Auftragsverarbeitungsvertrag (AVV / DPA)

Dieser AVV bildet eine rechtlich bindende Ergänzung zu den AGB zwischen Mignuti Chatbot (Auftragsverarbeiter) und Kunde (Verantwortlicher) gemäß Art. 28 DSGVO.

Anhang 1 — Beschreibung der Verarbeitung

• Gegenstand: Betrieb der mignuti-chatbot-Chatbot-SaaS.
• Art & Zweck: Speicherung und Abruf der Wissensbasis des Kunden; Erzeugung KI-gestützter Antworten auf End-User-Anfragen; Bereitstellung von Analytics.
• Dauer: Laufzeit des mignuti-chatbot-Abonnements zzgl. der in AGB § 8 genannten Aufbewahrungsfristen.
• Kategorien betroffener Personen: Endnutzer der Kunden-Website; Team-Mitglieder des Kunden.
• Kategorien personenbezogener Daten: IP-Hash, Session-ID, Chat-Nachrichten (potenziell enthaltende PII, die der Endnutzer eingibt), E-Mail/Name von Team-Mitgliedern.

Anhang 2 — Technisch-organisatorische Maßnahmen (TOM)

• Verschlüsselung in Transit (TLS 1.3) und at Rest (AES-256).
• PostgreSQL Row-Level-Security mit Default-Deny-Policies; Mandantentrennung auf Datenbank-Ebene.
• PII-Redaction via Microsoft Presidio vor Weiterleitung ans LLM (wo konfiguriert).
• Append-only Audit-Log mit 7 Jahren Cold-Archive.
• Rollenbasierte Zugriffskontrolle, MFA verpflichtend für alle Owner-/Super-Admin-Accounts.
• Quartals-Pentests; ISO 27001-Roadmap (in Vorbereitung).

Anhang 3 — Subunternehmer

Stets aktuelle Liste unter /rechtliches/subunternehmer. Der Kunde kann Vorab-Benachrichtigung zu Änderungen (30 Tage Frist) abonnieren.

Das Muster folgt der Struktur der EU-SCCs 2021/914. Ein gegengezeichnetes PDF kann über privacy@mignuti.com angefordert werden.