Aktive Hinweisleiste oberhalb des Hauptheaders.
Hinweis 1: Früher Zugang: Teydra Lab wird laufend erweitert.
Farben Hinweis 1: Text #e8f2ff, Verlauf links #102340, Verlauf mitte #1f5fbc, Verlauf rechts #0b1730.
Anzeigedauer Hinweis 1: 5500 ms.
Hinweis 2: Bereits nutzbar, mit sichtbaren Verbesserungen in kurzen Zyklen.
Farben Hinweis 2: Text #fef3c7, Verlauf links #1f2947, Verlauf mitte #9a3412, Verlauf rechts #3b1f1f.
Anzeigedauer Hinweis 2: 5000 ms.
Hinweis 3: Einführungspreis für Kundinnen und Kunden der frühen Phase.
Farben Hinweis 3: Text #d9f99d, Verlauf links #11263b, Verlauf mitte #166534, Verlauf rechts #152b42.
Anzeigedauer Hinweis 3: 6000 ms.
Hinweis 4: Ideal für Teams, die früh starten und Entwicklung aktiv mitnehmen.
Farben Hinweis 4: Text #fde68a, Verlauf links #22163b, Verlauf mitte #7c3aed, Verlauf rechts #1e1b4b.
Anzeigedauer Hinweis 4: 6500 ms.
Hinweis 5: Aktueller Einmalpreis gilt als Einstiegskondition.
Farben Hinweis 5: Text #dbeafe, Verlauf links #102340, Verlauf mitte #1d4ed8, Verlauf rechts #0f172a.
Anzeigedauer Hinweis 5: 5000 ms.
Rabatt aktiv: Ja.
Alter Preis: € 949.
Neuer aktueller Preis: € 237.
Rabatt-Label: -75%.
Einmalzahlung betrifft das Nutzungsrecht zur Konfiguration und Einbettung des Chatbots, nicht die laufenden KI-Nutzungskosten.
KI-Funktionen benötigen separat aufladbare Teydra-Tokens.
Das Nutzungsrecht läuft ohne feste Mindestlaufzeit, solange der Account aktiv ist und Teydra Lab betrieben wird.
Preislogik: alter Preis € 949, neuer Preis € 237.
AVV | Teydra Lab
Zurück
Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO – Stand:
1. Vertragsparteien
Verantwortlicher (Auftraggeber): Der Kunde, der die SaaS-Plattform Teydra Lab nutzt und über seinen Chatbot personenbezogene Daten von End-Usern verarbeitet.
Auftragsverarbeiter (Auftragnehmer): Meral Anna Hees (Teydra Lab) Ludwig-Richter-Straße 4a/Top3 5020 Salzburg, Österreich E-Mail: official@teydralab.com
2. Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand
Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten von End-Usern, die mit dem vom Kunden konfigurierten KI-Chatbot interagieren. Die Verarbeitung dient der Bereitstellung der Chatbot-Funktionalität gemäß der Konfiguration des Kunden im Dashboard.
2.2 Dauer
Die Verarbeitung erfolgt für die Dauer der Vertragslaufzeit (Nutzung der Plattform). Bei Account-Löschung werden alle Daten kaskadiert gelöscht.
2.3 Art der Daten
Chat-Nachrichten (Fragen und Antworten der End-User)
Freiwillige Angaben der End-User im Chat (z. B. Name, E-Mail über Datenabfragen)
Antworten aus strukturierten Datenabfragen (Data Queries)
Technische Metadaten (Konversations-ID, Zeitstempel, erkannte Sprache)
2.4 Betroffene Personen
End-User, die mit dem eingebetteten Chatbot des Kunden interagieren.
2a. Autorisierte Nutzer des Verantwortlichen
Vom Verantwortlichen eingeladene Mitarbeiter oder sonstige Teamnutzer gelten als autorisierte Nutzer des Verantwortlichen. Ihre Handlungen innerhalb der ihnen freigegebenen Bereiche gelten als Weisungen oder Nutzungshandlungen des Verantwortlichen.
Der Verantwortliche ist für die Verwaltung dieser Zugriffe, die interne Rollenverteilung und den Entzug nicht mehr erforderlicher Berechtigungen verantwortlich.
Der Verantwortliche stellt sicher, dass autorisierte Nutzer nach seinen internen Vorgaben informiert und berechtigt sind. Soweit im Beschäftigtenkontext Informations-, Mitbestimmungs- oder Betriebsratsrechte bestehen, bleiben diese Pflichten beim Verantwortlichen.
Bei aktivierter Human-Takeover-Funktion können autorisierte Nutzer nach ausdrücklicher Bestätigung des End-Users auf den bisherigen Chatverlauf, neue Nachrichten und technische Statusdaten der Übernahme zugreifen. Interne Notizen, Mitarbeiterkoordination und spätere Routingdaten bleiben interne Daten des Verantwortlichen und dürfen End-Usern nicht offengelegt werden.
3. Unterauftragsverarbeiter
Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein. Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter zu:
Dienstleister
Sitz
Verarbeitungsort
Zweck
Datenkategorien
Transfer
Supabase, Inc.
USA
Frankfurt, DE
DB, Auth, Edge Functions
Account-, Chatbot-, Konfigurations-, Wissensbasis-, Konversations- und Token-Metadaten
DPA mit SCCs
Netlify, Inc.
Globales CDN / EU soweit verfügbar
Website-, App- und Widget-Hosting
IP-Adresse, Request-Metadaten, technische Logdaten
EU-US DPF + SCCs
Fly.io, Inc.
Website-Crawling Worker
Öffentlich zugängliche Website-Inhalte, angegebene Domains und technische Abrufdaten
OpenAI, Inc.
KI-Chat, Text-Tools, ChatGPT-basierte Human-Takeover-Antwortentwürfe
Chatnachrichten, Wissensbasis-Auszüge, Text-Tool-Inhalte, interne Antwortentwürfe
Google LLC (Gemini, APIs)
KI-Chat, Website-Extraktion, Google Docs/Sheets-Import, Kalender-Anbindung, Human-Takeover-Routing, Analysen und Antwortentwürfe
Chatnachrichten, Website-Textauszüge, Import-/Kalenderdaten, Human-Takeover-Analysekontext
Perplexity AI, Inc.
Such-augmentierter KI-Chat
Chatnachrichten und Recherchekontext
SCCs
OpenRouter, Inc.
Demo-Chat, Demo-Configbot und gelegentliche Human-Takeover-/Analyse-Assistenz
Demo-/Assistenz-Chatnachrichten und Analysekontext
Groq, Inc.
Audio-Transkription
Audiodaten und Transkriptionsmetadaten
Stripe, Inc.
EU/USA nach Anbieterangaben
Zahlungsabwicklung
Zahlungs-, Rechnungs- und Transaktionsdaten
Web Cats UAB (DetectLanguage)
Litauen
EU
Spracherkennung
Textauszüge bis 500 Zeichen
EU-intern (DSGVO)
a9t9 software GmbH (OCR.Space)
Deutschland
EU (DE, FR, FI)
Texterkennung
Hochgeladene Dokumentinhalte zur Texterkennung
Bei Änderungen der Unterauftragsverarbeiter wird der Verantwortliche mindestens 30 Tage im Voraus informiert. Der Verantwortliche hat das Recht, gegen den Einsatz neuer Unterauftragsverarbeiter Einspruch zu erheben.
4. KI-Modellwechsel-Klausel
Der Verantwortliche wählt den KI-Provider (OpenAI, Google Gemini oder Perplexity) im Dashboard. Diese Auswahl gilt als Weisung im Sinne von Art. 28 Abs. 3 lit. a DSGVO. Bei aktivierter Human-Takeover-AI-Assistenz können zusätzlich Google Gemini, ChatGPT/OpenAI und OpenRouter anlassbezogen für kurze Zusammenfassungen, Analyse-Themen, Routing-Hinweise und Antwortentwürfe eingesetzt werden.
Ein Provider-Wechsel wirkt sofort für neue Chat-Interaktionen
Die Widget-Datenschutzerklärung aktualisiert sich automatisch mit dem aktiven Provider
End-User müssen der aktualisierten Datenschutzerklärung erneut zustimmen (automatische Re-Consent-Logik)
Bereits laufende Konversationen werden nicht rückwirkend umgestellt
5. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter gewährleistet folgende Schutzmaßnahmen gemäß Art. 32 DSGVO:
5.1 Verschlüsselung
TLS/HTTPS-Verschlüsselung für alle Datenübertragungen
At-Rest-Verschlüsselung der Supabase-Datenbank
5.2 Zugriffskontrolle
Row-Level Security (RLS) in Supabase für nutzerbasierte Datenisolierung
Service Role Keys nur in serverseitigen Edge Functions
Keine direkten Datenbankzugriffe durch Frontend-Clients
5.3 Authentifizierung
Supabase Auth mit E-Mail-Verifizierung
Passwörter werden ausschließlich als kryptografischer Hash gespeichert
5.4 Datenminimierung
Automatische Löschung von Konversationsdaten nach 30 Tagen
Spracherkennung: maximal 500 Zeichen pro Anfrage an DetectLanguage.com
IP-Adressen werden serverseitig durch Supabase verarbeitet und nicht dauerhaft in identifizierbarer Form gespeichert
5.5 Pseudonymisierung
UUIDs für Chatbots und Konversationen (kein Klartextbezug zu natürlichen Personen)
5.6 Datensicherung
Automatische Backups durch Supabase (tägliche Snapshots mit Point-in-Time Recovery)
Backups werden verschlüsselt in der Region Frankfurt (Deutschland) gespeichert
5.7 Netzwerksicherheit
CORS-Allowlist für teydralab.com; lokale Entwicklungs- und Preview-Umgebungen können zusätzlich freigeschaltet sein
Vertrauliche API-Schlüssel verbleiben serverseitig in Umgebungsvariablen; das öffentliche Embed-Script verwendet ausschließlich einen auf den Widget-Zugriff beschränkten Supabase-Anon-Key
6. Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen ergeben sich aus:
Der Konfiguration im Dashboard (Provider-Wahl, Wissensbasis, Automatisierungen)
Diesem AVV
Individuellen schriftlichen Weisungen per E-Mail
Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, wird er den Verantwortlichen unverzüglich darauf hinweisen.
7. Vertraulichkeit
Der Auftragsverarbeiter gewährleistet, dass alle mit der Verarbeitung personenbezogener Daten betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
Diese Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.
8. Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit bei:
Der Beantwortung von Anfragen betroffener Personen gemäß Art. 15–22 DSGVO (Art. 28 Abs. 3 lit. e DSGVO)
Der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) und vorherigen Konsultationen der Aufsichtsbehörde gemäß Art. 35–36 DSGVO (Art. 28 Abs. 3 lit. f DSGVO)
Der Auftragsverarbeiter stellt hierfür die technisch verfügbaren Informationen und Exportfunktionen bereit. Der Datenexport erfolgt im JSON-Format über die bereitgestellte Export-Funktion im Dashboard.
9. Löschung & Rückgabe
Account-Löschung: Alle zugehörigen Daten (Chatbot-Konfiguration, Wissensbasis, Konversationen, Token-Guthaben, Einstellungen) werden kaskadiert gelöscht (d. h. durch Fremdschlüsselbeziehungen in der Datenbank werden alle abhängigen Datensätze automatisch mitgelöscht)
Konversationsdaten: Automatische Löschung nach 30 Tagen
Datenexport: Vor einer Account-Löschung kann der Verantwortliche seine Daten über die bereitgestellte Export-Funktion im JSON-Format herunterladen (Art. 20 DSGVO)
Nach Vertragsende und Ablauf eventueller Aufbewahrungsfristen werden alle personenbezogenen Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
10. Kontrollrechte
Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Dies kann erfolgen durch:
Einsicht in Dokumentationen und Nachweise
Schriftliche Auskunftsersuchen
Vor-Ort-Prüfungen nach angemessener Vorankündigung (mindestens 14 Tage)
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
Vor-Ort-Prüfungen sind auf maximal eine Prüfung pro Kalenderjahr beschränkt. Die Kosten einer Vor-Ort-Prüfung (insbesondere Reise-, Personal- und Beratungskosten) trägt der Verantwortliche, sofern die Prüfung keine Verstöße des Auftragsverarbeiters offenlegt.
11. Meldepflichten bei Datenpanne
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung enthält:
Art der Datenpanne
Betroffene Datenkategorien und ungefähre Anzahl der Betroffenen
Wahrscheinliche Folgen
Ergriffene und vorgeschlagene Maßnahmen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde und den Betroffenen.
Datenpannen bei Unterauftragsverarbeitern: Wird dem Auftragsverarbeiter eine Datenpanne bei einem Unterauftragsverarbeiter (z. B. OpenAI, Google, Stripe) bekannt, informiert er den Verantwortlichen unverzüglich und leitet alle verfügbaren Informationen des Unterauftragsverarbeiters weiter. Der Auftragsverarbeiter wirkt auf den Unterauftragsverarbeiter ein, um die Ursache zu beheben und weitere Datenpannen zu verhindern.
12. Datenschutzbeauftragter & Kontakt
Der Auftragsverarbeiter ist als Einzelunternehmen nicht zur Benennung eines Datenschutzbeauftragten verpflichtet.
Ansprechpartner für Datenschutzangelegenheiten: E-Mail: official@teydralab.com
Zuständige Aufsichtsbehörde: Österreichische Datenschutzbehörde Barichgasse 40–42, 1030 Wien www.dsb.gv.at