Chatline Legal Documents

Document status

Current version
März 2026
Last updated
März 2026
Stable URL
/chatline/legal/data-processing-agreement
Download PDF

DE

Standard-AVV für Studios

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Standard-Auftragsverarbeitungsvertrag für direkte Chatline-Kunden.

gemäß Art. 28 DSGVO

Vertragsparteien

Auftragnehmer

HeyHo Systems GmbH, Kurfürstenstr. 9b, 31275 Lehrte, Germany.

Auftraggeber

[Studio / Kunde], [Name / Firma], [Anschrift].

Die Parteien werden zusammen auch als "Parteien" bezeichnet.

Präambel

Der Auftraggeber nutzt die von HeyHo Systems bereitgestellte SaaS-Lösung Chatline für die KI-gestützte Kommunikation mit Kunden, Mitgliedern und Interessenten, insbesondere über WhatsApp und Telefon sowie im Zusammenhang mit Termin-, Kurs- und servicebezogenen Anliegen.

Soweit der Auftragnehmer hierbei personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, schließen die Parteien diesen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Dieser Vertrag kann elektronisch abgeschlossen werden. Er gilt mit wirksamer Annahme durch den Auftraggeber im Rahmen des Signup-, Bestell- oder Onboarding-Prozesses oder durch anderweitige elektronische oder schriftliche Zustimmung als geschlossen.

§ 1 Gegenstand, Dauer, Art und Zweck der Verarbeitung

  1. Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Zusammenhang mit der Bereitstellung und dem Betrieb von Chatline.
  2. Die Verarbeitung umfasst insbesondere die Bereitstellung KI-gestützter Kommunikation über WhatsApp und Telefon, die Verarbeitung eingehender Anfragen, die Unterstützung bei Terminbuchungen, Umbuchungen und Stornierungen, die Bearbeitung von Kursanfragen sowie die Bereitstellung des Kundenportals.
  3. Es werden keine Anrufaufzeichnungen gespeichert. Gesprächsinhalte können als Text-Transkripte gespeichert werden, soweit dies für die Leistungserbringung, Nachvollziehbarkeit, Support, Fehleranalyse oder die vom Auftraggeber gewünschte Verlaufshistorie erforderlich ist.
  4. Die Verarbeitung erfolgt für die Dauer der Vertragsbeziehung zwischen den Parteien, soweit nicht gesetzliche Pflichten oder dokumentierte Weisungen des Auftraggebers etwas anderes erfordern.
  5. Die Details der Verarbeitung, insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie Kategorien betroffener Personen und Daten, sind in Anlage 2 beschrieben.
  6. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers, insbesondere für eigenes Marketing, Profiling oder das Training oder die Weiterentwicklung eigener oder fremder KI-Modelle mit personenbezogenen Daten des Auftraggebers, ist ausgeschlossen.

§ 2 Kategorien personenbezogener Daten und betroffener Personen

  1. Die Kategorien personenbezogener Daten und betroffener Personen ergeben sich aus Anlage 2.
  2. Regelmäßig umfasst dies insbesondere Identifikations- und Kontaktdaten, Kommunikationsinhalte, Termin-, Kurs- und Vorgangsdaten, Transkripte und Zusammenfassungen, Kommunikations- und Systemmetadaten sowie optional strukturierte Präferenzen oder Verlaufshistorien, soweit vom Auftraggeber aktiviert.
  3. Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sollen grundsätzlich nicht systematisch verarbeitet werden. Soweit solche Daten durch betroffene Personen freiwillig im Rahmen der Kommunikation mitgeteilt werden, verarbeitet der Auftragnehmer diese nur, soweit dies zur Bearbeitung des jeweiligen Anliegens erforderlich ist und eine zulässige Grundlage hierfür besteht. Im Übrigen erfolgt eine Löschung oder Beschränkung der Verarbeitung nach Maßgabe der Weisungen des Auftraggebers und der gesetzlichen Vorgaben.

§ 3 Weisungsgebundenheit

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit nicht gesetzliche Verpflichtungen eine abweichende Verarbeitung verlangen.
  2. Weisungen ergeben sich insbesondere aus diesem Vertrag, den jeweils gebuchten Leistungen, den Einstellungen des Auftraggebers im Produkt, dokumentierten Prozessvorgaben sowie weiteren Weisungen in Textform.
  3. Hält der Auftragnehmer eine Weisung für datenschutzrechtlich unzulässig, informiert er den Auftraggeber unverzüglich.
  4. Ist der Auftragnehmer gesetzlich verpflichtet, Daten anders als angewiesen zu verarbeiten oder offenzulegen, informiert er den Auftraggeber hierüber vorab, soweit dies rechtlich zulässig ist.

§ 4 Vertraulichkeit und Zugriffsbeschränkung

  1. Der Auftragnehmer stellt sicher, dass nur solche Personen Zugriff auf personenbezogene Daten erhalten, die zur Verarbeitung befugt sind und auf Vertraulichkeit verpflichtet wurden.
  2. Der Zugriff auf personenbezogene Daten erfolgt nach dem Need-to-know-Prinzip und im erforderlichen Umfang.
  3. Der Auftragnehmer stellt sicher, dass seine Mitarbeiter und sonstigen eingesetzten Personen mit den einschlägigen Datenschutz- und Sicherheitsanforderungen vertraut sind.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

  1. Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz personenbezogener Daten.
  2. Die zum Zeitpunkt des Vertragsschlusses geltenden TOMs sind in Anlage 1 beschrieben.
  3. Der Auftragnehmer ist berechtigt, die TOMs weiterzuentwickeln oder anzupassen, sofern das Schutzniveau insgesamt nicht wesentlich abgesenkt wird.
  4. Wesentliche Änderungen mit Relevanz für das Schutzniveau oder die Datenverarbeitung werden dem Auftraggeber in geeigneter Form mitgeteilt.

§ 6 Unterstützungspflichten

  1. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung gesetzlicher Pflichten nach der DSGVO, insbesondere bei der Bearbeitung von Betroffenenrechten, der Sicherheit der Verarbeitung, der Meldung und Untersuchung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und erforderlichen Konsultationen mit Aufsichtsbehörden.
  2. Gehen Betroffenenanfragen unmittelbar beim Auftragnehmer ein, wird er diese unverzüglich an den Auftraggeber weiterleiten und nur nach dessen Weisung beantworten, soweit keine gesetzliche Pflicht zur direkten Reaktion besteht.

§ 7 Datenschutzverletzungen

  1. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten im Zusammenhang mit der Auftragsverarbeitung.
  2. Die Meldung erfolgt ohne schuldhaftes Zögern und enthält, soweit verfügbar, mindestens eine Beschreibung des Vorfalls, betroffene Datenkategorien, betroffene Personengruppen, bekannte oder wahrscheinliche Auswirkungen, bereits ergriffene oder vorgeschlagene Abhilfemaßnahmen sowie eine Kontaktstelle für Rückfragen.
  3. Soweit nicht sofort alle Informationen vorliegen, werden diese schrittweise nachgereicht.

§ 8 Unterauftragnehmer (Subprozessoren)

  1. Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zum Einsatz von Unterauftragnehmern für die in diesem Vertrag beschriebenen Verarbeitungsvorgänge.
  2. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragnehmer sind in Anlage 3 aufgeführt.
  3. Der Auftragnehmer wird neue Unterauftragnehmer oder wesentliche Änderungen des Subprozessoreinsatzes in geeigneter Form vorab mitteilen.
  4. Der Auftraggeber kann einer solchen Änderung innerhalb einer angemessenen Frist aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt kein Widerspruch innerhalb der mitgeteilten Frist, gilt die Änderung als genehmigt.
  5. Der Auftragnehmer verpflichtet Unterauftragnehmer vertraglich mindestens zu den Datenschutzpflichten, die sich aus diesem Vertrag ergeben.
  6. Soweit Unterauftragnehmer in Drittländern eingesetzt werden oder ein Drittlandbezug entsteht, stellt der Auftragnehmer sicher, dass die Vorgaben des Kapitels V DSGVO eingehalten werden.

§ 9 Drittlandübermittlungen

  1. Eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, soweit dies datenschutzrechtlich zulässig ist.
  2. Soweit eine Drittlandübermittlung erfolgt, stellt der Auftragnehmer geeignete Garantien sicher, insbesondere Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere gesetzlich anerkannte Mechanismen.
  3. Der Auftragnehmer informiert den Auftraggeber auf Anfrage über die wesentlichen Grundlagen der jeweiligen Drittlandabsicherung.

§ 10 Nachweise und Audits

  1. Der Auftragnehmer stellt dem Auftraggeber alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen.
  2. Der Nachweis kann insbesondere durch aktuelle Beschreibungen der TOMs, Zertifizierungen, Prüfberichte, Selbstauskünfte oder sonstige geeignete Unterlagen erbracht werden.
  3. Audits oder Prüfungen vor Ort sind nur zulässig, soweit der Nachweis der Einhaltung nicht in zumutbarer Weise anders erbracht werden kann, ein berechtigter Anlass besteht und berechtigte Interessen des Auftragnehmers, insbesondere Sicherheits- und Vertraulichkeitsinteressen gegenüber anderen Kunden, gewahrt werden.
  4. Audits sind mit angemessener Vorlaufzeit anzukündigen, auf übliche Geschäftszeiten zu beschränken und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen.
  5. Soweit gesetzlich zulässig, trägt der Auftraggeber die durch ein Audit entstehenden angemessenen Kosten, sofern kein wesentlicher, vom Auftragnehmer zu vertretender Verstoß festgestellt wird.

§ 11 Speicherbegrenzung, Löschung und Rückgabe

  1. Der Auftragnehmer speichert personenbezogene Daten nur, soweit dies zur Erfüllung der vertraglich geschuldeten Leistungen, zur Umsetzung dokumentierter Weisungen, zur Gewährleistung von Sicherheit und Stabilität oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.
  2. Ohne abweichende Weisung des Auftraggebers gilt als Standard, dass die im Rahmen der Leistungserbringung verarbeiteten Daten für die Dauer der Geschäftsbeziehung gespeichert werden, soweit und solange dies für den Betrieb des Dienstes erforderlich ist.
  3. Nach Beendigung der Vertragsbeziehung löscht oder anonymisiert der Auftragnehmer die personenbezogenen Daten des Auftraggebers unverzüglich, spätestens innerhalb einer angemessenen Frist, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe für eine befristete weitere Speicherung bestehen.
  4. Löschungen in Sicherungskopien erfolgen im Rahmen der regulären Backup-Rotation.
  5. Soweit der Auftraggeber vorzeitig die Löschung oder Berichtigung bestimmter Daten verlangt und die Voraussetzungen hierfür vorliegen, setzt der Auftragnehmer dies innerhalb angemessener Frist nach Maßgabe der Weisung um.
  6. Eine Rückgabe personenbezogener Daten erfolgt, soweit dies technisch vorgesehen, vertraglich vereinbart oder gesetzlich erforderlich ist.

§ 12 Supportzugriffe

  1. Soweit Support- oder Wartungszugriffe auf personenbezogene Daten erforderlich sind, erfolgen diese nur im erforderlichen Umfang und unter Beachtung des Need-to-know-Prinzips.
  2. Soweit technisch vorgesehen, werden Supportzugriffe protokolliert.
  3. Der Auftragnehmer nutzt personenbezogene Daten aus Supportzugriffen nicht für eigene Zwecke.

§ 13 Haftung

  1. Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften, insbesondere nach Art. 82 DSGVO.
  2. Etwaige Haftungsregelungen des Hauptvertrages bleiben unberührt, soweit sie mit zwingendem Datenschutzrecht vereinbar sind.

§ 14 Verhältnis zum Hauptvertrag

  1. Dieser AVV ergänzt den zwischen den Parteien bestehenden Hauptvertrag über die Nutzung von Chatline.
  2. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht dieser AVV hinsichtlich der datenschutzrechtlichen Auftragsverarbeitung vor.
  3. Änderungen und Ergänzungen dieses AVV bedürfen mindestens der Textform, soweit nicht eine strengere Form gesetzlich vorgeschrieben ist. Dies gilt auch für Änderungen der Anlagen, sofern diese nicht nach Maßgabe dieses Vertrages einseitig aktualisiert werden dürfen.

§ 15 Schlussbestimmungen

  1. Es gilt deutsches Recht.
  2. Soweit gesetzlich zulässig, ist Gerichtsstand der Sitz des Auftragnehmers oder der im Hauptvertrag vereinbarte Gerichtsstand.
  3. Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlagen

  • Anlage 1 - TOMs
  • Anlage 2 - Beschreibung der Verarbeitung
  • Anlage 3 - Subprozessorenliste

Die Anlagen werden in diesem Dokumentenpaket als separate Dokumente bereitgestellt und sind Bestandteil dieses AVV.