Stand: Juni 2026
Dieser Auftragsverarbeitungsvertrag gilt, wenn die Unbrained GmbH personenbezogene Daten im Auftrag eines Geschäftskunden als Auftragsverarbeiter gemäß Art. 28 DSGVO verarbeitet. Er ist Bestandteil der Allgemeinen Geschäftsbedingungen, eines Auftragsformulars oder einer anderen Vereinbarung, die darauf Bezug nimmt.
Wenn Sie eine unterzeichnete Fassung benötigen, kontaktieren Sie privacy@pluno.ai. Unterzeichnete Vereinbarungen oder Auftragsformulare gehen diesem Online-AVV bei Widersprüchen vor.
Der Kunde ist Verantwortlicher für Kundendaten. Unbrained ist Auftragsverarbeiter und verarbeitet Kundendaten im Auftrag des Kunden im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.
Die Begriffe Verarbeitung, personenbezogene Daten, Verantwortlicher, Auftragsverarbeiter, betroffene Person und Verletzung des Schutzes personenbezogener Daten haben die Bedeutung der DSGVO.
Dieser AVV gilt für B2B-Produkte von Pluno, einschließlich Support-Produkt, Troubleshooting Agent, eingebettetem B2B Product Agent und Community-Produkt. Die direkte Verbrauchernutzung von Product Agent ist keine Verarbeitung im Auftrag eines Geschäftskunden und fällt nicht unter diesen AVV.
Gegenstand, Art, Zweck, Datenkategorien und Kategorien betroffener Personen sind im Verzeichnis der Verarbeitung unten beschrieben. Die Dauer der Verarbeitung entspricht der Laufzeit der jeweiligen Vereinbarung zuzüglich gesetzlicher Aufbewahrungsfristen, Backup-Zeiträume und Löschfristen.
Unbrained verkauft Kundendaten nicht und trainiert, retrainiert oder feinjustiert keine KI- oder Machine-Learning-Modelle mit Kundendaten.
Die dokumentierten Weisungen des Kunden ergeben sich aus der Vereinbarung, der Produktkonfiguration, den Einstellungen verbundener Systeme und sonstigen schriftlichen Weisungen des Kunden an Unbrained. Ergänzende Weisungen müssen in Textform, auch per E-Mail, erfolgen.
Der Kunde kann weisungsberechtigte Personen in einem Auftragsformular oder durch Mitteilung in Textform benennen. Änderungen dieser Personen muss der Kunde Unbrained in Textform mitteilen. Unbrained kann Personen, die Weisungen entgegennehmen dürfen, in einem Auftragsformular oder durch Mitteilung in Textform benennen.
Regelungen zur Vergütung von Mehraufwand aufgrund ergänzender Weisungen bleiben unberührt. Datenschutzrechtlich erforderliche Weisungen stellen keinen Mehraufwand dar.
Der Kunde ist verantwortlich für die Rechtmäßigkeit seiner Weisungen, Hinweise, Rechtsgrundlagen, Berechtigungen verbundener Systeme und die Bearbeitung von Betroffenenanfragen. Der Kunde informiert Unbrained unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung durch Unbrained feststellt. Der Kunde ist verantwortlich für Meldungen an Aufsichtsbehörden und betroffene Personen nach Art. 33 und 34 DSGVO oder sonstigen für den Kunden geltenden Gesetzen.
Unbrained verarbeitet Kundendaten nur gemäß der Vereinbarung, den dokumentierten Weisungen des Kunden oder gesetzlichen Anforderungen. Verlangt das Recht eine abweichende Verarbeitung, informiert Unbrained den Kunden vor der Verarbeitung, sofern das Recht diese Information nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
Unbrained verarbeitet Kundendaten grundsätzlich in der Europäischen Union oder im Europäischen Wirtschaftsraum. Eine Verarbeitung in einem Drittland ist nur zulässig, wenn die Anforderungen der Art. 44 bis 49 DSGVO erfüllt sind.
Unbrained organisiert sein Unternehmen und seine Abläufe so, dass Kundendaten im jeweils erforderlichen Maß gesichert und vor unbefugter Kenntnisnahme Dritter geschützt sind. Wesentliche organisatorische Änderungen, die die Sicherheit der Verarbeitung erheblich betreffen, stimmt Unbrained vorab mit dem Kunden ab.
Unbrained informiert den Kunden unverzüglich, wenn Unbrained der Ansicht ist, dass eine Weisung gegen geltendes Recht verstößt. Unbrained darf die Weisung aussetzen, bis der Kunde sie bestätigt oder ändert. Kann Unbrained darlegen, dass eine weisungsgemäße Verarbeitung zu einer Haftung nach Art. 82 DSGVO führen kann, darf Unbrained die betroffene Verarbeitung bis zur Klärung der Haftung zwischen den Parteien aussetzen.
Unbrained verarbeitet Kundendaten getrennt von anderen Daten. Eine physische Trennung ist nicht zwingend erforderlich.
Unbrained unterhält geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen umfassen Zutrittskontrollen, Zugangskontrollen, Zugriffskontrollen, Trennungskontrollen, Pseudonymisierung oder Anonymisierung soweit angemessen, Weitergabekontrollen, Eingabekontrollen, Maßnahmen zu Verfügbarkeit und Belastbarkeit, Incident-Response-Prozesse, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, Mitarbeiterschulungen, Vertraulichkeitsverpflichtungen und Lieferantenkontrolle.
Aktuelle Maßnahmen umfassen rollenbasierten Zugriff, minimierte Berechtigungen, regelmäßige Überprüfung von Zugriffsrechten, verschlüsselte Verbindungen wie HTTPS oder SFTP, Verschlüsselung von Geräten und Datenträgern soweit angemessen, automatische Gerätesperren, Firewalls, Intrusion Detection soweit angemessen, Protokollierung von Zugriffen sowie Eingabe-, Änderungs- und Löschvorgängen, Trennung von Produktiv- und Testumgebungen, mandantenfähige Trennung, sichere Löschung von Datenträgern, automatische Backups, dokumentierten Umgang mit Sicherheitsvorfällen und regelmäßige Überprüfung der Maßnahmen.
Unbrained kann diese Maßnahmen an technische, rechtliche und risikobezogene Entwicklungen anpassen, sofern das Schutzniveau insgesamt nicht wesentlich reduziert wird. Unbrained informiert den Kunden vorab über wesentliche Änderungen, die Integrität, Vertraulichkeit oder Verfügbarkeit von Kundendaten nachteilig beeinträchtigen können. Der Kunde kann die aktuellen Maßnahmen jederzeit anfordern.
Unbrained trifft geeignete Maßnahmen zum Schutz personenbezogener Daten bei mobiler Arbeit und verpflichtet Mitarbeiter zur Einhaltung von Richtlinien für mobiles Arbeiten sowie zur regelmäßigen Teilnahme an Sicherheits- und Datenschutzschulungen.
| Bereich | Maßnahmen |
|---|---|
| Zutrittskontrolle | Besucher werden soweit anwendbar durch Mitarbeiter begleitet, Zutrittsberechtigungen werden regelmäßig überprüft und der physische Zugriff auf Produktionsserver wird durch den Hosting-Anbieter kontrolliert. Dokumentation zur physischen Sicherheit des Hosting-Anbieters kann bereitgestellt oder referenziert werden. |
| Zugangskontrolle | Login mit Benutzername und Passwort, biometrischer Login soweit aktiviert, Firewalls, Intrusion Detection soweit angemessen, verschlüsselte Datenträger und Geräte, automatische Gerätesperren, Verwaltung von Benutzerberechtigungen und Clean-Desk-Regeln. |
| Zugriffs- und Eingabekontrolle | Rollenbasierter Zugriff, Minimierung von Berechtigungen, Rechteverwaltung durch Administratoren, regelmäßige Zugriffskontrollen, Protokollierung von Zugriffen sowie anwendungsbezogenen Eingabe-, Änderungs- und Löschvorgängen und Nachvollziehbarkeit über individuelle Benutzernamen soweit möglich. |
| Trennungskontrolle | Trennung von Produktiv- und Testumgebungen, logische oder physische Trennung von Systemen, Datenbanken oder Datenträgern soweit angemessen, Mandantenfähigkeit relevanter Anwendungen, Berechtigungskonzepte, Datenbankrechte und Zweckattribute soweit verwendet. |
| Pseudonymisierung und Weitergabe | Soweit Pseudonymisierung eingesetzt wird, werden Zuordnungsdaten getrennt und in geschützten Systemen gespeichert. Übermittlungen erfolgen soweit angemessen über verschlüsselte Kanäle wie HTTPS oder SFTP; Daten werden soweit möglich für Übermittlungen anonymisiert oder pseudonymisiert. |
| Verfügbarkeit und Belastbarkeit | Backups, zonenredundante oder anderweitig belastbare Speicherung soweit angemessen, getrennte Partitionen für Betriebssysteme und Daten soweit anwendbar, Brand- und Rauchmeldeanlagen des Anbieters und Sicherheitskontrollen des Hosting-Rechenzentrums. |
| Überprüfung und Datenschutzmanagement | Zentrale Dokumentation von Datenschutz- und Sicherheitsverfahren, Vertraulichkeitsverpflichtungen der Mitarbeiter, regelmäßige Sensibilisierung der Mitarbeiter, dokumentierte Incident-Response-Prozesse, Dokumentation von Sicherheitsvorfällen, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie regelmäßige Überprüfung der Wirksamkeit der Maßnahmen. |
| Auftragskontrolle | Sicherheitsprüfung und sorgfältige Auswahl von Anbietern, erforderliche Auftragsverarbeitungsverträge und Übermittlungsgarantien soweit anwendbar, Weisungsbindung von Anbietern, Vertraulichkeitsverpflichtungen, Kontrollrechte, Regelungen zum Einsatz weiterer Unterauftragnehmer, Löschpflichten nach Ende der Verarbeitung und laufende Überprüfung bei längerer Zusammenarbeit. |
Unbrained informiert den Kunden unverzüglich über Verstöße gegen Datenschutzrecht, die Vereinbarung oder Weisungen des Kunden, die im Zusammenhang mit der Verarbeitung durch Unbrained oder an der Verarbeitung beteiligte Personen erfolgen.
Unbrained informiert den Kunden unverzüglich, wenn eine Aufsichtsbehörde gegenüber Unbrained nach Art. 58 DSGVO tätig wird und dies die Verarbeitung für den Kunden betreffen kann.
Unbrained unterstützt den Kunden bei Meldepflichten im Falle von Datenschutzverletzungen. Unbrained informiert den Kunden unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnis, über unbefugten Zugriff auf Kundendaten, die im Auftrag des Kunden verarbeitet werden.
Die Mitteilung enthält, soweit möglich, eine Beschreibung der Verletzung, Kategorien und ungefähre Zahl betroffener Personen, Kategorien und ungefähre Zahl betroffener Datensätze sowie ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Abmilderung der Verletzung.
Unbrained unterstützt den Kunden angemessen bei Betroffenenanfragen nach Art. 12 bis 23 DSGVO sowie bei Pflichten nach Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der Unbrained verfügbaren Informationen. Unterstützung über ein zumutbares Maß hinaus kann gesondert vergütet werden.
Wendet sich eine betroffene Person wegen einer Verarbeitung an Unbrained, für die der Kunde verantwortlich ist, darf Unbrained der betroffenen Person mitteilen, dass der Kunde Verantwortlicher ist, und die Kontaktdaten des Kunden weitergeben.
Unbrained informiert den Kunden unverzüglich, wenn betroffene Personen gegenüber Unbrained Rechte im Zusammenhang mit der Verarbeitung nach diesem DPA geltend machen, damit der Kunde als Verantwortlicher reagieren kann.
Der Kunde kann die Einhaltung mittels verfügbarer Sicherheitsdokumentation, Zertifizierungen, Berichte und angemessener schriftlicher Anfragen überprüfen. Unbrained stellt dem Kunden die Informationen bereit, die für diese Überprüfung in dem nach Art. 28 DSGVO erforderlichen angemessenen Umfang notwendig sind. Der Kunde oder ein beauftragter Dritter kann Verarbeitungssysteme und Daten im erforderlichen Umfang einsehen. Vor-Ort-Kontrollen erfordern angemessene Vorankündigung, übliche Geschäftszeiten und Maßnahmen zur Vermeidung unverhältnismäßiger Betriebsstörungen. Unbrained kann Prüfer ablehnen, die Wettbewerber sind oder bei denen ähnlich gewichtige Gründe vorliegen. Unterstützungsleistungen für Audits und Kontrollen, die über ein zumutbares Maß hinausgehen, können gesondert vergütet werden.
Unbrained erteilt erforderliche Auskünfte und ermöglicht der zuständigen Aufsichtsbehörde erforderliche Vor-Ort-Kontrollen, soweit dies im Zusammenhang mit Maßnahmen nach Art. 58 DSGVO erforderlich ist.
Der Kunde genehmigt den Einsatz von Unterauftragsverarbeitern durch Unbrained zur Bereitstellung von Pluno. Aktuelle Unterauftragsverarbeiter sind im Pluno Trust Center aufgeführt unter app.drata.com/trust/933f211c-9796-4f96-a6e2-96c4a283eba7.
Unbrained kann Unterauftragsverarbeiter hinzufügen oder ersetzen, indem Unbrained vorab über das Trust Center, per E-Mail, Changelog oder einen anderen angemessenen Kanal informiert. Der Kunde kann aus berechtigten Datenschutzgründen innerhalb von zwei Wochen nach Mitteilung widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt der Unterauftragsverarbeiter als genehmigt, sofern in der Mitteilung auf diese Folge hingewiesen wurde.
Unbrained verpflichtet Unterauftragsverarbeiter auf Datenschutzpflichten, die diesem AVV im Wesentlichen entsprechen, wählt Unterauftragsverarbeiter sorgfältig aus, prüft deren technische und organisatorische Maßnahmen und bleibt nach Maßgabe der DSGVO für deren Leistung verantwortlich.
Nebenleistungen ohne konkreten Zugriff auf Kundendaten, etwa Reinigung, reine Telekommunikation, Post-, Kurier-, Transport- oder Bewachungsleistungen, sind keine Unterauftragsverarbeitung. Unbrained setzt hierfür gleichwohl angemessene vertragliche und technische Schutzmaßnahmen ein, soweit solche Leistungen die Sicherheit der Verarbeitung betreffen können. Wartung oder Betreuung von IT-Systemen ist eine Unterauftragsverarbeitung, wenn dabei auf im Auftrag des Kunden verarbeitete personenbezogene Daten zugegriffen werden kann.
Unbrained ist verpflichtet, Daten, die Unbrained im Zusammenhang mit der Verarbeitung für den Kunden erhält, vertraulich zu behandeln. Unbrained stellt sicher, dass mit der Verarbeitung befasste Mitarbeiter mit den maßgeblichen Datenschutzbestimmungen vertraut gemacht und zur Vertraulichkeit verpflichtet sind, sofern sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Vertraulichkeitspflichten von Mitarbeitern gelten, soweit rechtlich und vertraglich möglich, auch nach Beendigung des Beschäftigungsverhältnisses fort. Unbrained weist die Vertraulichkeitsverpflichtungen auf Anfrage nach.
Beide Parteien behandeln alle Informationen, die sie im Zusammenhang mit diesem AVV erhalten, zeitlich unbegrenzt vertraulich und verwenden sie nur zur Durchführung der Vereinbarung, sofern die Informationen nicht öffentlich bekannt sind oder rechtmäßig ohne Geheimhaltungspflicht von einem Dritten erhalten wurden.
Nach Vertragsende gibt Unbrained alle Unterlagen, Daten und Verarbeitungs- oder Nutzungsergebnisse im Zusammenhang mit dem Auftragsverhältnis nach Wahl des Kunden und nach Maßgabe der Produktmöglichkeiten zurück oder löscht sie. Die Löschung wird in geeigneter Weise dokumentiert.
Erteilt der Kunde keine abweichende Weisung, löscht Unbrained Kundendaten innerhalb von 30 Tagen nach Vertragsende, vorbehaltlich gesetzlicher Aufbewahrungspflichten, Backups, Sicherheitsprotokollen und Dokumentation zum Nachweis der Compliance. Aufgrund gesetzlicher Pflichten aufbewahrte Daten dürfen nur für den jeweiligen Aufbewahrungszweck verarbeitet werden und sind nach Ablauf der Aufbewahrungspflicht unverzüglich zu löschen.
Dieser AVV beginnt, wenn die ihn einbeziehende zugrundeliegende Vereinbarung wirksam wird, und gilt für deren Laufzeit. Endet der zugrundeliegende Dienstleistungsvertrag, endet dieser AVV zum gleichen Zeitpunkt. Eine isolierte Kündigung dieses AVV ohne Beendigung des Hauptvertrags ist ausgeschlossen.
Werden Daten des Kunden durch Maßnahmen Dritter, etwa Pfändung oder Beschlagnahme, ein Insolvenzverfahren oder sonstige Ereignisse gefährdet, informiert Unbrained den Kunden unverzüglich und weist Gläubiger darauf hin, dass die Daten im Auftrag des Kunden verarbeitet werden.
Nebenabreden bedürfen der Schriftform. Sollte ein Teil dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Die deutsche Fassung hat Vorrang vor der englischen Fassung, sofern die Parteien in einem Auftragsformular oder einer unterzeichneten Vereinbarung nicht ausdrücklich etwas anderes vereinbaren.
| Produkt | Zweck | Daten | Betroffene Personen |
|---|---|---|---|
| Support-Produkt | Support-Automatisierung, Copilot, Eskalation, QA, Reporting, Wissenssuche, Antwortgenerierung und Optimierung interner Support-Prozesse. | Tickets, Konversationen, Metadaten von Anfragenden und Agenten, Kommentare, Anhänge, Felder, Tags, Wissensquellen, Eskalationsdaten, Integrationseinstellungen, KI-Ausgaben, Protokolle, Nutzerkontodaten, Authentifizierungs-Profildaten und Daten aus Issue-Trackern. | Mitarbeiter des Kunden, Agenten, Endkunden, Support-Anfragende und Nutzer verbundener Systeme. |
| Troubleshooting Agent | Technische Problemuntersuchung, geführte Fehlerbehebung, generierte Fragen, Zusammenfassungen und Empfehlungen. | Problembeschreibungen, Ticket-Kontext, Protokolle, Screenshots, Dateien, Geräte- oder Umgebungsdetails, Wissensquellen, generierte Fragen, Empfehlungen, Zusammenfassungen und sonstige Daten, die über konfigurierte Verbindungen verfügbar sind. | Mitarbeiter des Kunden, Support-Agenten, Endkunden, in Protokollen oder Dateien enthaltene Nutzer und Nutzer verbundener Systeme. |
| Product Agent eingebettet B2B | Eingebettete KI-Unterstützung, Ausführung von Produkt-Workflows, Sitzungsbetrieb, Nutzung und Support. | Prompts, Chatverlauf, URLs, Origins, vom Agenten gelesene Seiteninhalte, Browser- oder SDK-Tool-Ergebnisse, Aktionsprotokolle, Sitzungsmetadaten, vom Kunden bereitgestellte Metadaten, Diagnosedaten und durch Produktberechtigungen verfügbare Daten. | Mitarbeiter des Kunden, Produkt-Endnutzer, Konto- oder Mandantennutzer und sonstige Personen, die in Produktdaten enthalten sind. |
| Community-Produkt | Community-Support, Bot-Antworten, Wissenssuche, Konfiguration, Moderationsunterstützung und Analytics. | Discord- oder Telegram-Server-, Kanal-, Gruppen-, Nutzer-, Rollen-, Nachrichten-, Thread- und Bot-Interaktionsdaten, soweit konfiguriert. | Community-Administratoren, Moderatoren, Mitglieder und Nutzer, die mit Pluno interagieren. |