1. Parteien

Dieser Auftragsverarbeitungsvertrag gilt zwischen dem jeweiligen Kunden als Verantwortlichem im Sinne der DSGVO und der LeonLab UG (haftungsbeschränkt) als Auftragsverarbeiter.

LeonLab UG (haftungsbeschränkt)
Cappelerstr. 130B
35039 Marburg
Deutschland
E-Mail: [email protected]

Vertreten durch: Navid Behnami

2. Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung der SaaS-Plattform LeonLab.ai, insbesondere zur Verbindung, Analyse, Automatisierung und Verwaltung von WordPress-Projekten sowie zur Nutzung AI-gestützter Funktionen.

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen dem Kunden und LeonLab. Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten nach Maßgabe dieses AVV, der Datenschutzerklärung und gesetzlicher Aufbewahrungspflichten gelöscht oder zurückgegeben.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Bereitstellung der LeonLab-Plattform und der vom Kunden beauftragten Funktionen. Dazu gehören insbesondere:

• Verwaltung und Analyse verbundener WordPress-Websites,
• technische Auswertung von Plugins, Themes, Konfigurationen und Website-Status,
• Ausführung von durch den Kunden angeforderten Aktionen und Automatisierungen,
• Erstellung und Verarbeitung von AI-gestützten Empfehlungen, Prompts, Code, Snippets und Workflows,
• Speicherung von Projektinformationen, Logs und Systemmeldungen,
• Bereitstellung von Support-, Sicherheits- und Fehleranalysefunktionen.

4. Art der personenbezogenen Daten

Je nach Nutzung durch den Kunden können insbesondere folgende Arten personenbezogener Daten verarbeitet werden:

• Account- und Kontaktdaten, z. B. Name, E-Mail-Adresse und Nutzerkennung,
• technische Zugriffsdaten, z. B. IP-Adressen, Logdaten, Browser- und Geräteinformationen,
• WordPress-Projektdaten, z. B. Website-URL, Plugin- und Theme-Informationen, Konfigurationsdaten und Analyseergebnisse,
• vom Kunden bereitgestellte Zugangsdaten, Tokens oder Application Passwords, soweit für die jeweilige Funktion erforderlich,
• Inhalte, Prompts, Systemmeldungen, Fehlerberichte und technische Kontextdaten,
• gegebenenfalls personenbezogene Daten aus verbundenen WordPress-Systemen, z. B. Nutzer-, Kunden-, Formular-, Kommentar- oder Bestelldaten, sofern der Kunde entsprechende Funktionen nutzt.

5. Kategorien betroffener Personen

Je nach Nutzung der Plattform können insbesondere folgende Kategorien betroffener Personen betroffen sein:

• Nutzer und Mitarbeiter des Kunden,
• Administratoren und technische Ansprechpartner,
• Besucher und Nutzer verbundener WordPress-Websites,
• Kunden, Interessenten oder Kontaktpersonen des Kunden,
• Personen, deren Daten in verbundenen WordPress-Systemen verarbeitet werden.

6. Weisungsgebundene Verarbeitung

LeonLab verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Verpflichtung zu einer abweichenden Verarbeitung besteht.

Die Nutzung der Plattform, die Konfiguration von Projekten, das Ausführen von Aktionen und die Auswahl von Funktionen gelten als Weisungen des Kunden im Rahmen des vereinbarten Leistungsumfangs.

7. Vertraulichkeit

LeonLab stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

LeonLab trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Dazu gehören insbesondere:

• Zugriffsbeschränkungen und rollenbasierte Berechtigungen,
• Authentifizierungs- und Autorisierungsmechanismen,
• Verschlüsselung der Datenübertragung, insbesondere durch HTTPS/TLS,
• angemessener Schutz von Zugangsdaten, Tokens und API-Schlüsseln,
• Protokollierung sicherheitsrelevanter Vorgänge,
• Backup-, Wiederherstellungs- und Verfügbarkeitsmaßnahmen, soweit technisch vorgesehen,
• regelmäßige Pflege, Aktualisierung und Verbesserung der Sicherheitsmaßnahmen,
• Trennung von Kundendaten, soweit technisch erforderlich und angemessen,
• Beschränkung des Zugriffs auf personenbezogene Daten auf berechtigte Personen.

Die Maßnahmen können entsprechend der technischen Entwicklung und des Risikos angepasst werden, sofern das Sicherheitsniveau nicht wesentlich unterschritten wird.

9. Unterauftragsverarbeiter

LeonLab darf Unterauftragsverarbeiter einsetzen, soweit dies zur Bereitstellung der Plattform erforderlich ist. Der Kunde erteilt hierzu eine allgemeine Genehmigung. LeonLab wird sicherstellen, dass mit Unterauftragsverarbeitern angemessene Datenschutzvereinbarungen bestehen.

Zu den eingesetzten Dienstleistern können insbesondere gehören:

• OVHcloud für Hosting und Infrastruktur,
• Microsoft Azure OpenAI für AI-Funktionen in einer europäischen Azure-Region bzw. EU Data Zone,
• Google für Google Login und Google Analytics,
• Stripe für Zahlungsabwicklung.

Änderungen bei Unterauftragsverarbeitern werden dem Kunden in geeigneter Weise mitgeteilt. Der Kunde kann aus wichtigem datenschutzrechtlichem Grund gegen eine Änderung widersprechen.

10. Unterstützung des Kunden

LeonLab unterstützt den Kunden im Rahmen des Zumutbaren bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Anfragen betroffener Personen, Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen sowie Datenschutz-Folgenabschätzungen, soweit die Unterstützung die von LeonLab durchgeführte Verarbeitung betrifft.

11. Meldung von Datenschutzverletzungen

LeonLab informiert den Kunden unverzüglich, wenn LeonLab eine Verletzung des Schutzes personenbezogener Daten feststellt, die im Zusammenhang mit der Auftragsverarbeitung steht.

LeonLab wird dem Kunden die zur Bewertung und Erfüllung gesetzlicher Meldepflichten erforderlichen Informationen zur Verfügung stellen, soweit diese LeonLab vorliegen.

12. Löschung und Rückgabe von Daten

Nach Beendigung des Vertragsverhältnisses oder auf dokumentierte Weisung des Kunden wird LeonLab personenbezogene Daten löschen oder zurückgeben, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Sicherheitsinteressen entgegenstehen.

Verbundene WordPress-Projekte und zugehörige Projektdaten können durch den Kunden nach Maßgabe der technischen Funktionen der Plattform gelöscht oder getrennt werden.

13. Kontrollrechte und Nachweise

LeonLab stellt dem Kunden auf Anfrage angemessene Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind.

Kontrollen oder Audits sind nach vorheriger Abstimmung und innerhalb eines angemessenen Rahmens möglich, soweit sie erforderlich und zumutbar sind und Betriebs- sowie Sicherheitsinteressen von LeonLab nicht unangemessen beeinträchtigen.

14. Schlussbestimmungen

Im Übrigen gelten die Allgemeinen Geschäftsbedingungen von LeonLab, soweit sie diesem AVV nicht widersprechen. Bei Widersprüchen zwischen diesem AVV und den AGB gehen die Regelungen dieses AVV in Bezug auf die Auftragsverarbeitung vor.