Auftragsverarbeitungsvertrag

> Für wen ist das relevant? > Dieser AVV gilt für Einrichtungen (z. B. Kitas, Schulen, Unternehmen), die Bedtime Stories für Dritte einsetzen und daher nach DSGVO als Verantwortliche auftreten. Privatpersonen, die den Dienst für die eigene Familie nutzen, benötigen keinen AVV.

1. Gegenstand und Laufzeit

Die Richtfest Tech UG ("Auftragsverarbeiter") verarbeitet im Auftrag des Kunden ("Verantwortlicher") personenbezogene Daten zum Zweck der Erbringung des Dienstes Bedtime Stories gemäß dem abgeschlossenen Nutzungsvertrag (AGB). Die Laufzeit dieses AVV entspricht der Laufzeit des Nutzungsvertrags.

2. Art, Zweck und Umfang der Verarbeitung

| Kriterium | Details | |---|---| | Art | Speicherung, Abruf, Verarbeitung, Übermittlung, Löschung personenbezogener Daten | | Zweck | Bereitstellung von KI-generierten Bettzeitgeschichten, Text-to-Speech, Mediathek, Community-Funktionen | | Datenkategorien | E-Mail-Adressen, Vornamen, Kinder-Profile (Vorname, Alter, Vorlieben), generierte Geschichten, Audio-Dateien | | Betroffene | Nutzer (Erwachsene), Kinder (Profile von Erwachsenen gepflegt) |

3. Pflichten des Auftragsverarbeiters

Die Richtfest Tech UG verpflichtet sich:

• Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
• Sicherzustellen, dass autorisierte Personen der Vertraulichkeit verpflichtet sind
• Die technischen und organisatorischen Maßnahmen gemäß Anlage 1 umzusetzen und aufrechtzuerhalten
• Den Verantwortlichen binnen 72 Stunden nach Kenntnis über eine Datenschutzverletzung zu informieren
• Den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zu unterstützen
• Nach Vertragsende alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben

4. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine generelle Genehmigung für den Einsatz folgender Unterauftragsverarbeiter. Über beabsichtigte Änderungen (Hinzufügung oder Austausch) werden wir den Verantwortlichen informieren und ihm Gelegenheit zum Widerspruch geben.

| Unterauftragsverarbeiter | Sitz | Zweck | Übermittlungsgrundlage | |---|---|---|---| | HostEurope GmbH | Deutschland | Hosting | EU | | OpenAI, Inc. | USA | KI-Generierung | SCCs | | ElevenLabs, Inc. | USA | TTS | SCCs | | Inworld AI, Inc. | USA | TTS | SCCs | | Stripe, Inc. | Irland (EU) | Zahlung | EU |

Anlage 1 — Technische und Organisatorische Maßnahmen (TOM)

Zutrittskontrolle

Server-Infrastruktur bei HostEurope mit ISO-27001-zertifizierten Rechenzentren. Kein direkter physischer Zugang durch Mitarbeiter der Richtfest Tech UG.

Zugangskontrolle

Alle Daten in transit mit TLS 1.2+ verschlüsselt. Passwörter mit bcrypt gespeichert. Sanctum-token-basierte API-Authentifizierung.

Verfügbarkeit / Backups

Regelmäßige automatisierte Backups durch HostEurope. Monitoring der Dienstverfügbarkeit.

Datensparsamkeit

Es werden nur die notwendigen Mindestdaten erhoben. Kein Tracking, kein Werbeprofiling.