Auftragsverarbeitungsvertrag
Zuletzt aktualisiert: 27. März 2026
Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Nutzungsbedingungen zwischen der die Bedingungen akzeptierenden Entität („Kunde", „Verantwortlicher", „Sie") und OpenCream SAS („OpenCream", „Auftragsverarbeiter", „wir", „uns"), die unter dem Markennamen Corial tätig ist.
Dieser AVV gilt, wenn OpenCream personenbezogene Daten im Auftrag des Kunden im Rahmen der Erbringung der Dienste verarbeitet. Er spiegelt die Vereinbarung der Parteien bezüglich der Verarbeitung personenbezogener Daten gemäß den Anforderungen der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO") und des französischen Datenschutzgesetzes (Loi n° 78-17 du 6 janvier 1978, in der jeweils geltenden Fassung) wider.
1. Begriffsbestimmungen
Begriffe, die in diesem AVV nicht definiert sind, haben die in den Nutzungsbedingungen genannten Bedeutungen. Darüber hinaus:
- „Kundendaten" bezeichnet alle personenbezogenen Daten, die der Kunde oder seine autorisierten Nutzer zur Verarbeitung an die Dienste übermitteln.
- „Datenschutzgesetze" bezeichnet die DSGVO, das französische Datenschutzgesetz und alle anderen anwendbaren Datenschutzvorschriften.
- „Personenbezogene Daten", „Verantwortlicher", „Auftragsverarbeiter", „Betroffene Person", „Verarbeitung", „Verletzung des Schutzes personenbezogener Daten" und „Unterauftragsverarbeiter" haben die in der DSGVO festgelegten Bedeutungen.
- „Standardvertragsklauseln" (SCC) bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittländern ansässige Auftragsverarbeiter, wie durch den Beschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021 genehmigt.
2. Umfang und Rollen
2.1 Rollen
Der Kunde ist der Verantwortliche. OpenCream ist der Auftragsverarbeiter. OpenCream verarbeitet Kundendaten ausschließlich im Auftrag des Kunden und gemäß den dokumentierten Weisungen des Kunden.
2.2 Gegenstand und Dauer
OpenCream verarbeitet Kundendaten für die Dauer des Abonnements des Kunden für die Dienste zuzüglich der 30-tägigen Nachvertragsaufbewahrungsfrist gemäß den Nutzungsbedingungen.
2.3 Art und Zweck der Verarbeitung
Die Verarbeitung ist notwendig, um die Dienste zu erbringen, die Folgendes umfassen:
- Empfangen, Speichern und Organisieren von Kundenbeziehungsdaten (Kontakte, Accounts, Interaktionen, Projekte)
- Verarbeitung von Geschäftskommunikation (E-Mails, Sprachnotiz-Transkriptionen, Telegram-Nachrichten, Besprechungsnotizen, Dokumente) durch KI-Systeme zur Extraktion strukturierter Geschäftsdaten
- Generierung von KI-Ausgaben (Zusammenfassungen, Aufgaben, E-Mail-Entwürfe, Beziehungseinblicke, Wettbewerbsinformationen, Marktanalysen)
- Versand von Benachrichtigungen und Briefings an autorisierte Nutzer
- Bereitstellung von Pipeline-Management, Aufgabenmanagement und Berichtsfunktionen
2.4 Arten personenbezogener Daten
Folgende Kategorien personenbezogener Daten können verarbeitet werden:
- Kontaktinformationen: Namen, E-Mail-Adressen, Telefonnummern, Berufsbezeichnungen, Unternehmensnamen
- Inhalte von Geschäftskommunikation: E-Mail-Texte, Transkriptionen von Sprachnotizen, Besprechungsnotizen, Telegram-Nachrichten
- Interaktionsaufzeichnungen: Besprechungsdaten, Kommunikationslogs, Projektnotizen
- Kontodaten: Namen autorisierter Nutzer, E-Mail-Adressen, Anmeldedaten (gehasht)
- Nutzungsdaten: IP-Adressen, Browsertyp, Nutzungsmuster von Funktionen, Zeitstempel
2.5 Kategorien betroffener Personen
- Geschäftskontakte und Interessenten des Kunden (Dritte)
- Mitarbeiter und autorisierte Nutzer des Kunden
- In der von den Diensten verarbeiteten Geschäftskommunikation genannte Personen
3. Pflichten des Auftragsverarbeiters
3.1 Verarbeitungsweisungen
OpenCream verarbeitet Kundendaten nur auf dokumentierte Weisungen des Kunden hin, auch hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland, es sei denn, eine rechtliche Verpflichtung nach EU- oder Mitgliedstaatenrecht, dem OpenCream unterliegt, erfordert die Verarbeitung. In diesem Fall informiert OpenCream den Kunden vor der Verarbeitung über diese rechtliche Anforderung, sofern dies rechtlich zulässig ist.
Die Nutzungsbedingungen, dieser AVV und die Nutzung und Konfiguration der Dienste durch den Kunden stellen die vollständigen dokumentierten Weisungen des Kunden für die Verarbeitung dar.
3.2 Vertraulichkeit
OpenCream stellt sicher, dass zur Verarbeitung von Kundendaten befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3.3 Sicherheitsmaßnahmen
OpenCream implementiert und unterhält geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich Verschlüsselung von Daten bei der Übertragung und im Ruhezustand, logische Mandantentrennung, rollenbasierter Zugriffskontrollen, KI-Input- und Output-Sicherheitsvorkehrungen, Prüfprotokollierung, Ratenbegrenzung, Infrastrukturhärtung, automatisierter Backups und Monitoring.
Eine detaillierte Beschreibung dieser Maßnahmen ist in Anhang C dargelegt und auf Anfrage für Kunden verfügbar.
3.4 Unterauftragsverarbeiter
3.4.1 Allgemeine Genehmigung
Der Kunde erteilt OpenCream eine allgemeine schriftliche Genehmigung zur Einbindung von Unterauftragsverarbeitern für die Verarbeitung von Kundendaten. Die aktuelle Liste der Unterauftragsverarbeiter ist in Anhang B aufgeführt und wird unter corial.app/de/legal/subprocessors gepflegt.
3.4.2 Benachrichtigung über Änderungen
OpenCream benachrichtigt den Kunden mindestens 30 Tage im Voraus über jede beabsichtigte Ergänzung oder jeden beabsichtigten Austausch von Unterauftragsverarbeitern und gibt dem Kunden die Möglichkeit, Widerspruch einzulegen. Die Benachrichtigung wird an die mit dem Kundenkonto verknüpfte E-Mail-Adresse gesendet.
3.4.3 Widerspruchsrecht
Wenn der Kunde einem neuen Unterauftragsverarbeiter aus begründeten datenschutzrechtlichen Gründen widerspricht, erörtern die Parteien die Bedenken in gutem Glauben. Wird innerhalb von 30 Tagen keine Lösung gefunden, kann der Kunde die betroffenen Dienste ohne Strafe durch schriftliche Kündigung beenden.
3.4.4 Pflichten der Unterauftragsverarbeiter
OpenCream legt jedem Unterauftragsverarbeiter durch schriftlichen Vertrag Datenschutzpflichten auf, die nicht weniger schützend sind als die in diesem AVV festgelegten. OpenCream bleibt gegenüber dem Kunden vollständig für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters haftbar.
3.5 Rechte betroffener Personen
OpenCream unterstützt den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Pflicht, Anfragen auf Ausübung der Rechte betroffener Personen gemäß Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) zu beantworten.
Wenn OpenCream eine Anfrage direkt von einer betroffenen Person erhält, benachrichtigt OpenCream den Kunden unverzüglich und beantwortet die Anfrage nicht selbst, es sei denn, der Kunde weist OpenCream an oder das anwendbare Recht verlangt es.
3.6 Unterstützung bei der Compliance
OpenCream unterstützt den Kunden bei der Einhaltung folgender Pflichten, unter Berücksichtigung der Art der Verarbeitung und der OpenCream zur Verfügung stehenden Informationen:
- Sicherheit der Verarbeitung (DSGVO Art. 32)
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen (DSGVO Art. 33 und 34)
- Datenschutz-Folgenabschätzungen (DSGVO Art. 35)
- Vorherige Konsultation der Aufsichtsbehörde (DSGVO Art. 36)
4. Verletzung des Schutzes personenbezogener Daten
4.1 Benachrichtigung
OpenCream benachrichtigt den Kunden unverzüglich, jedenfalls aber innerhalb von 48 Stunden, nachdem OpenCream von einer Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, Kenntnis erlangt hat. Dieser Zeitrahmen soll dem Kunden ermöglichen, seiner 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde gemäß DSGVO Art. 33 nachzukommen.
4.2 Informationen zur Verletzung
Die Benachrichtigung enthält, soweit verfügbar:
- Eine Beschreibung der Art der Verletzung, einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze
- Name und Kontaktdaten des Datenschutzkontakts von OpenCream
- Eine Beschreibung der voraussichtlichen Folgen der Verletzung
- Eine Beschreibung der zur Behebung der Verletzung ergriffenen oder vorgeschlagenen Maßnahmen, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen
4.3 Zusammenarbeit
OpenCream kooperiert mit dem Kunden und unternimmt angemessene wirtschaftliche Schritte, um bei der Untersuchung, Eindämmung und Behebung der Verletzung zu unterstützen.
5. Internationale Datenübermittlungen
5.1 Verarbeitungsorte
Kundendaten werden vorrangig in der Europäischen Union (Deutschland, über Hetzner Online GmbH) verarbeitet und gespeichert.
5.2 Übermittlungen außerhalb des EWR
Wenn Kundendaten an außerhalb des Europäischen Wirtschaftsraums ansässige Unterauftragsverarbeiter übermittelt werden, stellt OpenCream sicher, dass angemessene Schutzmaßnahmen vorhanden sind:
| Unterauftragsverarbeiter | Land | Transfermechanismus |
|---|---|---|
| Anthropic, Inc. | Vereinigte Staaten | SCC Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) |
| Google LLC | Vereinigte Staaten | SCC Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) |
| Deepgram, Inc. | Vereinigte Staaten | SCC Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) |
| Resend, Inc. | Vereinigte Staaten | SCC Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) |
| Bright Data Ltd. | Israel | SCC als ergänzende Schutzmaßnahme |
| Telegram FZ-LLC | Vereinigte Arabische Emirate | SCC Modul 2 (Verantwortlicher zu Auftragsverarbeiter) |
5.3 Datentransfer-Folgenabschätzung
OpenCream hat für jede Übermittlung in ein Land ohne EU-Angemessenheitsbeschluss eine Datentransfer-Folgenabschätzung (TIA) durchgeführt, die den Rechtsrahmen des Empfängerlandes und die vorhandenen ergänzenden Maßnahmen bewertet. Ergänzende Maßnahmen umfassen Verschlüsselung von Daten bei der Übertragung, Datensparsamkeit und vertragliche Schutzmaßnahmen mit jedem Anbieter. Details zu ergänzenden Maßnahmen sind auf Anfrage für Kunden verfügbar.
5.4 Standardvertragsklauseln
Soweit die Übermittlung von Kundendaten den SCC unterliegt, vereinbaren die Parteien, dass die SCC (Beschluss der EU-Kommission 2021/914) hiermit durch Verweis einbezogen werden. Das anwendbare Modul, der Datenexporteur, der Datenimporteur und die ergänzenden Maßnahmen für jede Übermittlung sind wie in diesem Abschnitt 5 beschrieben.
6. Prüfungsrechte
6.1 Information und Prüfung
OpenCream stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses AVV und DSGVO Art. 28 nachzuweisen, und gestattet Prüfungen, einschließlich Inspektionen, die vom Kunden oder einem vom Kunden beauftragten Prüfer durchgeführt werden, und trägt dazu bei.
6.2 Prüfungsverfahren
Prüfungen werden mit angemessener Vorankündigung (mindestens 30 Tage), während der normalen Geschäftszeiten und in einer Weise durchgeführt, die den Betrieb von OpenCream nicht unangemessen stört. Der Kunde trägt die Kosten einer Prüfung, außer wenn die Prüfung eine wesentliche Nichteinhaltung durch OpenCream ergibt.
6.3 Drittanbieter-Zertifizierungen
OpenCream kann Prüfungsanfragen durch die Bereitstellung relevanter Drittanbieter-Prüfberichte oder -Zertifizierungen (wie SOC 2 Typ II oder ISO 27001), wenn verfügbar, erfüllen. Der Kunde behält das Recht, eine eigene Prüfung durchzuführen, wenn Drittanbieter-Berichte nicht ausreichen, um spezifische Bedenken auszuräumen.
7. Löschung und Rückgabe von Daten
7.1 Während des Abonnements
Der Kunde kann während des Abonnementzeitraums jederzeit den Export von Kundendaten beantragen, indem er sich an privacy@corial.app wendet.
7.2 Nach Beendigung
Nach Beendigung oder Ablauf der Dienste wird OpenCream:
- Kundendaten 30 Tage lang aufbewahren, damit der Kunde Daten exportieren kann
- Nach der 30-tägigen Frist alle Kundendaten aus seinen Systemen, einschließlich aller Backups, innerhalb von 90 Tagen dauerhaft löschen
- Auf Anfrage des Kunden eine schriftliche Bestätigung der Löschung bereitstellen
7.3 Ausnahmen
OpenCream kann Kundendaten über die Löschfrist hinaus aufbewahren, wenn dies nach geltendem EU- oder Mitgliedstaatenrecht erforderlich ist. In solchen Fällen informiert OpenCream den Kunden über die rechtliche Anforderung und beschränkt die Verarbeitung auf das gesetzlich Erforderliche.
8. Haftung
Die Haftung jeder Partei im Rahmen dieses AVV unterliegt den Haftungsbeschränkungen und -ausschlüssen der Nutzungsbedingungen. Dieser AVV beschränkt die Haftung einer der Parteien für Verstöße gegen Datenschutzgesetze nicht, soweit eine solche Beschränkung nach geltendem Recht unzulässig wäre.
9. Allgemeines
9.1 Vorrang
Im Falle eines Konflikts zwischen diesem AVV und den Nutzungsbedingungen hat dieser AVV bezüglich der Verarbeitung personenbezogener Daten Vorrang.
9.2 Änderungen
OpenCream kann diesen AVV aktualisieren, um Änderungen in den Datenschutzgesetzen oder Verarbeitungspraktiken zu berücksichtigen. Wesentliche Änderungen werden dem Kunden mindestens 30 Tage im Voraus mitgeteilt.
9.3 Anwendbares Recht
Dieser AVV unterliegt dem Recht Frankreichs und wird nach diesem ausgelegt.
Anhang A — Details der Verarbeitung
| Element | Beschreibung |
|---|---|
| Gegenstand | Verarbeitung von Kundendaten zur Bereitstellung der KI-gestützten Vertriebsintelligenz-Plattform Corial |
| Dauer | Dauer des Abonnements des Kunden + 30-tägige Nachvertragsaufbewahrung |
| Art der Verarbeitung | Erhebung, Speicherung, Organisation, Strukturierung, Abruf, Nutzung, Übertragung, KI-basierte Analyse und Extraktion, Löschung |
| Zweck | Erbringung der Dienste gemäß den Nutzungsbedingungen |
| Arten personenbezogener Daten | Kontaktinformationen, Inhalte von Geschäftskommunikation, Interaktionsaufzeichnungen, Kontodaten, Nutzungsdaten (siehe Abschnitt 2.4) |
| Kategorien betroffener Personen | Geschäftskontakte/Interessenten des Kunden, Mitarbeiter/autorisierte Nutzer des Kunden, in der Kommunikation genannte Personen (siehe Abschnitt 2.5) |
Anhang B — Liste der Unterauftragsverarbeiter
Stand: 27. März 2026. Eine aktuelle Version wird unter corial.app/de/legal/subprocessors gepflegt.
| Unterauftragsverarbeiter | Land | Zweck | Verarbeitete Daten |
|---|---|---|---|
| Hetzner Online GmbH | Deutschland (EU) | Infrastruktur-Hosting | Alle Kundendaten (Speicherung und Rechenleistung) |
| Anthropic, Inc. | Vereinigte Staaten | KI-Verarbeitung | Kommunikationsinhalte, Kontaktdaten (transient — nicht vom Anbieter gespeichert) |
| Google LLC | Vereinigte Staaten | KI-Verarbeitung, Google Workspace E-Mail-Integration | Kommunikationsinhalte, Kontaktdaten (transient für KI); E-Mail-Inhalte für verbundene Google Workspace-Konten |
| Deepgram, Inc. | Vereinigte Staaten | Sprach-/Audiotranskription | Audioaufnahmen (transient — nach Transkription gelöscht) |
| Resend, Inc. | Vereinigte Staaten | Versand transaktionaler E-Mails | Empfänger-E-Mail-Adressen, Betreff/Text für Systembenachrichtigungen (Passwort-Reset, Kontobenachrichtigungen) |
| Bright Data Ltd. | Israel | Webbasierte Datenanreicherung | Unternehmensnamen, Kontaktnamen (ausschließlich öffentlich verfügbare Daten) |
| Telegram FZ-LLC | Vereinigte Arabische Emirate | Messaging-Schnittstelle | Nachrichteninhalte, Nutzer-Identifikatoren (bei Nutzung der Telegram-Integration durch den Mandanten) |
| PostHog, Inc. | Irland (EU) | Produktanalysen | Nutzungsereignisse, anonymisierte Nutzer-Identifikatoren, Funktionsinteraktionsdaten |
Anhang C — Technische und organisatorische Sicherheitsmaßnahmen
OpenCream unterhält technische und organisatorische Sicherheitsmaßnahmen in folgenden Bereichen:
- Infrastruktursicherheit: In der EU gehostete dedizierte Infrastruktur mit gehärteter Konfiguration und Sicherheits-Headern
- Datentrennung: Logische Mandantentrennung auf mehreren Ebenen durchgesetzt; KI-Verarbeitung auf den Kontext eines einzelnen Mandanten beschränkt
- Zugriffskontrollen: Rollenbasierte Zugriffskontrollen mit tokenbasierter Authentifizierung
- KI-Sicherheit: Eingabevalidierung, Ausgabeprüfung und Human-in-the-Loop-Sicherheitsvorkehrungen für externe Kommunikation
- Verschlüsselung: Daten bei der Übertragung und im Ruhezustand verschlüsselt; Zugangsdaten sicher verwaltet
- Monitoring und Prüfung: Unveränderliche Prüfprotokollierung und Server-Monitoring
- Backup und Wiederherstellung: Automatisierte verschlüsselte Backups mit definierter Aufbewahrungsfrist
- Personal: Zugang auf autorisiertes Personal beschränkt, das Vertraulichkeitspflichten unterliegt
Eine detaillierte Version von Anhang C mit spezifischen Implementierungsbeschreibungen wird Kunden im Rahmen des Vertragsabschlussprozesses bereitgestellt. Um das vollständige Dokument anzufordern, wenden Sie sich an privacy@corial.app.
OpenCream SAS
15 Avenue Marie-Amélie
60500 Chantilly, Frankreich
E-Mail: privacy@corial.app
Siehe auch: Datenschutzerklärung · Nutzungsbedingungen · Auftragsverarbeiterliste