Dieser Auftragsverarbeitungsvertrag ("DPA") ist Bestandteil der Vereinbarung zwischen dem Kunden und Vilulia LLC ("Vilulia") über die Dienste. Dieser DPA gilt für personenbezogene Daten, die Vilulia im Auftrag des Kunden im Zusammenhang mit den Diensten verarbeitet. Bei Widersprüchen zwischen diesem DPA und den Nutzungsbedingungen oder einem Bestellformular hat dieser DPA in Bezug auf Datenschutzangelegenheiten Vorrang.

1. Definitionen

"Personenbezogene Daten" bezeichnet Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. "Verarbeitung" bezeichnet jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird. "Verantwortlicher" und "Auftragsverarbeiter" haben die Bedeutungen, die ihnen nach geltendem Datenschutzrecht (z.B. DSGVO) zugewiesen werden.

2. Rollen

Der Kunde ist der Verantwortliche für personenbezogene Daten und Vilulia ist der Auftragsverarbeiter, soweit Vilulia personenbezogene Daten im Auftrag des Kunden verarbeitet. Vilulia kann als Verantwortlicher für Kontoverwaltung, Abrechnung, Sicherheit und Marketingkommunikation an Kundenkontakte handeln.

3. Umfang der Verarbeitung

3.1 Gegenstand und Dauer

Der Gegenstand ist die Bereitstellung der Dienste. Die Verarbeitung dauert für die Laufzeit der Dienste und soweit erforderlich zur Erfüllung rechtlicher und betrieblicher Anforderungen an.

3.2 Art und Zweck

Die Verarbeitung umfasst das Hosten, Speichern, Übermitteln, Analysieren und anderweitige Verarbeiten personenbezogener Daten, soweit dies zur Bereitstellung, Sicherung und Unterstützung der Dienste erforderlich ist, einschließlich KI-gestützter Funktionalitäten, die vom Kunden angefordert werden.

3.3 Kategorien von Daten und betroffenen Personen

Betroffene Personen: Autorisierte Benutzer des Kunden; Streitparteien; Antragsteller; Zeugen; und andere Personen, deren Daten der Kunde übermittelt.
Personenbezogene Daten: Kennungen, Kontaktinformationen, Kommunikation, Dokumente, Falldaten und zugehörige Metadaten, wie vom Kunden übermittelt.
Sensible Daten: Der Kunde entscheidet, ob er sensible Daten übermittelt; sofern übermittelt, werden diese ausschließlich zur Bereitstellung der Dienste verarbeitet.

4. Weisungen des Kunden

Vilulia verarbeitet personenbezogene Daten nur auf dokumentierte Weisungen des Kunden, einschließlich soweit erforderlich zur Bereitstellung der Dienste. Der Kunde weist Vilulia an, personenbezogene Daten zu verarbeiten, soweit dies zur Bereitstellung der Dienste, zur Aufrechterhaltung der Sicherheit und zur Einhaltung des Rechts erforderlich ist. Der Kunde ist dafür verantwortlich, dass er über eine rechtmäßige Grundlage für die Verarbeitung und Weitergabe personenbezogener Daten an Vilulia verfügt.

5. Vertraulichkeit

Vilulia stellt sicher, dass zur Verarbeitung personenbezogener Daten befugte Personen Vertraulichkeitspflichten unterliegen. Mitarbeiter und Auftragnehmer von Vilulia, die Zugang zu personenbezogenen Daten haben, sind an Vertraulichkeitspflichten gebunden und werden in Datenschutzanforderungen geschult.

6. Sicherheitsmaßnahmen

Vilulia wird angemessene technische und organisatorische Maßnahmen treffen, die darauf ausgelegt sind, personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen.

6.1 Mindestmaßnahmen (beispielhaft)

Verschlüsselung bei der Übertragung (TLS) und im Ruhezustand (AES-256, wo unterstützt und konfiguriert).
Zugriffskontrollen, rollenbasierte Autorisierung und Multi-Faktor-Authentifizierungsoptionen.
Protokollierung und Überwachung (einschließlich Audit-Protokollierung für sensible Arbeitsabläufe).
Sichere Softwareentwicklungspraktiken und Schwachstellenmanagement.
Backup- und Notfallwiederherstellungsverfahren.
Regelmäßige Überprüfung und Tests von Sicherheitsmaßnahmen.

7. Unterauftragsverarbeiter

Der Kunde genehmigt Vilulia, die nachstehend aufgeführten Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten für die Dienste einzusetzen. Vilulia wird Unterauftragsverarbeitern Datenschutzverpflichtungen auferlegen, die mindestens ebenso schützend sind wie dieser DPA.

Vilulia wird den Kunden angemessen im Voraus über jede wesentliche Änderung dieser Unterauftragsverarbeiterliste informieren (z.B. die Hinzufügung eines neuen Unterauftragsverarbeiters, der Zugang zu personenbezogenen Daten haben wird), durch eine In-Produkt-Benachrichtigung oder E-Mail. Soweit nach geltendem Recht erforderlich, kann der Kunde der Einbeziehung eines neuen Unterauftragsverarbeiters aus berechtigten datenschutzbezogenen Gründen innerhalb von dreißig (30) Tagen nach der Aktualisierung schriftlich widersprechen; die Parteien werden nach Treu und Glauben eine Lösung anstreben.

7.1 Genehmigte Unterauftragsverarbeiter

Letzte Aktualisierung: March 20, 2026

Unterauftragsverarbeiter	Zweck	Standort
Amazon Web Services (AWS)	Cloud-Infrastruktur, Hosting, Speicherung, Datenbank-, Rechen- und Sicherheitsdienste (einschließlich RDS, ECS, S3, ElastiCache, Cognito, Bedrock, CloudFront, KMS, GuardDuty)	Vereinigte Staaten (us-east-1)
Stripe	Zahlungsabwicklung, Abonnementabrechnung und Stripe Connect für Vergleichszahlungen	Vereinigte Staaten
Postmark (ActiveCampaign)	Transaktionale E-Mail-Zustellung (Benachrichtigungen, Kontokommunikation)	Vereinigte Staaten
Twilio	SMS-Benachrichtigungen (optionale Zusatzleistung)	Vereinigte Staaten
Daily.co	Videokonferenz-Integration (optionale Zusatzleistung)	Vereinigte Staaten
DocuSign	Elektronische Signaturdienste für Vereinbarungen und Schiedssprüche	Vereinigte Staaten
Sentry	Fehlerüberwachung und Diagnose	Vereinigte Staaten
AWS Bedrock / OpenAI / Google / xAI	KI-Modellinferenz für KI-gestützte Funktionen (nur zur Verarbeitung von Anfragen autorisierter Benutzer; Kundeninhalte werden nicht für das Modelltraining verwendet)	Vereinigte Staaten

Als optionale Zusatzleistungen aufgeführte Integrationen (Twilio, Daily.co, DocuSign) werden nur aktiviert, wenn die entsprechende Funktion vom Kunden eingeschaltet wird. Vom Kunden direkt konfigurierte Drittanbieter-Integrationen (wie Google Calendar, Outlook, Salesforce, Slack oder QuickBooks) sind keine Unterauftragsverarbeiter von Vilulia; die Vereinbarung des Kunden mit diesen Anbietern regelt deren Datenverarbeitung.

8. Unterstützung des Kunden

Unter Berücksichtigung der Art der Verarbeitung wird Vilulia den Kunden angemessen unterstützen, um Anfragen betroffener Personen zu beantworten und Verpflichtungen nach geltendem Datenschutzrecht (einschließlich DSGVO) zu erfüllen, soweit erforderlich und vernünftigerweise durchführbar. Vilulia wird auf angemessene Unterstützungsanfragen innerhalb von dreißig (30) Tagen nach Eingang antworten.

9. Verletzung des Schutzes personenbezogener Daten

Vilulia wird den Kunden unverzüglich — und spätestens 72 Stunden — nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die im Rahmen dieses DPA verarbeitete personenbezogene Daten betrifft, benachrichtigen. Die Benachrichtigung wird, soweit bekannt, Folgendes umfassen: die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung. Vilulia wird zusätzliche Informationen bereitstellen, die vom Kunden vernünftigerweise angefordert werden, um die Einhaltung der Meldepflichten bei Datenschutzverletzungen zu unterstützen.

10. Datenrückgabe und Löschung

Nach Beendigung der Dienste wird Vilulia personenbezogene Daten gemäß den Möglichkeiten der Dienste und den vertraglichen Bedingungen des Kunden löschen oder zurückgeben, es sei denn, eine Aufbewahrung ist gesetzlich vorgeschrieben. Die Löschung von Backups folgt normalen Aufbewahrungszyklen. Auf Anfrage wird Vilulia schriftlich bestätigen, dass die Löschung abgeschlossen wurde.

11. Internationale Übermittlungen; SCCs

Wenn personenbezogene Daten aus dem EWR/Vereinigten Königreich/der Schweiz in ein Land übermittelt werden, das nicht als angemessenes Schutzniveau anerkannt ist, werden die Parteien auf geeignete Übermittlungsmechanismen zurückgreifen. Soweit anwendbar, nehmen die Parteien die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission) wie folgt auf: Modul Zwei (Verantwortlicher an Auftragsverarbeiter), wobei der Kunde als "Datenexporteur" und Vilulia als "Datenimporteur" fungiert. Für Übermittlungen aus dem Vereinigten Königreich verwenden die Parteien den UK-Nachtrag zu den EU-SCCs oder einen anderen gültigen UK-Übermittlungsmechanismus, soweit anwendbar.

Wenn die SCCs gelten, werden die Parteien die relevanten Angaben (zum Beispiel: Angaben zu Anhang I/II und die zuständige Aufsichtsbehörde) in einem Bestellformular oder einem anderen schriftlichen Nachtrag nach Bedarf ergänzen.

12. Audit

Vilulia wird die zur Nachweisführung der Einhaltung dieses DPA vernünftigerweise erforderlichen Informationen zur Verfügung stellen und Audits ermöglichen, soweit gesetzlich vorgeschrieben und unter angemessenen Vertraulichkeits-, Sicherheits- und Terminierungsbeschränkungen. Vilulia kann Auditanfragen durch Berichte Dritter (z.B. SOC 2) erfüllen, soweit angemessen. Auditanfragen müssen schriftlich mit angemessener Vorankündigung eingereicht werden, und jedes Audit wird auf Kosten des Kunden durchgeführt, es sei denn, ein wesentlicher Verstoß durch Vilulia wird bestätigt.

13. Ausschluss des KI-Trainings

Vilulia verwendet Kundeninhalte nicht zum Trainieren von KI-Modellen. Kundeninhalte werden von KI-Funktionen ausschließlich zur Bereitstellung dieser Funktionen für den Kunden verarbeitet. Sie werden niemals an KI-Anbieter zum Training, Fine-Tuning oder zur Evaluierung allgemeiner Modelle weitergegeben.

Aggregierte und de-identifizierte Metriken (wie Latenz, Fehlerquoten und Funktionsnutzungsstatistiken, die nicht einem bestimmten Kunden oder Fall zugeordnet werden können) können zur Verbesserung der Plattformleistung und Sicherheit verwendet werden.

14. Anwendbares Recht

Dieser DPA unterliegt dem Recht des Commonwealth of Virginia, soweit nicht durch geltendes Datenschutzrecht verdrängt.

Auftragsverarbeitungsvertrag (DPA)