Vertragsparteien

Dieser Auftragsverarbeitungsvertrag (AVV) wird geschlossen zwischen:

Auftraggeber (Verantwortlicher): Der Kunde, der die QUALLEE-Plattform nutzt und damit diesen AVV akzeptiert.

Auftragsverarbeiter: QUALLEE UG (haftungsbeschränkt) Kollwitzstr. 76 10435 Berlin Deutschland E-Mail: info@quallee.de

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch QUALLEE im Rahmen der Bereitstellung der QUALLEE-Plattform, insbesondere:

Durchführung KI-gestützter qualitativer Interviews
Transkription von Audio- und Videoaufnahmen
Analyse und Auswertung von Interviewdaten mittels KI
Speicherung und Verwaltung von Forschungsdaten
Bereitstellung von Export- und Berichtsfunktionen

1.2 Dauer

Die Verarbeitung beginnt mit Akzeptanz der Nutzungsbedingungen und endet mit Beendigung des Nutzungsverhältnisses. Die Löschung der Daten erfolgt gemäß § 10 dieses Vertrags.

§ 2 Art und Zweck der Verarbeitung

2.1 Art der Verarbeitung

Die Verarbeitung umfasst: Erhebung (durch Interview-Teilnahme), Speicherung (auf Servern in Deutschland), Übermittlung (an KI-Unterauftragsverarbeiter zur Analyse), Auswertung und Analyse (mittels KI-Technologie), Löschung (nach Ablauf der Speicherfristen).

2.2 Zweck

Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten Dienstleistungen im Bereich KI-gestützter qualitativer Forschung.

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Daten der Plattformnutzer (Auftraggeber):

Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
Zugangsdaten (verschlüsselte Passwörter)
Nutzungsdaten (Aktivitätsprotokolle, Projektdaten)

Daten der Interviewteilnehmer:

Interviewinhalte (Transkripte, Audio-/Videoaufnahmen)
Technische Daten (IP-Adresse, Browser-Informationen)
Einwilligungsdaten (Zeitstempel, Consent-Versionen)

Hinweis: Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht vorgesehen. Sollten solche Daten in Interviews genannt werden, trägt der Auftraggeber die Verantwortung für die Rechtmäßigkeit der Verarbeitung.

§ 4 Kategorien betroffener Personen

Mitarbeiter und Beauftragte des Auftraggebers
Interviewteilnehmer (Probanden, Studienteilnehmer)
Sonstige in den Forschungsdaten genannte Personen

§ 5 Pflichten des Auftragsverarbeiters

5.1 Weisungsgebundenheit

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung der Plattformfunktionen gilt als Weisung. QUALLEE informiert den Auftraggeber unverzüglich, wenn eine Weisung gegen Datenschutzrecht verstößt.

5.2 Vertraulichkeit

Alle mit der Verarbeitung betrauten Personen sind zur Vertraulichkeit verpflichtet. Dies gilt auch nach Beendigung ihrer Tätigkeit.

5.3 Technisch-organisatorische Maßnahmen

QUALLEE implementiert und unterhält angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage 1).

5.4 Unterstützungspflichten

QUALLEE unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten, insbesondere bei: Beantwortung von Anfragen betroffener Personen, Meldung von Datenschutzverletzungen, Durchführung von Datenschutz-Folgenabschätzungen.

§ 6 Unterauftragsverarbeiter

6.1 Genehmigung

Der Auftraggeber erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. QUALLEE informiert den Auftraggeber über Änderungen mindestens 14 Tage vor deren Wirksamwerden per E-Mail. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen.

6.2 Aktuelle Unterauftragsverarbeiter

Anbieter	Funktion	Standort	Rechtsgrundlage
Anthropic, PBC	KI-Interviews (Claude API)	USA	DPF, SCCs, DPA
OpenAI, Inc.	Transkription, Analyse	USA / Irland	DPF, SCCs, DPA
Hetzner Online GmbH	Hosting, Speicherung	Deutschland	AVV
Stripe, Inc.	Zahlungsabwicklung	USA / Irland	DPF, SCCs, DPA

6.3 Keine Nutzung für KI-Training

Wichtig: Alle KI-Unterauftragsverarbeiter haben sich vertraglich verpflichtet, API-Daten nicht für das Training ihrer Modelle zu verwenden. Dies ist in den jeweiligen DPAs explizit ausgeschlossen.

§ 7 Übermittlung in Drittländer

Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies auf Grundlage von:

EU-US Data Privacy Framework (DPF) gemäß Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023
Standardvertragsklauseln (SCCs) nach Durchführungsbeschluss (EU) 2021/914
Data Processing Agreements mit den jeweiligen Anbietern

Die Rohdaten (Transkripte, Audio) werden ausschließlich auf Servern in Deutschland gespeichert. An die KI-APIs werden nur die für die jeweilige Verarbeitung notwendigen Textinhalte übermittelt.

§ 8 Rechte betroffener Personen

QUALLEE unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 12-22 DSGVO). Die Plattform bietet hierzu Self-Service-Funktionen:

Auskunft: Datenexport im maschinenlesbaren Format (JSON)
Berichtigung: Über die Kontoeinstellungen
Löschung: Kontolöschung mit Anonymisierung
Widerruf: Consent-Management in den Privatsphäre-Einstellungen

§ 9 Meldung von Datenschutzverletzungen

QUALLEE meldet dem Auftraggeber Datenschutzverletzungen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme. Die Meldung enthält: Art der Verletzung und betroffene Datenkategorien, ungefähre Anzahl betroffener Personen/Datensätze, wahrscheinliche Folgen, ergriffene und vorgeschlagene Abhilfemaßnahmen.

§ 10 Löschung und Rückgabe

10.1 Speicherfristen

Datenart	Speicherfrist
Projektdaten (aktiv)	Während der Vertragslaufzeit
Archivierte Sessions	12 Monate nach Archivierung
Support-Tickets	24 Monate
Consent-Nachweise	36 Monate nach Widerruf/Löschung

10.2 Nach Vertragsende

Nach Beendigung des Nutzungsverhältnisses: 30 Tage Übergangsfrist für Datenexport, anschließende Löschung aller personenbezogenen Daten, Ausnahme: gesetzliche Aufbewahrungspflichten.

§ 11 Nachweispflichten und Kontrollen

QUALLEE ermöglicht dem Auftraggeber die Überprüfung der Einhaltung dieses Vertrags durch: Bereitstellung von Dokumentation (TOMs, Zertifikate), Beantwortung schriftlicher Anfragen, nach Vereinbarung: Vor-Ort-Prüfungen (auf Kosten des Auftraggebers).

§ 12 Schlussbestimmungen

12.1 Rangfolge

Bei Widersprüchen zwischen diesem Vertrag und den Nutzungsbedingungen geht dieser Vertrag vor.

12.2 Änderungen

Änderungen dieses Vertrags werden mit einer Ankündigungsfrist von 30 Tagen per E-Mail mitgeteilt. Die fortgesetzte Nutzung der Plattform nach Ablauf der Frist gilt als Zustimmung.

12.3 Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin.

12.4 Vertragsschluss

Dieser AVV wird mit Akzeptanz der Nutzungsbedingungen von QUALLEE wirksam. Eine gesonderte Unterzeichnung ist nicht erforderlich.

Anlage 1: Technisch-organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Hosting in ISO 27001 zertifizierten Rechenzentren (Hetzner, Deutschland)
Physische Sicherheitsmaßnahmen durch den Hostinganbieter

Zugangskontrolle

Passwortrichtlinien (Mindestlänge, Komplexität)
Verschlüsselte Passwortspeicherung (bcrypt)
Session-Management mit automatischem Timeout

Zugriffskontrolle

Rollenbasiertes Berechtigungskonzept
Projektbasierte Datenisolierung
Protokollierung von Zugriffen

Trennungskontrolle

Logische Mandantentrennung auf Datenbankebene
Separate Speicherung von Produktions- und Testdaten

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

TLS 1.3 Verschlüsselung für alle Datenübertragungen
Verschlüsselung der Daten at rest (AES-256)

Eingabekontrolle

Vollständige Audit-Logs für Datenänderungen
Revisionssichere Consent-Dokumentation

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Tägliche automatisierte Backups
Redundante Speicherung (RAID)
Monitoring und Alerting
Angestrebte Verfügbarkeit: 99,5% im Jahresmittel

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Regelmäßige Überprüfung der Sicherheitsmaßnahmen
Automatisierte Löschroutinen gemäß Speicherfristen
Dokumentiertes Incident-Response-Verfahren