Mandant: Oliver Morina-Schmidt
Stand: 6.4.2026
1. Oliver Morina-Schmidt, Mahlerstraße 7/29, 1010 Wien, Österreich, (im Folgenden "BETREIBER" genannt) bietet eine webbasierte, KI-gestützte Coaching- und Reflexionsplattform (in der Folge "reflectbymarora") kostenlos an. Nutzer:innen (in der Folge gemeinsam "NUTZER") führen textbasierte Gespräche mit einem KI-System, das auf der marora Coaching-Methodik basiert.
2. Im Kern stellt die KI Fragen -- sie gibt keine Ratschläge, keine Diagnosen und keine professionellen Empfehlungen. Das Tool richtet sich an Personen, die ihre berufliche Entwicklung begleiten möchten. [Es ist ausdrücklich kein Ersatz für Psychotherapie, medizinische Beratung oder Krisenintervention].
1.2.1. reflectbymarora ist ausdrücklich kein Ersatz für:
1.2.2. Bei akuten psychischen Krisen oder Notlagen verweist der BETREIBER aktiv auf professionelle Hilfe. Telefonseelsorge Österreich: 142.
3. Die Nutzungsbedingungen gelangen im Verhältnis zwischen dem BETREIBER und dem NUTZER zur Anwendung.
4. Aus Gründen der besseren Lesbarkeit wird auf eine geschlechtsspezifische Differenzierung verzichtet. Dies geschieht ohne jegliche Absicht der Diskriminierung. Alle Geschlechter sind gleichermaßen angesprochen.
2.1. Diese NUTZUNGSBEDINGUNGEN definieren und regeln die Nutzung von reflectbymarora sowie die damit verbundenen geschäftlichen und administrativen Aktivitäten.
2.2. Die NUTZUNGSBEDINGUNGEN gelangen durch Nutzung von reflectbymarora zur Anwendung.
3.1. Der NUTZER hat alle Handlungen zu unterlassen, die die technische Funktionsfähigkeit der ANWENDUNG gefährden oder beeinträchtigen können (einschließlich Cyber-Attacken). Ein solches Verhalten wird strafrechtlich verfolgt.
3.2. Die Registrierung erfolgt direkt unter reflectbymarora.io mit E-Mail-Adresse und Passwort. Einladungslinks sind nicht erforderlich.
3.3. Die Nutzung ist derzeit kostenlos (Grundfunktionen). Der BETREIBER behält sich vor, künftig kostenpflichtige Erweiterungen oder Premium-Funktionen einzuführen. Bestehende kostenlose Funktionen bleiben davon unberührt, sofern nicht gesondert angekündigt.
3.4. Zugangsdaten sind persönlich und nicht übertragbar. Der NUTZER ist für die Sicherheit seiner Zugangsdaten selbst verantwortlich.
3.5. Die Nutzung ist ausschließlich volljährigen Personen vorbehalten. Mit der Registrierung bestätigt der NUTZER, volljährig zu sein.
3.6. Der NUTZER ist dafür verantwortlich, die notwendige Infrastruktur einzurichten, um den bestimmungsgemäßen Betrieb von reflectbymarora zu gewährleisten. Der BETREIBER ist nicht verpflichtet, diesbezüglich weitere Beratung oder Empfehlungen zu erteilen.
3.7. Der BETREIBER ist berechtigt, die Nutzung temporär einzuschränken, wenn Nutzungslimits erheblich überschritten werden. Der Eskalationspfad verläuft dabei wie folgt: (1) Warnung, (2) Drosselung, (3) Sperrung.
4.1. Der NUTZER verpflichtet sich, keine Inhalte in reflectbymarora einzustellen/einzutragen, die aufgrund ihres Inhalts, ihrer Form oder ihrer Gestaltung oder in sonstiger Weise gegen geltendes Recht oder die guten Sitten verstoßen. Insbesondere verpflichtet sich der NUTZER, beim Hochladen von Inhalten geltendes Recht (z.B. Strafrecht, Wettbewerbsrecht und Jugendschutzrecht) zu beachten und keine Rechte Dritter (z.B. Namens-, Marken-, Urheber-, Bild- und Datenschutzrechte) oder Geheimhaltungspflichten zu verletzen.
4.2. Insbesondere, aber nicht ausschließlich, ist es dem NUTZER nicht gestattet, Inhalte zu veröffentlichen oder zu unterstützen, die
4.3. Scraping (Web Scraping, Crawling) von in reflectbymarora veröffentlichten Informationen ist verboten und bedarf der ausdrücklichen Zustimmung des BETREIBERS.
4.4. Der BETREIBER erteilt einen ausdrücklichen Nutzungsvorbehalt im Sinne des § 42h Abs 6 UrhG. Die Vervielfältigung oder automatisierte Auswertung von Inhalten durch Text- und Data-Mining ist damit ausdrücklich verboten. Ebenso verboten ist das Training von KI-Systemen und/oder KI-Modellen mit allgemeinem Verwendungszweck mit Inhalten aus reflectbymarora.
4.5. Bei den in reflectbymarora bereitgestellten Inhalten handelt es sich um geistiges Eigentum des BETREIBERS oder eines Dritten. Dem NUTZER ist es verboten, die bereitgestellten Inhalte zu modifizieren, kopieren, verbreiten oder sonst auf nicht in diesen Nutzungsbedingungen vorgesehene Art und Weise zu verwenden bzw zu verwerten.
5.1. Der BETREIBER räumt dem NUTZER die nicht-exklusive, nicht-übertragbare, zeitlich, inhaltlich und örtlich für die Zwecke der Vertragsbeziehung begrenzte Werknutzungsbewilligung ein, reflectbymarora zu nutzen.
5.2. Dem NUTZER ist es gestattet, reflectbymarora ausschließlich für die vom BETREIBER vorgesehenen Zwecke zu nutzen.
5.3. Das Recht, reflectbymarora zu dekompilieren, ist ausgeschlossen.
5.4. Kennzeichnungen von reflectbymarora, insbesondere Copyright-Vermerke, Markenzeichen, Seriennummern oder ähnliches dürfen nicht entfernt, verändert oder unkenntlich gemacht werden.
5.5. Die Coaching-Wissensbasis (marora-Methodik, 5-Felder-Modell, Coaching-Dokumente) ist urheberrechtlich geschütztes Eigentum des BETREIBERs und wird dem NUTZER nicht direkt zugänglich gemacht.
5.6. Nutzereingaben verbleiben beim NUTZER. Der BETREIBER erhält ein Verarbeitungsrecht ausschließlich für die Bereitstellung von reflectbymarora, nicht für Weitergabe an Dritte oder kommerzielle Nutzung.
6.1. Da dem NUTZER vom BETREIBER keine kostenpflichtige Version geschuldet ist, ist der BETREIBER in keiner Weise verpflichtet, reflectbymarora zur Verfügung zu stellen. Der BETREIBER behält sich das Recht vor, reflectbymarora ohne Vorankündigung einzustellen oder abzuändern.
6.2. Die Herausgabe des Quellcodes, der Benutzerhandbücher oder des Supports ist ausdrücklich nicht geschuldet.
6.3. NUTZER können jederzeit einen vollständigen Export ihrer Daten im JSON-Format anfordern (App > Daten exportieren). Nach Deaktivierung des Accounts haben NUTZER 30 Tage Zeit, ihre Daten zu exportieren. Nach Ablauf dieser Frist werden alle personenbezogenen Daten gelöscht.
6.4. Anonymisierte oder aggregierte Nutzungsstatistiken können nach Vertragsende zur Verbesserung des Dienstes weiterverwendet werden.
7.1. Der NUTZER hat das Recht, Änderungen an reflectbymarora vorzuschlagen. Der BETREIBER ist nicht verpflichtet, diesen Änderungswünschen nachzukommen.
8.1. Da dem NUTZER vom BETREIBER keine kostenpflichtige Version geschuldet ist, sind sämtliche Gewährleistungs- und Haftungsansprüche gegen den BETREIBER in vollem Umfang ausgeschlossen. Dies gilt nicht im Falle einer vorsätzlichen Schädigung.
8.1.1. Die Haftungsbeschränkung gilt nicht hinsichtlich Personenschäden oder Schäden nach dem Produkthaftungsrecht.
8.2. Insbesondere haftet der BETREIBER nicht für Richtigkeit der in reflectbymarora zur Verfügung gestellten bzw ausgegebenen Informationen oder leistet für deren Richtigkeit Gewähr.
8.3. Der BETREIBER bemüht sich um die Zurverfügungstellung der reflectbymarora. Die Verfügbarkeit kann jedoch jederzeit unter anderem wegen Spitzenauslastung oder zu Zwecken der Wartung beschränkt werden. Mitunter kann reflectbymarora zeitweise gar nicht zur Verfügung gestellt werden. Der BETREIBER ist dem NUTZER gegenüber weder verpflichtet geplante Beschränkungen oder Einstellungen anzuzeigen, noch die jeweiligen Gründe dafür offenzulegen.
8.4. Trotz angemessener Sicherheitsmaßnahmen kann nach dem Stand der Technik nicht ausgeschlossen werden, dass digitale Dienste vorübergehend nicht verfügbar sind, fehlerhaft funktionieren oder Sicherheitsrisiken bestehen, die außerhalb des Einflussbereichs des BETREIBERs liegen.
9.1. Der BETREIBER ist berechtigt, diese NUTZUNGSBEDINGUNGEN jederzeit zu ändern. Der BETREIBER wird den NUTZER über solche Änderungen informieren, indem er die geänderten NUTZUNGSBEDINGUNGEN auf seiner Website unter zur Einsicht zur Verfügung stellt. Der NUTZER hat das Recht, den Änderungen zu widersprechen. Widerspricht der NUTZER nicht innerhalb von 21 Tagen nach der Benachrichtigung über die Änderungen, ist von einer stillschweigenden Zustimmung zu den geänderten NUTZUNGSBEDINGUNGEN auszugehen. Der BETREIBER wird den NUTZER auf diese Rechtsfolgen hinweisen.
9.2. Der BETREIBER behält sich vor, künftig kostenpflichtige Funktionen oder Pakete einzuführen. Die Einführung von Zahlungsmodellen wird dem NUTZER mindestens 60 Tage im Voraus per EMail angekündigt. Bestehende kostenlose Grundfunktionen bleiben davon unberührt, sofern nicht gesondert und mit angemessener Frist angekündigt.
9.3. Für kostenpflichtige Leistungen gilt die zum Zeitpunkt des Vertragsschlusses kommunizierte Preisliste. Preisänderungen werden mit 60 Tagen Vorlauf angekündigt.
10.1. Die Weitergabe von Daten und Informationen an einen bestimmten Geschäftspartner ist nur in dem Umfang zulässig, wie dies zur Erfüllung der vertraglichen Verpflichtungen, gesetzlicher Verpflichtungen und zur Wahrung berechtigter Interessen erforderlich ist (vgl. Art 6 (1) lit b, c und lit f DSGVO). Gegebenenfalls erfolgt eine Datenverarbeitung auf Basis einer Einwilligung (Art 6 Abs 1 lit a DSGVO).
10.2. Nähere Informationen zur Verarbeitung von Daten können der Datenschutzerklärung entnommen werden.
10.3. Der BETREIBER weist darauf hin, dass Daten des NUTZERs zu Werbezwecken auf Grundlage berechtigter Interessen (Art 6 Abs 1 lit f DSGVO) verarbeitet werden können. Der NUTZER kann dieser Form der Datenverarbeitung jederzeit widersprechen (Art 21 Abs 2 DSGVO).
10.4. Der BETREIBER ist berechtigt, aus aggregierten und anonymisierten Nutzungsmustern gewonnene Erkenntnisse (Methoden-Verbesserungen) weiterzuentwickeln. Diese Berechtigung erstreckt sich ausdrücklich nicht auf identifizierbare (personenbezogene) Nutzerdaten.
10.5. Nachdem der BETREIBER im Zuge der Bereitstellung von reflectbymarora personenbezogene Daten im Auftrag des NUTZERs verarbeiten, schließe die Vertragsparteien beigeschlossenen Auftragsverarbeitervertrag nach Art 28 DSGVO ab. Dieser Auftragsverarbeitervertrag bildet einen integralen Bestandteil dieser Nutzungsbedingungen und gilt mit deren Abschluss als wirksam vereinbart.
11.1. Hat der BETREIBER begründeten Anlass zu der Vermutung, dass der NUTZER reflectbymarora in rechtswidriger oder unangemessener Weise nutzt, ist der BETREIBER berechtigt, den Zugang reflectbymarora unverzüglich und ohne vorherige Ankündigung zu sperren. Die Möglichkeit weiterer rechtlicher Schritte bleibt von einer solchen Sperrung unberührt.
12.1. Das Vertragsverhältnis unterliegt österreichischem Recht und es ist österreichisches Recht vereinbart. Die Anwendung des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (UN-Kaufrecht) sowie von Verweisungsnormen ist ausgeschlossen. Diese Rechtswahl darf jedoch nicht dazu führen, dass dem Verbraucher der Schutz entzogen wird, den ihm die zwingenden Regelungen seines Aufenthaltsstaats gewähren (vgl Art 6 Abs 2 Rom I-VO).
12.2. Ausschließlicher Gerichtsstand ist das sachlich zuständige Gericht in Wien (1. Bezirk), Österreich.
12.3. Wenn der NUTZER Verbraucher ist und im Inland seinen Wohnsitz oder seinen ständigen Aufenthalt hat oder im Inland beschäftigt ist, so kann der NUTZER davon abweichend nur vor jenen Gerichten geklagt werden, in deren Sprengel sein Wohnsitz, sein gewöhnlicher Aufenthalt oder sein Ort der Beschäftigung liegt.
12.4. Erfüllungsort ist der Sitz des BETREIBERS.
13.1. reflectbymarora enthält KI-basierte Funktionen (in der Folge "KI-FUNKTIONEN"), wozu der BETREIBER auf KI-Modelle (in der Folge "KI-MODELL") oder KI-Systeme (in der Folge "KI-SYSTEME") Dritter zurückgreift. Durch die Aktivierung und Nutzung dieser KI-FUNKTIONEN akzeptiert der NUTZER, dass von ihm in reflectbymarora eingegebene Daten im KI-MODELL verarbeitet werden. Die Nutzung der KI-MODELLE erfolgt in eigener Verantwortung des NUTZERs.
13.2. Der NUTZER nimmt zur Kenntnis, dass der BETREIBER keine Ansprüche, Garantien, Zusagen oder Zusicherungen in Bezug auf die Qualität und Genauigkeit der KI-FUNKTIONEN abgegeben kann. Der NUTZER nimmt weiters zur Kenntnis, dass der Output (Ergebnisse oder Antworten) von reflectbymarora nicht immer genau, vollständig, korrekt oder angemessen ist. Es liegt in der alleinigen Verantwortung des NUTZERs, den Output durch einen Menschen zu überprüfen.
13.3. Der BETREIBER macht ausdrücklich darauf aufmerksam, dass keine besonders schützenswerten personenbezogenen Daten (insbesondere Gesundheitsdaten nach Art 9 DSGVO), Geschäftsgeheimnisse oder urheberrechtlich bzw. immaterialgüterrechtlich geschützte Inhalte in reflectbymarora eingegeben werden sollten.
13.4. Der BETREIBER macht ausdrücklich darauf aufmerksam, dass der NUTZER bei Anwendung von KI-FUNKTIONEN über die erforderliche KI-Kompetenz im Sinne des Art 4 KI-VO verfügen muss.
13.5. Der BETREIBER macht ausdrücklich darauf aufmerksam, dass Outputs/Ausgaben von KI-FUNKTIONEN niemals als alleinige Entscheidungsgrundlage herangezogen werden dürfen. Jeder Output muss durch einen Menschen kritisch hinterfragt werden.
13.6. Der BETREIBER informiert im Sinne des Art 50 Abs 2 KI-VO darüber, dass die mit reflectbymarora generierten synthetischen Daten mit KI generiert werden können.
("AVV") nach Art 28 DSGVO
1.1. [Vertragsparteien]
Dieser Vertrag wird zwischen NUTZER (im Folgenden mit "Verantwortlicher" bezeichnet) einerseits und dem BETREIBER (im Folgenden mit "Auftragsverarbeiter" bezeichnet) andererseits abgeschlossen.
1.2. [Definitionen]
AUFTRAGSVERARBEITER bezeichnet einen Auftragsverarbeiter im Sinne des Art 4 Z 8 Datenschutz-Grundverordnung.
DATEN bezeichnet personenbezogene Daten im Sinne des Art 4 Z 1 der Datenschutz-Grundverordnung.
DSGVO bezeichnet die Datenschutz-Grundverordnung in der jeweils geltenden Fassung.
VERANTWORTLICHER bezeichnet einen Verantwortlichen im Sinne des Art 4 Z 7 Datenschutz-Grundverordnung.
Die VERTRAGSPARTEIEN umfassen den NUTZER und den BETREIBER.
SUBAUFTRAGSVERARBEITER bezeichnet einen weiteren Auftragsverarbeiter, dessen Dienste der AUFTRAGSVERARBEITER in Anspruch nimmt, um bestimmte Verarbeitungstätigkeiten auszuführen.
2.1. [Gegenstand, Dauer, Art und Zweck der Verarbeitung (Art 28 Abs 3 DSGVO)]
Dieser Vertrag wird auf unbestimmte Zeit abgeschlossen. Er endet, sobald der IT-Unterstützungsvertrag zwischen den Parteien endet. Der Gegenstand und die Art dieses AVV kann wie folgt beschrieben werden: Bereitstellung von reflectbymarora.
2.2. [Art der personenbezogenen Daten und Kategorien der betroffenen Personen (Art 28 Abs 3 DSGVO)]
Im Zuge der gegenständlichen Auftragsverarbeitung werden folgende Arten von DATEN von NUTZERN verarbeitet:
Account-Daten: E-Mail-Adresse, Passwort, Account- und Registrierungsdaten, technische Account-Metadaten. Die Bereitstellung dieser Daten ist erforderlich, um ein Nutzerkonto einzurichten und den Dienst bereitzustellen.
Chat- und Reflexionsdaten: Chat-Nachrichten, KI-Antworten, Gesprächsverläufe, Gesprächsmetadaten. Diese Daten werden verarbeitet, damit der NUTZER den Dienst nutzen, auf frühere Gespräche zugreifen und den Gesprächsverlauf im Account speichern kann.
User Memory (optionale Funktion): reflect by marora bietet optional eine User-Memory-Funktion an. Diese Funktion kann aus Gesprächen abgeleitete Muster, Erkenntnisse und Zusammenfassungen speichern, um spätere Interaktionen kontextbezogen zu unterstützen. Die Funktion ist freiwillig und standardmäßig deaktiviert. Soweit im Rahmen dieser Funktion besondere Kategorien personenbezogener Daten verarbeitet werden können, etwa gesundheitsbezogene Inhalte, erfolgt dies ausschließlich auf Grundlage der ausdrücklichen Einwilligung. Ohne Aktivierung der Funktion werden keine sitzungsübergreifenden Memory-Daten gespeichert.
Technische Daten: IP-Adresse, Datum und Uhrzeit des Zugriffs, Browsertyp und Browserversion, Betriebssystem, technische Request- und Logdaten, sicherheitsrelevante Ereignisdaten. Darüber hinaus führt der BETREIBER Audit-Logs, in denen sicherheitsrelevante Aktionen protokolliert werden, insbesondere Anmeldeversuche, Zugriffe auf Daten und Sicherheitsereignisse. Diese Protokolle enthalten technische Daten wie IP-Adressen und Zeitstempel und dienen der Missbrauchserkennung, Fehlerbehebung und IT-Sicherheit. Diese Daten dienen der Bereitstellung, Stabilität, Sicherheit und Fehlerbehebung.
2.3. [Verarbeitung nur auf dokumentierte Weisung (Art 28 Abs 3 lit a DSGVO)]
Der AUFTRAGSVERARBEITER wird DATEN nur auf dokumentierte Weisung des VERANTWORTLICHEN im Rahmen der getroffenen Vereinbarung -- auch in Bezug auf die Übermittlung von DATEN an ein Drittland oder eine internationale Organisation -- verarbeiten, sofern er nicht durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der AUFTRAGSVERARBEITER unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der AUFTRAGSVERARBEITER dem VERANTWORTLICHEN diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2.4. [Verpflichtung zur Vertraulichkeit (Art 28 Abs 3 lit b DSGVO)]
Der AUFTRAGSVERARBEITER gewährleistet, dass sich die zur Verarbeitung der DATEN befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen. Diese Verpflichtung gilt auch über das Vertragsverhältnis hinaus.
2.5. [Verpflichtung zur Umsetzung der erforderlichen Maßnahmen (Art 28 Abs 3 lit c DSGVO)]
Der AUFTRAGSVERARBEITER gewährleistet, alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen zu ergreifen. Der Datenschutzerklärung können die technischen oder organisatorischen Maßnahmen entnommen werden.
2.6. [Unterstützungspflichten (Art 28 Abs 3 lit e DSGVO)]
Der AUFTRAGSVERARBEITER wird den VERANTWORTLICHEN angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen. Auskünfte an Dritte bzw betroffene Personen erteilt der AUFTRAGSVERARBEITER dabei ausschließlich auf Weisung des VERANTWORTLICHEN.
2.7. [Informationspflichten (Art 28 Abs 3 lit f DSGVO)]
Der AUFTRAGSVERARBEITER wird den VERANTWORTLICHEN unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden technischen Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterstützen.
2.8. [Rückgabe oder Löschung der Daten (Art 28 Abs 3 lit g DSGVO)]
Der AUFTRAGSVERARBEITER wird nach Abschluss der Erbringung der Verarbeitungsleistung alle DATEN nach Wahl des VERANTWORTLICHEN entweder löschen oder zurückgeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der DATEN besteht.
2.9. [Möglichkeit der Überprüfung (Art 28 Abs 3 lit h DSGVO)]
Der AUFTRAGSVERARBEITER wird dem VERANTWORTLICHEN alle erforderlichen Informationen zum Nachweis der Einhaltung der im Art 28 DSGVO niedergelegten Pflichten zur Verfügung stellen und Überprüfungen -- einschließlich Inspektionen --, die vom VERANTWORTLICHEN oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und dazu beitragen.
2.10. [Informationspflicht bei Datenschutzverstoß (Art 28 Abs 3 lit h DSGVO)]
Der AUFTRAGSVERARBEITER wird den VERANTWORTLICHEN unverzüglich darüber informieren, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder Mitgliedstaaten verstößt.
2.11. [Inanspruchnahme von Subauftragsverarbeitern (Art 28 Abs 4 DSGVO)]
Nimmt der AUFTRAGSVERARBEITER die Dienste eines weiteren Auftragsverarbeiters (im Folgenden: SUBAUFTRAGSVERARBEITER) in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des VERANTWORTLICHEN auszuführen, so werden diesem SUBAUFTRAGSVERARBEITER im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der betreffenden Mitgliedstaaten dieselben Datenschutzpflichten auferlegt, die in einem Vertrag oder anderen Rechtsinstrumenten zwischen dem VERANTWORTLICHEN und dem AUFTRAGSVERARBEITER festgelegt sind. Dabei müssen insbesondere hinreichende Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der SUBAUFTRAGSVERARBEITER seinen Datenschutzpflichten nicht nach, so haftet der AUFTRAGSVERARBEITER gegenüber dem VERANTWORTLICHEN für die Einhaltung der Pflichten jenes SUBAUFTRAGSVERARBEITERS.
Derzeit setzt der AUFTRAGSVERARBEITER folgende SUBAUFTRAGSVERARBEITER ein: Siehe Anhang Aa.
Der VERANTWORTLICHE ist mit der Heranziehung der genannten SUBAUFTRAGSVERARBEITER einverstanden. Der VERANTWORTLICHE erteilt eine allgemeine Genehmigung, dass der AUFTRAGSVERARBEITER andere SUBAUFTRAGSVERARBEITER hinzuziehen darf. Der AUFTRAGSVERARBEITER hat den VERANTWORTLICHEN jedoch immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer SUBAUFTRAGSVERARBEITER zu informieren. Der VERANTWORTLICHE hat das Recht, gegen derartige Änderungen Einspruch binnen 14 Tagen zu erheben (Art 28 Abs 2 DSGVO), widrigenfalls von einer Zustimmung ausgegangen wird. Der AUFTRAGSVERARBEITER verpflichtet sich, dass die in Art 28 Abs 2 und 4 DSGVO genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren SUBAUFTRAGSVERARBEITER eingehalten werden (Art 28 Abs 3 lit d DSGVO).
3.1. [Kosten der Mitwirkung]
Dem AUFTRAGSVERARBEITER steht für die Mitwirkung der gesetzlich und vertraglichen Mitwirkungsleistungen (insbesondere im Zuge eines Audits oder der Wahrnehmung der Betroffenenrechte) ein separater Kostenersatzanspruch zu. Ein Kostenersatzanspruch besteht jedoch nicht, wenn der Aufwand in diesem Zusammenhang sehr gering ist (Aufwand von unter 1/4 Stunde im Monat).
Die angeführten Anhänge bilden einen integralen Bestandteil des AVV und gelten als wirksam vereinbart:
| Subauftragsverarbeiter | Zweck der Datenverarbeitung | Rechtsgrundlage | Sitz des Sub-AV | Drittlandtransfer |
|---|---|---|---|---|
| Anthropic PBC | Generierung von KI-Antworten. Zur Generierung von Antworten werden Eingaben über eine verschlüsselte Verbindung an Dienste von Anthropic übermittelt. | Vertragliche Notwendigkeit (Art 6 Abs 1 lit b DSGVO) | USA | Standarddatenschutzklauseln nach Art 46 Abs 2 lit c DSGVO |
| Google Gemini (Google LLC) | Zur semantischen Verarbeitung und kontextbezogenen Unterstützung können Textabschnitte in numerische Vektoren umgewandelt werden. | Vertragliche Notwendigkeit (Art 6 Abs 1 lit b DSGVO) | USA | Google LLC ist unter dem EU-US Data Privacy Framework gelistet |
| Vercel Inc | Hosting der Website | Vertragliche Notwendigkeit (Art 6 Abs 1 lit b DSGVO) | USA | Vercel Inc ist unter dem EU-US Data Privacy Framework gelistet |
| Railway Corporation | Das Backend wird bei Railway gehostet. Die Server befinden sich in der EU (Amsterdam, Niederlande). | Vertragliche Notwendigkeit (Art 6 Abs 1 lit b DSGVO) | USA | Railway Corporation ist unter dem EU-US Data Privacy Framework gelistet |
| Supabase, Inc | Für Datenbank- und Authentifizierungsfunktionen verwenden wir Supabase. | Überwiegend berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) | Singapur | Standarddatenschutzklauseln nach Art 46 Abs 2 lit c DSGVO |
| Qdrant Solutions GmbH | Für semantische Such- und Kontextfunktionen nutzen wir Qdrant. | Überwiegend berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) | Deutschland | Innerhalb der EU |
| Resend (Plus Five Five Inc) | Für den Versand transaktionaler E-Mails (insbesondere Registrierungsbestätigungen und Passwort-Zurücksetzungen) wird Resend als Sub-Auftragsverarbeiter von Supabase eingesetzt. | Überwiegend berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) | USA | Resend ist unter dem EU-US Data Privacy Framework gelistet (allerdings nur hinsichtlich Non-Hr-Data) |