DE
Auftragsverarbeitungsvertrag
Parteien
Verantwortlicher (Kunde): Die Einheit, die den Nutzungsbedingungen von Suunta.ai zugestimmt hat und die Dienste nutzt.
Auftragsverarbeiter (Suunta.ai): Y4 Works Oy, Handelsregister-Nr.: 2978296-6, Adresse: Finnland, E-Mail: privacy@suunta.ai
1. Definitionen
- Personenbezogene Daten bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in Artikel 4 Absatz 1 der DSGVO definiert.
- Verarbeitung bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie in Artikel 4 Absatz 2 der DSGVO definiert.
- Betroffene Person bezeichnet die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
- Unterauftragsverarbeiter bezeichnet jeden Dritten, der von Suunta.ai beauftragt wurde, personenbezogene Daten im Auftrag des Kunden zu verarbeiten.
- Dienste bezeichnet die Suunta.ai-Plattform und zugehörige Dienste wie in den Nutzungsbedingungen beschrieben.
- DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Datenschutz-Grundverordnung).
- Standardvertragsklauseln (SCCs) bezeichnet die von der Europäischen Kommission angenommenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer.
- Sicherheitsvorfall bezeichnet jede zufällige oder unrechtmäßige Vernichtung, jeden Verlust, jede Veränderung, jede unbefugte Offenlegung oder jeden unbefugten Zugang zu personenbezogenen Daten.
2. Geltungsbereich und Zweck
2.1 Geltungsbereich Dieser AVV gilt für alle Verarbeitungen personenbezogener Daten durch Suunta.ai im Auftrag des Kunden im Zusammenhang mit den Diensten.
2.2 Rollen Der Kunde handelt als Verantwortlicher. Suunta.ai handelt als Auftragsverarbeiter. Wenn Suunta.ai die Zwecke und Mittel der Verarbeitung bestimmt (z.B. für Dienst-Verbesserungsanalysen), handelt Suunta.ai als unabhängiger Verantwortlicher und verarbeitet solche Daten gemäß seiner Datenschutzerklärung.
2.3 Zweck der Verarbeitung Suunta.ai verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der Dienste wie in den Nutzungsbedingungen beschrieben, einschließlich:
- Benutzerkontoverwaltung und Authentifizierung
- Bereitstellung KI-gestützter strategischer Planungsfunktionen
- Verarbeitung und Speicherung von Geschäftsdaten, die von Nutzern eingereicht werden
- Erstellung KI-gestützter Analysen und Empfehlungen
- Abrechnung und Abonnementverwaltung
- Kundensupport
- Dienstsicherheit und Missbrauchsprävention
3. Kategorien von Daten und betroffenen Personen
3.1 Kategorien betroffener Personen
- Mitarbeiter und Auftragnehmer des Kunden, die die Dienste nutzen
- Andere Personen, deren personenbezogene Daten vom Kunden in die Dienste eingereicht werden
3.2 Kategorien personenbezogener Daten
| Kategorie | Datenelemente | Zweck |
|---|---|---|
| Kontodaten | Name, E-Mail, Telefon (optional), Berufsbezeichnung, Rolle | Benutzeridentifikation und Zugriff |
| Authentifizierungsdaten | Passwort-Hash, SSO-Kennungen, Sitzungsdaten | Sicherer Zugriff |
| Organisationsdaten | Organisationsname, Land, Stadt, Branche, Größe | Dienst-Anpassung |
| Nutzungsdaten | IP-Adresse, User-Agent, Login-Zeitstempel, Aktivitätsprotokolle | Sicherheit und Audit |
| Geschäftsdaten | Strategiedokumente, OKRs, KPIs, Projekte, Aufgaben | Kern-Dienstbereitstellung |
| Kommunikationsdaten | Chat-Nachrichten, KI-Interaktionen | Dienstfunktionen |
| Abrechnungsdaten | Stripe-Kunden-ID, Abonnementdetails | Zahlungsabwicklung |
3.3 Besondere Kategorien von Daten Der Kunde stimmt zu, keine besonderen Kategorien personenbezogener Daten (wie in DSGVO Artikel 9 definiert) ohne vorherige schriftliche Zustimmung von Suunta.ai in die Dienste einzureichen.
4. Pflichten des Auftragsverarbeiters
4.1 Verarbeitungsanweisungen Suunta.ai verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Kunden, informiert den Kunden, wenn eine Weisung gegen die DSGVO verstößt, und stellt sicher, dass autorisierte Personen der Vertraulichkeit verpflichtet sind.
4.2 Sicherheitsmaßnahmen
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung im Ruhezustand | AES-256 (AWS RDS) |
| Verschlüsselung bei Übertragung | TLS 1.2+ |
| Zugriffskontrolle | Rollenbasierter Zugriff, Organisationsisolierung |
| Authentifizierung | Passwort-Hashing (PBKDF2-SHA256), Sitzungsverwaltung |
| Audit-Protokollierung | Umfassende Aktivitätsprotokollierung mit Aufbewahrungsrichtlinien |
| Backup | Automatisierte tägliche Backups mit Point-in-Time-Recovery |
| Infrastruktur | AWS EU (Stockholm, eu-north-1) |
4.3 Unterauftragsverarbeitung Suunta.ai kann Unterauftragsverarbeiter unter den in Abschnitt 6 genannten Bedingungen beauftragen.
4.4 Unterstützung des Verantwortlichen Suunta.ai unterstützt den Kunden bei der Beantwortung von Anfragen betroffener Personen, der Sicherstellung der Einhaltung der DSGVO-Artikel 32-36 und der Bereitstellung von Informationen, die zum Nachweis der Einhaltung erforderlich sind.
4.5 Löschung und Rückgabe Bei Beendigung der Dienste oder auf Anfrage des Kunden: (a) kann der Kunde innerhalb von 30 Tagen nach Beendigung den Export von Kundendaten anfordern; (b) löscht Suunta.ai personenbezogene Daten innerhalb von 90 Tagen nach Beendigung, sofern keine gesetzliche Aufbewahrungspflicht besteht; (c) wird der Datenexport in JSON- und CSV-Formaten über die Dienste bereitgestellt.
5. KI-spezifische Datenverarbeitung
5.1 KI-Verarbeitung Wenn Kundendaten über KI-Funktionen verarbeitet werden: (a) werden Prompts und Antworten zur Verarbeitung an Drittanbieter-KI-Provider übermittelt; (b) speichert Suunta.ai KEINE KI-Prompts oder -Antworten in seiner Datenbank; (c) werden nur Nutzungsmetadaten (Token, Latenz, Modell, Kosten) für Abrechnung und Analysen protokolliert; (d) wird der Chat-Konversationsverlauf gespeichert, um Konversationskontinuität zu ermöglichen.
5.2 Kein Training mit Kundendaten Suunta.ai wird Kundendaten NICHT zum Training, zur Feinabstimmung oder zur Verbesserung von KI-Modellen ohne ausdrückliche schriftliche Zustimmung verwenden. Suunta.ai konfiguriert Drittanbieter-KI-Provider so, dass Datenspeicherung deaktiviert wird, wo verfügbar, die Nutzung von Trainingsdaten abgelehnt wird und Richtlinien zur Null-Datenspeicherung angewendet werden, wo unterstützt.
5.3 RAG-Dokumentenverarbeitung Hochgeladene Dokumente werden verarbeitet, um Text zu extrahieren, in Vektor-Embeddings umgewandelt, und Roh-Dokumenttext wird innerhalb von 24 Stunden nach der Indexierung gelöscht. Chunk-Inhalt und Embeddings werden für die Dienstfunktionalität aufbewahrt; bei Löschung einer Quelle werden alle zugehörigen Chunks und Embeddings entfernt.
6. Unterauftragsverarbeiter
6.1 Autorisierte Unterauftragsverarbeiter Der Kunde erteilt eine allgemeine Genehmigung für Suunta.ai, die in Anhang A aufgeführten Unterauftragsverarbeiter zu beauftragen.
6.2 Anforderungen an Unterauftragsverarbeiter Suunta.ai schließt schriftliche Vereinbarungen mit Unterauftragsverarbeitern ab, die Datenschutzverpflichtungen auferlegen, die nicht weniger schützend sind als dieser AVV, bleibt für die Einhaltung durch Unterauftragsverarbeiter haftbar und führt angemessene Sorgfaltsprüfungen durch.
6.3 Änderungen bei Unterauftragsverarbeitern Suunta.ai pflegt eine aktuelle Liste der Unterauftragsverarbeiter unter https://suunta.ai/legal/subprocessors, benachrichtigt den Kunden mindestens 30 Tage vor der Beauftragung eines neuen Unterauftragsverarbeiters und gibt dem Kunden die Möglichkeit, aus begründeten Datenschutzgründen Widerspruch einzulegen.
6.4 Widerspruchsverfahren Wenn innerhalb von 30 Tagen keine Lösung erreicht wird, kann der Kunde die betroffenen Dienste ohne Strafe kündigen. Diese Kündigung ist das einzige Rechtsmittel des Kunden bei Widersprüchen gegen Unterauftragsverarbeiter.
7. Rechte betroffener Personen
7.1 Unterstützung Suunta.ai unterstützt den Kunden bei der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß DSGVO Kapitel III, einschließlich Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.
7.2 Anfragen betroffener Personen Wenn Suunta.ai eine Anfrage direkt von einer betroffenen Person erhält, benachrichtigt Suunta.ai umgehend den Kunden, antwortet nicht direkt, sofern nicht autorisiert oder gesetzlich vorgeschrieben, und leistet angemessene Unterstützung.
7.3 Self-Service-Funktionen Die Dienste umfassen Self-Service-Funktionen, die es Nutzern ermöglichen:
- Ihre personenbezogenen Daten einzusehen und zu exportieren
- Kontoinformationen zu korrigieren
- Ihr Benutzerkonto zu löschen
- Den Export von Organisationsdaten anzufordern
- Die Löschung der Organisation anzufordern
8. Sicherheitsvorfälle
8.1 Benachrichtigung Suunta.ai benachrichtigt den Kunden über jeden Sicherheitsvorfall unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme, mit einer Beschreibung des Vorfalls, der betroffenen Personen und Datensätze, einer Kontaktstelle, den wahrscheinlichen Folgen und den ergriffenen Maßnahmen.
8.2 Zusammenarbeit Suunta.ai arbeitet bei der Untersuchung des Kunden mit, ergreift angemessene Maßnahmen zur Minderung der Auswirkungen, stellt Updates bereit und unterstützt bei Benachrichtigungen an Aufsichtsbehörden und betroffene Personen.
8.3 Aufzeichnungen Suunta.ai führt ein unveränderliches Compliance-Audit-Protokoll für sicherheitsrelevante Ereignisse mit verlängerter Aufbewahrung.
9. Internationale Übermittlungen
9.1 Verarbeitungsstandorte Die Hauptdatenverarbeitung erfolgt in der EU (AWS eu-north-1, Stockholm). Einige Verarbeitungen können in den USA über Drittanbieter-KI-Provider erfolgen.
9.2 Übermittlungsmechanismen Für Übermittlungen in Länder ohne EU-Angemessenheitsbeschluss stützt sich Suunta.ai auf Standardvertragsklauseln (Modul 2: Verantwortlicher an Auftragsverarbeiter, Modul 3: Auftragsverarbeiter an Auftragsverarbeiter), ergänzende Maßnahmen und Unterauftragsverarbeiter-Zertifizierungen, wo anwendbar.
9.3 Transfer-Folgenabschätzung Suunta.ai hat Transfer-Folgenabschätzungen für Übermittlungen in die USA durchgeführt, unter Berücksichtigung von:
- Art der übermittelten Daten (hauptsächlich Prompts/Abfragen, keine Massendaten personenbezogener Daten)
- Technische Maßnahmen (Verschlüsselung, Null-Datenspeicherungs-Konfigurationen)
- Rechtlicher Rahmen des Ziellandes
- Vertragliche Schutzmaßnahmen mit Unterauftragsverarbeitern
10. Auditrechte
10.1 Audit-Informationen Auf schriftliche Anfrage des Kunden (höchstens einmal pro Jahr) stellt Suunta.ai eine Zusammenfassung der Sicherheitsmaßnahmen, Ergebnisse von Drittanbieter-Audits (vorbehaltlich Vertraulichkeit), Bestätigung der Unterauftragsverarbeiter-Compliance und Aufzeichnungen über Sicherheitsvorfälle, die Kundendaten betreffen, bereit.
10.2 Vor-Ort-Audits Vor-Ort-Audits erfordern eine schriftliche Vorankündigung von 30 Tagen, werden während der Geschäftszeiten mit minimaler Störung, auf Kosten des Kunden, unter Vertraulichkeit und beschränkt auf die AVV-Compliance durchgeführt.
10.3 Zertifizierungen Suunta.ai arbeitet auf SOC 2 Type II und ISO 27001-Zertifizierungen hin. Nach Erreichen werden Auditberichte Kunden unter NDA zur Verfügung gestellt.
11. Datenaufbewahrung
11.1 Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist | Anmerkungen |
|---|---|---|
| Aktive Kontodaten | Dauer der Dienste | Bei Kontolöschung gelöscht |
| Gelöschte Benutzerkonten | Sofort anonymisiert | 90-tägige Backup-Aufbewahrung |
| KI-Nutzungsmetadaten | 365 Tage | Token-Anzahl, Kosten |
| Audit-Protokolle (Standard) | 24 Monate | CRUD-Operationen |
| Audit-Protokolle (kritisch) | 36 Monate | Löschungen, Sicherheitsereignisse |
| Compliance-Audit-Protokolle | 7 Jahre | Unveränderlich, regulatorische Aufbewahrung |
| Abrechnungsunterlagen | 6 Jahre | Finnisches Buchhaltungsrecht |
| Backups | 30 Tage | Automatisierte Rotation |
11.2 Löschungsprozess Die Löschung einer Organisation folgt einem strukturierten Prozess: Löschungsanfrage mit Passwortbestätigung; 30-tägige Karenzzeit (widerrufbar); Stripe-Abonnementkündigung; systematische Löschung aller Organisationsdaten; unveränderlicher Compliance-Audit-Protokolleintrag.
12. Haftung
Die Haftung jeder Partei im Rahmen dieses AVV unterliegt den in den Nutzungsbedingungen festgelegten Beschränkungen. Jede Partei stellt die andere von Verlusten frei, die aus einer Verletzung dieses AVV oder geltender Datenschutzgesetze durch die freistellende Partei entstehen.
13. Laufzeit und Beendigung
Dieser AVV bleibt für die Dauer der Nutzungsbedingungen wirksam. Die Abschnitte 5 (KI-spezifische Datenverarbeitung), 8 (Sicherheitsvorfälle), 11 (Datenaufbewahrung) und 12 (Haftung) bleiben nach Beendigung wirksam.
14. Anwendbares Recht
Dieser AVV unterliegt dem finnischen Recht. Streitigkeiten werden gemäß den Streitbeilegungsbestimmungen der Nutzungsbedingungen beigelegt.
15. Kontakt
Für Datenschutzanfragen: Y4 Works Oy (Suunta.ai), E-Mail: privacy@suunta.ai
Anhang A: Autorisierte Unterauftragsverarbeiter
Zuletzt aktualisiert: 27. Januar 2025. Die vollständige Liste finden Sie unter https://suunta.ai/legal/subprocessors.
Anhang B: Technische und organisatorische Maßnahmen
1. Zugriffskontrolle
- Rollenbasierte Zugriffskontrolle (RBAC)
- Datenisolierung auf Organisationsebene (Multi-Tenant-Architektur)
- Eindeutige Benutzerkonten mit sicherer Authentifizierung
- Sitzungsverwaltung mit konfigurierbaren Timeouts
- Brute-Force-Schutz mit Kontosperrung
2. Verschlüsselung
- Daten im Ruhezustand: AES-256-Verschlüsselung (AWS RDS)
- Daten bei Übertragung: TLS 1.2+ für alle Verbindungen
- Passwortspeicherung: PBKDF2-SHA256-Hashing
3. Verfügbarkeit und Belastbarkeit
- AWS-Infrastruktur mit hoher Verfügbarkeit
- Automatisierte tägliche Backups mit Point-in-Time-Recovery
- Disaster-Recovery-Verfahren
4. Überwachung und Protokollierung
- Umfassende Audit-Protokollierung von Benutzeraktivitäten
- KI-Nutzungsverfolgung (nur Metadaten)
- Sicherheitsereignis-Überwachung
- Protokollaufbewahrung gemäß Abschnitt 11
5. Incident Response
- Dokumentierte Incident-Response-Verfahren
- 72-Stunden-Benachrichtigungsverpflichtung bei Verletzungen
- Unveränderlicher Compliance-Audit-Trail
6. Personal
- Vertraulichkeitsverpflichtungen für alle Mitarbeiter
- Sicherheitsbewusstseinstraining
- Prinzip der minimalen Berechtigung
7. Lieferantenmanagement
- Sorgfaltsprüfung bei Unterauftragsverarbeitern
- Vertragliche Datenschutzanforderungen
- Regelmäßige Überprüfung der Unterauftragsverarbeiter-Compliance