Vertrag zur Auftragsverarbeitung
nach Art. 28 DSGVO · Stand: Juli 2026
zwischen dem Kunden der Plattform „Ragnova“ (nachfolgend „Verantwortlicher“) und
Ragnova — Inhaber: Alexander Prez, Hinterm Bahnhof 4, 90513 Zirndorf, Deutschland (nachfolgend „Auftragsverarbeiter“)Dieser Vertrag wird mit der Registrierung bzw. der Buchung eines Tarifs in elektronischer Form geschlossen (Art. 28 Abs. 9 DSGVO) und ist Bestandteil des Nutzungsvertrags gemäß den AGB.
§ 1 Gegenstand und Dauer
(1) Der Auftragsverarbeiter betreibt für den Verantwortlichen einen KI-Chat-Assistenten nebst Verwaltungs-Dashboard und verarbeitet dabei personenbezogene Daten im Auftrag.
(2) Die Dauer entspricht der Laufzeit des Nutzungsvertrags. Nach Beendigung gilt § 8.
§ 2 Art, Zweck und Umfang der Verarbeitung
Erhebung, Speicherung, Auswertung und Übermittlung von Daten zum Zweck des Betriebs des Chat-Assistenten auf der Website des Verantwortlichen, insbesondere: Beantwortung von Besucherfragen auf Basis der vom Verantwortlichen bereitgestellten Inhalte, Erfassung von Kontaktanfragen (Leads), Terminanfragen, optionale Beantwortung von E-Mail-Anfragen als Entwurf sowie Bereitstellung von Nutzungsstatistiken.
Kategorien betroffener Personen
- Besucher der Website des Verantwortlichen,
- Kunden und Interessenten des Verantwortlichen,
- Mitarbeiter des Verantwortlichen (Dashboard-Nutzer).
Arten personenbezogener Daten
- Inhalte von Chat-Nachrichten und E-Mail-Anfragen,
- Kontaktdaten aus Formularen (Name, E-Mail, Telefonnummer, Anliegen),
- Termindaten (bei aktivierter Terminbuchung),
- technische Daten (IP-Adresse für Missbrauchsabwehr, Zeitstempel, Bewertungen),
- Konto- und Nutzungsdaten der Dashboard-Nutzer.
§ 3 Weisungsrecht
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und der dokumentierten Weisungen des Verantwortlichen. Weisungen ergeben sich in der Regel aus der Konfiguration des Dienstes im Dashboard. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, weist er den Verantwortlichen unverzüglich darauf hin.
§ 4 Vertraulichkeit
Der Auftragsverarbeiter setzt nur Personen ein, die zur Vertraulichkeit verpflichtet wurden. Zugriffe auf Kundendaten erfolgen nur, soweit dies zur Leistungserbringung, Fehleranalyse oder auf Weisung erforderlich ist.
§ 5 Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft die in der Anlage 1 beschriebenen Maßnahmen nach Art. 32 DSGVO und entwickelt sie dem Stand der Technik entsprechend fort, ohne das Schutzniveau zu unterschreiten.
§ 6 Unterauftragsverhältnisse
(1) Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen mindestens vier Wochen im Voraus in Textform. Der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen; kommt keine einvernehmliche Lösung zustande, steht beiden Parteien ein Sonderkündigungsrecht zu.
(3) Es werden ausschließlich Unterauftragsverarbeiter mit Verarbeitung in der EU/dem EWR eingesetzt; eine Übermittlung in Drittländer findet nicht statt.
§ 7 Unterstützungs- und Meldepflichten
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO), bei der Sicherheit der Verarbeitung sowie bei Datenschutz-Folgenabschätzungen, soweit erforderlich.
(2) Verletzungen des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dem Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, mit den nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen, soweit verfügbar.
§ 8 Löschung und Rückgabe
Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter sämtliche im Auftrag verarbeiteten Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch stellt er dem Verantwortlichen die Daten zuvor in einem gängigen Format bereit (Export über Dashboard bzw. API).
§ 9 Nachweise und Kontrollen
Der Auftragsverarbeiter weist die Einhaltung seiner Pflichten durch geeignete Dokumentation nach. Der Verantwortliche kann sich — in der Regel durch schriftliche Auskünfte, nach angemessener Ankündigung auch durch Kontrollen — von der Einhaltung überzeugen, soweit hierdurch keine Geschäftsgeheimnisse oder Daten anderer Kunden offengelegt werden.
Anlage 1: Technische und organisatorische Maßnahmen
- Standort: Verarbeitung ausschließlich in Rechenzentren in der EU (Deutschland/Frankreich); kein Drittlandtransfer.
- Zugriffskontrolle: Rollen- und bereichsbasierte Berechtigungen im Dashboard; passwortgeschützte Konten; Zugriff auf Produktionssysteme nur über schlüsselbasierte, gehärtete Administrationszugänge.
- Mandantentrennung: strikte Trennung der Kundendaten auf Datenbankebene (Row-Level-Security) — jede Abfrage ist technisch auf den jeweiligen Mandanten beschränkt.
- Verschlüsselung: Transportverschlüsselung (TLS) für sämtliche Verbindungen; Zugangsdaten zu angebundenen Diensten werden verschlüsselt (AES-256-GCM) gespeichert; Passwörter nur als Hash.
- Eingabekontrolle / Missbrauchsabwehr: Moderations- und Sicherheitsfilter, Anfrage-Limits (Rate-Limiting), Protokollierung sicherheitsrelevanter Ereignisse.
- Verfügbarkeit: regelmäßige Backups, getrennte Umgebungen, Wiederanlaufverfahren.
- Datenminimierung: Chat-Widget ohne Cookies; automatische Lösch- und Anonymisierungsroutinen für Statistikdaten.
Anlage 2: Unterauftragsverarbeiter
| Unternehmen | Leistung | Sitz / Ort der Verarbeitung |
|---|---|---|
| IONOS SE, Elgendorfer Str. 57, 56410 Montabaur | Hosting der Server-Infrastruktur, E-Mail-Versand | Deutschland |
| Mistral AI SAS, 15 rue des Halles, 75001 Paris | KI-Modelle zur Antwortgenerierung (EU-Endpunkte) | Frankreich (EU) |
Optionale, vom Verantwortlichen selbst aktivierte Anbindungen (z. B. Google Calendar, Notion, eigenes E-Mail-Postfach) erfolgen im Auftrag und auf Weisung des Verantwortlichen an dessen eigene Vertragspartner und sind keine Unterauftragsverarbeiter des Auftragsverarbeiters.