Auftragsverarbeitungsvertrag (AVV)

1. Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die Datenschutzerklärung und regelt die Verarbeitung personenbezogener Daten durch Taabit (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) gemäss Art. 28 DSGVO und dem Schweizer DSG.

Der AVV gilt für die gesamte Dauer der Nutzung von Taabit und endet automatisch mit Beendigung des Nutzungsvertrags. Nach Beendigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

2. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Zweck der Bereitstellung der Taabit-Plattform:

• Verarbeitung von Chat-Nachrichten und Konversationsverläufen
• Speicherung von Benutzerprofilen und Einstellungen
• Weiterleitung von Nachrichten an KI-Sprachmodelle zur Beantwortung
• Erstellung von Nutzungsstatistiken und Analysen
• Verwaltung von Dokumenten und Wissensdatenbanken

3. Art der personenbezogenen Daten

• Kontaktdaten (Name, E-Mail-Adresse)
• Authentifizierungsdaten (verschlüsselte Passwörter, MFA-Secrets)
• Nutzungsdaten (Chat-Verläufe, hochgeladene Dokumente, Konfigurationen)
• Technische Daten (IP-Adresse, Browser-Informationen)
• Ggf. weitere Daten, die der Kunde im Rahmen der Nutzung eingibt

4. Kategorien betroffener Personen

• Registrierte Nutzer der Taabit-Plattform
• Endkunden, die über eingebettete Chat-Widgets kommunizieren
• Mitarbeiter des Kunden mit Zugang zur Plattform

5. Technische und organisatorische Massnahmen (TOMs)

Taabit setzt folgende Massnahmen zum Schutz personenbezogener Daten ein:

Vertraulichkeit

• Transportverschlüsselung: Alle Verbindungen über HTTPS/TLS 1.3
• Speicherverschlüsselung: Sensible Daten mit AES-256-GCM verschlüsselt
• Passwörter: bcrypt mit 12 Salt Rounds
• Tenant-Isolation: Vollständige Datentrennung zwischen Kunden
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC)

Integrität

• Zwei-Faktor-Authentifizierung (TOTP) optional verfügbar
• API-Token-Authentifizierung mit Prefix-basierter Identifikation
• Automatische Eingabevalidierung und -bereinigung

Verfügbarkeit und Belastbarkeit

• Hosting bei IONOS (Rechenzentrum Deutschland, ISO 27001 zertifiziert)
• Tägliche automatische Datenbank-Backups
• Container-basierte Infrastruktur mit automatischem Neustart

Wiederherstellbarkeit

• Point-in-Time-Recovery der Datenbank möglich
• Regelmässige Tests der Wiederherstellungsprozesse

Automatische Datenlöschung

• Konfigurierbare Aufbewahrungsfrist pro Tenant (Standard: 180 Tage)
• Automatische Löschung abgelaufener Chat-Daten durch täglichen Bereinigungslauf
• Self-Service-Löschung: Endbenutzer können eigene Chats jederzeit selbst löschen

6. Unterauftragnehmer (Sub-Processors)

Folgende Unterauftragnehmer werden eingesetzt:

Bei Azure OpenAI werden Daten nicht für das Training von KI-Modellen verwendet. Nachrichten werden nur für die Dauer der Anfrage verarbeitet und nicht beim Anbieter gespeichert.

7. Pflichten des Auftragsverarbeiters

• Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
• Gewährleistung der Vertraulichkeit durch alle Mitarbeiter
• Unterstützung bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Export) — inkl. Self-Service-Löschung durch Endbenutzer und automatischer Datenbereinigung
• Unverzügliche Meldung von Datenschutzverletzungen (innerhalb von 24 Stunden)
• Löschung aller Daten nach Beendigung der Auftragsverarbeitung
• Bereitstellung aller erforderlichen Informationen für Audits

8. Rechte des Verantwortlichen

• Recht auf Auskunft über die Verarbeitung
• Recht auf Überprüfung (Audit) — nach vorheriger Abstimmung
• Recht auf Weisung bezüglich der Datenverarbeitung
• Jederzeitiger Datenexport über die Plattform (Einstellungen → Daten exportieren)
• Jederzeitige Kontolöschung mit vollständiger Datenlöschung

9. AVV abschliessen

Für den Abschluss eines individuellen AVV oder bei Fragen zur Datenverarbeitung kontaktiere uns bitte unter:

datenschutz@taabit.com

Wir stellen den AVV als unterschriebenes PDF-Dokument zur Verfügung.