AVV

Die AVV-Seite beschreibt die Auftragsverarbeitung fuer End-User-Daten, Unterauftragsverarbeiter, technische Massnahmen und Meldepflichten.

Canonical route: https://teydralab.com/data-processing-agreement

Related deep links: / /pricing /terms-of-service /privacy-policy /impressum

Aktive Hinweisleiste unter dem Hauptheader.

Hinweis 1: Wir sind aktuell in der Testphase

Anzeigedauer Hinweis 1: 3000 ms.

Hinweis 2: −75 % Testphase-Rabatt

Anzeigedauer Hinweis 2: 3000 ms.

Hinweis 3: Wie Vorbestellen – nur sofort verfügbar

Anzeigedauer Hinweis 3: 4000 ms.

Hinweis 4: −30 % extra mit Code EARLY30

Anzeigedauer Hinweis 4: 4000 ms.

Hinweis 5: Nur für die ersten 3 Kunden

Anzeigedauer Hinweis 5: 3000 ms.

Rabatt aktiv: Ja.

Alter Preis: € 949.

Neuer aktueller Preis: € 237.

Rabatt-Label: -75%.

Preislogik: alter Preis € 949, neuer Preis € 237.

AVV | Teydra Lab

Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO – Stand: April 2026

1. Vertragsparteien

Verantwortlicher (Auftraggeber):

Der Kunde, der die SaaS-Plattform Teydra Lab nutzt und über seinen Chatbot personenbezogene Daten von End-Usern verarbeitet.

Auftragsverarbeiter (Auftragnehmer):

Meral Anna Hees (Teydra Lab)

Magazinstraße 4, TOP 5

5020 Salzburg, Österreich

E-Mail:

official@teydralab.com

2. Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten von End-Usern, die mit dem vom Kunden konfigurierten KI-Chatbot interagieren. Die Verarbeitung dient der Bereitstellung der Chatbot-Funktionalität gemäß der Konfiguration des Kunden im Dashboard.

2.2 Dauer

Die Verarbeitung erfolgt für die Dauer der Vertragslaufzeit (Nutzung der Plattform). Bei Account-Löschung werden alle Daten kaskadiert gelöscht.

2.3 Art der Daten

Chat-Nachrichten (Fragen und Antworten der End-User)

Freiwillige Angaben der End-User im Chat (z. B. Name, E-Mail über Datenabfragen)

Antworten aus strukturierten Datenabfragen (Data Queries)

Technische Metadaten (Konversations-ID, Zeitstempel, erkannte Sprache)

2.4 Betroffene Personen

End-User, die mit dem eingebetteten Chatbot des Kunden interagieren.

3. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu:

Dienstleister

Sitz

Server

Zweck

Transfer

Supabase, Inc.

USA

Frankfurt, DE

DB, Auth, Edge Functions

DPA mit SCCs

OpenAI, Inc.

KI-Chat, Text-Tools

EU-US DPF + SCCs

Google LLC (Gemini, APIs)

KI-Chat, Website-Extraktion, Google Docs/Sheets-Import, Kalender-Anbindung

Perplexity AI, Inc.

Such-augmentierter KI-Chat

SCCs

OpenRouter, Inc.

Demo + Config-Assistent

Groq, Inc.

Audio-Transkription

Stripe, Inc.

Zahlungsabwicklung

EmailJS (Marosys)

Singapur

E-Mail-Versand

Web Cats UAB (DetectLanguage)

Litauen

EU

Spracherkennung

EU-intern (DSGVO)

a9t9 software GmbH (OCR.Space)

Deutschland

EU (DE, FR, FI)

Texterkennung

Bei Änderungen der Unterauftragsverarbeiter wird der Verantwortliche mindestens 30 Tage im Voraus informiert. Der Verantwortliche hat das Recht, gegen den Einsatz neuer Unterauftragsverarbeiter Einspruch zu erheben.

4. KI-Modellwechsel-Klausel

Der Verantwortliche wählt den KI-Provider (OpenAI, Google Gemini oder Perplexity) im Dashboard. Diese Auswahl gilt als Weisung im Sinne von Art. 28 Abs. 3 lit. a DSGVO.

Ein Provider-Wechsel wirkt sofort für neue Chat-Interaktionen

Die Widget-Datenschutzerklärung aktualisiert sich automatisch mit dem aktiven Provider

End-User müssen der aktualisierten Datenschutzerklärung erneut zustimmen (automatische Re-Consent-Logik)

Bereits laufende Konversationen werden nicht rückwirkend umgestellt

5. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter gewährleistet folgende Schutzmaßnahmen gemäß Art. 32 DSGVO:

5.1 Verschlüsselung

TLS/HTTPS-Verschlüsselung für alle Datenübertragungen

At-Rest-Verschlüsselung der Supabase-Datenbank

5.2 Zugriffskontrolle

Row-Level Security (RLS) in Supabase für nutzerbasierte Datenisolierung

Service Role Keys nur in serverseitigen Edge Functions

Keine direkten Datenbankzugriffe durch Frontend-Clients

5.3 Authentifizierung

Supabase Auth mit E-Mail-Verifizierung

Passwörter werden ausschließlich als kryptografischer Hash gespeichert

5.4 Datenminimierung

Automatische Löschung von Konversationsdaten nach 30 Tagen

Spracherkennung: maximal 500 Zeichen pro Anfrage an DetectLanguage.com

IP-Adressen werden serverseitig durch Supabase verarbeitet und nicht dauerhaft in identifizierbarer Form gespeichert

5.5 Pseudonymisierung

UUIDs für Chatbots und Konversationen (kein Klartextbezug zu natürlichen Personen)

5.6 Datensicherung

Automatische Backups durch Supabase (tägliche Snapshots mit Point-in-Time Recovery)

Backups werden verschlüsselt in der Region Frankfurt (Deutschland) gespeichert

5.7 Netzwerksicherheit

CORS-Einschränkungen auf die Domain teydralab.com

API-Schlüssel in Umgebungsvariablen, nicht im Quellcode

6. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen ergeben sich aus:

Der Konfiguration im Dashboard (Provider-Wahl, Wissensbasis, Automatisierungen)

Diesem AVV

Individuellen schriftlichen Weisungen per E-Mail

Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, wird er den Verantwortlichen unverzüglich darauf hinweisen.

7. Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass alle mit der Verarbeitung personenbezogener Daten betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

Diese Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

8. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit bei:

Der Beantwortung von Anfragen betroffener Personen gemäß Art. 15–22 DSGVO (Art. 28 Abs. 3 lit. e DSGVO)

Der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) und vorherigen Konsultationen der Aufsichtsbehörde gemäß Art. 35–36 DSGVO (Art. 28 Abs. 3 lit. f DSGVO)

Der Auftragsverarbeiter stellt hierfür die technisch verfügbaren Informationen und Exportfunktionen bereit. Der Datenexport erfolgt im JSON-Format über die bereitgestellte Export-Funktion im Dashboard.

9. Löschung & Rückgabe

Account-Löschung:

Alle zugehörigen Daten (Chatbot-Konfiguration, Wissensbasis, Konversationen, Token-Guthaben, Einstellungen) werden kaskadiert gelöscht (d. h. durch Fremdschlüsselbeziehungen in der Datenbank werden alle abhängigen Datensätze automatisch mitgelöscht)

Konversationsdaten:

Automatische Löschung nach 30 Tagen

Datenexport:

Vor einer Account-Löschung kann der Verantwortliche seine Daten über die bereitgestellte Export-Funktion im JSON-Format herunterladen (Art. 20 DSGVO)

Nach Vertragsende und Ablauf eventueller Aufbewahrungsfristen werden alle personenbezogenen Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

10. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Dies kann erfolgen durch:

Einsicht in Dokumentationen und Nachweise

Schriftliche Auskunftsersuchen

Vor-Ort-Prüfungen nach angemessener Vorankündigung (mindestens 14 Tage)

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

Vor-Ort-Prüfungen sind auf maximal eine Prüfung pro Kalenderjahr beschränkt. Die Kosten einer Vor-Ort-Prüfung (insbesondere Reise-, Personal- und Beratungskosten) trägt der Verantwortliche, sofern die Prüfung keine Verstöße des Auftragsverarbeiters offenlegt.

11. Meldepflichten bei Datenpanne

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von

48 Stunden

, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung enthält:

Art der Datenpanne

Betroffene Datenkategorien und ungefähre Anzahl der Betroffenen

Wahrscheinliche Folgen

Ergriffene und vorgeschlagene Maßnahmen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde und den Betroffenen.

Datenpannen bei Unterauftragsverarbeitern:

Wird dem Auftragsverarbeiter eine Datenpanne bei einem Unterauftragsverarbeiter (z. B. OpenAI, Google, Stripe) bekannt, informiert er den Verantwortlichen unverzüglich und leitet alle verfügbaren Informationen des Unterauftragsverarbeiters weiter. Der Auftragsverarbeiter wirkt auf den Unterauftragsverarbeiter ein, um die Ursache zu beheben und weitere Datenpannen zu verhindern.

12. Datenschutzbeauftragter & Kontakt

Der Auftragsverarbeiter ist als Einzelunternehmen nicht zur Benennung eines Datenschutzbeauftragten verpflichtet.

Ansprechpartner für Datenschutzangelegenheiten:

Zuständige Aufsichtsbehörde:

Österreichische Datenschutzbehörde

Barichgasse 40–42, 1030 Wien

www.dsb.gv.at