strada.chat
Kostenlos starten

Legal

Auftragsverarbeitungsvereinbarung (AVV)

Gemäß Art. 28 DSGVO. Diese Vereinbarung gilt zwischen dir (Verantwortlicher) und der RENVAROX GmbH (Auftragsverarbeiter). Im Self-Service abschließbar — kein Anwalt nötig.

1. Gegenstand der Auftragsverarbeitung

Gegenstand ist die Verarbeitung personenbezogener Daten, die der Verantwortliche durch die Nutzung der strada.chat-Plattform erhebt — insbesondere Konversationen zwischen Webseiten-Besuchern und KI-Mitarbeitern, sowie ggf. Lead-Daten (E-Mail, Name, Telefon).

2. Art, Zweck und Dauer der Verarbeitung

Art
Speichern, Auslesen, Aggregieren, Übermitteln (an LLM-Provider)
Zweck
Bereitstellung des KI-Mitarbeiters, Analyse-Funktionen, Lead-Erfassung
Dauer
Vertragslaufzeit + 30 Tage Backup-Retention; Konversationen 30 Tage (konfigurierbar bis 7)

3. Kategorien betroffener Personen

  • Webseiten-Besucher des Kunden, die das Widget nutzen.
  • Geschäftskunden des Kunden, die Lead-Daten hinterlassen.

4. Datenkategorien

  • Konversationsinhalte (Texte zwischen Besucher und Bot)
  • E-Mail-Adresse, Name, Telefonnummer (bei Lead-Erfassung, optional)
  • IP-Adresse (zur Abuse-Erkennung, automatisch nach 7 Tagen gelöscht)
  • Visitor-ID (anonymer Identifier, kein Tracking-Cookie)

5. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Hosting ausschließlich in Frankfurt am Main bei Hetzner Online GmbH.
  • Verschlüsselung in Transit (TLS 1.3) und at-Rest (AES-256).
  • Zugangsschutz: 2FA für alle Mitarbeiter mit DB-Zugang.
  • Audit-Logs für administrative Aktionen, retention 12 Monate.
  • PII-Maskierung in allen Application-Logs (E-Mail, Telefon, Versicherungsnummern).
  • Regelmäßige Backups (täglich), verschlüsselt, EU-only.
  • Incident-Response-Plan dokumentiert, max. 24h zur Betroffenen-Benachrichtigung.

6. Subprozessoren

Hetzner Online GmbH
Server-Hosting, Frankfurt am Main (DE)
OpenAI Ireland Ltd.
LLM-Inferenz, EU-Endpunkte mit Zero Data Retention (Dublin, IE)
Anthropic PBC
Alternative LLM-Inferenz (EU-Hosted Endpoints, IE)
Stripe Payments Europe
Zahlungsabwicklung (Dublin, IE)
Brevo (sib AG)
Transaktionale E-Mails (Paris, FR)
ElevenLabs Inc.
Voice-Synthese (nur bei aktiviertem Voice-Output, EU-DPA verfügbar)

Änderungen an der Subprozessor-Liste werden 30 Tage vorher per E-Mail angekündigt. Der Verantwortliche kann widersprechen — in diesem Fall steht ein Sonderkündigungsrecht zu.

7. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Auskunfts-, Berichtigungs-, Lösch- und Übertragungsanfragen. Datenexport und -löschung sind direkt im Dashboard möglich. Bei komplexeren Anfragen: privacy@strada.chat, Antwort innerhalb 48h.

8. Löschung nach Vertragsende

Nach Vertragsende werden alle Konversationen, Lead-Daten und Konfigurationen innerhalb von 30 Tagen unwiderruflich gelöscht. Backups werden nach weiteren 30 Tagen automatisch überschrieben. Eine Löschbestätigung wird auf Anfrage ausgestellt.