Sign inGet started
PlattformPreiseTechnologieIntegrationenHilfeSign in
[ 01 ]──AVV/* art.28.dsgvo */
Auftragsverarbeitungsvertrag

AVV.
Art. 28 DSGVO.

Dieser Vertrag wird mit der Registrierung bei Lymbe AI durch aktive Bestätigung (Checkbox im Onboarding-Prozess) verbindlich geschlossen. Eine gesonderte handschriftliche Unterzeichnung ist nicht erforderlich.

Version 1.0 · Stand: Juni 2025

Vertragsparteien

Auftraggeber (Verantwortlicher)

BezeichnungDas Unternehmen, das sich für Lymbe AI registriert hat (nachfolgend „Auftraggeber")
RolleVerantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO

Auftragnehmer (Auftragsverarbeiter)

UnternehmenFlubber Pixels UG (haftungsbeschränkt)
ProduktLymbe AI
AdresseFlorastrasse 56, 40822 Mettmann, Deutschland
Datenschutzdatenschutz@lymbe.ai
RolleAuftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO
[ 02 ]──SCOPE/* §.1 */

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der KI-gestützten Plattform Lymbe AI, über die der Auftraggeber KI-Mitarbeiter einrichten und betreiben kann.

(2) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers, insbesondere durch Eingaben und Konfigurationen innerhalb der Plattform. Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich.

(3) Dieser Vertrag gilt für die Dauer des Nutzungsvertrags Lymbe AI (siehe AGB) und endet automatisch mit dessen Beendigung, vorbehaltlich der Regelungen zur Datenlöschung in § 7.

[ 03 ]──PURPOSE/* §.2 */

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen.

(2) Die Verarbeitung umfasst insbesondere:

  • Entgegennahme und Übermittlung von Nutzereingaben (Prompts) an KI-Sprachmodelle
  • Speicherung und Anzeige von Chat-Verläufen auf der Plattform
  • Verwaltung von Nutzerkonten inkl. Authentifizierungsdaten
  • Protokollierung von Systemereignissen zum Betrieb und zur Sicherheit der Plattform

(3) Kategorien betroffener Personen:

  • Mitarbeiterinnen und Mitarbeiter des Auftraggebers
  • Kunden des Auftraggebers, soweit deren Daten in die Plattform eingegeben werden

(4) Art der verarbeiteten Daten:

  • Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
  • Authentifizierungsdaten (E-Mail, verschlüsseltes Passwort)
  • Kommunikationsinhalte (Chat-Verläufe, Prompts, KI-Antworten)
  • Technische Nutzungsdaten (IP-Adresse, Zeitstempel, Browser-Informationen)
  • Sonstige vom Auftraggeber eingegebene oder hochgeladene Inhalte

(5) Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten) ist nicht vorgesehen und vom Auftraggeber zu unterlassen, sofern keine gesonderte schriftliche Vereinbarung getroffen wurde.

[ 04 ]──PROCESSOR DUTIES/* §.3 */

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

  • Weisungsgebundenheit: Daten ausschließlich auf dokumentierte Weisung des Auftraggebers zu verarbeiten.
  • Vertraulichkeit: Alle mit der Verarbeitung befassten Personen zur Vertraulichkeit zu verpflichten.
  • Technische Maßnahmen: Die in Anlage 1 beschriebenen TOMs gemäß Art. 32 DSGVO umzusetzen und aufrechtzuerhalten.
  • Unterstützung Betroffenenrechte: Den Auftraggeber bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Betroffenenrechten zu unterstützen.
  • Datenpannen: Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden zu melden (siehe § 6).
  • Nachweispflicht: Alle erforderlichen Informationen bereitzustellen, um die Einhaltung von Art. 28 DSGVO nachzuweisen.
[ 05 ]──SUBPROCESSORS/* §.4 */

§ 4 Sub-Auftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit eine allgemeine Genehmigung zur Beauftragung von Sub-Auftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.

(2) Der Auftragnehmer setzt aktuell folgenden Sub-Auftragsverarbeiter ein:

UnternehmenLeistungStandort
26.lab.io (Christian Gudermann)Technischer Betrieb der Plattform, Betrieb der KI-Infrastruktur, API-Anbindung an KI-SprachmodelleDeutschland

(3) 26.lab.io setzt seinerseits weitere Sub-Auftragsverarbeiter für den Betrieb der Infrastruktur ein (insbesondere für Hosting, KI-Infrastruktur und E-Mail). Diese sind vertraglich gegenüber 26.lab.io an die Anforderungen der DSGVO gebunden. Die gesamte Infrastruktur wird ausschließlich auf Servern innerhalb der Europäischen Union betrieben. Eine aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter ist auf Anfrage an datenschutz@lymbe.ai erhältlich.

(4) Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen beim Sub-Auftragsverarbeiter 26.lab.io mit einer Ankündigungsfrist von 14 Tagen. Der Auftraggeber kann Änderungen aus sachlichen Gründen innerhalb dieser Frist widersprechen.

(5) Der Auftragnehmer stellt sicher, dass Sub-Auftragsverarbeiter denselben datenschutzrechtlichen Verpflichtungen unterliegen wie er selbst, insbesondere durch den Abschluss von Verträgen gemäß Art. 28 DSGVO.

[ 06 ]──CONTROLLER DUTIES/* §.5 */

§ 5 Pflichten des Auftraggebers

Der Auftraggeber verpflichtet sich:

  • Sicherzustellen, dass eine Rechtsgrundlage gemäß Art. 6 DSGVO für die eingegebenen Daten besteht.
  • Weisungen schriftlich oder in Textform zu erteilen.
  • Den Auftragnehmer unverzüglich zu informieren, wenn Unregelmäßigkeiten bei der Verarbeitung festgestellt werden.
  • Keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ohne gesonderte Vereinbarung einzugeben.
[ 07 ]──BREACH/* §.6 */

§ 6 Datenpannen und Meldepflichten

(1) Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.

(2) Die Meldung enthält mindestens: Art der Verletzung, betroffene Kategorien und ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen sowie ergriffene Maßnahmen.

(3) Die Pflicht des Auftraggebers zur Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO bleibt unberührt.

[ 08 ]──DELETION/* §.7 */

§ 7 Datenlöschung und Rückgabe

Chat-Verläufe und sonstige verarbeitete Inhalte werden automatisch nach 90 Tagen gelöscht. Eine frühere Löschung kann jederzeit über die Plattform oder per Anfrage an datenschutz@lymbe.ai veranlasst werden.

(2) Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Auftraggebers spätestens innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(3) Auf Anfrage wird ein schriftlicher Nachweis der Löschung ausgestellt.

[ 09 ]──AUDIT/* §.8 */

§ 8 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags beim Auftragnehmer zu überprüfen. Kontrollen sind mit mindestens 5 Werktagen Vorankündigung an datenschutz@lymbe.ai anzukündigen.

(2) Die Kosten der Kontrolle trägt der Auftraggeber, sofern kein schwerwiegender Verstoß festgestellt wird.

(3) Zur Erfüllung der Nachweispflicht können auch aktuelle Zertifizierungen (z. B. ISO 27001) oder Prüfberichte anerkannter Prüfer vorgelegt werden.

[ 10 ]──FINAL/* §.9 */

§ 9 Schlussbestimmungen

(1) Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist das Landgericht Düsseldorf, soweit gesetzlich zulässig.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Änderungen dieses Vertrags bedürfen der Textform. Flubber Pixels UG behält sich vor, diesen AVV mit einer Ankündigungsfrist von 30 Tagen anzupassen. Der Auftraggeber wird per E-Mail informiert.

[ 11 ]──TOM/* anlage.1 */

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragnehmer hat folgende Maßnahmen zum Schutz personenbezogener Daten getroffen:

Verschlüsselung

In Transit: Alle Datenübertragungen erfolgen über TLS 1.2 oder höher. At Rest: Gespeicherte Daten sind mit AES-256 verschlüsselt.

Zugriffskontrolle

Least-Privilege-Prinzip; Admin-Zugänge nur mit Multi-Faktor-Authentifizierung. Sicherheitsrelevante Zugriffe werden protokolliert und regelmäßig überprüft.

Mandantentrennung

Kundendaten sind technisch strikt getrennt auf Datenbank- und Anwendungsebene.

EU-Hosting

Die gesamte Infrastruktur — inklusive der durch 26.lab.io betriebenen KI-Dienste — wird ausschließlich in EU-Rechenzentren betrieben.

Automatische Löschung

Chat-Verläufe werden nach 90 Tagen automatisch gelöscht; vollständige Löschung bei Kündigung innerhalb von 30 Tagen.

Incident-Management & Backups

Definierter Prozess für Datenpannen; Meldung an den Auftraggeber innerhalb von 24 Stunden. Tägliche automatisierte verschlüsselte Backups mit 7-Tage-Retention.

Flubber Pixels UG (haftungsbeschränkt) · Florastrasse 56, 40822 Mettmann · datenschutz@lymbe.ai · lymbe.ai · Version 1.0 · Stand Juni 2025 · Akzeptiert durch aktive Bestätigung im Onboarding

[ 12 ]──QUESTIONS/* ask.us */
datenschutz-fragen?

AVV als PDF benötigt?

Wir stellen dir gerne eine Fassung dieses Auftragsverarbeitungsvertrags bereit — und beantworten alle Fragen zur Verarbeitung deiner Daten.