Auftragsverarbeitungsvertrag
Bedingungen zur Verarbeitung personenbezogener Daten gemäß DSGVO
1. Hintergrund
Dieser Auftragsverarbeitungsvertrag („DPA") wird durch Verweis in die Nutzungsbedingungen einbezogen und ist integraler Bestandteil des Vertrags zwischen Revial (Dienstleister) und dem Kunden. Er regelt die Bedingungen, unter denen der Dienstleister personenbezogene Daten im Auftrag des Kunden verarbeitet.
2. Geltungsbereich
Wenn der Kunde personenbezogene Daten in die Services eingibt oder diese im Rahmen der Leistungserbringung verarbeitet werden, erkennen beide Parteien an, dass der Kunde als Verantwortlicher und der Dienstleister als Auftragsverarbeiter handelt, wobei Letzterer personenbezogene Daten im Auftrag des Kunden zum Zweck der Leistungserbringung verarbeitet.
Im Falle von Widersprüchen zwischen diesem DPA und anderen Vertragsbestimmungen hat dieser DPA Vorrang.
3. Definitionen
Die in diesem Dokument verwendeten Begriffe – wie „Verantwortlicher", „Auftragsverarbeiter", „betroffene Person" und „personenbezogene Daten" – haben die Bedeutung, die ihnen durch die Datenschutz-Grundverordnung (EU) 2016/679 und durch andere anwendbare Datenschutzgesetze zukommt.
4. Verarbeitung personenbezogener Daten
Der Zweck der Verarbeitung ist die Erbringung des Services an den Kunden. Dies umfasst Speicherung, Wartung und die notwendige operative Verarbeitung. Einzelheiten der Verarbeitung, betroffene Personengruppen und Datenarten sind in Anhang 1 beschrieben.
Die Datenverarbeitung dauert während des gesamten Vertragszeitraums an sowie darüber hinaus, soweit Gesetz oder vertragliche Verpflichtungen dies erfordern.
5. Weisungen und Verantwortung des Kunden
Der Dienstleister verarbeitet Daten nach den in diesem DPA bestätigten schriftlichen Weisungen. Dieses Dokument stellt die vollständigen schriftlichen Weisungen des Kunden dar. Zusätzliche Weisungen bedürfen einer gesonderten schriftlichen Vereinbarung.
Der Kunde stellt sicher, dass seine Datenverarbeitung den geltenden Datenschutzbestimmungen entspricht.
6. Allgemeine Pflichten des Dienstleisters
Auf schriftliche Anforderung und auf Kosten des Kunden unterstützt der Dienstleister den Kunden bei der Beantwortung von Anfragen betroffener Personen oder Behörden. Die Unterstützung ist zu den üblichen Stundensätzen abrechenbar, sofern nicht anders vereinbart.
Der Dienstleister benachrichtigt den Kunden unverzüglich über Anfragen betroffener Personen zur Ausübung ihrer Rechte nach der DSGVO.
Der Dienstleister führt Aufzeichnungen über seine Verarbeitungstätigkeiten, um die Einhaltung nachzuweisen, und stellt dem Kunden auf schriftliche Anfrage ausreichende Informationen zur Verfügung.
7. Datensicherheit
Der Dienstleister implementiert geeignete technische und organisatorische Maßnahmen, die ein angemessenes Schutzniveau gewährleisten und personenbezogene Daten vor unbefugter Verarbeitung, zufälligem Verlust, Zerstörung, Schäden, Veränderung oder Offenlegung schützen. Die Sicherheitsmaßnahmen sind in Anhang 2 beschrieben.
Der Dienstleister kann die Sicherheitsmaßnahmen aktualisieren und dabei einen angemessenen Schutzstandard aufrechterhalten.
Sobald der Dienstleister von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, benachrichtigt er den Kunden unverzüglich und ergreift angemessene Maßnahmen zur Schadensminderung. Die Benachrichtigungen umfassen: (a) Beschreibung der Art der Verletzung und der betroffenen Gruppen; (b) Kontaktinformationen für weitere Informationen; (c) wahrscheinliche Folgen; und (d) umgesetzte oder vorgeschlagene Abhilfemaßnahmen.
Der Dienstleister arbeitet in wirtschaftlich angemessener Weise bei behördlichen Meldungen von Verletzungen mit und führt eine Dokumentation der Verletzungen für eine Einsichtnahme durch den Kunden.
8. Unter-Auftragsverarbeiter
Der Dienstleister darf für die Leistungserbringung Unter-Auftragsverarbeiter einsetzen. Informationen zu Unter-Auftragsverarbeitern finden sich in Anhang 3 sowie in aktueller Form auf der Website.
Der Dienstleister teilt Änderungen bei Unter-Auftragsverarbeitern schriftlich mindestens vierzehn (14) Tage im Voraus mit und räumt dem Kunden damit eine angemessene Frist zum Widerspruch ein. Der Kunde stimmt dem Einsatz von Unter-Auftragsverarbeitern wie beschrieben zu.
Der Dienstleister stellt sicher, dass Unter-Auftragsverarbeiter im Wesentlichen gleichwertige Datenschutzpflichten einhalten, und ist für deren Compliance verantwortlich.
9. Übermittlungen personenbezogener Daten
Der Service nutzt Unter-Auftragsverarbeiter, von denen einige im Europäischen Wirtschaftsraum („EWR") ansässig sind, in dem die personenbezogenen Daten verbleiben. Einige Unter-Auftragsverarbeiter können außerhalb des EWR tätig sein (gemäß Anhang 3), was der Kunde akzeptiert, sofern der Unter-Auftragsverarbeiter: (i) Übermittlungen auf Grundlage der anwendbaren EU-Standardvertragsklauseln (SCC) durchführt; oder (ii) andere geeignete Mechanismen nutzt wie das EU-U.S. Data Privacy Framework oder Angemessenheitsbeschlüsse.
10. Audits
Auf schriftliche Anforderung und auf Kosten des Kunden kann der Kunde die Einhaltung dieses DPA und der DSGVO durch den Dienstleister einmal pro zwölf (12) Monate prüfen. Auditberichte gelten als vertrauliche Informationen des Dienstleisters.
11. Vertraulichkeit der Daten
Der Dienstleister stellt sicher, dass Personal und Einrichtungen, die Daten im Rahmen dieses DPA verarbeiten, eine angemessene Vertraulichkeit wahren. Im Übrigen richten sich die Vertraulichkeitspflichten nach den Nutzungsbedingungen.
12. Sonstige Bedingungen, Inkrafttreten und Beendigung
Die Bestimmungen der Nutzungsbedingungen gelten im Übrigen, einschließlich der Beschränkungen der Haftung und des Schadensersatzes.
Dieser DPA tritt mit dem Hauptvertrag in Kraft und bleibt bis zur Beendigung des Vertrags oder solange der Dienstleister Kundendaten verarbeitet wirksam.
Sofern der Kunde nichts anderes schriftlich anweist und sofern das Gesetz keine Aufbewahrung verlangt, löscht und vernichtet der Dienstleister die verarbeiteten personenbezogenen Daten innerhalb der in Abschnitt 4.4 der Nutzungsbedingungen genannten Fristen, während derer der Kunde seine Daten aus dem Service abrufen kann.
Anhang 1: Details der Verarbeitung
Die folgenden Informationen ergänzen dieses DPA und beschreiben die Parteien der Verarbeitung, die Art, den Zweck und die Dauer der Verarbeitung sowie die Arten personenbezogener Daten und die Kategorien betroffener Personen, wie von Artikel 28 DSGVO gefordert.
Verantwortlicher: Der Kunde (die im Hauptvertrag von Revial definierte Kundenorganisation). Adresse: die offizielle Anschrift des Kunden (wie im Hauptvertrag angegeben). Ansprechpartner: der Vertreter des Kunden (z. B. Unterzeichner oder Ansprechpartner für Datenschutz).
Rolle: Verantwortlicher — Der Kunde nutzt den Revial-Service zur Verarbeitung personenbezogener Daten für eigene Zwecke (Vertrieb und Kundenbeziehungen) und bestimmt die Zwecke und Mittel der Verarbeitung.
Auftragsverarbeiter: Spinder Company Oy (Handelsregister-Nr. 3384117-2, eine finnische Gesellschaft mit beschränkter Haftung). Adresse: c/o Toinen Toimisto, Kempeleentie 7, 90400 Oulu. Ansprechpartner: der Datenschutzbeauftragte oder Ansprechpartner von Revial (support@revial.com).
Rolle: Auftragsverarbeiter — Revial stellt einen cloudbasierten Vertriebs-Softwareservice (einschließlich KI-Funktionen) bereit und verarbeitet die personenbezogenen Daten des Kunden im Auftrag des Kunden zum Zweck der Erbringung des Services gemäß den Bedingungen des Hauptvertrags.
Art und Zweck der Verarbeitung: Die Verarbeitung personenbezogener Daten ist erforderlich, damit Revial dem Kunden die Funktionen des Services bereitstellen kann. Die Verarbeitung umfasst unter anderem die Speicherung von Daten im cloudbasierten System von Revial (Kundendaten und Notizen in CRM-artiger Form), die Organisation und den Abruf von Daten, die Erstellung KI-basierter Analysen und Zusammenfassungen aus vom Kunden eingegebenen Inhalten (z. B. automatische Zusammenfassung von Besprechungsnotizen oder Erstellung von E-Mail-Entwürfen) sowie Kommunikationsfunktionen (z. B. E-Mail-Integration, Erinnerungen). Die Verarbeitung erfolgt überwiegend automatisiert und ergibt sich aus den Aktionen des Kunden im Service. Revial verarbeitet Daten nur in dem Umfang, der für die Erbringung und technische Wartung des Services erforderlich ist.
Der Zweck der Verarbeitung ist es, die Vertriebsprozesse des Kunden zu verbessern: Der Kunde kann Vertriebs-Leads, Kundendaten und Kontakte speichern und verwalten, Vertriebsgespräche verfolgen und KI-generierte Analysen und Vorschläge im Rahmen seiner Vertriebsarbeit nutzen.
Gegenstand und Dauer der Verarbeitung: Gegenstand der Verarbeitung sind personenbezogene Daten, die der Kunde bereitstellt oder die im Auftrag des Kunden erhoben werden und die mit den Vertriebs- und Kundenbeziehungsaktivitäten des Kunden zusammenhängen. Die Verarbeitung beginnt, wenn der Kunde erstmals personenbezogene Daten in den Revial-Service hochlädt, und dauert für die gesamte Laufzeit des Hauptvertrags an. Die Verarbeitung personenbezogener Daten endet mit Beendigung des Hauptvertrags und sobald alle personenbezogenen Daten des Kunden gemäß diesem DPA aus der Umgebung von Revial zurückgegeben oder gelöscht wurden. In der Regel ist die Verarbeitung während der Vertragslaufzeit fortlaufend (personenbezogene Daten werden vom Kunden im Rahmen der Servicenutzung regelmäßig hinzugefügt, geändert, analysiert und gelöscht).
Arten personenbezogener Daten: Im Service werden im Wesentlichen folgende Kategorien personenbezogener Daten verarbeitet:
- Kontaktdaten: Namen, Berufsbezeichnungen, Name des Arbeitgebers oder der Organisation, geschäftliche E-Mail-Adressen, Telefonnummern, Postanschriften und andere ähnliche Kontaktdaten. (Z. B. Kontaktdaten von Vertriebs-Leads und Kunden des Kunden, berufliche Kontaktdaten der Mitarbeiter des Kunden.)
- Kommunikationsinhalte: Inhalte von Gesprächen und Nachrichten im Zusammenhang mit Vertriebs- und Kundenkontakten. Dies kann Besprechungsnotizen, Besprechungs- und Anrufaufzeichnungen sowie deren Transkriptionen, E-Mail-Nachrichten und -Threads, Chat- oder Messaging-Plattform-Konversationen, Angebote und Vertragsentwürfe sowie weitere Dokumente mit Kommentaren, Meinungen, Terminangaben etc. von Personen umfassen.
- Ereignis- und Verlaufsdaten: Informationen zu Aktionen und Interaktionen im Vertriebsprozess. Zum Beispiel Aufzeichnungen von Besprechungsdaten und Teilnehmern, versendeten Angeboten, Anruf- oder Präsentationsdaten und damit verbundenen Ergebnissen (etwa „Angebot angenommen/abgelehnt", „Folgegespräch geplant am Datum X"). Diese Daten können den Namen einer Person sowie weitere Informationen als Teil der Aufzeichnungen enthalten.
- Benutzerkonto- und Protokolldaten: Grundinformationen zu den Konten der vom Kunden autorisierten Nutzer (z. B. Mitarbeiter) im Service, wie Name, Benutzername, E-Mail-Adresse, sowie Protokolldaten aus der Nutzung des Services, wie Anmeldezeiten, wesentliche Aktionen des Nutzers (z. B. Hinzufügen oder Bearbeiten von Datensätzen), IP-Adresse des Geräts sowie andere technische Ereignisdaten. Diese Daten können als personenbezogene Daten gelten, wenn sie sich auf eine identifizierbare Person (den Nutzer des Kunden) beziehen.
- Besondere Kategorien personenbezogener Daten (z. B. rassische/ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheits- oder biometrische Daten, Daten zu strafrechtlichen Verurteilungen) sind im Service weder zur Verarbeitung vorgesehen noch zulässig.
Kategorien betroffener Personen: Die personenbezogenen Daten, die der Kunde im Service verarbeitet, können sich auf folgende Kategorien betroffener Personen beziehen:
- Eigenes Personal des Kunden: Mitarbeiter, Vertreter oder andere Service-Nutzer des Kunden, deren personenbezogene Daten (vor allem berufliche Kontaktdaten und Benutzerkontodaten) im Rahmen der Servicenutzung verarbeitet werden. (Z. B. Vertriebsmitarbeiter oder Teammitglieder, deren Aktionen im System erfasst werden und deren Kontaktdaten in Besprechungseinladungen oder Kommunikationen erscheinen können.)
- Kunden und Leads des Kunden: natürliche Personen (Einzelunternehmer, Ansprechpartner von Geschäftskunden, Verbraucher), auf die die Vertriebs- oder Marketingaktivitäten des Kunden abzielen und deren Daten der Kunde im System speichert. Zu dieser Gruppe gehören etwa potenzielle Kunden („Leads"), Bestandskunden, Ansprechpartner von Geschäftspartnern und weitere geschäftliche Kontakte. Ihre Daten können Kontaktdaten und Kommunikationsinhalte umfassen, wie oben beschrieben.
- Vertreter Dritter: weitere Personen, die in den vom Kunden gespeicherten Daten auftauchen können. Nimmt beispielsweise ein Vertreter eines anderen Unternehmens oder ein Referenzgeber an einer Vertriebsbesprechung des Kunden teil, können dessen Name und Äußerungen in den Besprechungsnotizen oder Transkriptionen enthalten sein. Ebenso gilt: Wenn der Kunde die Kontaktdaten des Ansprechpartners eines Endkunden im System im Rahmen des Vertriebsprozesses speichert, ist diese Person eine betroffene Person im Service.
Dauer und Beendigung der Verarbeitung: Die Verarbeitung personenbezogener Daten dauert die gesamte Laufzeit der Vertragsbeziehung an. Der Kunde kann während der Servicenutzung Aufbewahrungsfristen festlegen (z. B. indem er regelmäßig nicht mehr benötigte Daten löscht). Revial kommt auch während der Vertragslaufzeit den Löschanweisungen des Kunden nach. Bei Beendigung des Vertrags werden personenbezogene Daten gemäß Abschnitt 12 des DPA entweder an den Kunden zurückgegeben oder endgültig gelöscht.
Anhang 2: Technische und organisatorische Sicherheitsmaßnahmen von Revial
Revial hat die folgenden wesentlichen technischen und organisatorischen Maßnahmen umgesetzt, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung, Verlust, Zerstörung und Beschädigung zu schützen. Die Maßnahmen wurden unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs und der Zwecke der Verarbeitung und der Risiken für die personenbezogenen Daten gestaltet.
Zugriffskontrolle: Der Zugriff auf die personenbezogenen Daten des Kunden ist auf autorisierte Personen beschränkt, die eine berufliche Notwendigkeit zur Verarbeitung haben. Revial verwendet rollenbasierte Zugriffsrechte: Mitarbeiter und Systemprozesse erhalten nur Mindestrechte („Need-to-know"- und „Least-Privilege"-Prinzipien). Die Anmeldung am System erfordert eine starke Authentifizierung; der Zugriff auf administrative Oberflächen des Services erfordert mindestens Benutzername und Passwort und für kritische Systeme zusätzlich eine Multi-Faktor-Authentifizierung (MFA), sofern möglich. Standardpasswörter werden in der Inbetriebnahmephase geändert. Zugriffsrechte werden regelmäßig überprüft; ändert sich die Rolle eines Mitarbeiters oder endet sein Beschäftigungsverhältnis, wird sein Zugriff auf personenbezogene Daten unverzüglich entfernt oder gesperrt. Alle Personen mit Zugriffsrechten müssen sich zur Vertraulichkeit verpflichten (wie in Abschnitt 11 beschrieben).
Verschlüsselung: Revial schützt personenbezogene Daten mit starken Verschlüsselungsmethoden sowohl während der Übertragung als auch im Ruhezustand. Der gesamte Netzwerkverkehr zwischen dem Browser (oder anderen Client-Anwendungen) des Nutzers und dem Server von Revial wird mit dem TLS-Protokoll (Transport Layer Security) verschlüsselt (mindestens Version 1.2 oder neuer), wodurch ein unbefugtes Abfangen der Daten während der Übertragung verhindert wird. Daten auf Servern und in Datenbanken werden im Ruhezustand mit starken Verschlüsselungsalgorithmen (z. B. AES-256) verschlüsselt. Verschlüsselungsschlüssel werden sicher verwaltet (über Schlüsselverwaltungsdienste des Cloud-Anbieters oder gleichwertige Mechanismen), und der Zugriff auf Schlüssel ist auf wenige autorisierte Personen beschränkt. Sicherungen und Wechseldatenträger mit personenbezogenen Daten sind ebenfalls verschlüsselt, um den Datenschutz unter allen Umständen zu gewährleisten.
Netzwerk- und Anwendungssicherheit: Die Cloud-Infrastruktur von Revial nutzt Firewalls und Netzwerksegmentierung zum Schutz personenbezogener und Kundendaten. Nur wesentliche Dienste und Ports sind aus dem Internet erreichbar; ansonsten ist der Zugriff auf interne Datenbanken und Dienste auf das interne Netzwerk von Revial oder VPN-Verbindungen beschränkt. Revial nutzt Routing- und Content-Delivery-Anbieter, die auch DDoS-Schutz leisten. Auf Anwendungsebene hat Revial Mechanismen zur Abwehr gängiger schädlicher Ereignisse implementiert (z. B. Ratenbegrenzung verdächtig häufiger Aktionen wie Brute-Force-Anmeldeversuche). Revial aktualisiert seine Softwarekomponenten kontinuierlich gegen bekannte Schwachstellen: kritische Sicherheitsupdates werden zeitnah installiert, spätestens innerhalb weniger Werktage nach Veröffentlichung. Code und Infrastruktur von Revial werden regelmäßig mit automatisierten Werkzeugen auf Schwachstellen gescannt. Darüber hinaus beauftragt Revial periodisch externe Experten mit Penetrationstests der Systeme; die Ergebnisse werden ausgewertet und identifizierte Schwächen unverzüglich behoben.
Protokollierung und Überwachung: Revial überwacht seine Systeme zur Erkennung von Sicherheitsbedrohungen und Fehlerzuständen. Für Schlüsselsysteme besteht eine umfassende Protokollerfassung: aufgezeichnet werden unter anderem Benutzeranmeldungen, wesentliche Aktionen (z. B. Hinzufügen, Ändern und Löschen von Datensätzen), Systemfehlermeldungen und Server-Ressourcennutzung. Diese Protokolldaten sind gegen unbefugte Änderungen geschützt und werden für einen festgelegten Zeitraum aufbewahrt. Revial hat automatische Alarme eingerichtet – beispielsweise lösen wiederholt fehlgeschlagene Anmeldeversuche, ungewöhnlich umfangreiche Datenbankabfragen oder Spitzen in der Serverauslastung Benachrichtigungen an das Betriebsteam aus. Das Team von Revial überprüft Protokolldaten und Alarme regelmäßig. Jede Anomalie (z. B. nicht authentifizierte Zugriffsversuche oder ungewöhnliche Datenabfragen) wird unverzüglich untersucht. Protokolldaten werden zudem zu forensischen Zwecken im Falle von Sicherheitsverletzungen verwendet.
Schulung und Zuverlässigkeit des Personals: Sicherheit und Datenschutz sind Teil der Unternehmenskultur von Revial. Neue Mitarbeiter werden in die Sicherheits- und Datenschutzrichtlinien von Revial eingeführt, und alle Mitarbeiter absolvieren mindestens jährlich Schulungen zu DSGVO-Grundsätzen, guten Sicherheitspraktiken (z. B. Erkennung von Phishing-Angriffen) und internen Richtlinien des Unternehmens zur Verarbeitung personenbezogener Daten. Bei Mitarbeitern in kritischen Rollen können in der Einstellungsphase Hintergrundprüfungen im gesetzlich zulässigen Rahmen durchgeführt werden. Alle Mitarbeiter von Revial haben Vertraulichkeitsvereinbarungen unterzeichnet und verpflichten sich zur Einhaltung der Sicherheits- und Datenschutzrichtlinien des Unternehmens. Revial hat interne Disziplinarmaßnahmen für den Fall definiert, dass Mitarbeiter gegen Datenschutz- oder Sicherheitspflichten verstoßen.
Sicherungen und Kontinuität: Revial gewährleistet die Verfügbarkeit und Integrität personenbezogener Daten durch regelmäßige Sicherungen. Datenbanken mit personenbezogenen Daten werden täglich gesichert (oder häufiger, sofern die Geschäftskontinuität dies erfordert). Sicherungen werden verschlüsselt an einem separaten Speicherort abgelegt (z. B. Speicher eines anderen Cloud-Anbieters oder einer anderen Region), der gegen physische und logische Bedrohungen geschützt ist. Revial hat Zielwiederherstellungszeiten festgelegt: in kritischen Fällen liegt die Recovery Time Objective (RTO) typischerweise bei 24–48 Stunden, und der maximale Datenverlust (Recovery Point Objective, RPO) beträgt höchstens 24 Stunden (d. h. die Sicherungen sind ausreichend häufig, sodass im schlimmsten Fall höchstens ein Tag an Daten verloren gehen kann). Die Wiederherstellung der Sicherungen wird regelmäßig getestet, um zu gewährleisten, dass die Daten im Ernstfall wie erwartet gelesen und wiederhergestellt werden können. Revial verfügt über einen Notfallwiederherstellungsplan: fällt die primäre Serverinfrastruktur schwerwiegend aus, kann Revial seine Dienste in einer Ausweichumgebung (ggf. in einem anderen Rechenzentrum oder einer anderen Cloud-Region) schnellstmöglich starten.
Incident-Management: Revial hat einen schriftlichen Plan zum Management von Sicherheitsvorfällen aufgestellt. Er definiert Maßnahmen und Verantwortlichkeiten bei vermuteten oder erkannten Sicherheitsverletzungen (einschließlich Kommunikationsplan, Eskalationspfad und Zusammenarbeit mit Behörden). Die Mitarbeiter von Revial sind darin geschult, Sicherheitsvorfälle unverzüglich intern zu erkennen und zu melden. Wird eine potenzielle Verletzung des Schutzes personenbezogener Daten erkannt, leitet das benannte Incident-Team von Revial eine Untersuchung ein: es isoliert die betroffenen Systeme (erforderlichenfalls durch vorübergehende Abschaltung), ermittelt Ursache und Ausmaß der Verletzung und trifft Abhilfemaßnahmen. Revial dokumentiert jeden Schritt und führt eine Nachbetrachtung durch, um aus dem Vorfall zu lernen. Revial benachrichtigt den Kunden über Verletzungen des Schutzes personenbezogener Daten gemäß dem DPA und unterstützt den Kunden bei etwaigen erforderlichen Benachrichtigungen an Behörden oder betroffene Personen.
Management der Unter-Auftragsverarbeiter: Revial stellt sicher, dass die eingesetzten Unter-Auftragsverarbeiter (siehe Anhang 3) mindestens ebenso strenge Sicherheitsmaßnahmen einhalten wie Revial selbst. Vor dem Einsatz eines neuen Unter-Auftragsverarbeiters bewertet Revial die Sicherheitspraktiken und Zertifizierungen des Anbieters (z. B. ISO-27001-Zertifizierung, SOC2-Bericht) und verpflichtet den Unter-Auftragsverarbeiter vertraglich zur Einhaltung der Datenschutzpflichten. Revial verlangt von seinen Unter-Auftragsverarbeitern unter anderem Vertraulichkeit, angemessene Mitarbeiterschulung, technischen Schutz und unverzügliche Benachrichtigung von Revial über Sicherheitsverletzungen. Revial überwacht das Sicherheitsniveau seiner wesentlichen Unter-Auftragsverarbeiter, beispielsweise durch regelmäßige Anforderung ihrer Auditberichte oder Benachrichtigungen über sicherheitsrelevante Ereignisse. Werden Mängel in der Tätigkeit eines Unter-Auftragsverarbeiters festgestellt, ergreift Revial Maßnahmen (z. B. Nachbesserungspflicht oder erforderlichenfalls Wechsel des Dienstleisters).
Anhang 3: Unter-Auftragsverarbeiter
| Unter-Auftragsverarbeiter | Beschreibung (Funktion) | Standort |
|---|---|---|
| Supabase, Inc. | Cloud-Plattform für Datenbanken, Authentifizierung und Speicherung. Hostet die Service-Datenbank von Revial mit den personenbezogenen Daten des Kunden (Kontakte, Notizen, Transkriptionen, Dateien). | EU (Stockholm) |
| Stripe, Inc. | Zahlungsdienstleister. Verarbeitet Zahlungs- und Rechnungsinformationen des Kunden zur sicheren Abwicklung von Zahlungen. | EU |
| OpenAI, L.L.C. | KI-Dienstleister (Sprachmodell-API). Verarbeitet Textinhalte, die an den Service übermittelt werden (z. B. Besprechungsnotizen, Nachrichtenentwürfe), um KI-gestützte Ergebnisse (Zusammenfassungen, Vorschläge) zu erzeugen. | EU (primär) / USA (SCC-geregelt) |
| Skribe VOF (Skribby) | Besprechungstranskriptionsdienst. Verarbeitet Audioaufnahmen von Besprechungen und erzeugt Texttranskriptionen für den Kunden. | EU (Belgien) |
| Resend, Inc. | E-Mail-Dienstleister. Verarbeitet die E-Mail-Zustellung für die Kommunikationsfunktionen des Services. | USA (SCC) |
| Google LLC | Kalenderintegration (Google Calendar API). Ermöglicht die Synchronisierung der Kalenderdaten des Kunden mit dem Service nach Autorisierung durch den Kunden. | USA (SCC, EU-U.S. Data Privacy Framework) |
| Microsoft Corporation | Kalender- und E-Mail-Integration (Microsoft Graph API). Ermöglicht die Synchronisierung der Microsoft-365-Daten des Kunden mit dem Service nach Autorisierung durch den Kunden. | USA (SCC, EU-U.S. Data Privacy Framework) |
| PostHog, Inc. | Analysedienst. Erfasst und verarbeitet anonymisierte Nutzungsdaten zur Verbesserung des Services und der Benutzererfahrung. | EU (Frankfurt) |
| Zapier, Inc. | Integrationsplattform. Ermöglicht vom Kunden konfigurierte Automatisierungen und Integrationen mit Drittdiensten unter Anleitung und Autorisierung des Kunden. Hinweis: vom Kunden gesteuerte Integration. | USA (SCC) |
| Vercel, Inc. | Cloud-Infrastruktur für die Revial-Anwendung. Stellt das Hosting der Service-Oberfläche und der Backend-Funktionen sowie die CDN-Contentauslieferung bereit (ermöglicht die weltweite Verfügbarkeit des Services). | EU (primär) und weltweites CDN (EU/USA, SCC für Übermittlungen) |