Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO — Stand: 13. Juni 2026
Auftragnehmer (Verarbeiter): NM Digital Solutions (Inh. Danielle Neller Michalszeszen), Düsseldorfer Str. 108, 47051 Duisburg — [email protected]
Auftraggeber (Verantwortlicher): Der jeweilige Betrieb, der MyChatAI nutzt.
§ 1 Gegenstand und Dauer
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung von MyChatAI. Die Laufzeit entspricht der des Hauptvertrages.
§ 2 Art und Zweck der Verarbeitung
- Art der Daten: Nachrichteninhalte, Telefonnummern, Social-Media-IDs, Zeitstempel
- Kategorien Betroffener: Endkunden des Auftraggebers
- Zweck: Automatisierter Kundenservice über Messaging-Kanäle
§ 3 Pflichten des Auftragnehmers
- Daten nur nach dokumentierter Weisung verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
- Vertraulichkeit sicherstellen (Art. 28 Abs. 3 lit. b DSGVO)
- TOMs nach Art. 32 DSGVO umsetzen (§ 6)
- Auftraggeber bei Betroffenenrechten unterstützen
- Daten nach Vertragsende löschen (§ 7)
§ 4 Pflichten des Auftraggebers
Der Auftraggeber ist allein Verantwortlicher im Sinne der DSGVO und informiert seine Kunden gemäß Art. 13 DSGVO über den Einsatz des Dienstes.
§ 5 Unterauftragsverarbeiter
- Meta Platforms Ireland Ltd. (Dublin, IE) — WhatsApp/Instagram/Facebook API. SCC.
- Groq, Inc. (USA) — KI-Sprachverarbeitung. SCC.
- Mistral AI SAS (Frankreich, EU) — KI-Sprachverarbeitung. DSGVO-konform.
- Supabase, Inc. (USA/EU) — Datenbankspeicherung (Frankfurt). SCC.
- Stripe, Inc. (USA) — Zahlungsabwicklung. SCC.
- Resend, Inc. (USA) — E-Mail-Benachrichtigungen. SCC.
Änderungen werden dem Auftraggeber 14 Tage im Voraus per E-Mail mitgeteilt.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
- Verschlüsselung aller Datenübertragungen (HTTPS/TLS 1.2+)
- Verschlüsselung gespeicherter Tokens (AES-256-GCM)
- Automatische Löschung von Gesprächsdaten nach 90 Tagen
- Zugriffskontrolle auf autorisierte Systemprozesse
- Keine Weitergabe an Dritte ohne Rechtsgrundlage
§ 7 Löschung nach Vertragsende
Alle personenbezogenen Daten werden innerhalb von 30 Tagen nach Kündigung unwiderruflich gelöscht. Bestätigung auf Anfrage.
§ 8 Datenschutzverletzungen
Der Auftragnehmer informiert den Auftraggeber innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung (Art. 33 DSGVO).
§ 9 Anwendbares Recht
Es gilt deutsches Recht. Gerichtsstand ist Duisburg, Deutschland.
Inkrafttreten
Dieser AVV gilt automatisch mit Aktivierung des MyChatAI-Kontos als geschlossen. Auf Wunsch als unterzeichnetes PDF erhältlich — Anfrage an: [email protected]
Contrato de Processamento de Dados
nos termos do Art. 28 RGPD — Atualizado em: 13. Juni 2026
Processador: NM Digital Solutions (Inh. Danielle Neller Michalszeszen), Düsseldorfer Str. 108, 47051 Duisburg — [email protected]
Controlador: A empresa que utiliza o MyChatAI.
§ 1 Objeto e duração
Este contrato regula o tratamento de dados pessoais pelo processador em nome do controlador no âmbito do uso do MyChatAI. A vigência corresponde à do contrato principal.
§ 2 Natureza e finalidade do tratamento
- Tipo de dados: conteúdo de mensagens, números de telefone, IDs de redes sociais, timestamps
- Categorias de titulares: clientes finais do controlador
- Finalidade: atendimento automatizado via canais de mensagens
§ 3 Obrigações do processador
- Tratar dados apenas com base em instruções documentadas (Art. 28(3)(a) RGPD)
- Garantir confidencialidade (Art. 28(3)(b) RGPD)
- Implementar medidas técnicas e organizacionais (§ 6)
- Apoiar o controlador no exercício dos direitos dos titulares
- Excluir os dados após o término do contrato (§ 7)
§ 4 Obrigações do controlador
O controlador é o único responsável nos termos do RGPD e informa seus clientes conforme o Art. 13 RGPD sobre o uso do serviço.
§ 5 Subcontratantes
- Meta Platforms Ireland Ltd. (Dublin, IE) — API WhatsApp/Instagram/Facebook. SCC.
- Groq, Inc. (EUA) — Processamento de IA. SCC.
- Mistral AI SAS (França, UE) — Processamento de IA. Conforme RGPD.
- Supabase, Inc. (EUA/UE) — Banco de dados (Frankfurt). SCC.
- Stripe, Inc. (EUA) — Pagamentos. SCC.
- Resend, Inc. (EUA) — E-mails. SCC.
Alterações serão comunicadas ao controlador com 14 dias de antecedência por e-mail.
§ 6 Medidas técnicas e organizacionais
- Criptografia de todas as transmissões (HTTPS/TLS 1.2+)
- Criptografia de tokens armazenados (AES-256-GCM)
- Exclusão automática de conversas após 90 dias
- Controle de acesso restrito a processos autorizados
- Sem compartilhamento com terceiros sem base legal
§ 7 Exclusão após término do contrato
Todos os dados pessoais serão excluídos de forma irreversível em até 30 dias após o cancelamento. Confirmação disponível mediante solicitação.
§ 8 Violações de dados
O processador informará o controlador em até 72 horas após tomar conhecimento de uma violação de dados (Art. 33 RGPD).
§ 9 Direito aplicável
Aplica-se o direito alemão. Foro: Duisburg, Alemanha.
Entrada em vigor
Este contrato entra em vigor automaticamente com a ativação da conta MyChatAI. Disponível como PDF assinado mediante solicitação: [email protected]
Data Processing Agreement (DPA)
pursuant to Art. 28 GDPR — Last updated: 13. Juni 2026
Processor: NM Digital Solutions (Inh. Danielle Neller Michalszeszen), Düsseldorfer Str. 108, 47051 Duisburg — [email protected]
Controller: The business using MyChatAI.
§ 1 Subject matter and duration
This agreement governs the processing of personal data by the processor on behalf of the controller in connection with the use of MyChatAI. The term corresponds to that of the main service agreement.
§ 2 Nature and purpose of processing
- Type of data: message content, phone numbers, social media IDs, timestamps
- Categories of data subjects: end customers of the controller
- Purpose: automated customer service via messaging channels
§ 3 Obligations of the processor
- Process data only on documented instructions (Art. 28(3)(a) GDPR)
- Ensure confidentiality (Art. 28(3)(b) GDPR)
- Implement technical and organisational measures (§ 6)
- Assist the controller with data subject rights requests
- Delete data upon contract termination (§ 7)
§ 4 Obligations of the controller
The controller is solely responsible under GDPR and informs its customers pursuant to Art. 13 GDPR about the use of this service.
§ 5 Sub-processors
- Meta Platforms Ireland Ltd. (Dublin, IE) — WhatsApp/Instagram/Facebook API. SCCs.
- Groq, Inc. (USA) — AI language processing. SCCs.
- Mistral AI SAS (France, EU) — AI language processing. GDPR compliant.
- Supabase, Inc. (USA/EU) — Database storage (Frankfurt). SCCs.
- Stripe, Inc. (USA) — Payment processing. SCCs.
- Resend, Inc. (USA) — Email notifications. SCCs.
Changes to sub-processors will be communicated to the controller 14 days in advance by email.
§ 6 Technical and organisational measures (TOMs)
- Encryption of all data transmissions (HTTPS/TLS 1.2+)
- Encryption of stored tokens (AES-256-GCM)
- Automatic deletion of conversation data after 90 days
- Access control restricted to authorised system processes
- No disclosure to third parties without legal basis
§ 7 Deletion upon contract termination
All personal data will be irreversibly deleted within 30 days of cancellation. Confirmation available upon request.
§ 8 Data breaches
The processor will notify the controller within 72 hours of becoming aware of a personal data breach (Art. 33 GDPR).
§ 9 Applicable law
German law applies. Place of jurisdiction: Duisburg, Germany.
Entry into force
This DPA enters into force automatically upon activation of the MyChatAI account. Available as a signed PDF upon request: [email protected]
Veri İşleme Sözleşmesi
GDPR Md. 28 uyarınca — Son güncelleme: 13. Juni 2026
İşleyici: NM Digital Solutions (Inh. Danielle Neller Michalszeszen), Düsseldorfer Str. 108, 47051 Duisburg — [email protected]
Sorumlu: MyChatAI'ı kullanan işletme.
§ 1 Konu ve süre
Bu sözleşme, MyChatAI kullanımı çerçevesinde işleyicinin sorumlu adına kişisel verileri işlemesini düzenler. Süresi, ana hizmet sözleşmesiyle örtüşür.
§ 2 İşlemenin niteliği ve amacı
- Veri türü: mesaj içerikleri, telefon numaraları, sosyal medya kimlikleri, zaman damgaları
- İlgili kişi kategorileri: sorumluya ait son müşteriler
- Amaç: mesajlaşma kanalları üzerinden otomatik müşteri hizmetleri
§ 3 İşleyicinin yükümlülükleri
- Verileri yalnızca belgelenmiş talimatlara göre işlemek (GDPR Md. 28(3)(a))
- Gizliliği sağlamak (GDPR Md. 28(3)(b))
- Teknik ve organizasyonel tedbirleri uygulamak (§ 6)
- Veri sahibi hakları konusunda sorumluya destek olmak
- Sözleşme sona erdiğinde verileri silmek (§ 7)
§ 4 Sorumluunun yükümlülükleri
Sorumlu, GDPR kapsamında tek sorumludur ve müşterilerini GDPR Md. 13 uyarınca bu hizmetin kullanımı hakkında bilgilendirir.
§ 5 Alt işleyiciler
- Meta Platforms Ireland Ltd. (Dublin, IE) — WhatsApp/Instagram/Facebook API. SCC.
- Groq, Inc. (ABD) — Yapay zeka işleme. SCC.
- Mistral AI SAS (Fransa, AB) — Yapay zeka işleme. GDPR uyumlu.
- Supabase, Inc. (ABD/AB) — Veritabanı (Frankfurt). SCC.
- Stripe, Inc. (ABD) — Ödeme işleme. SCC.
- Resend, Inc. (ABD) — E-posta bildirimleri. SCC.
Alt işleyici değişiklikleri sorumluya 14 gün önceden e-posta ile bildirilir.
§ 6 Teknik ve organizasyonel tedbirler
- Tüm veri iletimlerinin şifrelenmesi (HTTPS/TLS 1.2+)
- Saklanan tokenların şifrelenmesi (AES-256-GCM)
- Konuşma verilerinin 90 gün sonra otomatik silinmesi
- Erişim kontrolü: yalnızca yetkili sistem süreçleri
- Yasal dayanak olmadan üçüncü taraflarla paylaşım yok
§ 7 Sözleşme sona erdikten sonra silme
Tüm kişisel veriler, iptalden itibaren 30 gün içinde geri dönülemez şekilde silinir. Talep üzerine silme onayı sağlanır.
§ 8 Veri ihlalleri
İşleyici, bir kişisel veri ihlalinden haberdar olmasından itibaren 72 saat içinde sorumluyu bilgilendirir (GDPR Md. 33).
§ 9 Uygulanacak hukuk
Alman hukuku uygulanır. Yetki yeri: Duisburg, Almanya.
Yürürlüğe giriş
Bu sözleşme, MyChatAI hesabının aktivasyonuyla otomatik olarak yürürlüğe girer. Talep üzerine imzalı PDF olarak temin edilebilir: [email protected]