen des Kunden gelten nur, wenn der Anbieter ihrer Geltung ausdrücklich in Textform zustimmt.

§ 2 Definitionen 2.1 Autorisierter Nutzer: Jede Person, der der Kunde gemäß Vertrag Zugriff gewähren darf. 2.2 Autorisiertes Volumen: Nutzungsparameter/-grenzen gemäß Leistungsbeschreibung (z. B. Nutzeranzahl, Requests, Token, Speicher, Rate Limits, Features). 2.3 Kundendaten: Alle Daten/Inhalte, die der Kunde in die Plattform eingibt, hochlädt, erzeugt, speichert oder verarbeiten lässt, einschließlich Prompts/Inputs und Outputs, soweit verarbeitet. 2.4 Drittanbieter: Externe Anbieter von KI‑Modellen/Infrastruktur, insbesondere Cloud‑/GenAI‑Dienste. 2.5 AI Act: Verordnung (EU) 2024/1689 in anwendbarer Fassung.

§ 3 Vertragsgegenstand, Leistungsbeschreibung, Beratungs‑Disclaimer 3.1 SaaS‑Bereitstellung. Der Anbieter stellt dem Kunden während der Laufzeit Zugriff auf die Plattform als SaaS zur Verfügung. 3.2 Kein Erfolg geschuldet. Geschuldet ist die Zugangs- und Nutzungsverschaffung; ein bestimmter wirtschaftlicher Erfolg ist nicht geschuldet. 3.3 Leistungsumfang. Der konkrete Funktionsumfang ergibt sich aus Order Form/Leistungsbeschreibung/Preisliste und der Auftragsbestätigung. 3.4 Der Anbieter kann dem Kunden Erweiterungen des Leistungsumfangs (Add-ons/Upgrades) anbieten. Eine kostenpflichtige Erweiterung wird nur wirksam, wenn der Kunde sie ausdrücklich bestellt und der Anbieter sie bestätigt; im Übrigen bleibt der bestehende Vertrag unverändert. 3.5 Angaben zu Eigenschaften, Verfügbarkeiten oder Leistungsmerkmalen gelten nur dann als Garantie, wenn sie ausdrücklich in Textform als „Garantie“ bezeichnet und in einer gesonderten Garantieerklärung des Anbieters abgegeben werden.

§ 4 Kundenkonto, autorisierte Nutzer, Zugangsdaten 4.1 Konto. Für die Nutzung ist ein Nutzerkonto erforderlich. Der Kunde hält Angaben aktuell. 4.2 Zugangsdaten. Der Kunde schützt Zugangsdaten, informiert bei Missbrauch unverzüglich. 4.3 Nutzerkreis. Autorisierte Nutzer sind (i) Beschäftigte des Kunden sowie (ii) vom Kunden beauftragte Dienstleister, die nicht mit dem Anbieter konkurrieren und die Plattform ausschließlich zur internen Unterstützung des Kundenbetriebs nutzen. Soweit nutzerbasierte Lizenzen vereinbart sind, wird ein Nutzerkonto jeweils einem benannten autorisierten Nutzer zugeordnet; eine parallele Nutzung eines Nutzerkontos durch mehrere Personen ist unzulässig. 4.4 Verantwortlichkeit. Der Kunde informiert autorisierte Nutzer über Pflichten und haftet für deren Verstöße wie für eigenes Verschulden.

§ 5 Nicht erlaubte Nutzungen, Volumen, Sperre/Removal 5.1 Volumen. Der Kunde überschreitet das autorisierte Volumen nicht; der Anbieter darf Rate Limits einsetzen. 5.2 Verbotene Nutzungen. Untersagt sind insbesondere: unbefugter Zugriff, Reselling/Service‑Bureau ohne Vereinbarung, Reverse Engineering, Störung/Überlastung, rechtswidrige Inhalte, Rechte‑Dritter‑Verletzungen, Schadsoftware, Umgehung technischer Schutzmaßnahmen. 5.3 Hochrisiko-/verbotene Kontexte. Der Kunde darf die Plattform nicht in Kontexten einsetzen, die verbotene Praktiken oder Hochrisiko‑Pflichten nach AI Act auslösen. 5.4 Sperre/Removal. Der Anbieter darf Zugriff aussetzen oder Inhalte/Verarbeitungen blockieren, wenn (i) die Nutzungsbedingungen/geltendes Recht verletzt werden, (ii) behördliche/gerichtliche Anordnung vorliegt oder (iii) konkrete Sicherheitsrisiken/Missbrauch dies erfordern. 5.5 Soweit technisch und rechtlich möglich, unternimmt der Anbieter wirtschaftlich angemessene Anstrengungen, den Kunden vor einer Aussetzung mindestens [12] Stunden vorher zu informieren; dies gilt nicht bei Gefahr im Verzug oder wenn eine frühere Information den Schutzzweck (z.B. Sicherheit/Missbrauchsabwehr) vereiteln würde. 5.6 Zahlungspflicht. Bei vom Kunden zu vertretenden Verstößen bleibt Zahlungspflicht bestehen.

§ 6 KI‑Funktionen, Drittanbieter, Datenverarbeitung, Logs 6.1 Drittanbieter‑KI. Die Plattform integriert KI‑Modelle externer Anbieter (z. B. Vertex AI von Google Cloud oder ähnlichen Anbietern). 6.2 Konfiguration „kein Training“. Der Anbieter konfiguriert die Schnittstellen so, dass Kundendaten nicht für Training/Verbesserung von Drittanbieter‑Basismodellen genutzt werden, soweit der Drittanbieter dies anbietet. 6.3 Keine Garantie für Drittprozesse. Eine darüber hinausgehende Garantie für sämtliche internen Verarbeitungsvorgänge des Drittanbieters wird nicht übernommen. Die in der Plattform genutzten KI-Modelle/Modelldienste werden von Drittanbietern betrieben. Verfügbarkeit, Quoten und Funktionsumfang solcher Drittanbieter-Modelle können sich während der Vertragslaufzeit ändern; der Anbieter übernimmt insoweit keine Gewähr für einen unveränderten spezifischen Drittanbieter-Funktionsumfang. 6.4 Metadaten‑Logs. Zur Betriebssicherheit, Abrechnung, Missbrauchserkennung, Fehleranalyse darf der Anbieter technische Metadaten speichern (z. B. Zeitstempel, Request‑ID, Account‑ID, Modellkennung, Tokenanzahl, Fehlercodes, Rate‑Limit‑Events, IP‑Adresse in Security‑Logs). Unabhängig davon können bei Drittanbieter-KI-Diensten (z.B. Abuse-Monitoring oder Caching) zeitlich begrenzte Speicherungen nach den jeweiligen Drittanbieterbedingungen auftreten. Details (Region/Retention/Opt-out) ergeben sich aus der AVV/TOM-Anlage und der Dokumentation. 6.5 Anlassbezogener Zugriff. Inhaltlicher Zugriff auf Kundendaten nur anlassbezogen zur Störungsbehebung, Sicherheitsabwehr oder Missbrauchsuntersuchung; keine anlasslose Inhaltsüberwachung. Zugriffe erfolgen vertraulich. 6.6 Modell-/Systemänderungen. Wesentliche Modell-/Systemkomponenten können aus technischen/sicherheitsrelevanten Gründen geändert werden; der Anbieter dokumentiert Änderungen nach Möglichkeit in der Dokumentation.

§ 7 Verantwortlichkeit, Human‑in‑the‑Loop, Output‑Risiken 7.1 Assistenzsystem. KI‑Outputs können falsch, unvollständig, veraltet oder rechtlich problematisch sein. 7.2 Prüfpflicht Kunde. Der Kunde prüft Outputs vor geschäftlicher Nutzung (Richtigkeit, Rechtmäßigkeit, Rechte Dritter, Datenschutz, Marken). 7.3 Keine Schutzrechtsgarantie. Der Anbieter übernimmt keine Gewähr, dass Outputs frei von Rechten Dritter sind oder Schutzfähigkeit/Exklusivität besitzen. 7.4 Kritische Themen. Für kritische Themen (z. B. Allergene/Preisangaben/Reservierungszusagen) richtet der Kunde einen menschlichen Prüfprozess ein.

§ 7a AI‑Act‑Transparenz (Art. 50), Kennzeichnung, System‑Design 7a.1 Endnutzer‑Disclosure. Der Anbieter stellt die Plattform so bereit, dass Endnutzer bei der ersten Interaktion im Chat‑UI klar darüber informiert werden können, dass eine Interaktion mit einem KI‑System erfolgt (nicht entfernbarer Standardhinweis im Widget/Template, soweit technisch möglich). 7a.2 Nicht‑Entfernbarkeit. Der Kunde darf den AI‑Disclosure‑Hinweis nicht entfernen oder so verändern, dass er für Endnutzer nicht mehr klar erkennbar ist. 7a.3 Kennzeichnungspflichten des Kunden. Der Kunde erfüllt ggf. Kennzeichnungs‑/Offenlegungspflichten für KI‑generierte Inhalte.

§ 8 Nutzungsrechte und geistiges Eigentum 8.1 Plattform. Der Anbieter räumt ein einfaches, nicht übertragbares, auf Laufzeit beschränktes Nutzungsrecht zur internen betrieblichen Nutzung ein. 8.2 Kundendaten. Der Kunde räumt dem Anbieter die zur Vertragserfüllung erforderlichen Rechte zur Verarbeitung der Kundendaten ein. 8.3 Outputs. Soweit der Anbieter über Rechte an Outputs verfügen kann, räumt er dem Kunden ein einfaches, räumlich und zeitlich unbeschränktes Nutzungsrecht für betriebliche Zwecke ein; keine Exklusivität. 8.4 Drittbedingungen. Rechte Dritter und Drittanbieterbedingungen bleiben unberührt.

§ 9 Datenschutz, Rollen, AVV 9.1 Auftragsverarbeitung. Soweit der Anbieter personenbezogene Daten im Auftrag verarbeitet, handelt er als Auftragsverarbeiter; es gilt die AVV als Vertragsbestandteil. 9.2 Verantwortlichkeit Kunde. Der Kunde ist Verantwortlicher im Sinne der DSGVO für personenbezogene Daten, die über die Plattform im Kundenkontext verarbeitet werden, und stellt die Erfüllung von Informationspflichten sowie Rechtsgrundlagen sicher.

§ 10 Daten‑Compliance, besondere Kategorien, Freistellung 10.1 Verbot Art. 9‑Daten. Der Kunde darf keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) in KI‑Funktionen eingeben oder verarbeiten lassen. 10.2 Rechtsgrundlagen. Der Kunde sichert zu, für eingegebene personenbezogene Daten eine Rechtsgrundlage zu haben und Betroffene zu informieren. 10.3 Maßnahmen bei Verstößen. Bei Verstößen darf der Anbieter Inhalte blockieren, Ausgaben verweigern, Accounts sperren oder außerordentlich kündigen, soweit erforderlich. 10.4 Freistellung. Der Kunde stellt den Anbieter von Ansprüchen Dritter frei, die auf schuldhafter rechtswidriger/vertragswidriger Nutzung durch den Kunden beruhen (inkl. Inhalte/Rechte Dritter/Datenschutz), und unterstützt angemessen; erstattungsfähig sind erforderliche, angemessene Kosten.

§ 11 Wartung, Verfügbarkeit (SLA), Service Credits, Datensicherung 11.1 Wartung. Der Anbieter ist berechtigt, jederzeit Wartungsarbeiten, Weiterentwicklungen sowie sicherheitsrelevante Updates durchzuführen. Geplante Wartungsarbeiten werden – soweit möglich – vorab angekündigt. Aus zwingenden technischen oder sicherheitsrelevanten Gründen können Wartungsmaßnahmen auch ohne vorherige Ankündigung erfolgen. 11.2 Verfügbarkeit. Der Anbieter bemüht sich um eine möglichst unterbrechungsfreie Verfügbarkeit der SaaS-Leistungen. Eine bestimmte Verfügbarkeit wird nicht geschuldet, sofern nicht ausdrücklich schriftlich etwas anderes vereinbart wurde. Vorübergehende Einschränkungen oder Unterbrechungen können sich insbesondere aus technischen Gründen, Kapazitätsgrenzen, Wartungsarbeiten oder Weiterentwicklungen ergeben. 11.3 Nicht zu vertretende Beeinträchtigungen. Der Anbieter haftet nicht für Beeinträchtigungen oder Ausfälle, die außerhalb seines Einflussbereichs liegen. Hierzu zählen insbesondere: • höhere Gewalt • Störungen von Telekommunikationsnetzen oder Internetverbindungen • Ausfälle von Hosting-, Cloud- oder Drittanbietern • vertragswidrige oder unsachgemäße Nutzung durch den Kunden 11.4 Keine Service Credits. Ein Anspruch auf Service Credits oder sonstige Gutschriften wegen vorübergehender Nichtverfügbarkeit besteht nicht, sofern nicht im Einzelfall ausdrücklich schriftlich vereinbart. 11.5 Datensicherung. Der Kunde ist für die regelmäßige Sicherung seiner Daten und Arbeitsergebnisse selbst verantwortlich. Der Anbieter übernimmt keine Gewähr für den dauerhaften Erhalt einzelner vom Kunden gespeicherter Inhalte, sofern kein zwingendes gesetzliches Erfordernis besteht.

§ 12 Entgelt, Zahlungsbedingungen, Verzug, Sperre 12.1 Preise. Preise ergeben sich aus Auftragsbestätigung/Preisblatt (netto zzgl. USt.). 12.2 Fälligkeit. Abrechnung [monatlich/jährlich] im Voraus, sofern nicht anders vereinbart. 12.3 Rechnungen sind binnen 30 Tagen ab Rechnungsdatum ohne Abzug fällig, sofern nicht anders vereinbart. 12.4 Beanstandungen von Rechnungen sind binnen [30] Tagen ab Rechnungsdatum in Textform mitzuteilen; die gesetzlichen Einwendungen bei offensichtlichen Fehlern bleiben unberührt. 12.5 Bei Zahlungsverzug von mehr als 15 Tage kann der Anbieter nach mindestens einer Mahnung und angemessener Fristsetzung den Zugang vorübergehend sperren, soweit dies verhältnismäßig ist; gesetzliche Rechte bleiben unberührt. 12.6 Gesetzliche Verzugszinsen und die Verzugspauschale bleiben unberührt.

§ 13 Preis‑/Leistungsänderungen (ohne Schweigezustimmung bei Wesentlichem) 13.1 Änderungsgründe. Der Anbieter darf Leistungen und Nutzungsbedingungen in angemessenem Umfang ändern, soweit dies erforderlich ist, um bei Vertragsschluss nicht vorhersehbare Entwicklungen zu berücksichtigen, insbesondere (i) Änderungen technischer Rahmenbedingungen, (ii) Sicherheitsanforderungen, (iii) Änderungen von Gesetzen/Regulatorik oder behördlichen Vorgaben oder (iv) zur Abwehr von Sicherheitsrisiken und zur Fehlerbehebung. 13.2 Nicht-wesentliche Änderungen. Nicht-wesentliche Änderungen sind solche, die die Kernfunktionalität (gemäß Leistungsbeschreibung/Auftragsbestätigung) nicht wesentlich beeinträchtigen und keine zusätzlichen wesentlichen Mitwirkungspflichten begründen. Der Anbieter informiert den Kunden mindestens [14 TAGE] vor Wirksamwerden, soweit möglich. 13.3 Wesentliche Änderungen. Wesentliche nachteilige Änderungen (insb. Entfernen von Kernfunktionalität, erhebliche Einschränkung der Nutzung, neue wesentliche Mitwirkungspflichten) werden nur mit ausdrücklicher Zustimmung des Kunden wirksam. Erteilt der Kunde die Zustimmung nicht bis zum Änderungsdatum, bleibt der Vertrag zu bisherigen Bedingungen bestehen; der Anbieter ist berechtigt, den Vertrag ordentlich zum Änderungsdatum (oder zum Ende der laufenden Vertragsperiode) zu kündigen, sofern dies dem Kunden zuvor angekündigt wurde. 13.4 Zwingende Compliance-Änderungen. Soweit eine Änderung zwingend erforderlich ist, um gesetzlichen/behördlichen Anforderungen zu entsprechen, darf der Anbieter diese auch ohne Zustimmung umsetzen. In diesem Fall kann der Kunde den Vertrag außerordentlich zum Wirksamwerden der Änderung kündigen, sofern die Änderung für ihn wesentlich nachteilig ist. 13.5 Preisänderungen. Preisänderungen stellen grundsätzlich wesentliche Änderungen dar und bedürfen der ausdrücklichen Zustimmung des Kunden. Abweichend hiervon ist der Anbieter berechtigt, die vereinbarten Preise einmal pro Vertragsjahr ohne gesonderte Zustimmung des Kunden anzupassen, soweit sich die für die Leistungserbringung maßgeblichen Kosten (insbesondere Cloud-, Hosting-, Infrastruktur-, Lizenz- oder gesetzliche Kosten) erhöhen. Eine solche abweichende Preisanpassung darf maximal 10 % pro Vertragsjahr betragen. Der Anbieter wird die Preisanpassung mindestens 30 Tage vor ihrem Inkrafttreten ankündigen. Der Kunde ist berechtigt, den Vertrag innerhalb von 14 Tagen nach Zugang der Mitteilung zum Zeitpunkt des Inkrafttretens der Preisanpassung außerordentlich zu kündigen. Weitergehende Preisänderungen bedürfen der ausdrücklichen Zustimmung des Kunden.

§ 14 Mängel, Störungen, Mitwirkung 14.1 Mängelanzeige. Der Kunde zeigt Mängel unverzüglich in Textform mit Beschreibung an. 14.2 Behebung. Der Anbieter behebt nach Wahl durch Fehlerbehebung, Workaround oder Update, soweit zumutbar. 14.3 Kündigung. Scheitert Behebung nach angemessener Frist, kann der Kunde aus wichtigem Grund kündigen; weitergehende Ansprüche richten sich nach § 15. 14.4 Ausschluss § 536a Abs. 1 BGB. Verschuldensunabhängige Haftung für anfängliche Mängel ist ausgeschlossen.

§ 15 Haftung 15.1 Unbeschränkte Haftung. Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit sowie bei schuldhafter Verletzung von Leben, Körper oder Gesundheit. Die Haftung nach zwingenden gesetzlichen Vorschriften bleibt unberührt. 15.2 Haftung bei leichter Fahrlässigkeit. Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung des Anbieters auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Kardinalpflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. Bei leicht fahrlässiger Verletzung nicht wesentlicher Vertragspflichten ist eine Haftung ausgeschlossen. 15.3 Haftungshöchstbetrag. Soweit gesetzlich zulässig, ist die Gesamthaftung des Anbieters aus und im Zusammenhang mit diesem Vertrag pro Vertragsjahr auf den Betrag von zwölf (12) Monatsentgelten begrenzt. Die Haftungsbegrenzung gilt nicht für Ansprüche gemäß Ziff. 15.1. Die Haftungsbeschränkungen gelten in gleichem Umfang zugunsten der Organe, gesetzlichen Vertreter, Angestellten und sonstigen Erfüllungsgehilfen des Anbieters. 15.4 Mittelbare Schäden und entgangener Gewinn. Für mittelbare Schäden, insbesondere entgangenen Gewinn, Produktionsausfall, Datenverlust, entgangene Einsparungen oder Folgeschäden, haftet der Anbieter nur im Rahmen von Ziff. 15.2. 15.5 Datenverlust. Für den Verlust von Daten haftet der Anbieter nur insoweit, als der Kunde durch angemessene und regelmäßige Datensicherungen sichergestellt hat, dass diese Daten mit vertretbarem Aufwand wiederhergestellt werden können. Die Haftung ist der Höhe nach auf den typischen Wiederherstellungsaufwand beschränkt. 15.6 KI-basierte Funktionen. Die SaaS-Leistung kann KI-basierte Funktionen enthalten.

Der Anbieter übernimmt keine Gewähr für: die inhaltliche Richtigkeit, Vollständigkeit oder Aktualität von KI-generierten Ergebnissen, die rechtliche Zulässigkeit der Nutzung einzelner generierter Inhalte, die wirtschaftliche Eignung der Ergebnisse für einen bestimmten Zweck. KI-generierte Inhalte stellen unverbindliche Vorschläge dar und ersetzen keine fachliche, rechtliche oder steuerliche Beratung. Der Kunde ist verpflichtet, Ergebnisse vor ihrer Verwendung eigenständig zu prüfen. 15.7 Drittanbieter- und Cloud-Leistungen. Soweit Leistungen ganz oder teilweise über Drittanbieter (insbesondere Hosting-, Cloud- oder KI-Modellanbieter) erbracht werden, haftet der Anbieter für deren Leistungen nur im Rahmen der vorstehenden Haftungsregelungen. Eine darüberhinausgehende verschuldensunabhängige Haftung wird ausgeschlossen. § 16 Vertraulichkeit 16.1 Schutz. Parteien behandeln vertrauliche Informationen vertraulich, nutzen sie nur zur Vertragsdurchführung, schützen sie angemessen. 16.2 Ausnahmen. Öffentlich bekannt, rechtmäßig bekannt, rechtmäßig von Dritten erhalten, unabhängig entwickelt, gesetzliche Offenlegung. 16.3 Dauer. Vertraulichkeit gilt [5] Jahre nach Vertragsende fort.

§ 17 Referenznennung und Feedback 17.1 Referenz. Der Anbieter darf Namen/Logo des Kunden als Referenz nennen, sofern der Kunde nicht in Textform widerspricht. 17.2 Feedback. Der Anbieter darf Feedback zur Verbesserung nutzen; personenbezogene/vertrauliche Inhalte nur im Rahmen der DSGVO/Vertraulichkeit.

§ 18 Laufzeit, Kündigung, Datenexport 18.1 Sofern in der Auftragsbestätigung nichts Abweichendes geregelt ist, beträgt die Vertragslaufzeit einen Monat und verlängert sich jeweils um einen weiteren Monat, sofern nicht mit einer Frist von 14 Tagen zum Laufzeitende gekündigt wird. 18.2 Außerordentlich. Kündigung aus wichtigem Grund bleibt unberührt. 18.3 Export. Nach Vertragsende hält der Anbieter Exportmöglichkeiten für [30] Tage vor, soweit technisch verfügbar. 18.4 Löschung. Löschung personenbezogener Daten nach Maßgabe der AVV.

§ 19 Höhere Gewalt Keine Partei haftet für Nichterfüllung bei höherer Gewalt; Information und Schadensminderungspflichten.

§ 20 Schlussbestimmungen 20.1 Recht. Deutsches Recht unter Ausschluss CISG. 20.2 Gerichtsstand. Ausschließlicher Gerichtsstand ist Mainz, soweit gesetzlich zulässig. 20.3 Textform. Mitteilungen bedürfen mindestens der Textform. 20.4 Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

AUFTRAGSVERARBEITUNGSVEREINBARUNG (AVV) Stand: 01.03.2026 | Version: 1.0

zwischen [KUNDE] („Verantwortlicher“) und [ANBIETER: Fiore GmbH, Am Tafelstein 2a, 55283 Nierstein, Deutschland] („Auftragsverarbeiter“)

Präambel (1) Diese AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien für Verarbeitungen personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der SaaS‑Nutzung der Plattform [Gastroki.com] durchführt. (2) Soweit Begriffe in den AGB definiert sind, gelten sie entsprechend.

§ 1 Gegenstand, Dauer, Art und Zweck der Verarbeitung

1.1 Gegenstand der Verarbeitung. Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen des Betriebs der Plattform. Die Verarbeitung erfolgt ausschließlich im Auftrag und auf Weisung des Verantwortlichen und umfasst insbesondere die Speicherung, Organisation, Auswertung, Übermittlung und sonstige Nutzung von Daten, soweit dies für die Bereitstellung der vertraglich vereinbarten Leistungen erforderlich ist. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt. 1.2 Dauer der Verarbeitung. Die Verarbeitung erfolgt für die Dauer des zwischen den Parteien bestehenden Hauptvertrags über die Nutzung der Plattform. Nach Beendigung des Hauptvertrags gelten die vertraglich vereinbarten Lösch- und Rückgabepflichten fort. 1.3 Art, Umfang und Zweck der Verarbeitung. Art, Umfang und Zweck der Verarbeitung ergeben sich aus dem Betrieb und der Bereitstellung der Plattform (insbesondere: 1. Kommunikationsinhalte mit LLMs 2. Dokumente und Informationen, die der Kunde auf der Plattform hochlädt und speichert). Die Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglich vereinbarten Leistungen. 1.4 Kategorien betroffener Personen. Von der Verarbeitung können insbesondere betroffen sein: Beschäftigte und autorisierte Nutzer des Verantwortlichen, Kunden, Gäste oder Geschäftspartner des Verantwortlichen, sonstige Personen, deren personenbezogene Daten durch Nutzung der Plattform durch den Verantwortlichen verarbeitet werden. 1.5 Kategorien personenbezogener Daten. Je nach Nutzung der Plattform können insbesondere folgende Datenkategorien verarbeitet werden: • Stammdaten (z. B. Name, Unternehmen), • Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer), • Account- und Zugangsdaten, • Inhaltsdaten (z. B. Texte, Eingaben/Prompts, Dateien), soweit vom Verantwortlichen eingegeben, • Nutzungs- und Protokolldaten, • Reservierungs- oder Anfragedaten. Der Umfang der verarbeiteten Daten bestimmt sich ausschließlich nach der Nutzung der Plattform durch den Verantwortlichen. 1.6 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO ist nicht Gegenstand dieser Vereinbarung. Der Verantwortliche ist verpflichtet, solche Daten nicht über die Plattform zu verarbeiten. Sofern dennoch besondere Kategorien personenbezogener Daten eingegeben oder verarbeitet werden, gilt dies als vertragswidrige Nutzung. Der Auftragsverarbeiter ist berechtigt, entsprechende Inhalte zu sperren oder zu löschen, sofern dies zur Einhaltung datenschutzrechtlicher Vorgaben erforderlich ist.

§ 2 Weisungsrecht 2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich Weisungen zur Übermittlung von Daten in ein Drittland oder an eine internationale Organisation, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.

2.2 Die Nutzung der Plattformfunktionen durch den Verantwortlichen gilt als dokumentierte Weisung im Sinne dieser Vereinbarung. 2.3 Das Weisungsrecht des Verantwortlichen ist auf den in dieser Vereinbarung und im Hauptvertrag festgelegten Leistungsumfang beschränkt. Weisungen, die darüber hinausgehen, bedürfen der Zustimmung des Auftragsverarbeiters. In diesem Fall hat der Verantwortliche dem Auftragsverarbeiter die hierdurch entstehenden Kosten zu erstatten. 2.4 Weisungen außerhalb der Plattformfunktionen erfolgen mindestens in Textform (z. B. per E-Mail) und sind als datenschutzrechtliche Weisung zu kennzeichnen. Der Auftragsverarbeiter dokumentiert solche Weisungen. 2.5 Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. 2.6 Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, weist er den Verantwortlichen unverzüglich darauf hin und ist berechtigt, die Umsetzung der Weisung bis zur Klärung auszusetzen. 2.7 Der Auftragsverarbeiter ist berechtigt, anonymisierte oder aggregierte Daten, die keinen Personenbezug mehr aufweisen und nicht reidentifizierbar sind, für interne Geschäftszwecke, insbesondere zur Analyse, Qualitätssicherung und Weiterentwicklung der Dienstleistungen, zu verwenden.

§ 3 Vertraulichkeit Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung befugte Personen auf Vertraulichkeit verpflichtet sind.

§ 4 Technische und organisatorische Maßnahmen (TOM) 4.1 Der Auftragsverarbeiter implementiert geeignete TOM gemäß Art. 32 DSGVO. Der TOM‑Katalog ist in Anlage 1 beschrieben. 4.2 Der Auftragsverarbeiter überprüft und aktualisiert TOM risikobasiert.

§ 5 Unterauftragsverarbeiter 5.1 Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. 5.2 Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 14 Tage vor beabsichtigten Änderungen (Hinzufügung oder Ersetzung) von Unterauftragsverarbeitern in Textform. 5.3 Der Verantwortliche kann innerhalb von 14 Tagen nach Zugang der Information aus wichtigem datenschutzrechtlichem Grund widersprechen. Die Parteien werden in diesem Fall nach Treu und Glauben zusammenarbeiten, um eine Lösung zu finden. Ist eine Alternative nicht zumutbar möglich, ist der Auftragsverarbeiter berechtigt, den Hauptvertrag mit angemessener Frist zu kündigen. 5.4 Der Auftragsverarbeiter stellt sicher, dass mit jedem Unterauftragsverarbeiter ein Vertrag oder ein anderes rechtsverbindliches Instrument geschlossen wird, das diesem im Wesentlichen dieselben Datenschutzpflichten auferlegt, wie sie in dieser Vereinbarung festgelegt sind. Der Unterauftragsverarbeiter muss ausreichende Garantien bieten, insbesondere geeignete technische und organisatorische Maßnahmen zur Einhaltung der DSGVO. 5.5 Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen im Rahmen von Art. 28 Abs. 4 DSGVO für die ordnungsgemäße Auswahl und vertragliche Verpflichtung des Unterauftragsverarbeiters verantwortlich. Die Haftung des Auftragsverarbeiters richtet sich nach den Haftungsregelungen des Hauptvertrags. 5.6 Soweit Unterauftragsverarbeiter in einem Drittland eingesetzt werden, stellt der Auftragsverarbeiter sicher, dass die Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden. Sofern erforderlich, werden die jeweils geltenden Standardvertragsklauseln (SCC) oder andere geeignete Garantien abgeschlossen. 5.7 Sollten Standardvertragsklauseln oder andere Übermittlungsmechanismen ungültig werden oder nicht mehr als geeignete Garantie anerkannt sein, ist der Auftragsverarbeiter berechtigt, auf eine alternative, zulässige Garantie zurückzugreifen. 5.8 Die Beauftragung von Dritten mit Nebenleistungen (z. B. Telekommunikation, Wartung, Benutzerunterstützung, Reinigung, Prüfung oder Entsorgung von Datenträgern) gilt nicht als Beauftragung eines Unterauftragsverarbeiters. Der Auftragsverarbeiter stellt jedoch sicher, dass geeignete vertragliche und organisatorische Maßnahmen zum Schutz der Kundendaten bestehen.

§ 6 Drittlandübermittlungen 6.1 Sofern personenbezogene Daten außerhalb der EU oder des EWR verarbeitet werden oder ein Zugriff aus einem Drittstaat (z. B. im Rahmen von Supportleistungen) möglich ist, stellt der Auftragsverarbeiter sicher, dass die gesetzlichen Anforderungen der DSGVO für internationale Datenübermittlungen eingehalten werden. 6.2 Hierzu werden – soweit erforderlich – geeignete rechtliche Übermittlungsmechanismen eingesetzt, insbesondere: • Standardvertragsklauseln der Europäischen Kommission (SCC), • Angemessenheitsbeschlüsse der EU-Kommission (z. B. EU-US Data Privacy Framework, sofern anwendbar). Zusätzlich werden angemessene technische und organisatorische Schutzmaßnahmen umgesetzt (z. B. Verschlüsselung, Zugriffsbeschränkungen, Protokollierung und sicheres Schlüsselmanagement), wie in Anlage 3 beschrieben.

§ 7 Unterstützungspflichten 7.1 Unterstützung bei Betroffenenrechten. Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessenem Umfang bei der Bearbeitung von Anfragen betroffener Personen (z. B. Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Datenübertragbarkeit gemäß Art. 12–23 DSGVO). Die Unterstützung erfolgt insbesondere durch bereitgestellte Funktionen der Plattform (z. B. Export- oder Löschfunktionen) oder durch Unterstützung im Rahmen eines Support-Tickets. Einzelheiten ergeben sich aus Anlage 4. 7.2 Unterstützung bei Sicherheitsanforderungen (Art. 32 DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage Informationen zu den getroffenen technischen und organisatorischen Maßnahmen (TOM), zu Sicherheitskonzepten sowie – soweit erforderlich – zu relevanten Protokolldaten zur Verfügung. 7.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO im angemessenen Umfang durch Bereitstellung der hierfür erforderlichen Informationen.

§ 8 Meldung von Datenschutzverletzungen 8.1 Der Auftragsverarbeiter informiert den Verantwortlichen über Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens binnen [24] Stunden nach Kenntnis, soweit Auftragsdaten betroffen sind. 8.2 Die Mitteilung enthält – soweit verfügbar – mindestens: Art des Vorfalls, betroffene Datenkategorien und ungefähre Anzahl, mögliche Folgen, ergriffene/geplante Maßnahmen, Ansprechpartner. 8.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Art. 33/34‑Meldungen(DSGVO)im angemessenen und zumutbarem Umfang.

§ 9 Löschung und Rückgabe 9.1 Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter personenbezogene Daten nach Wahl des Verantwortlichen entweder löschen oder in einem gängigen, maschinenlesbaren Format zur Verfügung stellen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche hat seine Wahl innerhalb von [30] Tagen nach Vertragsende mitzuteilen. Erfolgt keine Mitteilung, ist der Auftragsverarbeiter zur Löschung berechtigt. Gesetzliche Aufbewahrungspflichten bleiben unberührt. 9.2 Backups. Personenbezogene Daten in Sicherungskopien (Backups) werden ausschließlich zur Wiederherstellung von Systemen im Notfall verwendet. Backups werden spätestens nach [90] Tagen automatisch gelöscht oder überschrieben. 9.3 Sicherheits- und Serverprotokolle. Sicherheits- und Serverprotokolle (Logs) werden nur so lange gespeichert, wie es erforderlich ist. Eine längere Speicherung erfolgt nur, wenn dies im Einzelfall zur Aufklärung von Sicherheitsvorfällen oder zur Erfüllung gesetzlicher Pflichten erforderlich ist. 9.4 Nachweis der Löschung. Der Auftragsverarbeiter kann auf Anfrage bestätigen, dass die Löschung entsprechend dieser Vereinbarung durchgeführt wurde.

§ 10 Nachweise und Auditrechte

10.1 Nachweise zur DSGVO-Einhaltung. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Anforderungen aus Art. 28 DSGVO nachzuweisen. Hierzu gehören insbesondere eine Beschreibung der technischen und organisatorischen Maßnahmen (TOM), eine aktuelle Liste der Unterauftragsverarbeiter sowie vorhandene Zertifikate oder Prüfberichte. 10.2 Audits und Prüfungen. Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung zu überprüfen. Prüfungen sind nach angemessener Vorankündigung, während der üblichen Geschäftszeiten sowie nur im erforderlichen und angemessenen Umfang zulässig. Dabei sind Geschäftsgeheimnisse und die Rechte Dritter zu wahren. 10.3 Form der Prüfung. Der Auftragsverarbeiter kann eine Prüfung durch Bereitstellung von Unterlagen oder im Wege einer Remote-Prüfung anbieten, sofern diese Art der Prüfung gleichwertig ist. 10.4 Kosten. Die Kosten einer Prüfung trägt der Verantwortliche, es sei denn, die Prüfung weist einen wesentlichen Verstoß des Auftragsverarbeiters gegen diese Vereinbarung nach.

§ 11 Schlussbestimmungen 11.1 Vorrang der AVV. Soweit Regelungen dieser Vereinbarung datenschutzrechtliche Pflichten betreffen, gehen sie im Falle eines Widerspruchs den Allgemeinen Geschäftsbedingungen vor. 11.2 Änderungen. Änderungen und Ergänzungen dieser Vereinbarung bedürfen mindestens der Textform (z. B. E-Mail). 11.3 Anwendbares Recht und Gerichtsstand. Im Übrigen gelten die im Hauptvertrag vereinbarten Regelungen zu Recht und Gerichtsstand.

Anlage 1 (TOM) – aktualisierte, kompakte Version Anlage 1 – Technische und Organisatorische Maßnahmen (TOM) Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst.

  1. Vertraulichkeit Zutrittskontrolle • Hosting in gesicherten Rechenzentren zertifizierter Cloud-Anbieter (z. B. ISO 27001) • Physische Sicherheitsmaßnahmen durch den jeweiligen Infrastrukturprovider Zugangskontrolle • Rollen- und berechtigungsbasiertes Zugriffskonzept (Least Privilege) • Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge • Sichere Passwortvorgaben und automatische Sitzungs-Timeouts • Regelmäßige Überprüfung von Benutzer- und Adminrechten; Entzug bei Rollenwechsel/Austritt Zugriffskontrolle / Schutz der Daten • Logische Mandantentrennung und Zugriffsbeschränkungen auf Datenebene • Verschlüsselung der Datenübertragung (z. B. TLS); Verschlüsselung gespeicherter Daten soweit vorgesehen • Protokollierung sicherheitsrelevanter Zugriffe und administrativer Tätigkeiten Trennungskontrolle • Getrennte Umgebungen für Entwicklung, Test und Produktion • Kontrollierte Änderungen an produktiven Systemen; Dokumentation relevanter Änderungen

  2. Integrität • Schutz vor unbefugter Veränderung durch Berechtigungskonzepte und technische Schutzmechanismen • Protokollierung sicherheitsrelevanter Systemereignisse; regelmäßige Auswertung bei Auffälligkeiten • Regelmäßige Updates/Patches sicherheitsrelevanter Systeme; Schwachstellenmanagement nach Risikobewertung

  3. Verfügbarkeit und Belastbarkeit

• Redundante Infrastruktur bei Cloud-Anbietern; Monitoring der Verfügbarkeit und Systemzustände • Regelmäßige Backups mit definierten Rotations- und Aufbewahrungsfristen • Regelmäßige Tests der Wiederherstellbarkeit (z. B. stichprobenartig) • Notfall- und Wiederherstellungskonzept; Schutzmaßnahmen gegen Schadsoftware und unbefugte Zugriffe

  1. Verfahren zur regelmäßigen Überprüfung und Incident Response • Dokumentierter Incident-Response-Prozess (Erkennung, Analyse, Eindämmung, Nachbereitung) • Dokumentation von Sicherheitsvorfällen (z. B. über Ticketsystem) und definierte Eskalationswege • Regelmäßige Sensibilisierung/Schulung der Mitarbeiter (z. B. Phishing/Security-Awareness) • Datenschutz- und IT-Sicherheitsrichtlinien sowie Einbindung eines Datenschutzbeauftragten (intern/extern)

Anlage 2 – Liste der Unterauftragsverarbeiter

Nachfolgend sind die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter aufgeführt. Der Einsatz erfolgt ausschließlich im Rahmen der in der AVV beschriebenen Zwecke.

  1. Infrastruktur, Hosting und KI-Dienste

Google Cloud EMEA Limited Gordon House, Barrow Street, Dublin 4, Irland

Zweck der Verarbeitung: Bereitstellung der Cloud-Infrastruktur, Hosting der Plattform, Datenbankbetrieb (Firebase), Bereitstellung von KI-Diensten (Vertex AI / Large Language Model-Inferenz).

Verarbeitungsort: EU-Rechenzentren gemäß gewählter Konfiguration; ein Zugriff durch verbundene Unternehmen außerhalb der EU kann technisch nicht vollständig ausgeschlossen werden.

Rechtsgrundlage bei Drittlandübermittlungen: EU-Standardvertragsklauseln (SCC) und/oder EU-US Data Privacy Framework (sofern anwendbar) gemäß Art. 44 ff. DSGVO.

  1. Domain- und E-Mail-Hosting

Mittwald CM Service GmbH & Co. KG Königsberger Straße 4–6 32339 Espelkamp Deutschland

Zweck der Verarbeitung: Bereitstellung von Domain-Services sowie geschäftlicher E-Mail-Infrastruktur.

Verarbeitungsort: Deutschland / EU.

Drittlandübermittlung: Keine, soweit nicht ausdrücklich anders vereinbart.

  1. Zahlungsabwicklung

Stripe Technology Company Limited (STC) One Wilton Park Wilton Place Dublin 2 D02 FX04 Ireland

Zweck der Verarbeitung: Abwicklung von Online-Zahlungen, Betrugsprävention, Zahlungs- und Transaktionsmanagement.

Verarbeitungsort: EU; konzerninterne Übermittlungen in Drittländer möglich.

Rechtsgrundlage bei Drittlandübermittlungen: EU-Standardvertragsklauseln (SCC) und/oder EU-US Data Privacy Framework (sofern anwendbar).

  1. E-Mail-Marketing und CRM

Klaviyo, Inc. 125 Summer Street Boston, MA 02110 USA

Zweck der Verarbeitung: E-Mail-Marketing, CRM-Funktionalitäten, Versand von Newslettern und automatisierten Kommunikationskampagnen.

Verarbeitungsort: USA (mit möglicher Verarbeitung innerhalb der EU, sofern angeboten).

Rechtsgrundlage bei Drittlandübermittlungen: EU-Standardvertragsklauseln (SCC) und/oder EU-US Data Privacy Framework (sofern anwendbar).

  1. Webanalyse / Nutzungsanalyse

Google Ireland Limited Gordon House, Barrow Street Dublin 4, Irland

Zweck der Verarbeitung: Analyse der Nutzung der Plattform, statistische Auswertung, Performance-Optimierung.

Verarbeitungsort: EU; konzerninterne Übermittlungen in Drittländer möglich.

Rechtsgrundlage bei Drittlandübermittlungen: EU-Standardvertragsklauseln (SCC) und/oder EU-US Data Privacy Framework (sofern anwendbar).

Hinweis

Weitere Unterauftragsverarbeiter können gemäß § 5 der AVV eingesetzt werden. Änderungen werden dem Verantwortlichen gemäß den dort geregelten Fristen mitgeteilt.

Anlage 3 – Ergänzende Schutzmaßnahmen bei Drittlandübermittlungen

Soweit personenbezogene Daten in Drittländer übermittelt werden, setzt der Auftragsverarbeiter ergänzend zu den in Anlage 1 beschriebenen Maßnahmen folgende Schutzmechanismen um:

Verschlüsselung • Verschlüsselte Datenübertragung (z. B. TLS) • Verschlüsselung gespeicherter Daten, soweit technisch vorgesehen

Zugriffsbeschränkung • Zugriff auf personenbezogene Daten nur für berechtigte Personen nach dem Least-Privilege-Prinzip • Administrative Zugriffe sind besonders geschützt (z. B. MFA)

Protokollierung und Monitoring • Protokollierung sicherheitsrelevanter Zugriffe • Überwachung auf unbefugte Zugriffe

Datenminimierung • Übermittlung nur der für den jeweiligen Zweck erforderlichen Daten

Vertragliche Garantien • Abschluss von EU-Standardvertragsklauseln (SCC) oder Nutzung eines Angemessenheitsbeschlusses • Prüfung und regelmäßige Überwachung der eingesetzten Transfermechanismen

Anlage 4 – Unterstützung bei Betroffenenrechten Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Bearbeitung von Anfragen betroffener Personen gemäß Art. 12–23 DSGVO im folgenden Umfang: Technische Funktionen der Plattform Die Plattform stellt – soweit technisch vorgesehen – folgende Funktionen bereit: • Export personenbezogener Daten in einem gängigen, maschinenlesbaren Format • Lösch- oder Deaktivierungsfunktionen • Berichtigungsmöglichkeiten für Stammdaten • Mandantenbezogene Datentrennung Die Nutzung dieser Funktionen erfolgt durch den Verantwortlichen eigenständig innerhalb der Plattform.

Unterstützung durch Support Soweit eine Anfrage nicht durch Plattformfunktionen bearbeitet werden kann, unterstützt der Auftragsverarbeiter im Rahmen eines Support-Tickets. Die Unterstützung umfasst insbesondere: • Bereitstellung vorhandener Daten • technische Umsetzung von Löschungen • Bestätigung durchgeführter Maßnahmen Fristen Der Auftragsverarbeiter unterstützt unverzüglich, spätestens jedoch innerhalb von 30 Tagen nach Eingang der vollständigen Anfrage.

Kosten Unterstützungsleistungen, die über das übliche Maß hinausgehen oder eine erhebliche technische Anpassung erfordern, können gesondert vergütet werden.