zurück zu Rechtliches

Vereinbarung zur Datenverarbeitung

Letzte Aktualisierung:
2024-11-21

Botpress Datenverarbeitungsvereinbarung (DPA)

Diese DPA ist ergänzend und bildet einen integralen Bestandteil der Vereinbarung zwischen der in den Nutzungsbedingungen genannten Einheit der Botpress Gruppe und dem Kunden. Diese DPA tritt in Kraft, sobald sie durch Verweis in eine solche Vereinbarung aufgenommen wird.

1. Begriffsbestimmungen

1.a Großgeschriebene Begriffe, die hierin nicht definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung zugewiesen wird.

1.b In dieser DPA gilt:

(a) „Vereinbarung“ hat die Bedeutung, die diesem Begriff in den Nutzungsbedingungen zugewiesen wird.

(b) „Botpress Gruppe“ bezeichnet Botpress und alle verbundenen Unternehmen.

(c) „Kalifornische personenbezogene Informationen“ bezeichnet personenbezogene Daten, die dem Schutz des CCPA unterliegen.

(d) „Kanadische Datenschutzgesetze“ bezeichnet das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente, SC 2000, c 5, sowie das Gesetz zum Schutz personenbezogener Daten im privaten Sektor, CQLR c P-39.1, jeweils in der geltenden Fassung, einschließlich etwaiger Änderungen, Ersetzungen oder Ablösungen.

(e) „CCPA“ bezeichnet den California Civil Code Sec. 1798.100 ff. (auch bekannt als California Consumer Privacy Act von 2018).

(f) „Verbraucher“, „Unternehmen“, „Verkaufen“ und „Dienstleister“ haben die Bedeutungen, die ihnen im CCPA zugewiesen werden.

(g) „Verantwortlicher“ bezeichnet jede Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

(h) „Datenschutzgesetze“ bezeichnet alle weltweit anwendbaren Gesetze zum Datenschutz und zur Privatsphäre, die für eine Partei dieser DPA gelten, einschließlich, aber nicht beschränkt auf europäische Datenschutzgesetze, kanadische Datenschutzgesetze und den CCPA, jeweils in der geltenden Fassung, einschließlich etwaiger Änderungen, Aufhebungen, Zusammenfassungen oder Ersetzungen.

(i) „Betroffene Person“ bezeichnet die Person, auf die sich personenbezogene Daten beziehen.

(j) „Europa“ bezeichnet die Europäische Union, den Europäischen Wirtschaftsraum und/oder deren Mitgliedstaaten, die Schweiz und das Vereinigte Königreich.

(k) „Europäische Datenschutzgesetze“ bezeichnet die in Europa geltenden Datenschutzgesetze, jeweils in der geltenden Fassung, einschließlich etwaiger Änderungen, Ersetzungen oder Ablösungen.

(l) „Europäische Daten“ bezeichnet personenbezogene Daten, die dem Schutz der europäischen Datenschutzgesetze unterliegen.

(m) „Zugelassene verbundene Unternehmen“ bezeichnet alle verbundenen Unternehmen des Kunden, die (i) gemäß der Vereinbarung zur Nutzung der Softwaredienste berechtigt sind, (ii) als Verantwortliche für von Botpress verarbeitete personenbezogene Daten gelten und (iii) den europäischen Datenschutzgesetzen unterliegen.

(n) „Person“ ist weit auszulegen und umfasst jede natürliche oder juristische Person, Gesellschaft mit beschränkter Haftung, Kommanditgesellschaft, Firma, Vereinigung, Partnerschaft, Stiftung oder Nachlass, Joint Venture, Behörde oder politische Untergliederung davon oder jede andere Einheit.

(o) „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

(p) „Verarbeitung“ oder „Verarbeiten“ bezeichnet jeden Vorgang oder jede Vorgangsreihe, die von einem Auftragsverarbeiter an personenbezogenen Daten durchgeführt wird, unabhängig davon, ob dies automatisiert erfolgt oder nicht;

(q) „Auftragsverarbeiter“ bezeichnet eine Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

(r) „Aufsichtsbehörde“ bezeichnet, soweit zutreffend, jede Person oder Strafverfolgungs- oder sonstige Behörde mit regulatorischer, aufsichtsrechtlicher oder staatlicher Befugnis (ob auf gesetzlicher Grundlage oder anderweitig) in Bezug auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung oder dem Erhalt der Dienste, einschließlich, aber nicht beschränkt auf die europäischen Datenschutzaufsichtsbehörden;

(s) „Sicherheitsverletzung“ bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt, die von Botpress und/oder Unterauftragsverarbeitern im Zusammenhang mit der Bereitstellung der Dienste übermittelt, gespeichert oder anderweitig verarbeitet werden, ausgenommen Ereignisse, die die Sicherheit personenbezogener Daten nicht beeinträchtigen, wie fehlgeschlagene Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

(t) „Dienste“ bezeichnet die von einer Einheit der Botpress Gruppe an den Kunden oder dessen verbundene Unternehmen bereitgestellten Softwaredienste oder professionellen Dienstleistungen.

Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln, die dem Beschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 als Anhang beigefügt sind; wie jeweils geändert, ersetzt oder aufgehoben.

(v) „Unterauftragsverarbeiter“ bezeichnet jeden Auftragsverarbeiter, der von Botpress oder verbundenen Unternehmen von Botpress beauftragt wird, um Botpress bei der Erfüllung seiner Verpflichtungen im Zusammenhang mit der Bereitstellung der Dienste gemäß der Vereinbarung zu unterstützen. Unterauftragsverarbeiter können Dritte oder verbundene Unternehmen von Botpress sein, jedoch keine von Botpress beschäftigten oder beauftragten Einzelpersonen.

Drittland“ bezeichnet eine Gerichtsbarkeit oder einen Empfänger: (i) die/der von der Europäischen Kommission nicht als mit einem angemessenen Datenschutzniveau anerkannt ist; und (ii) die/der nicht unter einen geeigneten Rahmen fällt, der von den zuständigen Behörden oder Gerichten als angemessen anerkannt ist;

(x) „Nutzungsdaten“ bezeichnet Daten über die Nutzung der Software durch autorisierte Nutzer, die personenbezogene Daten enthalten können, sofern die Identifizierung einzelner Nutzer erforderlich ist, jedoch keine Konversationsdaten. Nutzungsdaten können personenbezogene Daten über Mitarbeiter und Auftragnehmer des Kunden enthalten, jedoch nicht über Endnutzer, die mit Kunden-Bots interagieren.

2. Rolle der Parteien

2.a Bei der Verarbeitung von Konversationsdaten über die Dienste erkennen die Parteien an und stimmen zu, dass der Kunde als Verantwortlicher und Botpress als Auftragsverarbeiter handelt.

2.b Handelt der Kunde als Auftragsverarbeiter im Auftrag eines Verantwortlichen, gilt Botpress als Unterauftragsverarbeiter des Kunden.

2.c Botpress ist in Bezug auf Nutzungsdaten Verantwortlicher.

3. Einhaltung der Datenschutzgesetze

3.a Jede Partei verarbeitet personenbezogene Daten in Übereinstimmung mit allen anwendbaren Datenschutzgesetzen.

3.b Botpress ist nicht verantwortlich für die Einhaltung von Datenschutzgesetzen, die für den Kunden oder dessen Branche gelten und nicht allgemein für Botpress gelten.

3.c Sollte Botpress feststellen, dass es personenbezogene Daten aufgrund gesetzlicher Anforderungen nicht gemäß den Anweisungen des Kunden verarbeiten kann, wird Botpress (i) den Kunden unverzüglich über diese gesetzliche Anforderung informieren, soweit dies nach geltendem Recht zulässig ist; und (ii) falls erforderlich, jegliche Verarbeitung (außer der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Daten) einstellen, bis der Kunde neue, den geltenden Gesetzen entsprechende Anweisungen erteilt. Wird diese Bestimmung angewendet, haftet Botpress gegenüber dem Kunden im Rahmen der Vereinbarung nicht für die Nichterbringung der betreffenden Softwaredienste oder professionellen Dienstleistungen, bis Botpress nach eigenem Ermessen feststellt, dass die Anweisungen des Kunden rechtmäßig sind.

4. Pflichten von Botpress

4.a Botpress verarbeitet personenbezogene Daten nur zu den in dieser DPA beschriebenen Zwecken oder wie anderweitig im Rahmen rechtmäßiger Anweisungen des Kunden vereinbart, es sei denn, und soweit dies nach geltendem Recht anderweitig erforderlich ist.

4.b Botpress wird angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor Sicherheitsvorfällen umsetzen und aufrechterhalten, einschließlich der in Anhang 2 zu dieser DPA („Sicherheitsmaßnahmen“) beschriebenen Maßnahmen. Botpress kann die Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, sofern diese Änderungen nicht zu einer wesentlichen Verschlechterung des durch die Sicherheitsmaßnahmen gebotenen Schutzes führen.

4.c Botpress behandelt personenbezogene Daten als vertrauliche Informationen des Kunden und stellt sicher, dass alle Mitarbeiter oder Auftragnehmer, die zur Verarbeitung oder zum Zugriff auf personenbezogene Daten berechtigt sind, angemessenen Vertraulichkeitsverpflichtungen (vertraglich oder gesetzlich) in Bezug auf diese personenbezogenen Daten unterliegen.

4.d Botpress wird nach Beendigung oder Ablauf der Vereinbarung alle im Rahmen dieser DPA verarbeiteten personenbezogenen Daten löschen oder zurückgeben. Botpress kann Kopien personenbezogener Daten aufbewahren, sofern dies nach geltendem Recht erforderlich ist oder wenn personenbezogene Daten in Backup-Systemen archiviert wurden; diese Daten werden sicher isoliert, vor weiterer Verarbeitung geschützt und gemäß den geltenden Löschpraktiken gelöscht.

5. Pflichten des Kunden

5.a Der Kunde ist dafür verantwortlich, sicherzustellen, dass seine Nutzung der Software-Dienste oder der Software im Einklang mit allen geltenden Datenschutzgesetzen steht, insbesondere indem er (i) sicherstellt, dass er berechtigt ist, Botpress mit der Verarbeitung personenbezogener Daten in seinem Auftrag gemäß dieser DPA zu beauftragen, (ii) das Recht hat, die personenbezogenen Daten an Botpress zu übermitteln oder Botpress den Zugriff darauf zu gewähren, damit diese gemäß den Bedingungen der Vereinbarung (einschließlich dieser DPA) verarbeitet werden, (iii) sicherstellt, dass die Anweisungen des Kunden bezüglich der Verarbeitung personenbezogener Daten den geltenden Gesetzen, einschließlich Datenschutzgesetzen, entsprechen;

5.b Der Kunde muss Botpress umgehend schriftlich benachrichtigen, wenn er Grund zu der Annahme hat oder darüber informiert wurde, dass die vom Kunden über die Dienste durchgeführte Verarbeitung personenbezogener Daten gegen geltendes Recht, einschließlich Datenschutzgesetze, verstößt oder verstoßen könnte.

5.c Der Kunde ist dafür verantwortlich zu prüfen, ob die von Botpress umgesetzten Sicherheitsmaßnahmen den Pflichten des Kunden nach geltenden Datenschutzgesetzen ausreichend entsprechen. Der Kunde ist außerdem dafür verantwortlich, sicherzustellen, dass sein Zugang zu den Software-Diensten gesichert und nur autorisiertem Personal vorbehalten ist.

6. Sicherheitsvorfall

6.a Botpress wird den Kunden unverzüglich benachrichtigen, sobald Botpress von einer Sicherheitsverletzung Kenntnis erlangt, und dem Kunden zeitnah Informationen zu dieser Sicherheitsverletzung bereitstellen, sobald diese bekannt werden oder vom Kunden angemessen angefordert werden.

6.b Auf Anfrage wird Botpress dem Kunden unverzüglich angemessene Unterstützung leisten, damit der Kunde eine Sicherheitsverletzung gegenüber Aufsichtsbehörden und/oder betroffenen Personen melden kann, sofern eine solche Meldung nach Datenschutzgesetzen erforderlich ist.

7. Unterauftragsverarbeiter

7.a Botpress kann Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen. Die aktuellen Unterauftragsverarbeiter sind in Anhang 3 aufgeführt; Änderungen an den Unterauftragsverarbeitern werden dem Kunden mitgeteilt.

7.b Botpress wählt Unterauftragsverarbeiter aus, die Datenschutzverpflichtungen eingehen, die mindestens das gleiche Schutzniveau für personenbezogene Daten bieten wie in dieser DPA festgelegt (einschließlich, soweit zutreffend, der Standardvertragsklauseln), soweit dies für die Art der von diesen Unterauftragsverarbeitern erbrachten Dienstleistungen relevant ist. Botpress bleibt für die Einhaltung der Verpflichtungen dieser DPA durch jeden Unterauftragsverarbeiter sowie für Handlungen oder Unterlassungen eines Unterauftragsverarbeiters, die zu einem Verstoß gegen die Verpflichtungen von Botpress aus dieser DPA führen, verantwortlich.

7.c Wenn Botpress europäische Daten im Auftrag des Kunden verarbeitet, kann der Kunde aus datenschutzrechtlich begründeten Gründen gegen einen neuen Unterauftragsverarbeiter Einspruch erheben. Im Falle eines solchen Einspruchs verpflichtet sich Botpress, die Angelegenheit in gutem Glauben zu besprechen, um eine wirtschaftlich angemessene Lösung zu finden. Sollte keine Lösung erzielt werden, kann Botpress entweder auf die Beauftragung des neuen Unterauftragsverarbeiters verzichten oder dem Kunden die Möglichkeit geben, das Abonnement für den Teil der Software-Dienste, der auf den neuen Unterauftragsverarbeiter angewiesen ist, ohne Haftung für beide Parteien zu kündigen (unbeschadet etwaiger bis zur Kündigung entstandener Gebühren).

7.d Soweit gesetzlich vorgeschrieben oder nach den Standardvertragsklauseln erforderlich, wird Botpress angemessene Anstrengungen unternehmen, dem Kunden die erforderlichen Informationen über die Vereinbarungen von Botpress mit Unterauftragsverarbeitern zur Verfügung zu stellen. Der Kunde stimmt zu, dass bestimmte Informationen in diesen Vereinbarungen geschwärzt oder vertraulich bereitgestellt werden können.

8. Übermittlung personenbezogener Daten

8.a Die Verarbeitung personenbezogener Daten, die keine europäischen Daten sind, durch Unternehmen der Botpress-Gruppe erfolgt in jeder Gerichtsbarkeit, in der eine solche Verarbeitung nach den geltenden Gesetzen der Datenschutzgerichtsbarkeit zulässig ist.

8.b Die Verarbeitung europäischer Daten erfolgt ausschließlich:

a) Innerhalb Europas;

b) in einer Gerichtsbarkeit, die nach einem Beschluss der Europäischen Kommission gemäß den geltenden Datenschutzgesetzen ein angemessenes Schutzniveau bietet;

c) in jeder Gerichtsbarkeit, durch eine Organisation oder Einrichtung, die geeignete Garantien bietet, einschließlich durch die Standardvertragsklauseln;

d) in jeder Gerichtsbarkeit, mit schriftlicher Zustimmung des Kunden oder der betroffenen Person.

8.c Erfolgt die Verarbeitung europäischer Daten in einem Drittland, gelten die Parteien als nur in Bezug auf die betreffenden personenbezogenen Daten und die betreffende Verarbeitung die Standardvertragsklauseln abgeschlossen zu haben. Die Parteien vereinbaren, dass für die Zwecke der Standardvertragsklauseln gilt:

a) Ist der Kunde Verantwortlicher und Botpress Auftragsverarbeiter, gilt Modul 2 (Verantwortlicher an Auftragsverarbeiter).

b) Ist der Kunde Auftragsverarbeiter und Botpress Unterauftragsverarbeiter, gilt Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter).

c) Für Nutzungsdaten gilt Modul 1 (Verantwortlicher an Verantwortlicher).

d) In Klausel 7 der Standardvertragsklauseln findet die optionale Andockklausel keine Anwendung;

e) In Klausel 9 der Standardvertragsklauseln gilt Option 2 und die Frist für die vorherige schriftliche Mitteilung über Änderungen bei Unterauftragsverarbeitern beträgt 10 Tage;

f) In Klausel 11 der Standardvertragsklauseln findet die optionale Formulierung keine Anwendung;

g) In Klausel 17 (Option 1) unterliegen die Standardvertragsklauseln irischem Recht;

h) In Klausel 18(b) der Standardvertragsklauseln werden Streitigkeiten vor den Gerichten Irlands beigelegt;

i) Botpress ist der "Datenimporteur" und der Kunde der "Datenexporteur" (im eigenen Namen und im Namen der berechtigten verbundenen Unternehmen);

j) Die relevanten Informationen aus Anhang 1 und Anhang 2 dieser DPA gelten als in die Anhänge der Standardvertragsklauseln aufgenommen;

k) Soweit und sofern die Standardvertragsklauseln mit einer Bestimmung dieser DPA in Konflikt stehen, haben die Standardvertragsklauseln im Umfang dieses Konflikts Vorrang.

8.d Übermittlungen in die Schweiz und das Vereinigte Königreich. Soweit eine Übermittlung personenbezogener Daten zwischen dem Kunden und Botpress und/oder einem Subunternehmer den Datenschutzgesetzen der Schweiz oder des Vereinigten Königreichs unterliegt, gelten die Standardvertragsklauseln als entsprechend den Anforderungen der jeweiligen schweizerischen und britischen Datenschutzgesetze geändert, einschließlich Verweise auf Gesetzgebung, anwendbares Recht sowie zuständige Behörden und Gerichte.

9. CCPA-Verarbeitung

9.a Bei der Verarbeitung kalifornischer personenbezogener Daten gemäß den Anweisungen des Kunden erkennen die Parteien an und vereinbaren, dass der Kunde ein Unternehmen und Botpress ein Dienstleister im Sinne des CCPA ist. Die Parteien vereinbaren, dass Botpress kalifornische personenbezogene Daten als Dienstleister ausschließlich zum Zweck der Erbringung der Softwaredienste und professionellen Dienstleistungen gemäß der Vereinbarung (dem „Business Purpose“) oder wie anderweitig nach dem CCPA zulässig verarbeitet.

10. Anfragen Dritter

10.a Der Kunde ist dafür verantwortlich, jede Anfrage einer betroffenen Person oder einer Aufsichtsbehörde bezüglich ihrer personenbezogenen Daten zu bearbeiten und die Funktionen der Software-Dienste zu nutzen, um relevante Informationen zur Verarbeitung personenbezogener Daten abzurufen.

10.b Ist der Kunde nicht in der Lage, eine Anfrage einer betroffenen Person oder einer Aufsichtsbehörde („Anfrage“) eigenständig zu bearbeiten, wird Botpress dem Kunden angemessene Unterstützung leisten, um auf solche Anfragen im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung zu antworten. Sofern und soweit eine Anfrage nicht auf einem Versäumnis von Botpress bei der Einhaltung seiner Verpflichtungen aus dieser DPA beruht, erstattet der Kunde Botpress die angemessenen Aufwendungen für die Unterstützung.

10.c Geht eine Anfrage oder sonstige Mitteilung bezüglich der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung direkt bei Botpress ein, wird Botpress den Kunden unverzüglich informieren und die betroffene Person oder Aufsichtsbehörde anweisen, ihre Anfrage direkt an den Kunden zu richten. Der Kunde ist allein dafür verantwortlich, inhaltlich auf solche Anfragen oder Mitteilungen im Zusammenhang mit personenbezogenen Daten zu antworten.

11. Prüfung im Zusammenhang mit personenbezogenen Daten

11.a Auf Anfrage und mit angemessener Vorankündigung an Botpress ist der Kunde berechtigt, auf eigene Kosten die notwendigen Überprüfungen durchzuführen, um sicherzustellen, dass die von Botpress im Auftrag des Kunden verarbeiteten personenbezogenen Daten gemäß den Anweisungen des Kunden verarbeitet werden. Auf Wunsch des Kunden gestattet Botpress die Prüfung und Inspektion der von Botpress durchgeführten Verarbeitung. Eine solche Prüfung kann vom Kunden und/oder einer vom Kunden ausgewählten und von Botpress angemessen akzeptierten dritten Partei im Auftrag des Kunden durchgeführt werden. Der Kunde trifft alle notwendigen Maßnahmen, um Schäden oder Störungen an den Räumlichkeiten, der Ausrüstung, dem Personal und dem Geschäftsbetrieb der Unternehmen der Botpress-Gruppe zu vermeiden.

11.b Der Kunde und Botpress einigen sich im Voraus auf Art, Umfang und Dauer einer Prüfung durch den Kunden, und der Kunde erstattet Botpress alle angemessenen Kosten, die mit einer solchen Prüfung verbunden sind; diese können auf Wunsch des Kunden vor Beginn der Prüfung geschätzt werden. Soweit möglich, werden Anforderungen des Kunden an Prüfungen durch von Botpress bereitgestellte Prüfberichte Dritter erfüllt, sofern diese verfügbar sind.

11.c Wenn Botpress europäische Daten im Auftrag des Kunden verarbeitet, stellt Botpress dem Kunden auf angemessene Anfrage (vertraulich) (i) eine Zusammenfassung seines Sicherheitsprüfberichts/der Sicherheitsprüfberichte und (ii) schriftliche Antworten auf alle angemessenen Informationsanfragen des Kunden zur Verfügung, die notwendig sind, um die Einhaltung dieses DPA durch Botpress zu bestätigen, vorausgesetzt, der Kunde übt dieses Recht nicht mehr als einmal pro Kalenderjahr aus, es sei denn, der Kunde kann begründete Verdachtsmomente für eine Nichteinhaltung des DPA durch Botpress nachweisen.

12. Haftungsbeschränkung

12.a Die Haftung von Botpress und seinen verbundenen Unternehmen, insgesamt betrachtet, die sich aus oder im Zusammenhang mit diesem DPA (und allen anderen DPAs zwischen den Parteien) sowie den Standardvertragsklauseln (sofern anwendbar) ergibt, sei es aus Vertrag, unerlaubter Handlung oder einer anderen Haftungsgrundlage, ist auf die Gesamtsumme der vom Kunden an Botpress für die Dienstleistungen im Zeitraum von 12 Monaten vor dem haftungsbegründenden Ereignis gezahlten Gebühren beschränkt.

13. Gerichtsstand

Sofern nicht durch geltende Datenschutzgesetze anders vorgeschrieben, unterliegt dieses DPA den für die Vereinbarung geltenden Gesetzen und wird entsprechend ausgelegt; alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung werden von den zuständigen Gerichten der im Angebot angegebenen Gerichtsbarkeit entschieden.

Soweit Datenschutzgesetze vorschreiben, dass dieses DPA dem Recht eines Mitgliedstaats der Europäischen Union unterliegt, gilt das Recht Irlands und Streitigkeiten im Zusammenhang mit dieser Vereinbarung werden von irischen Gerichten entschieden.

14. Allgemeines

14.a Vorrang. Im Falle von Widersprüchen zwischen Bestimmungen dieses DPA und anderen Bestimmungen der Vereinbarung haben die Bestimmungen des DPA stets Vorrang, es sei denn und soweit ausdrücklich festgelegt ist, dass eine andere Bestimmung der Vereinbarung Vorrang hat oder eine Bestimmung dieses DPA aufgehoben oder geändert wird.

14.b Änderungen. Botpress kann dieses DPA an geänderte Datenverarbeitungspraktiken anpassen. Jede Änderung, die über sprachliche Klarstellungen hinausgeht (die dem Kunden routinemäßig mitgeteilt werden), wird dem Kunden vorgelegt und gilt nur, wenn der Kunde sie akzeptiert. Falls eine Änderung dieses DPA durch geltendes Recht erforderlich ist, hat der Kunde die Möglichkeit, diese Änderung zu akzeptieren oder sein Abonnement für die Softwaredienste zu kündigen.

14.c  Salvatorische Klausel. Sollte eine einzelne Bestimmung dieser DPA für ungültig oder nicht durchsetzbar erklärt werden, bleibt die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen hiervon unberührt.


Anlage 1 – Einzelheiten der Verarbeitung

Bestimmung des Verantwortlichen

Der Kunde

Ansprechpartner: Die im vom Kunden angenommenen Angebot genannte Person.

Bestimmung des Auftragsverarbeiters

Wenn der Kunde in Kanada ansässig ist: Technologies Botpress Inc. Wenn der Kunde an einem anderen Ort ansässig ist: Botpress, Inc.

Ansprechpartner:

Jean-Bernard Perron [email protected]

Kategorien betroffener Personen

Der Kunde kann im Rahmen der Nutzung des Softwaredienstes personenbezogene Daten übermitteln, deren Umfang ausschließlich vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird, vorbehaltlich der geltenden Nutzungsbedingungen. Diese können unter anderem personenbezogene Daten folgender Kategorien betroffener Personen umfassen:

  • Personen, die die Software im Auftrag des Kunden nutzen
  • Endnutzer der Kunden-Bots

Kategorien personenbezogener Daten

Der Kunde kann personenbezogene Daten an die Softwaredienste übermitteln und Endnutzern die Übermittlung personenbezogener Daten an die Softwaredienste erlauben, deren Umfang ausschließlich vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird, vorbehaltlich der geltenden Nutzungsbedingungen.

Der Softwaredienst ist nicht für die Verarbeitung sensibler Daten ausgelegt; der Kunde ist dafür verantwortlich, die Eignung der Softwaredienste für die Verarbeitung sensibler Daten zu beurteilen.

Botpress verarbeitet Kontaktdaten autorisierter Nutzer (Name, E-Mail, Telefon) sowie Nutzungs- und Verhaltensdaten zur Produktnutzung für technischen Support und statistische Zwecke.

Art der Verarbeitung

  • Speicherung und sonstige Verarbeitung, die zur Bereitstellung, Wartung und Verbesserung der dem Kunden bereitgestellten Dienste erforderlich sind;
  • Offenlegung gemäß der Vereinbarung (einschließlich dieses DPA) und/oder soweit gesetzlich vorgeschrieben;
  • Botpress verarbeitet personenbezogene Daten, soweit dies zur Erbringung der Dienste gemäß der Vereinbarung erforderlich ist, sowie nach weiteren Anweisungen des Kunden im Rahmen der Nutzung der Dienste.
  • Botpress verarbeitet Nutzungsdaten, um technischen Support zu leisten und für statistische Zwecke (zur Produktverbesserung und -entwicklung).

Dauer der Speicherung personenbezogener Daten

Vorbehaltlich der Verpflichtung von Botpress, Daten zu löschen oder an den Kunden zurückzugeben, verarbeitet Botpress personenbezogene Daten für die Dauer der Vereinbarung, sofern nicht schriftlich anders vereinbart.

Anlage 2 – Sicherheitsmaßnahmen

1. Governance

Botpress implementiert angemessene Richtlinien und Verfahren im Umgang mit personenbezogenen Daten, darunter:

  • Informationssicherheitsverfahren;
  • Richtlinien zur Nutzung personenbezogener Daten;
  • Verfahren zur Meldung von Sicherheits- und Datenschutzvorfällen;
  • Mechanismen zur Risikobewertung;
  • Interne Prüfverfahren;
  • Vertragliche Maßnahmen;

2. Benutzerzugang

  • Die Funktionen und Verantwortlichkeiten der Botpress-Nutzer und Nutzerprofile mit Zugriff auf personenbezogene Daten und Informationssysteme sind klar definiert.
  • Botpress ergreift Maßnahmen, um seine Nutzer über die Sicherheitsregeln, die ihre Aufgaben betreffen, sowie über die Konsequenzen bei Verstößen gegen diese Regeln zu informieren.
  • Für den Zugriff auf oder die Übertragung personenbezogener Daten werden keine Klartextprotokolle verwendet. Für diese Vorgänge wird ausschließlich das SSL-Protokoll akzeptiert.
  • Botpress stellt die Sicherheit der Prozesse und Verfahren für die Handhabung oder Entsorgung von physischen Datenträgern oder Geräten sicher, die personenbezogene Daten enthalten können.
  • Personenbezogene Daten werden physisch oder, falls sie sich in einer Datenbank oder virtuellen Umgebung befinden, logisch von anderen Botpress-Daten getrennt. Falls personenbezogene Daten nicht physisch von anderen Daten, Systemen oder Anwendungen, die nicht zum Kunden gehören, getrennt sind, setzt Botpress angemessene Sicherheitskontrollen, einschließlich Zugriffskontrollen, ein.

3. Zugriffskontrolle

Botpress bewahrt Server, relevante Datenbanken und andere Hardware- und/oder Softwarekomponenten, die personenbezogene Daten speichern, in einem sicheren Rechenzentrum auf, dessen Zugang kontrolliert und überwacht wird, sodass nur autorisiertes Personal Zutritt erhält.

Botpress setzt wirksame logische Zugriffskontrollmaßnahmen auf allen Systemen ein, die zur Erstellung, Übertragung oder Verarbeitung personenbezogener Daten verwendet werden. Zu diesen Maßnahmen gehören unter anderem:

  • Authentifizierung des Nutzers, der eindeutige Kennungen ("Benutzer-IDs") und Namen verwenden muss.
  • Eine ausreichend komplexe und robuste Passwortstrategie.
  • Zugriffsrechte/-privilegien der Nutzer auf Informationsressourcen mit personenbezogenen Daten werden nach dem Need-to-know-Prinzip entsprechend den Aufgaben und Verantwortlichkeiten des Nutzers vergeben.
  • Der Zugriff von Benutzern auf Computersysteme, die den Zugang zu personenbezogenen Daten ermöglichen, wird unmittelbar nach dem Ausscheiden des Benutzers oder bei einem Stellenwechsel, bei dem kein Zugriff mehr erforderlich ist, gelöscht.
  • Standardpasswörter und Sicherheitseinstellungen müssen in den von Dritten verwendeten Produkten/Anwendungen zur Verarbeitung personenbezogener Daten geändert werden.
  • Drittanbieter müssen denselben Sicherheitsanforderungen und Verpflichtungen unterliegen wie die autorisierten Nutzer von Botpress, wenn sie personenbezogene Daten verarbeiten.
  • Jährliche Überprüfung der Berechtigung von Benutzerkonten und zugehörigen Zugriffsrechten auf personenbezogene Informationen.

4. Netzwerksicherheitsarchitektur

Botpress setzt wirksame Maßnahmen zur Netzwerkkontrolle auf allen Systemen ein, die zur Erstellung, Übertragung oder Verarbeitung personenbezogener Daten genutzt werden. Diese Maßnahmen umfassen unter anderem:

  • Firewalls sind jederzeit aktiv und am Netzwerkrand zwischen dem internen (privaten) Netzwerk von Botpress und dem öffentlichen Netzwerk (Internet) installiert.
  • Korrekt konfigurierte und überwachte Systeme zur Erkennung und Verhinderung von Eindringversuchen werden im Botpress-Netzwerk eingesetzt.
  • Nur die für den Routinebetrieb erforderlichen Dienste/Prozesse und Ports sind auf den Datenbanken und anderen Informationssystemen zur Verarbeitung personenbezogener Daten aktiviert. Alle anderen Dienste/Prozesse auf dem Host sind deaktiviert.
  • Alle Informationssysteme, Speicherorte und sonstigen Systeme zur Verarbeitung personenbezogener Daten müssen sich physisch in einer kontrollierten Rechenzentrumsumgebung befinden und zum Schutz der Informationssysteme genutzt werden.
  • Für die Kommunikation mit dem Botpress-Rechenzentrum müssen stets sichere Kanäle (z. B. TLS, SFTP, SSH, IPSEC usw.) verwendet werden.

5. Schwachstellenmanagement

Botpress setzt wirksame Maßnahmen zum Schwachstellenmanagement auf allen Systemen ein, die zur Erstellung, Übertragung oder Verarbeitung personenbezogener Daten genutzt werden. Diese Maßnahmen umfassen unter anderem:

  • Einsatz von Netzwerkschutz- und Erkennungssystemen, um Phishing-E-Mails und Schadsoftware zu filtern, bevor sie Arbeitsplätze erreichen, die von Botpress verwaltet werden und direkten oder indirekten Zugriff auf personenbezogene Daten haben.
  • Einsatz von Anti-Virus- und Anti-Malware-Software zur Prävention und Erkennung auf allen von Botpress verwalteten Arbeitsplätzen, die personenbezogene Daten verarbeiten.
  • Etablierung eines standardisierten Patch-Management-Prozesses, um den Schutz aller Geräte zu gewährleisten, die auf personenbezogene Daten zugreifen, diese verarbeiten oder speichern.
  • Geräte und Dokumente mit personenbezogenen Daten müssen eine Identifizierung der abgerufenen Informationen ermöglichen, inventarisiert werden und dürfen nur von autorisierten Nutzern gemäß dem Sicherheitsdokument zugänglich sein.
  • Maßnahmen zur Verhinderung von Diebstahl, Verlust oder unbefugtem Zugriff auf personenbezogene Daten während Übertragungs- und Transferprozessen.

6. Datensicherung, Wiederherstellung und Verfügbarkeit

Botpress implementiert Notfallwiederherstellungs- und Geschäftskontinuitätspläne, um Ausfallzeiten und Datenverluste auf ein Minimum zu reduzieren.

  • Botpress implementiert Notfallwiederherstellungsfunktionen, die darauf ausgelegt sind, die Funktionalität des Systems mit personenbezogenen Daten innerhalb eines von den Parteien vereinbarten Zeitraums oder, falls nicht vereinbart, innerhalb eines angemessenen Zeitraums entsprechend der Art der personenbezogenen Daten wiederherzustellen.
  • Botpress stellt systematisch sicher, dass personenbezogene Daten ausschließlich von autorisiertem Botpress-Personal zugänglich sind (z. B. werden externe Backups grundsätzlich verschlüsselt).
  • Um Risiken durch Umwelteinflüsse, Gefahren und unbefugten Zugriff zu minimieren, werden Geräte außerhalb von Standorten mit hoher Umweltgefährdung platziert und durch redundante Geräte in angemessener Entfernung ergänzt.
  • Sicherheitsmechanismen und Redundanzen werden implementiert, um Geräte vor Ausfällen von Versorgungsdiensten (z. B. Stromausfall, Netzwerkausfall usw.) zu schützen.
  • Richtlinien und Verfahren zur Datenaufbewahrung und -speicherung werden festgelegt und Backup- oder Redundanzmechanismen implementiert, um die Einhaltung gesetzlicher, vertraglicher oder geschäftlicher Anforderungen sicherzustellen. Die Wiederherstellung von Festplatten- oder Band-Backups wird in geplanten Abständen getestet.

7. Sicherheitsüberprüfung

Botpress setzt Kontrollen auf allen Systemen ein, die zur Erstellung, Übertragung oder Verarbeitung personenbezogener Daten genutzt werden. Diese Kontrollen umfassen unter anderem:

  • Externe Schwachstellen-Scans oder Audits von öffentlich zugänglichen Infrastrukturkomponenten mit personenbezogenen Daten durch Dritte.
  • Penetrationstests von Botpress-Systemen, die personenbezogene Daten speichern und verarbeiten, durch Dritte.
  • Regelmäßige externe Überprüfung, wenn Anwendungen oder Prozesse Finanzinformationen unterstützen.
  • Botpress verpflichtet sich, alle im Rahmen von Penetrationstests identifizierten Schwachstellen zu beheben und den Kunden über die ergriffenen Maßnahmen zu informieren.

8. Schulung und Sensibilisierung

Botpress führt ein Sicherheitsbewusstseinsprogramm für seine Mitarbeitenden und Dienstleister durch, die mit Systemen zur Verarbeitung personenbezogener Daten arbeiten. Dieses umfasst:

  • Botpress stellt sicher, dass seine Mitarbeiter die Risiken und Herausforderungen des Informationsmanagements im Zusammenhang mit den Botpress-Diensten sowie die entsprechenden Richtlinien kennen.
  • Mitarbeiter von Botpress erhalten Schulungen und regelmäßige Aktualisierungen zu relevanten Richtlinien und Verfahren des Informationsrisikomanagements sowie zum standardisierten Klassifizierungsschema und den entsprechenden Abläufen.
  • Mitarbeiter von Subunternehmern werden über das Klassifizierungsschema und die entsprechenden Verfahren des Informationsrisikomanagements von Botpress informiert.
  • Es werden Richtlinien und Verfahren festgelegt, um sichtbare Dokumente mit sensiblen Daten zu entfernen, wenn ein Arbeitsplatz unbeaufsichtigt ist, sowie zur Durchsetzung der automatischen Abmeldung von Arbeitsstationen nach einer Inaktivitätszeit.

Anhang 3 – Sub-Auftragsverarbeiter

Botpress führt eine aktuelle Liste der Sub-Auftragsverarbeiter im Trust Center. Sofern nicht anders angegeben, erfolgt die Datenverarbeitung in den Vereinigten Staaten.

Datenverarbeitungsvereinbarung abschließen
Alle Systeme betriebsbereit
SOC 2
Zertifiziert
DSGVO
Konform
© 2025
Hub
Integrationen
Kanäle
LLMs
Ressourcen
Vertrieb kontaktieren
Dokumentation
Experten beauftragen
Videos
Kundenerfahrungen
API-Referenz
Blog
Status
v12 Ressourcen
Community
Partner & Partnerunternehmen
Discord
Unternehmen
Über uns
Karriere
Rechtliches
Datenschutz