DATENVERARBEITUNGSZUSATZ

Zuletzt aktualisiert: 19. März 2026

Dieser Datenverarbeitungszusatz („DPA") ist Bestandteil der Allgemeinen Geschäftsbedingungen („Vertrag") zwischen Acira AI LLC („Auftragsverarbeiter", „wir", „uns") und dem Nutzer der Dienste („Verantwortlicher", „Sie") und ergänzt den Vertrag hinsichtlich der Verarbeitung personenbezogener Daten.

Dieser DPA gilt, wenn Sie die Dienste nutzen, um Websites zu erstellen, zu hosten und zu veröffentlichen, die personenbezogene Daten von Personen im Europäischen Wirtschaftsraum („EWR"), im Vereinigten Königreich („UK") oder in der Schweiz erheben oder verarbeiten, oder wenn dies anderweitig durch geltende Datenschutzgesetze vorgeschrieben ist.

Dieser Auftragsverarbeitungsvertrag kann zu Ihrer Bequemlichkeit in andere Sprachen übersetzt werden. Im Falle von Widersprüchen oder Unstimmigkeiten zwischen der englischen Version und einer übersetzten Version hat die englische Version Vorrang.

INHALTSVERZEICHNIS

1. BEGRIFFSBESTIMMUNGEN
2. GELTUNGSBEREICH UND ROLLEN
3. DETAILS DER DATENVERARBEITUNG
4. PFLICHTEN DES AUFTRAGSVERARBEITERS
5. PFLICHTEN DES VERANTWORTLICHEN
6. UNTERAUFTRAGSVERARBEITER
7. INTERNATIONALE DATENÜBERMITTLUNGEN
8. RECHTE DER BETROFFENEN PERSONEN
9. DATENSICHERHEIT
10. MELDUNG VON DATENSCHUTZVERLETZUNGEN
11. PRÜFUNGEN UND KONFORMITÄTSÜBERPRÜFUNG
12. DATENSPEICHERUNG UND -LÖSCHUNG
13. LAUFZEIT UND KÜNDIGUNG
14. HAFTUNGSBESCHRÄNKUNG
15. KONTAKTIEREN SIE UNS

1. BEGRIFFSBESTIMMUNGEN

„Anwendbares Datenschutzrecht" bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten im Rahmen dieses DPA anwendbar sind, einschließlich (soweit anwendbar) der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO"), der UK-DSGVO, des Schweizer Bundesgesetzes über den Datenschutz („DSG") und des California Consumer Privacy Act („CCPA").

„Verantwortlicher" bezeichnet die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt – in diesem Zusammenhang Sie, der Nutzer der Dienste, der eine Website über die Plattform betreibt.

„Betroffene Person" bezeichnet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.

„Personenbezogene Daten" bezeichnet alle Informationen über eine betroffene Person, die über die Dienste verarbeitet werden.

„Verarbeitung" bezeichnet jeden Vorgang, der an personenbezogenen Daten vorgenommen wird, einschließlich Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung, Abfrage, Abfrage, Verwendung, Offenlegung, Verbreitung, Einschränkung, Löschung oder Vernichtung.

„Auftragsverarbeiter" bezeichnet eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet – in diesem Zusammenhang Acira AI LLC.

„Unterauftragsverarbeiter" bezeichnet jeden Dritten, den der Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt.

„Standardvertragsklauseln" oder „SVK" bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittländern ansässige Verarbeiter, die von der Europäischen Kommission erlassen wurden.

2. GELTUNGSBEREICH UND ROLLEN

2.1 Verarbeitungsbeziehung

Wenn Sie die Dienste nutzen, um eine Website zu erstellen und zu betreiben, die personenbezogene Daten Ihrer Website-Besucher erhebt (über Formulare, Benutzerkonten, Chatbot-Interaktionen, Kommentare, Bewertungen oder andere interaktive Funktionen), handeln Sie als Verantwortlicher und wir handeln als Auftragsverarbeiter dieser Besucherdaten.

2.2 Unsere Rolle als Verantwortlicher

Wir handeln als unabhängiger Verantwortlicher für personenbezogene Daten, die wir für eigene Zwecke erheben, darunter: Ihre Kontoinformationen, Rechnungsdaten, Nutzungsanalysen, allgemeine Website-Merkmale, die aus dem Inhalt Ihrer Website abgeleitet werden (wie Branche oder Geschäftsart), und Plattformbetriebsdaten. Die Verarbeitung dieser Daten unterliegt unserer Datenschutzrichtlinie und liegt außerhalb des Geltungsbereichs dieses DPA.

2.3 Plattform-Analysen

Wir erheben grundlegende, datenschutzfreundliche Analysen zu Website-Besuchern (wie im Vertrag beschrieben). Bei Analysedaten handeln wir als gemeinsam Verantwortliche mit Ihnen. Wir haben unsere Analysen so gestaltet, dass die Erhebung personenbezogener Daten minimiert wird – wir speichern keine rohen IP-Adressen, und Besucheridentifikatoren werden täglich rotiert. Die jeweiligen Verantwortlichkeiten der gemeinsam Verantwortlichen sind wie folgt:

• Acira AI (Auftragsverarbeiter/Gemeinsam Verantwortlicher): Bestimmt die technischen Mittel der Analyseerfassung, einschließlich der erhobenen Datenpunkte, der Berechnung von Besucheridentifikatoren (täglich rotierende Hashes) und der Datenaggregation. Wir sind für die Sicherheit und Integrität der Analyseinfrastruktur und die Beantwortung allgemeiner Anfragen zur Funktionsweise der Analysen auf der Plattform verantwortlich.
• Sie (Verantwortlicher/Gemeinsam Verantwortlicher): Entscheiden, ob Analysen auf Ihrer Website verwendet werden (Analysen sind standardmäßig als Teil der Dienste aktiviert). Sie sind dafür verantwortlich, die Erhebung von Analysedaten in der Datenschutzrichtlinie Ihrer Website offenzulegen und Anfragen betroffener Personen von Ihren Website-Besuchern bezüglich ihrer Analysedaten zu beantworten.
• Kontaktstelle für betroffene Personen: Betroffene Personen können Sie (den Website-Eigentümer) bezüglich der auf Ihrer Website erhobenen Analysedaten kontaktieren. Wenn wir eine Anfrage von einer betroffenen Person bezüglich Analysedaten erhalten, leiten wir diese an Sie weiter, sofern Sie uns keine anderen Anweisungen erteilen. Für allgemeine Plattformanfragen können betroffene Personen uns unter legal@acira.ai kontaktieren.

2.4 Wesentlicher Inhalt der gemeinsamen Verantwortlichkeit

Gemäß Art. 26 Abs. 2 DSGVO ist der wesentliche Inhalt dieser gemeinsamen Verantwortlichkeitsvereinbarung für Analysedaten wie folgt: Wir (Acira AI) bestimmen die technischen Mittel und die erhobenen Datenpunkte; Sie (der Website-Betreiber) entscheiden, ob Analysen auf Ihrer Website verwendet werden. Wir sind jeweils für unsere eigenen Verpflichtungen nach anwendbarem Datenschutzrecht verantwortlich. Sie sind die primäre Kontaktstelle für Ihre Website-Besucher bezüglich Analysedaten. Eine Zusammenfassung dieser Vereinbarung wird betroffenen Personen über diesen DPA und unter https://www.acira.ai/dpa zugänglich gemacht.

2.5 CCPA-Dienstleisterbezeichnung

Soweit wir personenbezogene Informationen, die dem California Consumer Privacy Act („CCPA") unterliegen, in Ihrem Auftrag verarbeiten, sind wir Ihr „Dienstleister" im Sinne von Cal. Civ. Code § 1798.140(ag). Wir werden nicht:

• Personenbezogene Informationen, die Sie uns bereitstellen, verkaufen oder teilen (im Sinne der im CCPA definierten Begriffe);
• Personenbezogene Informationen für andere Zwecke aufbewahren, verwenden oder offenlegen als die in diesem DPA und im Vertrag festgelegten Geschäftszwecke oder wie vom CCPA anderweitig gestattet;
• Personenbezogene Informationen außerhalb der direkten Geschäftsbeziehung zwischen Ihnen und uns aufbewahren, verwenden oder offenlegen;
• Von Ihnen erhaltene personenbezogene Informationen mit personenbezogenen Informationen kombinieren, die wir von oder im Namen einer anderen Person erhalten oder aus unseren eigenen Interaktionen mit Verbrauchern erheben, außer wie vom CCPA gestattet.

Wir können allgemeine, nicht identifizierende Geschäftsmerkmale (wie Branchenklassifizierung) aus dem Inhalt Ihrer Website ableiten, um relevante Produktempfehlungen bereitzustellen, wie in Abschnitt 2.2 beschrieben. Diese eingeschränkte Nutzung stellt keinen Verkauf, keine Weitergabe oder Zusammenführung personenbezogener Daten im Sinne des CCPA dar.

Wir bestätigen, dass wir diese Einschränkungen verstehen und einhalten werden.

2.6 Bewertung der Notwendigkeit eines Vertreters nach dem Schweizer DSG

Art. 14 des Schweizer Bundesgesetzes über den Datenschutz („DSG") verpflichtet einen nicht-schweizerischen privaten Verantwortlichen nur dann zur Benennung eines Vertreters in der Schweiz, wenn alle vier folgenden kumulativen Voraussetzungen erfüllt sind: (1) die Verarbeitung steht im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen an Personen in der Schweiz oder der Überwachung ihres Verhaltens; (2) die Verarbeitung erfolgt in großem Umfang; (3) die Verarbeitung erfolgt regelmäßig; und (4) die Verarbeitung stellt ein hohes Risiko für die Persönlichkeitsrechte oder Grundrechte der betroffenen Personen dar.

Wir haben unsere Verarbeitungstätigkeiten anhand dieser Voraussetzungen bewertet und festgestellt, dass zwar die Voraussetzungen (1) und (3) erfüllt sind, die verbleibenden Voraussetzungen jedoch aus folgenden Gründen nicht erfüllt sind:

• Nicht in großem Umfang: Wir sind eine kleine SaaS-Plattform. Das Volumen personenbezogener Daten von in der Schweiz ansässigen Personen, das über unsere Dienste verarbeitet wird, ist begrenzt und stellt keine Verarbeitung in großem Umfang im Sinne von Art. 14 DSG dar.
• Kein hohes Risiko: Die personenbezogenen Daten, die wir im Auftrag von Website-Betreibern verarbeiten, bestehen in erster Linie aus pseudonymisierten Analyseidentifikatoren (täglich rotierende Hashes), grundlegenden Besuchermetadaten (Land, Gerätetyp, Browser), Formularübermittlungsinhalten und Chatbot-Nachrichten. Wir verarbeiten keine besonderen Kategorien personenbezogener Daten (Art. 5(c) DSG), und wir führen kein Profiling durch, das ein hohes Risiko für die betroffenen Personen darstellt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte („EDÖB") hat darauf hingewiesen, dass diese Verpflichtung in erster Linie auf große Internetplattformen und soziale Netzwerke ausgerichtet ist, die aus dem Ausland operieren, was unsere Dienste nicht beschreibt.

Auf der Grundlage dieser Bewertung haben wir zu dem Schluss gekommen, dass wir derzeit nicht verpflichtet sind, einen Vertreter in der Schweiz gemäß Art. 14 DSG zu benennen. Wir werden diese Entscheidung regelmäßig neu bewerten, einschließlich bei wesentlichen Änderungen des Umfangs oder der Art unserer Verarbeitungstätigkeiten, die in der Schweiz ansässige Personen betreffen.

3. DETAILS DER DATENVERARBEITUNG

3.1 Gegenstand und Dauer

Die Verarbeitung personenbezogener Daten im Rahmen dieses DPA erfolgt zum Zweck der Erbringung der im Vertrag beschriebenen Dienste und dauert für die Laufzeit des Vertrags an.

3.2 Art und Zweck der Verarbeitung

Wir verarbeiten personenbezogene Daten, um:

• Ihre Website-Inhalte zu hosten und bereitzustellen
• Daten, die über die Formulare und interaktiven Funktionen Ihrer Website übermittelt werden, zu speichern und zu verwalten
• Benutzerkonten und Sitzungen für die geschützten Bereiche Ihrer Website zu verwalten
• E-Mail-Kommunikation in Ihrem Namen zu versenden
• An Ihre benutzerdefinierten Domain-E-Mail-Adressen eingegangene E-Mails weiterzuleiten
• KI-Chatbot-Gespräche mit Ihren Website-Besuchern zu ermöglichen
• KI-gestützte Beschreibungen und Metadaten für hochgeladene Dateien zu generieren
• Hochgeladene Dateien in weboptimierte Formate zu konvertieren
• Besucheranalysen bereitzustellen
• Ableitung allgemeiner Website-Merkmale (wie Branche oder Geschäftsart) zur Bereitstellung relevanter Plattformempfehlungen
• Spam und Missbrauch zu erkennen und zu verhindern (einschließlich Proof-of-Work-Bot-Challenges)
• Eine Inhaltsmoderation für hochgeladene Dateien durchzuführen
• Website-Inhalte bei der Veröffentlichung auf die Einhaltung der Plattform-Inhaltsrichtlinien zu prüfen
• E-Mail-Abmeldepräferenzen für die E-Mail-Empfänger Ihrer Website zu verwalten
• Echtzeit-Kanalkommunikation auf Ihrer Website über WebSocket-Verbindungen zu ermöglichen (Nachrichten sind flüchtig und werden nicht gespeichert)
• Fehler- und Diagnoseprotokolle für die Zuverlässigkeit der Plattform und die Fehlerbehebung zu führen (können IP-Adressen und Anfrage-Metadaten enthalten; bis zu dreißig (30) Tage aufbewahrt)

3.3 Arten personenbezogener Daten

Die Art der verarbeiteten personenbezogenen Daten hängt davon ab, was Sie über Ihre Website erheben, und kann Folgendes umfassen:

• Namen und Kontaktinformationen
• E-Mail-Adressen
• Nachrichten und Formularübermittlungen
• Von Website-Besuchern hochgeladene Dateien (z. B. Bilder und Dokumente)
• Chatbot-Gesprächsinhalte (Besuchernachrichten und KI-Antworten)
• Benutzerkonto-Zugangsdaten (in gehashter Form gespeichert)
• Sitzungsdaten
• IP-Adressen (nicht in Analysen gespeichert – es wird nur ein täglich rotierender Hash gespeichert; als Metadaten neben Formularübermittlungen und Chatbot-Gesprächen gespeichert; vorübergehend für die Bot-Challenge-Verifizierung verwendet und gehasht; vorübergehend zur Ratenbegrenzung bis zu sieben (7) Tagen gespeichert und automatisch gelöscht)
• Browser- und Geräteinformationen
• Standortdaten (Landes- und Regionsebene, abgeleitet aus der IP)
• E-Mail-Abmeldeaufzeichnungen (als kryptographische Hashes der E-Mail-Adressen der Empfänger gespeichert; nicht in Rohform gespeichert)
• Spam-Klassifizierungsergebnisse (ob eine Übermittlung als Spam eingestuft wurde)
• Fehler- und Diagnoseprotokolldaten (IP-Adressen, Anfragepfade und Fehlerdetails; bis zu dreißig (30) Tage aufbewahrt und automatisch gelöscht)

3.4 Kategorien betroffener Personen

• Ihre Website-Besucher
• Nutzer, die Konten auf Ihrer Website erstellen
• Nutzer, die Formulare einreichen oder mit Chatbots auf Ihrer Website interagieren
• Nutzer, die Kommentare, Bewertungen oder andere Beiträge auf Ihrer Website hinterlassen

4. PFLICHTEN DES AUFTRAGSVERARBEITERS

Wir werden:

1. Personenbezogene Daten nur auf der Grundlage Ihrer dokumentierten Anweisungen verarbeiten, sofern wir nicht durch geltendes Recht dazu verpflichtet sind (in diesem Fall informieren wir Sie über diese gesetzliche Anforderung vor der Verarbeitung, sofern dies nicht gesetzlich verboten ist);
2. Sicherstellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3. Geeignete technische und organisatorische Sicherheitsmaßnahmen gemäß Abschnitt 9 umsetzen;
4. Die Bedingungen für die Beauftragung von Unterauftragsverarbeitern gemäß Abschnitt 6 einhalten;
5. Sie unter Berücksichtigung der Art der Verarbeitung bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte nach anwendbarem Datenschutzrecht ausüben, unterstützen;
6. Sie bei der Sicherstellung der Einhaltung Ihrer Pflichten nach Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen unterstützen. Wenn Ihre Nutzung der Dienste eine Hochrisikoverarbeitung umfasst, die möglicherweise eine Datenschutz-Folgenabschätzung (DSFA) erfordert, stellen wir Ihnen Informationen über unsere Verarbeitungstätigkeiten, technischen und organisatorischen Maßnahmen und Unterauftragsverarbeiter zur Unterstützung Ihrer Bewertung zur Verfügung;
7. Sie bei der Erfüllung Ihrer Pflichten nach Art. 22 DSGVO (automatisierte Einzelentscheidungen) unterstützen, indem wir Informationen über jede automatisierte Verarbeitung bereitstellen, die in Ihrem Auftrag durchgeführt wird, einschließlich Inhaltsmoderation, Spam-Erkennung und Bot-Schutz, und indem wir auf Anfrage eine menschliche Überprüfung automatisierter Entscheidungen ermöglichen;
8. Sie informieren, wenn wir der Meinung sind, dass eine Anweisung von Ihnen gegen anwendbares Datenschutzrecht verstößt;
9. Nach Ihrer Wahl alle personenbezogenen Daten nach Beendigung der Dienstleistungserbringung löschen oder zurückgeben und vorhandene Kopien löschen, sofern die Speicherung nicht durch geltendes Recht vorgeschrieben ist;
10. Ihnen alle Informationen zur Verfügung stellen, die notwendig sind, um die Einhaltung der in diesem DPA festgelegten Pflichten nachzuweisen, und zur Konformitätsüberprüfung gemäß Abschnitt 11 beitragen.

5. PFLICHTEN DES VERANTWORTLICHEN

Sie werden:

1. Sicherstellen, dass Ihre Erhebung und Verarbeitung personenbezogener Daten über Ihre Website allen anwendbaren Datenschutzgesetzen entspricht;
2. Ihren Website-Besuchern angemessene Datenschutzhinweise bereitstellen, die Ihre Datenerhebungspraktiken beschreiben, einschließlich der Offenlegung von Analysen auf Plattformebene, KI-gestützten Chatbot-Interaktionen, Spam-Erkennung und Bot-Schutz;
3. Alle erforderlichen Einwilligungen einholen oder eine andere Rechtsgrundlage für die Verarbeitung personenbezogener Daten über Ihre Website festlegen;
4. Sicherstellen, dass Ihre Anweisungen an uns bezüglich der Verarbeitung personenbezogener Daten dem anwendbaren Datenschutzrecht entsprechen;
5. Für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten verantwortlich sein, die uns über Ihre Website bereitgestellt werden.

Durch die Nutzung der Dienste erteilen Sie uns die Anweisung, die folgenden Verarbeitungstätigkeiten in Ihrem Auftrag als Teil des regulären Plattformbetriebs durchzuführen: Inhaltsmoderation hochgeladener Dateien, Überprüfung veröffentlichter Website-Inhalte auf Einhaltung der Plattform-Inhaltsrichtlinien, Spam-Erkennung bei Formularübermittlungen, Bot-Schutz durch Proof-of-Work-Challenges und KI-gestützte Chatbot-Interaktionen mit Ihren Website-Besuchern. Diese Tätigkeiten sind dokumentierte Anweisungen im Sinne von Art. 28 Abs. 3 lit. a) DSGVO.

6. UNTERAUFTRAGSVERARBEITER

6.1 Autorisierte Unterauftragsverarbeiter

Sie erteilen uns eine allgemeine Genehmigung, Unterauftragsverarbeiter zu beauftragen, um bei der Erbringung der Dienste zu helfen. Unsere aktuellen Unterauftragsverarbeiter sind nachstehend und unter https://www.acira.ai/dpa aufgeführt.

6.2 Aktuelle Liste der Unterauftragsverarbeiter

6.3 Änderungen an Unterauftragsverarbeitern

Wir werden Sie über alle geplanten Änderungen an der Liste der Unterauftragsverarbeiter für die von Ihnen aktuell genutzten Dienste informieren, indem wir die Liste unter https://www.acira.ai/dpa mindestens vierzehn (14) Tage aktualisieren, bevor der neue Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beginnt. Wenn wir neue Funktionen oder Dienste einführen, die zusätzliche Unterauftragsverarbeiter beinhalten, werden diese Unterauftragsverarbeiter zum Zeitpunkt der Verfügbarkeit der Funktion oder des Dienstes offengelegt; Ihre Nutzung der neuen Funktion oder des neuen Dienstes gilt als Zustimmung zu den offengelegten Unterauftragsverarbeitern. Es liegt in Ihrer Verantwortung, die Liste der Unterauftragsverarbeiter regelmäßig auf Änderungen zu überprüfen. Wenn Sie einen begründeten Einwand gegen einen neuen Unterauftragsverarbeiter haben, der Daten für bestehende Dienste verarbeitet, können Sie uns innerhalb von vierzehn (14) Tagen nach Veröffentlichung der Änderung schriftlich benachrichtigen. Wir werden in gutem Glauben mit Ihnen zusammenarbeiten, um Ihre Bedenken auszuräumen. Wenn wir den Einwand nicht zu Ihrer angemessenen Zufriedenheit lösen können, können Sie den Vertrag durch schriftliche Kündigung beenden.

6.4 Pflichten der Unterauftragsverarbeiter

Wir werden mit jedem Unterauftragsverarbeiter schriftliche Vereinbarungen abschließen, die Datenschutzpflichten auferlegen, die nicht weniger schützend sind als die in diesem DPA festgelegten. Wir bleiben in demselben Umfang für die Handlungen und Unterlassungen unserer Unterauftragsverarbeiter haftbar, wie wir haftbar wären, wenn wir die Dienste direkt erbringen würden.

7. INTERNATIONALE DATENÜBERMITTLUNGEN

7.1 Übermittlungsmechanismen

Die Dienste werden hauptsächlich in den USA gehostet. Personenbezogene Daten, die über die Dienste verarbeitet werden, können in die USA und andere Länder, in denen unsere Unterauftragsverarbeiter tätig sind, übermittelt und dort verarbeitet werden. KI-Inferenzanbieter (Fireworks AI und xAI) verarbeiten Daten in den USA. BrightData kann Daten in Israel und anderen Standorten weltweit verarbeiten. Cloudflare verarbeitet Daten an Edge-Standorten weltweit.

EU-Datenspeicherung: Für Website-Betreiber, die als EU-ansässig identifiziert wurden, wenden wir die folgenden Datenspeicherungsmaßnahmen an, um die Übermittlung personenbezogener Besucherdaten außerhalb der Europäischen Union zu minimieren:

• Speicherung: Besucherdaten im persistenten Edge-Speicher — einschließlich Formularübermittlungen, Chatbot-Gesprächen, Sitzungsdaten und Benutzertabellendaten — sind auf die Europäische Union beschränkt. Diese Daten werden ausschließlich in EU-Rechenzentren gespeichert.
• Automatisierte besucherbezogene Verarbeitung: Vorgänge, die automatisch durch Besucheraktivität ausgelöst werden — einschließlich Benachrichtigungen über Inhaltseinreichungen und transaktionale E-Mail-Zustellung — werden innerhalb der Europäischen Union verarbeitet und durchlaufen keine US-Infrastruktur.
• Plattform-Verwaltungszugriff: Wenn Sie über das Plattform-Dashboard oder die Konversationsschnittstelle auf die Besucherdaten Ihrer Website zugreifen (z. B. Anzeigen von Formularübermittlungen oder Verwalten von Benutzereinträgen), können diese Daten zur Erfüllung Ihrer Anfrage über unsere US-basierte Infrastruktur verarbeitet werden. Diese Übermittlungen erfolgen auf Anfrage, werden von Ihnen (dem Verantwortlichen) initiiert und sind durch die unten beschriebenen Übermittlungsmechanismen und ergänzenden Maßnahmen geschützt.
• Sonstige US-basierte Verarbeitung: Analysedaten und Daten, die von unserer US-basierten Cloud-Infrastruktur für Inhaltsmoderation und KI-Inferenz verarbeitet werden, können weiterhin gemäß den nachstehenden Übermittlungsmechanismen in die USA übermittelt werden.

Für Übermittlungen personenbezogener Daten aus dem EWR, dem UK oder der Schweiz in Länder, die nicht als ein angemessenes Datenschutzniveau bietend anerkannt sind, stützen wir uns auf:

1. Standardvertragsklauseln (SVK): Wir integrieren die Standardvertragsklauseln der Europäischen Kommission durch Bezugnahme in diesen DPA: Modul Eins (Verantwortlicher zu Verantwortlichem) für Analysedaten, bei denen wir als gemeinsam Verantwortliche handeln (siehe Abschnitt 2.3), und Modul Zwei (Verantwortlicher zu Auftragsverarbeiter) für alle anderen in Ihrem Auftrag verarbeiteten personenbezogenen Daten. Die SVK sind verfügbar unter https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK International Data Transfer Addendum: Für Übermittlungen aus dem UK gilt das UK-Addendum zu den EU-SVK.
3. Schweizer Datenübermittlungsmechanismen: Für Übermittlungen aus der Schweiz gelten die SVK mit den vom Schweizer DSG geforderten Anpassungen.

7.2 Ergänzende Maßnahmen

Wir setzen folgende ergänzende Maßnahmen zum Schutz übermittelter personenbezogener Daten um:

• Verschlüsselung von Daten bei der Übertragung (TLS/SSL) und im Ruhezustand
• Zugangskontrollen und Authentifizierungsmechanismen
• Regelmäßige Sicherheitsbewertungen
• Datensparsamkeitspraktiken (z. B. täglich rotierende Besucher-Hashes anstelle der Speicherung roher IP-Adressen)
• Jurisdiktionelle Datenspeicherung für in der EU ansässige Website-Betreiber (persistente Speicherung und automatisierte besucherbezogene Verarbeitung auf die EU beschränkt)
• In der EU befindliche Rechen- und E-Mail-Infrastruktur für automatisierte besucherbezogene Vorgänge (Benachrichtigungen über Inhaltseinreichungen und transaktionale E-Mail-Zustellung, die in der Europäischen Union für in der EU ansässige Website-Betreiber verarbeitet werden)

7.3 Übermittlungsfolgenabschätzung

Diese ergänzenden Maßnahmen basieren auf unserer Bewertung der Gesetze und Praktiken der Zielländer unter Berücksichtigung der Art der übermittelten Daten, des verwendeten Übermittlungsmechanismus und der eingesetzten technischen und organisatorischen Schutzmaßnahmen. Wir haben festgestellt, dass die oben beschriebenen ergänzenden Maßnahmen zusammen mit den Verpflichtungen in den SVK ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten bieten. Unsere Übermittlungsfolgenabschätzung ist verfügbar unter https://www.acira.ai/tia.

7.4 Kanadische Datenübermittlungen

Für Übermittlungen personenbezogener Daten aus Kanada stützen wir uns auf folgende Schutzmaßnahmen, um sicherzustellen, dass außerhalb Kanadas übermittelte personenbezogene Daten ein vergleichbares Schutzniveau erhalten, wie es der Personal Information Protection and Electronic Documents Act (PIPEDA) und die geltende Provinz-Datenschutzgesetzgebung (einschließlich Albertas PIPA, British Columbias PIPA und Quebecs Gesetz zum Schutz personenbezogener Daten im Privatsektor) vorschreiben:

1. Vertraglicher Schutz: Schriftliche Datenverarbeitungsverträge mit jedem Unterauftragsverarbeiter, die Pflichten zum Schutz personenbezogener Daten auf einem Standard auferlegen, der dem kanadischen Datenschutzrecht entspricht, einschließlich Anforderungen an angemessene Sicherheitsmaßnahmen, Nutzungsbeschränkungen, Meldung von Verletzungen und Zugang betroffener Personen.
2. Technische Schutzmaßnahmen: Dieselben Verschlüsselungs-, Pseudonymisierungs-, Zugangssteuerungs- und Datensparsamkeitsmaßnahmen, die in Abschnitt 7.2 beschrieben sind, gelten für kanadische Datenübermittlungen.
3. Organisatorische Schutzmaßnahmen: Sorgfaltsprüfung von Unterauftragsverarbeitern, Vertraulichkeitspflichten für Mitarbeiter und dokumentierte Verfahren zur Reaktion auf Vorfälle, wie in diesem DPA beschrieben.

Wir verfolgen die Entwicklungen im kanadischen Datenschutzrecht, einschließlich des vorgeschlagenen Consumer Privacy Protection Act (CPPA), und werden unsere Übermittlungsmechanismen bei Bedarf aktualisieren.

8. RECHTE DER BETROFFENEN PERSONEN

8.1 Unterstützung bei Anfragen

Wir werden Sie bei der Beantwortung von Anfragen betroffener Personen unterstützen, die ihre Rechte nach anwendbarem Datenschutzrecht ausüben, einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch.

8.2 Benachrichtigung

Wenn wir eine Anfrage direkt von einer betroffenen Person bezüglich personenbezogener Daten, die in Ihrem Auftrag verarbeitet werden, erhalten, benachrichtigen wir Sie unverzüglich und beantworten die Anfrage nicht ohne Ihre Anweisungen, sofern nicht durch geltendes Recht vorgeschrieben.

8.3 Plattform-Tools

Wir stellen innerhalb der Dienste Tools zur Verfügung, die Ihnen helfen, Anfragen betroffener Personen zu erfüllen, darunter:

• Zugang zu und Verwaltung von Daten, die in den Datenbanken Ihrer Website gespeichert sind
• Löschung einzelner Einträge aus den Datenbanken Ihrer Website
• Auf Anfrage können wir Datenexporte im ZIP-Format bereitstellen, um bei der Erfüllung von Datenübertragbarkeitspflichten zu helfen

9. DATENSICHERHEIT

9.1 Sicherheitsmaßnahmen

Wir setzen geeignete technische und organisatorische Maßnahmen um und halten diese aufrecht, um personenbezogene Daten gegen unbefugte oder unrechtmäßige Verarbeitung und gegen unbeabsichtigten Verlust, Zerstörung oder Beschädigung zu schützen. Diese Maßnahmen umfassen:

• Verschlüsselung: Daten bei der Übertragung via TLS/SSL und im Ruhezustand mit branchenüblicher Verschlüsselung verschlüsselt
• Zugangskontrolle: Rollenbasierte Zugriffskontrollen, Multi-Faktor-Authentifizierung für die Plattformverwaltung, Zugriffsrichtlinien mit geringstem Privileg
• Infrastruktursicherheit: Verwaltete Cloud-Infrastruktur mit automatischem Sicherheits-Patching, DDoS-Schutz und Web Application Firewall (WAF)
• Datenisolation: Website-spezifische Datenisolation durch dedizierte Speicherinstanzen
• Überwachung: Automatisiertes Sicherheitsmonitoring, Einbrucherkennung und strukturiertes Logging
• Anmeldedatensicherheit: Alle API-Schlüssel und Geheimnisse werden in dedizierten Geheimnisverwaltungsdiensten gespeichert; Benutzerpasswörter werden mit starken kryptografischen Algorithmen mit benutzerspezifischen Salts gehasht
• Bot-Schutz: Proof-of-Work-Challenge-Systeme zur Verhinderung automatisierten Missbrauchs

9.2 Vertraulichkeit

Wir stellen sicher, dass alle Mitarbeiter, die zur Verarbeitung personenbezogener Daten befugt sind, Vertraulichkeitsverpflichtungen unterliegen.

10. MELDUNG VON DATENSCHUTZVERLETZUNGEN

10.1 Meldung an den Verantwortlichen

Wir werden Sie unverzüglich nach Bestätigung einer Datenschutzverletzung, die personenbezogene Daten betrifft, die in Ihrem Auftrag verarbeitet werden, benachrichtigen. Die Benachrichtigung wird an die mit Ihrem Konto verknüpften Kontaktinformationen gesendet.

10.2 Inhalt der Meldung

Unsere Meldung über die Datenschutzverletzung wird, soweit verfügbar, Folgendes enthalten:

1. Eine Beschreibung der Art der Verletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze;
2. Den Namen und die Kontaktdaten unserer Datenschutzkontaktstelle;
3. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
4. Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen.

10.3 Ihre Pflichten

Sie sind dafür verantwortlich, die zuständige Aufsichtsbehörde und die betroffenen Personen über eine Datenschutzverletzung zu benachrichtigen, wie es das anwendbare Datenschutzrecht vorschreibt. Wir werden mit Ihnen zusammenarbeiten und angemessene Unterstützung leisten, um Ihnen bei der Erfüllung Ihrer Meldepflichten bei Verletzungen zu helfen.

11. PRÜFUNGEN UND KONFORMITÄTSÜBERPRÜFUNG

11.1 Compliance-Dokumentation

Um unsere Einhaltung dieses DPA nachzuweisen, werden wir Ihnen auf angemessene schriftliche Anfrage (bis zu einmal jährlich) Folgendes zur Verfügung stellen:

1. Relevante Auditberichte Dritter, Zertifizierungen oder Zusammenfassungen von Sicherheitsbewertungen;
2. Eine Zusammenfassung unserer aktuellen technischen und organisatorischen Sicherheitsmaßnahmen;
3. Informationen über unsere Verarbeitungstätigkeiten, Unterauftragsverarbeiter und Datenschutzpraktiken.

Soweit wir uns auf Infrastrukturanbieter Dritter (wie AWS und Cloudflare) stützen, sind deren Sicherheitszertifizierungen und Compliance-Dokumentationen über ihre jeweiligen Trust- und Compliance-Programme verfügbar.

11.2 Zusätzliche Anfragen

Wenn die gemäß Abschnitt 11.1 bereitgestellte Dokumentation Ihre Compliance-Bedenken nicht angemessen adressiert, können Sie spezifische schriftliche Fragen zu unseren Datenschutzpraktiken einreichen, die wir innerhalb eines angemessenen Zeitrahmens beantworten werden.

12. DATENSPEICHERUNG UND -LÖSCHUNG

12.1 Während der Vertragslaufzeit

Wir werden personenbezogene Daten, die in Ihrem Auftrag verarbeitet werden, für die Dauer des Vertrags und gemäß Ihren Anweisungen über die Dienste aufbewahren. Spezifische Aufbewahrungsfristen für Besucherdaten umfassen:

• Chatbot-Gespräche auf Ihrer Website: Dreißig (30) Tage ab der letzten Interaktion in jedem Gespräch aufbewahrt. Gespräche werden in Besuchersitzungen auf der Edge-Infrastruktur der Website gespeichert und automatisch gelöscht, wenn die Sitzung aufgrund von Inaktivität abläuft.
• Formularübermittlungen und nutzergenerierte Inhalte auf Ihrer Website: Für die Dauer der zugehörigen Website aufbewahrt, sofern Sie diese nicht zuvor über die Plattform-Tools löschen.
• Sitzungsdaten für Ihre Website-Besucher: Nach 30 Tagen Inaktivität automatisch gelöscht.
• Gelöschte Besucherinhalte (Formularübermittlungen, Kommentare und andere nutzergenerierte Inhalte auf Ihrer Website): Wenn Sie Besucherinhalte über die Plattform-Tools löschen, werden diese in einen Soft-Delete-Zustand versetzt und bis zu dreißig (30) Tage zur Wiederherstellung aufbewahrt. Nach diesem Zeitraum werden soft-gelöschte Inhalte dauerhaft entfernt. Sie können Inhalte sofort dauerhaft löschen, indem Sie sie aus der Wiederherstellungswarteschlange löschen.
• E-Mail-Abmeldeaufzeichnungen auf Ihrer Website: Werden für die Dauer der zugehörigen Website aufbewahrt, es sei denn, der Empfänger meldet sich erneut an. Abmeldeaufzeichnungen werden gelöscht, wenn die Website zerstört wird.
• Analysedaten: Für die Dauer der zugehörigen Website aufbewahrt (vorbehaltlich planbasierter Aufbewahrungslimits; Analysedaten des kostenlosen Plans werden neunzig (90) Tage aufbewahrt).

12.2 Bei Vertragsende

Bei Beendigung des Vertrags oder auf Ihre Anfrage hin werden wir personenbezogene Daten, die in Ihrem Auftrag verarbeitet werden, in Übereinstimmung mit den im Vertrag beschriebenen Datenspeicherungspraktiken löschen (einschließlich der sieben (7) tägigen Frist für Konto- und Website-Löschungen). Nach Ablauf der Frist ist die Löschung dauerhaft und unwiderruflich.

12.3 Ausnahmen

Wir können personenbezogene Daten in dem Umfang aufbewahren, der durch geltendes Recht vorgeschrieben ist, oder wenn Daten anonymisiert wurden und nicht mehr mit einer betroffenen Person in Verbindung gebracht werden können.

13. LAUFZEIT UND KÜNDIGUNG

Dieser DPA tritt an dem Datum in Kraft, an dem Sie den Vertrag annehmen, und bleibt in Kraft, solange wir personenbezogene Daten in Ihrem Auftrag verarbeiten. Die Vertraulichkeits- und Datenschutzpflichten aus diesem DPA bleiben nach Beendigung des Vertrags bestehen.

14. HAFTUNGSBESCHRÄNKUNG

Die Haftung jeder Partei im Rahmen dieses DPA unterliegt den im Vertrag festgelegten Haftungsbeschränkungen.

15. KONTAKTIEREN SIE UNS

Für Fragen zu diesem DPA oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter:

Acira AI LLC
z. H.: Datenschutz
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-Mail: legal@acira.ai