🌐 Sprache: EN — English DE — Deutsch ES — Español FR — Français
Recht & Compliance

Datenverarbeitungsvertrag (DPA)

Konform mit Art. 28 DSGVO. Gilt für alle Staffinity-Kunden, die personenbezogene Daten von EU/EWR-Einwohnern verarbeiten.

📅 Gültig ab: 15. Mai 2026
🌍 Rechtsgebiet: EU/EWR + US SVK
📋 Standard: DSGVO Art. 28 (EU) 2016/679
🔐 Gilt für: Alle Staffinity SaaS-Verarbeitungen
Self-Service-DPA: Dieser Datenverarbeitungsvertrag steht auf Click-to-Accept-Basis als Bestandteil des Staffinity-Rahmendienstleistungsvertrags zur Verfügung. Unternehmenskunden, die eine gegengezeichnete PDF-Version oder individuelle Bedingungen benötigen, können sich an privacy@staffinity.io wenden.

§1 Parteien

Gültig ab 15. Mai 2026

Dieser Datenverarbeitungsvertrag („DPA") wird geschlossen zwischen:

Auftragsverarbeiter
Staffinity, Inc.
Eine nach dem Recht der Vereinigten Staaten gegründete Gesellschaft
Kontakt: privacy@staffinity.io
Sicherheitsanfragen: security@staffinity.io
Verantwortlicher
Der Kunde
Das Unternehmen oder die natürliche Person, die einen Staffinity-Rahmendienstleistungsvertrag oder ein Bestellformular abgeschlossen hat und darin als „Kunde" bezeichnet wird.

Zusammen als „Parteien" bezeichnet. Dieser DPA ist Bestandteil des Staffinity-Rahmendienstleistungsvertrags („RDV") oder des anwendbaren Bestellformulars und wird in diesen einbezogen. Im Falle eines Widerspruchs zwischen diesem DPA und dem RDV hat dieser DPA hinsichtlich der Verarbeitung Personenbezogener Daten Vorrang.

§2 Gegenstand & Laufzeit

2.1 Gegenstand

Dieser DPA regelt die Verarbeitung Personenbezogener Daten durch Staffinity („Auftragsverarbeiter") im Auftrag des Kunden („Verantwortlicher") im Zusammenhang mit der KI-gestützten Arbeitsplattform von Staffinity, einschließlich Teams/Slack-Integration, Orchestrierungsinfrastruktur, Wissensabruf (RAG), Terminplanung und damit verbundenen Diensten (zusammen die „Dienste"), wie in Anhang B beschrieben.

2.2 Art der Verarbeitung

Zu den Verarbeitungstätigkeiten gehören: Erhebung, Speicherung, Übermittlung, Abruf, Nutzung und Löschung Personenbezogener Daten, die vom Verantwortlichen oder in dessen Auftrag über die Dienste eingereicht werden. Personenbezogene Daten werden ausschließlich zur Erbringung der Dienste verarbeitet und nicht für eigene Zwecke von Staffinity genutzt.

2.3 Laufzeit

Dieser DPA tritt mit dem Datum in Kraft, an dem der Kunde den RDV oder das Bestellformular akzeptiert, und bleibt für die Dauer der Dienste in Kraft. Bei Beendigung gilt Abschnitt 10 (Datenlöschung).

2.4 Rollenklärung

Der Kunde ist der Verantwortliche; Staffinity ist der Auftragsverarbeiter. Staffinity verarbeitet Personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen hin, es sei denn, dies ist nach anwendbarem Recht erforderlich. Ist Staffinity der begründeten Auffassung, dass eine Weisung gegen die DSGVO oder anderes anwendbares Datenschutzrecht verstößt, informiert Staffinity den Verantwortlichen unverzüglich darüber.

§3 Pflichten des Verantwortlichen

Der Verantwortliche sichert zu und gewährleistet, dass:

  1. er für jede im Rahmen dieses DPA durchgeführte Verarbeitungstätigkeit über eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO (und Art. 9 DSGVO, soweit anwendbar) verfügt;
  2. er alle erforderlichen Informationen an Betroffene Personen, deren Personenbezogene Daten im Rahmen dieses DPA verarbeitet werden, weitergegeben und, soweit erforderlich, alle erforderlichen Einwilligungen eingeholt hat;
  3. er den Auftragsverarbeiter nicht anweisen wird, Personenbezogene Daten in einer Weise zu verarbeiten, die den Auftragsverarbeiter zur Verletzung anwendbaren Rechts veranlassen würde;
  4. er mit dem Auftragsverarbeiter zusammenarbeiten wird, um die Wahrnehmung der Rechte Betroffener Personen gemäß Abschnitt 7 zu erleichtern;
  5. er den Auftragsverarbeiter unverzüglich über Änderungen des anwendbaren Rechts informieren wird, die die Verarbeitungstätigkeiten im Rahmen dieses DPA wesentlich beeinflussen;
  6. er, soweit erforderlich, eine Datenschutz-Folgenabschätzung (DSFA) für Verarbeitungstätigkeiten mit hohem Risiko durchführen und aufrechterhalten sowie den Auftragsverarbeiter in angemessenem Umfang konsultieren wird.

§4 Pflichten des Auftragsverarbeiters

4.1 Weisungen

Staffinity verarbeitet Personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen hin, auch in Bezug auf die Übermittlung Personenbezogener Daten in Drittländer, sofern dies nicht nach anwendbarem Unions- oder Mitgliedstaatsrecht erforderlich ist. Staffinity informiert den Verantwortlichen unverzüglich, wenn nach seiner Auffassung eine Weisung gegen anwendbares Datenschutzrecht verstößt.

4.2 Vertraulichkeit

Staffinity stellt sicher, dass Personen, die zur Verarbeitung Personenbezogener Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugang zu Personenbezogenen Daten ist auf Personal beschränkt, das diesen für die Erbringung der Dienste benötigt.

4.3 Sicherheit

Staffinity implementiert und unterhält geeignete technische und organisatorische Maßnahmen („TOMs"), um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der in Anhang A genannten Maßnahmen. Die Sicherheitsmaßnahmen von Staffinity orientieren sich an ISO 27001-Kontrollen, dem AWS Well-Architected Framework und den CSA STAR-Anforderungen.

4.4 Keine Sekundärnutzung

Staffinity verarbeitet Personenbezogene Daten ausschließlich zur Erbringung der Dienste. Kundendaten werden nie zum Training von KI-Modellen verwendet — dies wird vertraglich durch die Vereinbarungen von Staffinity mit allen KI-Modellanbietern durchgesetzt.

4.5 Unterstützung

Unter Berücksichtigung der Art der Verarbeitung unterstützt Staffinity den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen Betroffener Personen sowie bei der Sicherstellung der Einhaltung der Art. 32–36 DSGVO (Sicherheit, Datenpannenmeldung, DSFA und vorherige Konsultation).

4.6 Aufzeichnungen

Staffinity führt Aufzeichnungen über alle im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten, wie von Art. 30 Abs. 2 DSGVO gefordert, und stellt diese dem Verantwortlichen auf Anfrage zur Verfügung.

§5 Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern durch Staffinity. Staffinity legt Unterauftragsverarbeitern durch schriftlichen Vertrag Datenschutzpflichten auf, die denen dieses DPA gleichwertig sind. Staffinity haftet dem Verantwortlichen gegenüber vollumfänglich für die Erfüllung der Pflichten der Unterauftragsverarbeiter.

Staffinity informiert den Verantwortlichen über beabsichtigte Änderungen bezüglich der Hinzunahme oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus per E-Mail an den registrierten Kontakt des Verantwortlichen und gibt dem Verantwortlichen so die Möglichkeit, Widerspruch einzulegen. Die aktuelle Liste der genehmigten Unterauftragsverarbeiter lautet:

Unterauftragsverarbeiter Zweck Datenspeicherort Schutzmaßnahmen
Amazon Web Services (AWS)
Amazon.com, Inc. — Seattle, WA, USA
 Cloud-Infrastruktur, ECS-Compute, RDS (pgvector), ElastiCache, S3, KMS, CloudWatch, GuardDuty. Alle Verarbeitungen standardmäßig in us-east-2 (Ohio) oder einer AWS EU-Region (z. B. eu-central-1 Frankfurt, eu-west-1 Irland, eu-west-3 Paris) für EU-Kunden — wird bei der Bereitstellung festgelegt. USA oder EU je nach Kundenregion ISO 27001 SOC 2 Type II GDPR DPA EU SCCs
Anthropic, PBC
San Francisco, CA, USA
 KI-Inferenz (Claude Sonnet). Nachrichteninhalte werden zur Antwortgenerierung an die Anthropic-API gesendet. Im Rahmen der Anthropic Enterprise Agreement werden keine Daten zum Training von Modellen verwendet. USA (Anthropic API) Enterprise DPA GLBA Addendum EU SCCs No model training
Microsoft Corporation
Redmond, WA, USA
 Microsoft Teams-Kanalzustellung, Microsoft Graph API (für SharePoint, Entra ID-Authentifizierung). Mitarbeiter-Identitätsdaten (AAD-Objekt-IDs, Anzeigenamen) werden ausschließlich zur Autorisierung verarbeitet. EU/USA (Microsoft EU-Datengrenze für EU-Kunden) ISO 27001 SOC 2 Type II GDPR DPA EU Data Boundary
Perplexity AI, Inc.
San Francisco, CA, USA
 Web-Suchwerkzeug (optionale Funktion). Wenn Agenten Websuchen durchführen, werden Anfragen an die Perplexity API gesendet. Suchanfragen können Kontext aus Benutzernachrichten enthalten. Dieser Unterauftragsverarbeiter ist nur aktiv, wenn die Websuchfunktion aktiviert ist. USA Perplexity DPA EU SCCs No model training
Cloudflare, Inc.
San Francisco, CA, USA
 DNS, CDN und DDoS-Schutz für staffinity.io-Domains. Cloudflare verarbeitet IP-Adressen und HTTP-Metadaten; Nachrichteninhalte werden nicht verarbeitet. Globale Edge-Knoten (nur Metadaten) ISO 27001 SOC 2 Type II GDPR DPA

Hinweis für HIPAA-Kunden: Standard-DPAs von Perplexity und Anthropic stellen keine Business Associate Agreements (BAAs) dar. HIPAA-fähige Bereitstellungen erfordern separate BAA-Verhandlungen mit diesen Anbietern. Kontaktieren Sie privacy@staffinity.io, bevor Sie geschützte Gesundheitsdaten verarbeiten.

§6 Internationale Datenübermittlungen

6.1 EU/EWR in die USA

Der primäre KI-Inferenzanbieter von Staffinity (Anthropic) und der Websuchanbieter (Perplexity) haben ihren Sitz in den Vereinigten Staaten. Übermittlungen Personenbezogener Daten aus dem EU/EWR an diese Anbieter erfolgen auf der Grundlage von Standardvertragsklauseln (SVK) gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission („SVK 2021"), insbesondere der Klauseln des Moduls 2 (Verantwortlicher an Auftragsverarbeiter).

6.2 EU-ansässige Kunden — Option zur Datenspeicherung in der EU

Kunden mit Anforderungen an die EU-Datenspeicherung können eine Bereitstellung in einer beliebigen AWS EU-Region anfordern (einschließlich eu-central-1 Frankfurt, eu-west-1 Irland, eu-west-3 Paris, eu-north-1 Stockholm und anderen). Die spezifische Region wird zum Zeitpunkt der Bereitstellung vereinbart und im entsprechenden Bestellformular dokumentiert. In dieser Konfiguration erfolgt die gesamte Verarbeitung auf Infrastrukturebene (Compute, Speicherung, Datenbanken, Caching) innerhalb der EU. KI-Inferenz (Anthropic) beinhaltet weiterhin US-basierte Verarbeitung unter SVK, wie oben beschrieben.

6.3 Übermittlungsfolgenabschätzung

Staffinity hat eine Übermittlungsfolgenabschätzung (Transfer Impact Assessment, TIA) für Übermittlungen an Anthropic und Perplexity durchgeführt. Wesentliche Ergebnisse: (a) die übermittelten Daten bestehen aus Gesprächsnachrichten, nicht aus besonderen Kategorien von Daten; (b) Anthropic und Perplexity verfügen über robuste Sicherheitskontrollen und halten anwendbare US-amerikanische Bundesdatenschutzgesetze ein; (c) SVK bieten in Verbindung mit ergänzenden technischen Maßnahmen, einschließlich TLS 1.3 bei der Übertragung und AES-256 im Ruhezustand, angemessene Schutzmaßnahmen. Die TIA steht Verantwortlichen auf Anfrage unter NDA zur Verfügung.

6.4 Keine unerlaubten Drittlandübermittlungen

Staffinity übermittelt Personenbezogene Daten ohne vorherige schriftliche Zustimmung des Verantwortlichen und ohne Sicherstellung einer geeigneten Garantie gemäß Kapitel V DSGVO an kein Drittland oder keine internationale Organisation, die nicht in Abschnitt 5 aufgeführt ist.

§7 Rechte Betroffener Personen

Wenn Staffinity direkt von einer Betroffenen Person einen Antrag auf Ausübung ihrer Rechte gemäß Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch) erhält, gilt Folgendes:

  • Staffinity antwortet der Betroffenen Person nicht eigenständig, sondern leitet den Antrag unverzüglich an den Verantwortlichen weiter;
  • Staffinity unterstützt den Verantwortlichen bei der Beantwortung des Antrags und leistet in angemessenem Umfang die erforderliche technische und organisatorische Unterstützung;
  • Staffinity berechnet dem Verantwortlichen für die standardmäßige Unterstützung bei der Beantwortung von Anträgen Betroffener Personen keine Gebühren (angemessene Kosten können für umfangreiche Exporte oder komplexe technische Vorgänge anfallen).

Die Plattform von Staffinity ist darauf ausgelegt, den Verantwortlichen bei der Einhaltung der Rechte Betroffener Personen zu unterstützen, einschließlich:

  • Auskunftsrecht: Gesprächshistorie und gespeicherte Daten auf Anfrage abrufbar;
  • Recht auf Löschung: Staffinity löscht alle Personenbezogenen Daten eines bestimmten Nutzers auf dokumentierte Weisung des Verantwortlichen innerhalb von 30 Tagen;
  • Recht auf Einschränkung: Die Verarbeitung für bestimmte Nutzer kann auf Weisung ausgesetzt werden;
  • Datenübertragbarkeit: Export der Gesprächshistorie im JSON-Format auf Anfrage verfügbar.

§8 Datenpannenmeldung

8.1 Meldung durch den Auftragsverarbeiter

Im Falle einer Verletzung des Schutzes Personenbezogener Daten (gemäß der Definition in Art. 4 Nr. 12 DSGVO), die im Rahmen dieses DPA verarbeitete Personenbezogene Daten betrifft, meldet Staffinity dies dem Verantwortlichen unverzüglich und, soweit möglich, innerhalb von 48 Stunden nach Bekanntwerden der Datenpanne. Diese Frist unterstützt die Pflicht des Verantwortlichen, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO zu benachrichtigen.

8.2 Inhalt der Meldung

Die Datenpannenmeldung enthält, soweit zum Zeitpunkt der Meldung verfügbar:

  • Eine Beschreibung der Art der Datenpanne, einschließlich (soweit möglich) der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze;
  • Namen und Kontaktdaten des Datenschutzkontakts bei Staffinity;
  • Eine Beschreibung der wahrscheinlichen Folgen der Datenpanne;
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

8.3 Zusammenarbeit

Staffinity arbeitet vollumfänglich mit dem Verantwortlichen zusammen und ergreift alle vernünftigerweise erforderlichen Schritte zur Unterstützung bei der Untersuchung, Eindämmung und Behebung einer Datenpanne. Die Meldung an den Verantwortlichen stellt kein Schuldanerkenntnis oder keine Haftungsanerkenntnis seitens Staffinity dar.

8.4 Sicherheitskontakt

Alle Sicherheits- und Datenpannenangelegenheiten sind zu richten an: security@staffinity.io. Staffinity unterhält einen 24/7-Vorfallreaktionsprozess, der über AWS GuardDuty, CloudWatch Synthetics Canaries und automatisierte Warnmeldungen überwacht wird.

§9 Prüfungsrechte

9.1 Dokumentation

Staffinity stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem DPA und Art. 28 DSGVO festgelegten Pflichten nachzuweisen. Dazu gehört die Bereitstellung von Zugang zu: diesem DPA und den zugehörigen Anhängen; den Unterauftragsverarbeiterverträgen von Staffinity (vorbehaltlich der Schwärzung geschäftlich vertraulicher Bedingungen); Sicherheitszertifizierungen und Prüfberichten; sowie Verarbeitungsaufzeichnungen gemäß Art. 30 Abs. 2 DSGVO.

9.2 Drittanbieter-Prüfberichte

Staffinity stellt auf schriftliche Anfrage und unter NDA Kopien verfügbarer Drittanbieter-Prüfberichte und Zertifizierungen zur Verfügung, einschließlich: CSA STAR Level 1 Selbstbewertung; AWS Well-Architected Framework Review (öffentlich verfügbar unter trust.staffinity.io); und, nach Fertigstellung, SOC 2 Type I Prüfbericht.

9.3 Vor-Ort-Prüfungen

Wenn der Verantwortliche begründetermaßen feststellt, dass Drittanbieterberichte keine ausreichende Sicherheit bieten, kann der Verantwortliche eine Prüfung der Verarbeitungstätigkeiten von Staffinity durchführen (oder einen qualifizierten Drittprüfer damit beauftragen), vorbehaltlich: (a) einer Mindestankündigung von 30 Tagen in Textform; (b) der Durchführung der Prüfung während der normalen Geschäftszeiten; (c) der Unterwerfung des Prüfers unter Geheimhaltungspflichten; und (d) der Erstattung der angemessenen Kosten von Staffinity durch den Verantwortlichen. Prüfungen dürfen nicht mehr als einmal pro Kalenderjahr stattfinden, sofern kein dokumentierter Sicherheitsvorfall vorliegt.

§10 Datenlöschung & Rückgabe

10.1 Bei Vertragsbeendigung

Bei Beendigung des RDV oder auf schriftliche Anfrage des Verantwortlichen ist Staffinity nach Wahl des Verantwortlichen verpflichtet, entweder:

  • alle im Rahmen dieses DPA verarbeiteten Personenbezogenen Daten, einschließlich aller von Unterauftragsverarbeitern gehaltenen Kopien, innerhalb von 30 Tagen zu löschen; oder
  • alle Personenbezogenen Daten in einem portablen Format (JSON oder CSV) an den Verantwortlichen zurückzugeben, woraufhin Staffinity alle Kopien innerhalb von 30 Tagen nach bestätigtem Empfang durch den Verantwortlichen löscht.

10.2 Aufbewahrung aus rechtlichen Gründen

Ungeachtet des Abschnitts 10.1 kann Staffinity Personenbezogene Daten in dem Umfang aufbewahren, der durch anwendbares Recht erforderlich ist (einschließlich für die regulatorische Compliance erforderlicher Audit-Log-Daten). Alle derart aufbewahrten Daten unterliegen den Vertraulichkeits- und Sicherheitspflichten dieses DPA und werden gelöscht, sobald die rechtliche Verpflichtung entfällt. Staffinity informiert den Verantwortlichen über solche aufbewahrten Daten und die anwendbare Rechtsgrundlage.

10.3 Bestätigung

Nach Abschluss der Löschung stellt Staffinity dem Verantwortlichen eine schriftliche Bestätigung aus, dass alle Personenbezogenen Daten gemäß diesem Abschnitt gelöscht oder zurückgegeben wurden.

Anhang A Technische & Organisatorische Maßnahmen (TOMs)

Aktuell zum 15. Mai 2026 — jährlich überprüft

Staffinity implementiert die folgenden technischen und organisatorischen Maßnahmen zum Schutz Personenbezogener Daten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Vernichtung oder Beschädigung:

🔐
Verschlüsselung im Ruhezustand
Alle Daten mit AES-256 verschlüsselt. Kundeneigene AWS KMS Customer Managed Keys (CMKs) mit jährlicher Rotation. Separate CMKs für jedes Kundenkonto (keine gemeinsamen Schlüssel).
🔒
Verschlüsselung bei der Übertragung
TLS 1.3 für alle Verbindungen vorgeschrieben. ELBSecurityPolicy-TLS13-1-2-2021-06. HTTP wird zu HTTPS weitergeleitet. Redis-Verbindungen ausschließlich über TLS (Port 6380).
🏢
Isolation auf Kontoebene
Jeder Unternehmenskunde wird in einem dedizierten AWS-Konto bereitgestellt. Keine gemeinsame Nutzung von Compute, Speicher, Datenbanken oder Verschlüsselungsschlüsseln zwischen Kunden. Physische Kontotrennung.
🧱
Netzwerksicherheit
VPC-Isolation mit NAT-Gateway, Security Groups und NACLs. AWS WAF auf allen öffentlichen Endpunkten. Kein direkter Internetzugang zu Compute oder Datenbanken. VPC Link für interne Dienstkommunikation.
🪪
Identität & Zugriff
Microsoft Entra ID-Authentifizierung mit MFA-Durchsetzung. Richtlinien für bedingten Zugriff. Intune MDM-Compliance. Vierteljährliche Zugriffsüberprüfungen. Prinzip der geringsten Privilegien durchgesetzt.
🛡️
Bedrohungserkennung
AWS GuardDuty aktiviert (S3 + Malware-Schutz). AWS Config-Compliance-Regeln. EventBridge-Alarme an SNS. CloudWatch Synthetics-Zustandsüberwachung. Sicherheitswarnungen an Bereitschaftspersonal.
🧾
Audit-Protokollierung
Unveränderliches Audit-Protokoll: DynamoDB + S3 WORM (Object Lock COMPLIANCE, 7-jährige Aufbewahrung). CloudTrail-Datenereignisse. Abfragbar über Athena. Protokolle mit CMK verschlüsselt.
🔍
PII-Erkennung
Automatisierte PII-Erkennungsschicht für alle ein- und ausgehenden Daten (Sozialversicherungsnummern, Kreditkarten, Gesundheitsdaten, über 20 Mustertypen). HIPAA-erweiterte Muster für Gesundheitsdienstleister. Audit-Protokollierung bei Erkennung.
💉
Prompt-Injection-Schutz
Externe Inhalte werden vor der KI-Verarbeitung mit Begrenzungsmarkierungen versehen. Ratenbegrenzung (30/Min., 200/Std. pro Nutzer). Eingabevalidierung und -bereinigung auf Middleware-Ebene.
♻️
Backup & Wiederherstellung
3-stufiges Backup: täglich/35 Tage, wöchentlich/90 Tage, monatlich/1 Jahr. DynamoDB PITR aktiviert. RTO <15 Min., RPO nahezu null. Löschschutz für alle Produktionsdatenbanken aktiviert.
📦
Lieferkettensicherheit
ECR-Image-Scanning (scanOnPush=true). Tag-Unveränderlichkeit für alle Image-Repositories. Fixierte Image-Digests in Produktions-Task-Definitionen. Keine nicht vertrauenswürdigen Registries.
👤
Personelle Maßnahmen
Alle Mitarbeiter mit Datenzugang unterliegen Vertraulichkeitspflichten. Jährliche Sicherheitsschulung. Hintergrundüberprüfungen für Mitarbeiter mit Systemzugang. Zugangsentzug innerhalb von 24 Stunden nach Rollenwechsel.

Anhang B Verarbeitungsdetails

Kategorien Betroffener Personen

  • Mitarbeiter, Auftragnehmer und autorisierte Nutzer des Verantwortlichen, die über Microsoft Teams, Slack oder andere verbundene Kanäle mit dem Staffinity KI-Agenten interagieren;
  • Dritte, deren Personenbezogene Daten möglicherweise beiläufig in den durch die Plattform verarbeiteten Kommunikationen erwähnt werden (z. B. Kontakte, Kunden, die in Nachrichten genannt werden).

Kategorien Personenbezogener Daten

  • Identitätsdaten: Name, E-Mail-Adresse, Microsoft/Entra ID-Objekt-ID, Anzeigename, Abteilung;
  • Interaktionsdaten: Nachrichteninhalt, Zeitstempel, Gesprächshistorie, vom Agenten verarbeitete Dateianhänge;
  • Nutzungsdaten: Sitzungskennungen, Funktionsnutzungsmetriken, Fehlerprotokolle (keine Inhalte in Metriken gespeichert);
  • Präferenzdaten: Vom Nutzer geäußerte Präferenzen und im Agenten-Speicher gespeicherte Einstellungen;
  • Besondere Kategorien: Nicht absichtlich erhoben. HIPAA-sensible Daten werden nur unter separater BAA und mit expliziter Kundenkonfiguration verarbeitet.

Verarbeitungsvorgänge

  • Authentifizierung und Autorisierung über Microsoft Entra ID;
  • Speicherung und Abruf der Gesprächshistorie (Redis, DynamoDB — 7-Tage-Rollfenster);
  • KI-Inferenz: Weiterleitung des Nachrichtenkontexts an Anthropic Claude zur Antwortgenerierung;
  • Wissensabruf: Semantische Suche in vom Kunden bereitgestellten Dokumenten (RAG, pgvector);
  • Optionale Websuche: Weiterleitung von Suchanfragen an die Perplexity API;
  • Terminplanung und Aufgabenausführung über EventBridge und Lambda;
  • Audit-Protokollierung: Nur-Metadaten-Einträge (kein Nachrichteninhalt in Audit-Protokollen);
  • PII-Erkennung und -Kennzeichnung auf Middleware-Ebene.

Aufbewahrungsfristen

  • Gesprächshistorie: 7-Tage-Rollaufbewahrung in Redis; DynamoDB mit konfigurierbarem TTL;
  • Audit-Protokolle: 7 Jahre (WORM-geschütztes S3-Archiv);
  • Nutzerpräferenzen: Dauer des Servicevertrags;
  • Wissensdatenbank (RAG)-Dokumente: Wie vom Verantwortlichen konfiguriert; Löschung bei Vertragsbeendigung;
  • Backup-Daten: Gemäß Backup-Stufe (max. 1 Jahr für monatliche Backups).

Anhang C Standardvertragsklauseln (SVK)

Anwendbarer Rahmen

Für Übermittlungen Personenbezogener Daten aus der Europäischen Union / dem Europäischen Wirtschaftsraum an Staffinity (mit Sitz in den Vereinigten Staaten) oder an US-amerikanische Unterauftragsverarbeiter (Anthropic, Perplexity) vereinbaren die Parteien, dass die von der Europäischen Kommission durch Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 angenommenen Standardvertragsklauseln wie folgt durch Verweis in diesen DPA einbezogen werden:

  • Modul 2 (Verantwortlicher an Auftragsverarbeiter) gilt für Übermittlungen vom Verantwortlichen (EU/EWR-Unternehmen) an Staffinity;
  • Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) gilt für Weiterübermittlungen von Staffinity an US-amerikanische Unterauftragsverarbeiter (Anthropic, Perplexity).

Klausel 7 — Beitrittsklausel

Die Beitrittsklausel der SVK 2021 (Klausel 7) wird aktiviert, sodass während der Laufzeit dieses DPA weitere Verantwortliche oder Auftragsverarbeiter den SVK beitreten können, ohne dass ein neuer DPA ausgehandelt werden muss.

Klausel 9 — Unterauftragsverarbeiter

Option 2 (Allgemeine schriftliche Genehmigung) gilt. Staffinity erteilt eine allgemeine Genehmigung gemäß Abschnitt 5 dieses DPA mit einer Vorankündigung von 30 Tagen bei Änderungen.

Klausel 11 — Rechtsbehelfe

Der optionale Rechtsbehelfsmechanismus wird nicht aktiviert. Betroffene Personen üben ihre Rechte über den Verantwortlichen aus, wie in Abschnitt 7 dieses DPA beschrieben.

Klausel 17 — Anwendbares Recht

Die SVK unterliegen dem Recht des EU-Mitgliedstaats, in dem der Verantwortliche ansässig ist. Für Verantwortliche, die nicht in einem EU-Mitgliedstaat ansässig sind, unterliegen die SVK dem Recht der Republik Irland.

Klausel 18 — Zuständigkeit

Streitigkeiten aus den SVK werden von den Gerichten des EU-Mitgliedstaats entschieden, in dem der Verantwortliche ansässig ist, oder, für Verantwortliche, die nicht in einem EU-Mitgliedstaat ansässig sind, von den Gerichten der Republik Irland.

UK DSGVO-Nachtrag

Für Übermittlungen, die der UK DSGVO (post-Brexit) unterliegen, wird der vom britischen Information Commissioner's Office (ICO) herausgegebene International Data Transfer Addendum — Version B1.0 — in die SVK einbezogen. Die Parteien stimmen allen zwingenden Klauseln zu und wählen: (a) Tabelle 1 — wie in diesem DPA angegeben; (b) Tabelle 2 — SVK 2021 Modul 2; (c) Tabelle 4 — Auftragsverarbeiter.

Vollständiger SVK-Text: Der vollständige, unveränderte Text der SVK 2021 ist bei der Europäischen Kommission unter commission.europa.eu verfügbar. Staffinity stellt auf Anfrage an privacy@staffinity.io eine gegengezeichnete Kopie mit ausgefüllten Anhängen I–III zur Verfügung.

Allgemeine Bestimmungen

Haftung

Die Haftung jeder Partei im Rahmen dieses DPA unterliegt den im RDV festgelegten Haftungsbeschränkungen und -ausschlüssen, soweit nach anwendbarem Recht zulässig. Nichts in diesem DPA schränkt die Haftung einer Partei für Tod, Körperverletzung, Betrug oder eine Haftung ein, die nach anwendbarem Recht nicht beschränkt werden kann.

Änderungen

Staffinity kann diesen DPA aktualisieren, um Änderungen des anwendbaren Rechts oder seiner Verarbeitungstätigkeiten widerzuspiegeln. Wesentliche Änderungen werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten mitgeteilt. Die fortgesetzte Nutzung der Dienste nach dem Gültigkeitsdatum gilt als Akzeptanz. Für Kunden mit gegengezeichneten DPAs bedürfen Änderungen einer gegenseitigen schriftlichen Vereinbarung.

Salvatorische Klausel

Sollte eine Bestimmung dieses DPA für ungültig oder nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen in vollem Umfang in Kraft. Die Parteien handeln in gutem Glauben, um jede ungültige Bestimmung durch eine gültige Bestimmung zu ersetzen, die so weit wie möglich den gleichen Zweck erfüllt.

Anwendbares Recht

Dieser DPA unterliegt dem Recht des Bundesstaates Delaware, Vereinigte Staaten, und ist entsprechend auszulegen, ohne Rücksicht auf Kollisionsnormen, es sei denn, die SVK in Anhang C sehen für grenzüberschreitende Übermittlungszwecke ein anderes anwendbares Recht vor.

Kontakt

Fragen zu diesem DPA sind zu richten an: privacy@staffinity.io

Benötigen Sie einen gegengezeichneten DPA?

Unternehmenskunden, die eine gegengezeichnete PDF-Version, individuelle Anhänge oder eine BAA (für HIPAA-Anwendungsfälle) benötigen, können diese direkt anfordern. Standardmäßige DPAs werden innerhalb von 3 Werktagen bearbeitet.

Gegengezeichneten DPA anfordern Zurück zum Trust Center