Zum Hauptinhalt springen

Auftragsverarbeitung gemäß Art. 28 DSGVO

Stand: 11. Mai 2026

Diese Auftragsverarbeitungsvereinbarung (später auch "AVV") wird zwischen Ihnen (später auch "Verantwortlicher", "Kunde", "Sie", "Ihr") und der ScootKit UG (haftungsbeschränkt), eingetragen im Handelsregister München unter der Registernummer HRB 296162 (später auch "Auftragsverarbeiter", "ScootKit", "wir"), geschlossen. Anschrift, weitere Rechtsangaben und Kontaktmöglichkeiten finden Sie in unserem Impressum.

Diese AVV regelt die Verarbeitung personenbezogener Daten Ihrer Endnutzer durch ScootKit in Ihrem Auftrag im Rahmen der von Ihnen genutzten Funktionen der SCNX-Plattform. Sie ist Bestandteil unserer Nutzungsbedingungen und ergänzt diese um die nach Art. 28 DSGVO erforderlichen Regelungen.

§ 1 Anwendungsbereich und Status des Auftragsverarbeiters

(1) Diese Bestimmungen zur Auftragsverarbeitung (später auch "AVV") gelten für die Verarbeitung personenbezogener Daten Ihrer Endnutzer durch ScootKit in Ihrem Auftrag im Rahmen der von Ihnen aktivierten Funktionen der SCNX-Plattform, einschließlich des SCNX Custom Bots und sämtlicher zugehöriger Module sowie der KI-gestützten Funktionen.

(2) Diese AVV wird Vertragsbestandteil mit Annahme unserer Nutzungsbedingungen. Eine gesonderte Annahme oder Unterzeichnung ist nicht erforderlich. Die elektronische Annahme genügt dem Schriftformerfordernis nach Art. 28 Abs. 9 DSGVO.

(3) Diese AVV gilt unabhängig davon, ob Sie Ihr SCNX-Abonnement unmittelbar bei ScootKit oder bei einem von ScootKit autorisierten Weiterverkäufer im Sinne der Nutzungsbedingungen erworben haben. Die datenschutzrechtliche Beziehung der Auftragsverarbeitung besteht stets unmittelbar zwischen Ihnen als Verantwortlichem und ScootKit als Auftragsverarbeiter; sie ist von der jeweiligen kaufvertraglichen Beziehung unabhängig.

(4) ScootKit ist ein Kleinstunternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission. Soweit das anwendbare Recht oder eine Beurteilung der Verhältnismäßigkeit auf die Größe und die Ressourcen eines Auftragsverarbeiters Rücksicht nimmt, ist diese Eigenschaft zu berücksichtigen, insbesondere bei der Beurteilung der nach Art. 32 DSGVO angemessenen technischen und organisatorischen Maßnahmen sowie des Umfangs der Unterstützungspflichten nach Art. 28 Abs. 3 lit. e und f DSGVO.

(5) Anfragen, Mitteilungen und Weisungen Ihrerseits im Zusammenhang mit dieser AVV richten Sie bitte über das hierfür im Dashboard bereitgestellte Formular unter https://scootk.it/dpa-request-form oder per E-Mail an [email protected]. Beide Wege werden in unserem Vorgangssystem dokumentiert und sind gleichermaßen verbindlich. Mitteilungen und Benachrichtigungen von ScootKit zu dieser AVV erhalten Sie per E-Mail an die in Ihrem Account hinterlegte primäre Kontakt-E-Mail-Adresse oder im Dashboard.

(6) Die Identität des Einreichenden gilt als hinreichend belegt durch eine authentifizierte Dashboard-Sitzung oder die Einreichung von einer in Ihrem Account hinterlegten Kontakt-E-Mail-Adresse. In allen anderen Fällen sind wir berechtigt, vor der inhaltlichen Bearbeitung eine angemessene Identitätsprüfung durchzuführen. Anfragen, deren Einreichende sich nicht in angemessener Zeit verifizieren lassen, können wir unbearbeitet zurückweisen und auf einen authentifizierten Einreichungsweg verweisen.

§ 2 Verhältnis zu Verbraucherrechten

(1) Soweit Sie Verbraucher im Sinne von § 13 BGB sind, gelten die nachfolgenden Bestimmungen nur in dem gesetzlich zulässigen Umfang.

(2) Ihre zwingenden Verbraucherrechte bleiben von dieser Vereinbarung unberührt.

(3) Die in unseren Nutzungsbedingungen geregelten Verbraucherinformationen, insbesondere zum Widerrufsrecht bei Fernabsatzverträgen, gelten ergänzend.

§ 3 Rollen und Verantwortlichkeiten

(1) Soweit ScootKit in Ihrem Auftrag personenbezogene Daten Ihrer Endnutzer verarbeitet, sind Sie Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und ScootKit ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

(2) Dies gilt unabhängig davon, ob Sie die SCNX-Plattform privat oder im Rahmen einer gewerblichen oder beruflichen Tätigkeit nutzen. Sie sind dafür verantwortlich, Ihre Rolle nach Art. 4 Nr. 7 DSGVO und insbesondere die Anwendbarkeit der Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO eigenverantwortlich zu beurteilen.

(3) Sie tragen die alleinige Verantwortung für die Rechtmäßigkeit der von Ihnen veranlassten Verarbeitung, insbesondere

  • a) für das Vorliegen einer Rechtsgrundlage nach Art. 6 sowie gegebenenfalls Art. 9 und Art. 22 DSGVO,
  • b) für die Erfüllung von Informationspflichten gegenüber Ihren Endnutzern und
  • c) für die Wahrung der Rechte der betroffenen Personen.

(4) Bezüglich der Verarbeitung personenbezogener Daten zu eigenen Zwecken von ScootKit, insbesondere zur Vertragsabwicklung, zur Rechnungsstellung, zur Plattformsicherheit, zur Missbrauchsbekämpfung, zum Betrieb des plattforminternen Werbesystems sowie zur Erfüllung gesetzlicher Pflichten, bleibt ScootKit eigenständig Verantwortlicher; insoweit gelten ausschließlich die Bestimmungen unserer Datenschutzerklärung.

(5) Soweit Sie über die SCNX-Plattform Ihren Endnutzern eigene tenant-isolierte Zugänge oder Oberflächen bereitstellen (insbesondere zur Einsicht in Statistiken, Tickets oder vergleichbare server- oder mitgliedsbezogene Informationen), bleiben Sie auch für die Konfiguration, die Inhalte und die Ausgestaltung dieser Oberflächen Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. ScootKit stellt die zugrundeliegende Infrastruktur tenant-isoliert bereit, hat jedoch keinen Einfluss auf Ihre individuellen Konfigurations- und Gestaltungsentscheidungen innerhalb Ihres Tenants und führt keine inhaltliche Moderation tenant-spezifischer Konfigurationen durch.

(6) Soweit Sie über die SCNX-Plattform öffentlich zugängliche Inhalte veröffentlichen, insbesondere von Ihnen gestaltete Webseiten oder vergleichbare öffentliche Darstellungen, bleiben Sie Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für sämtliche in den veröffentlichten Inhalten enthaltenen personenbezogenen Daten. Dies gilt unabhängig davon, ob die betroffenen Personen Ihre Endnutzer sind oder nicht.

(7) Sie sichern zu, dass Sie für die Veröffentlichung der personenbezogenen Daten eine geeignete Rechtsgrundlage nach Art. 6 sowie gegebenenfalls Art. 9 DSGVO vorhalten, die Betroffenen entsprechend Art. 13 und 14 DSGVO informieren und keine Inhalte veröffentlichen, die Rechte Dritter verletzen.

(8) ScootKit stellt die Hosting-Infrastruktur tenant-isoliert bereit, hat jedoch keinen Einfluss auf die von Ihnen veröffentlichten Inhalte und führt keine vorgelagerte inhaltliche Prüfung durch. ScootKit ist im Einklang mit geltendem Recht zur Reaktion auf Hinweise auf rechtswidrige Inhalte berechtigt und verpflichtet; das hierfür vorgesehene Verfahren ist in unseren Nutzungsbedingungen beziehungsweise einer gesonderten Richtlinie geregelt.

(9) Die Erfüllung von Anträgen auf Löschung, Berichtigung oder Einschränkung der Verarbeitung nach Art. 16 bis 18 DSGVO bezüglich öffentlich veröffentlichter Inhalte obliegt ausschließlich Ihnen. Die Entfernung einzelner Inhalte auf Ihre Weisung hin oder auf Anweisung einer zuständigen Behörde bleibt davon unberührt.

§ 4 Gegenstand, Dauer, Art und Zweck der Verarbeitung

(1) Gegenstand: Bereitstellung und Betrieb der von Ihnen konfigurierten Bots und sämtlicher von Ihnen aktivierten Funktionsmodule der SCNX-Plattform, einschließlich Moderation, Logging, Mitgliederverwaltung, Leveling, Wirtschaftssystem, Ticket- und Supportfunktionen, Custom Commands, KI-gestützter Funktionen, Schnittstellen zu Drittsystemen, Importfunktionen für nutzergenerierte Konfigurationsinhalte sowie sonstiger gegenwärtiger und künftiger Module.

(2) Dauer: Die Verarbeitung beginnt mit Wirksamwerden dieser AVV und endet mit der Beendigung des Dienstvertrags zwischen Ihnen und ScootKit, einschließlich der Beendigung wegen Inaktivität nach Maßgabe der Nutzungsbedingungen.

(3) Art der Verarbeitung: Sämtliche Verarbeitungsvorgänge im Sinne von Art. 4 Nr. 2 DSGVO, die zur Erbringung der von Ihnen aktivierten Funktionen erforderlich sind, einschließlich der Erhebung in Echtzeit aus Discord-Events, der dauerhaften Speicherung in unseren Datenbanken sowie der Bereitstellung an die jeweiligen Funktionsmodule.

(4) Zweck: Erbringung des Dienstes SCNX gemäß Ihren Konfigurationseinstellungen und der Funktionalität der von Ihnen aktivierten Module.

§ 5 Kategorien betroffener Personen und personenbezogener Daten

(1) Kategorien betroffener Personen: Mitglieder Ihrer Discord-Server, die mit Ihrem auf SCNX gehosteten Bot oder den von Ihnen aktivierten Funktionsmodulen interagieren oder deren Daten durch diese verarbeitet werden, sowie gegebenenfalls Ihre Mitarbeitenden, Moderatoren und Trusted-Admins.

(2) Kategorien personenbezogener Daten (abhängig von den von Ihnen aktivierten Modulen und Konfigurationen):

  • a) Discord-Benutzerkennungen, Server-IDs sowie öffentlich zugängliche Profildaten (insbesondere Benutzernamen, Anzeigenamen, Avatare);
  • b) Inhalte von Nachrichten, soweit für aktivierte Module erforderlich (insbesondere Auto-Moderation, KI-Funktionen, Custom Commands, Logging);
  • c) Aktivitätsdaten in Sprach- und Textkanälen (insbesondere Beitritts- und Verlassens-Zeitpunkte, Sprachkanal-Verweildauer, Reaktionen);
  • d) Moderationsdaten, einschließlich Verwarnungen, Sperren, Mute-Aktionen, Quarantänen, Rollenzuweisungen und Bann-Historien, jeweils mit Gründen, Zeitstempeln und Moderator-Identifikatoren;
  • e) von Ihnen oder Ihren Moderatoren bereitgestellte Beweis- und Belegdateien zu Moderationsmaßnahmen;
  • f) Verhaltens- und Profildaten aus Leveling-, XP-, Wirtschafts- und Spielmodulen (insbesondere Erfahrungspunkte, virtuelle Währungsbestände, Transaktionshistorien, Spielzustände);
  • g) Verifizierungsdaten aus Welcome- und CAPTCHA-Modulen;
  • h) Audit-Logs zu Nutzer-, Nachrichten-, Rollen-, Kanal- und Konfigurationsänderungen;
  • i) Inhalte und Formulareingaben aus Tickets, Bewerbungen, Umfragen und Forum-Funktionen;
  • j) Eingaben in Custom Commands sowie deren Verarbeitungsergebnisse;
  • k) Inhalte von Serverbackups, soweit Sie diese Funktion nach Maßgabe der Nutzungsbedingungen aktivieren und anlegen;
  • l) bei aktivierten KI-Funktionen: an die KI-Dienstleister übermittelte Eingaben und deren Ausgaben;
  • m) Daten, die im Rahmen von Schnittstellen zu Drittsystemen oder Importfunktionen verarbeitet werden, einschließlich aus solchen Quellen empfangener oder an diese übermittelter Inhalte sowie zugehöriger Aktivitäts- und Protokolldaten.

(3) Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sind nicht Gegenstand der Auftragsverarbeitung. Sollte die Verarbeitung solcher Daten aufgrund Ihrer Konfiguration, des Inhalts von Beweisdateien oder des Verhaltens Ihrer Endnutzer dennoch anfallen, geschieht dies ohne Wissen und Wollen von ScootKit und ausschließlich in Ihrer Verantwortung.

§ 6 Weisungen

(1) ScootKit verarbeitet personenbezogene Daten der Endnutzer ausschließlich auf Ihre dokumentierten Weisungen hin. Als dokumentierte Weisungen gelten ausschließlich:

  • a) die Konfiguration Ihres Bots und der einzelnen Module über das SCNX-Dashboard im Rahmen der dort bereitgestellten Konfigurationsmöglichkeiten;
  • b) die Aktivierung oder Deaktivierung einzelner Module und Funktionen über das SCNX-Dashboard;
  • c) die durch Sie verfassten Inhalte von Custom Commands, KI-Systemprompts, Welcome-Texten und vergleichbaren konfigurierbaren Inhalten;
  • d) die Konfiguration und Aktivierung von Schnittstellen zu Drittsystemen (insbesondere API-Integrationen, Webhooks und OAuth-Verbindungen) über das Dashboard;
  • e) die Aktivierung von Konfigurationen, Custom Commands oder vergleichbaren Inhalten, die Sie über von ScootKit bereitgestellte Importfunktionen aus anderen Quellen übernommen haben, einschließlich aus von anderen Kunden geteilten Inhalten;
  • f) Handlungen, die durch Trusted-Admins im Sinne der Nutzungsbedingungen im Dashboard vorgenommen werden; diese gelten gemäß Nutzungsbedingungen als in Ihrem Namen erfolgt und damit als Ihre Weisungen;
  • g) diese Vereinbarung, unsere Nutzungsbedingungen und unsere Datenschutzerklärung in ihrer jeweils gültigen Fassung.

(2) Weisungen außerhalb des Konfigurationsumfangs des Dashboards, insbesondere individuelle Weisungen über das Formular unter https://scootk.it/dpa-request-form oder per E-Mail an [email protected], sind nur wirksam, soweit ScootKit deren Umsetzung ausdrücklich bestätigt.

(3) ScootKit ist nicht verpflichtet, individuelle Weisungen umzusetzen, die über den Konfigurationsumfang des Dashboards hinausgehen. Die Umsetzung individueller Weisungen kann von einer gesonderten Vergütung nach Aufwand abhängig gemacht werden. Die Bestätigung des Eingangs einer Weisung in unserem Vorgangssystem stellt keine Zusage zur Umsetzung dar.

(4) Sind wir der Auffassung, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, sind wir berechtigt, die Umsetzung auszusetzen, bis die Weisung geklärt oder von Ihnen bestätigt wurde.

(5) Eine Verarbeitung außerhalb Ihrer Weisungen erfolgt nur, soweit gesetzlich vorgeschrieben (Art. 28 Abs. 3 lit. a DSGVO).

§ 7 Vertraulichkeit

(1) Wir verpflichten die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

§ 8 Technische und organisatorische Maßnahmen

(1) Wir treffen die nach Art. 32 DSGVO gesetzlich erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Bei der Beurteilung des angemessenen Schutzniveaus ist die in § 1 Abs. 4 genannte Eigenschaft von ScootKit als Kleinstunternehmen zu berücksichtigen.

(2) Die konkrete Ausgestaltung der Maßnahmen liegt in unserem Ermessen und kann sich entsprechend dem Stand der Technik fortentwickeln, solange das gesetzlich gebotene Schutzniveau gewahrt bleibt.

(3) Eine Übersicht der zum jeweiligen Zeitpunkt getroffenen Maßnahmen stellen wir auf begründete Anfrage in zusammengefasster Form zur Verfügung.

§ 9 Unterauftragsverarbeiter

(1) Sie stimmen der Einbeziehung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 Satz 2 DSGVO allgemein zu. Eine aktuelle Liste unserer Unterauftragsverarbeiter, einschließlich Sitz, Verarbeitungszweck und Datenübermittlungsmechanismus, finden Sie in unserer Datenschutzerklärung unter https://scootk.it/scnx-privacy.

(2) Wir informieren Sie über die Hinzunahme oder den Austausch eines Unterauftragsverarbeiters mit einer Vorlaufzeit von mindestens dreißig (30) Tagen, in der Regel durch Veröffentlichung in der oben verlinkten Liste sowie nach unserer Wahl per E-Mail oder im Dashboard.

(3) Sie können der Änderung innerhalb dieses Zeitraums aus wichtigem datenschutzrechtlichen Grund widersprechen. Ein Widerspruch aus kommerziellen oder sonstigen nicht-datenschutzrechtlichen Gründen ist ausgeschlossen.

(4) Können wir Ihrem berechtigten Widerspruch nicht abhelfen, sind Sie berechtigt, den Dienstvertrag mit Wirkung zu dem Zeitpunkt außerordentlich zu kündigen, zu dem der neue Unterauftragsverarbeiter erstmals personenbezogene Daten Ihrer Endnutzer verarbeiten würde. Bereits im Voraus geleistete Entgelte erstatten wir Ihnen anteilig für den nach Wirksamwerden der Kündigung verbleibenden Abrechnungszeitraum. Weitergehende Ansprüche, insbesondere auf Schadensersatz, sind ausgeschlossen, soweit gesetzlich zulässig.

(5) Wir verpflichten unsere Unterauftragsverarbeiter im erforderlichen Umfang auf Pflichten, die den in dieser AVV festgelegten Pflichten im Wesentlichen gleichwertig sind.

§ 10 Internationale Datenübermittlung

(1) Soweit personenbezogene Daten an Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums übermittelt werden, stellen wir sicher, dass eine geeignete Garantie nach Kapitel V DSGVO vorliegt, insbesondere

  • a) ein Angemessenheitsbeschluss (einschließlich des EU-US Data Privacy Framework, soweit der jeweilige Unterauftragsverarbeiter zertifiziert ist) oder
  • b) Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914.

(2) Der jeweils zutreffende Mechanismus ist in der unter https://scootk.it/scnx-privacy abrufbaren Liste aufgeführt.

§ 11 Automatisierte Entscheidungsfindung

(1) Sie sind sich bewusst, dass einzelne von Ihnen aktivierbare Module der SCNX-Plattform (insbesondere Module der Auto-Moderation, Anti-Raid, Ping-Schutz, Anti-Grief, Join-Gate, Welcome-Verifizierung, Status-Rollen und vergleichbare regelbasierte Module) ohne menschliche Zwischenschaltung auf Grundlage Ihrer Konfiguration Maßnahmen gegenüber Ihren Endnutzern ergreifen können, einschließlich der Verhängung von Stummschaltungen, Quarantänen, Sperren, Verwarnungen oder Rollenentzügen.

(2) Soweit derartige Maßnahmen rechtliche Wirkung gegenüber Ihren Endnutzern entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen, kann eine Verarbeitung im Sinne von Art. 22 DSGVO vorliegen.

(3) Es liegt in Ihrer ausschließlichen Verantwortung,

  • a) zu beurteilen, ob die von Ihnen aktivierten Module im konkreten Einsatzfall eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO darstellen,
  • b) eine erforderliche Rechtsgrundlage nach Art. 22 Abs. 2 DSGVO sicherzustellen,
  • c) die nach Art. 22 Abs. 3 DSGVO erforderlichen Schutzmaßnahmen vorzusehen, insbesondere die Möglichkeit zur Wahrnehmung des Standpunkts der betroffenen Person, zur Anfechtung der Entscheidung und zum Eingreifen einer Person auf Ihrer Seite,
  • d) Ihre Endnutzer über die automatisierte Entscheidungsfindung in transparenter Weise nach Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO zu informieren.

(4) ScootKit stellt die technische Funktionalität bereit; die Entscheidung über deren Aktivierung, Konfiguration, Schwellenwerte und Folgen trifft ausschließlich der Verantwortliche.

§ 12 Unterstützung bei Betroffenenrechten

(1) Wir unterstützen Sie, soweit dies unter Berücksichtigung der Art der Verarbeitung möglich und zumutbar ist, mit den auf der SCNX-Plattform vorgesehenen technischen und organisatorischen Hilfsmitteln bei der Erfüllung Ihrer Pflicht zur Beantwortung von Anträgen Ihrer Endnutzer aus Art. 15 bis 22 DSGVO. Die Unterstützung beschränkt sich auf den durch die standardmäßigen Export-, Auskunfts- und Löschwerkzeuge der SCNX-Plattform abgedeckten Datenbestand.

(2) Eine darüber hinausgehende Unterstützung, insbesondere

  • a) die individuelle Aufbereitung, Recherche oder Übermittlung von Daten,
  • b) die Identifikation, Bearbeitung oder Löschung von Daten, die durch von Ihnen erstellte Custom Commands, individuelle Module oder sonstige durch Sie konfigurierte Strukturen entstanden sind,
  • c) die Auswertung oder Aufbereitung von Beweis- und Belegdateien sowie sonstigen durch Sie bereitgestellten Inhalten,

erfolgt nur auf Grundlage einer gesonderten Vergütungsvereinbarung nach Aufwand.

(3) Sie sind verpflichtet, jederzeit zu wissen, welche personenbezogenen Daten durch von Ihnen erstellte Custom Commands oder sonstige individuelle Konfigurationen verarbeitet und gespeichert werden, und uns die zur Bearbeitung von Betroffenenanfragen erforderlichen Informationen rechtzeitig bereitzustellen.

(4) Wir behalten uns vor, für die Bearbeitung offensichtlich unbegründeter oder exzessiver Anfragen ein angemessenes Entgelt zu verlangen oder die Bearbeitung abzulehnen.

(5) Sollte sich ein Endnutzer zur Wahrnehmung seiner Rechte direkt an uns wenden, leiten wir die Anfrage unverzüglich an Sie weiter; die inhaltliche Bearbeitung obliegt Ihnen.

(6) Soweit Endnutzer über eine von Ihnen konfigurierte tenant-isolierte Oberfläche im Sinne von § 3 Abs. 5 unmittelbar auf die sie betreffenden Daten zugreifen oder dort Anträge nach Art. 15 bis 22 DSGVO stellen können, bleibt die inhaltliche Bearbeitung dieser Anträge Ihre Aufgabe als Verantwortlicher. ScootKit stellt insoweit nur die technische Funktionalität bereit und hat auf Inhalt, Form und Abwicklung der von Ihnen konfigurierten Endnutzerprozesse keinen Einfluss.

§ 13 Unterstützung bei weiteren Datenschutzpflichten

(1) Wir unterstützen Sie im gesetzlich gebotenen Umfang und unter Berücksichtigung der uns zur Verfügung stehenden Informationen sowie unserer Eigenschaft als Kleinstunternehmen bei der Einhaltung Ihrer Pflichten aus Art. 32 bis 36 DSGVO.

(2) Eine über die Bereitstellung allgemein zugänglicher Informationen hinausgehende Unterstützung, insbesondere bei der Durchführung einer Datenschutz-Folgenabschätzung, erfolgt nur auf Grundlage einer gesonderten Vergütungsvereinbarung nach Aufwand.

§ 14 Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Wir informieren Sie unverzüglich, nachdem uns eine Verletzung des Schutzes personenbezogener Daten Ihrer Endnutzer mit hinreichender Sicherheit bekannt geworden ist.

(2) Die Mitteilung enthält die in Art. 33 Abs. 3 DSGVO genannten Angaben, soweit uns diese zum Zeitpunkt der Mitteilung bekannt sind; fehlende Angaben tragen wir nach, sobald sie uns vorliegen.

(3) Die Mitteilung erfolgt per E-Mail an die in Ihrem Account hinterlegte primäre Kontakt-E-Mail-Adresse. Es liegt in Ihrer Verantwortung, diese Adresse aktuell zu halten und regelmäßig abzurufen.

(4) Eine darüber hinausgehende Benachrichtigungspflicht, insbesondere gegenüber Ihren Endnutzern oder der zuständigen Aufsichtsbehörde, obliegt ausschließlich Ihnen.

§ 15 Löschung oder Rückgabe nach Beendigung

(1) Nach Beendigung des Dienstvertrags löschen wir die in Auftragsverarbeitung verarbeiteten personenbezogenen Daten Ihrer Endnutzer in unseren produktiven Systemen innerhalb eines angemessenen Zeitraums. Bestehen gesetzliche Aufbewahrungspflichten, bleibt die Speicherung in dem hierfür erforderlichen Umfang und für die hierfür erforderliche Dauer unberührt.

(2) Eine Rückgabe der Daten erfolgt nur auf Ihre ausdrückliche Anforderung, die spätestens innerhalb von dreißig (30) Tagen nach Vertragsende bei uns eingehen muss, und nur in einem von uns nach billigem Ermessen festgelegten Standardformat. Eine Rückgabe in einem von Ihnen gewünschten Sonderformat oder mit individuellen Aufbereitungen erfolgt nur auf Grundlage einer gesonderten Vergütungsvereinbarung. Nach Ablauf der Frist sind wir zur Rückgabe nicht mehr verpflichtet.

(3) In betrieblichen Datensicherungen (Disaster-Recovery-Backups) verbleibende personenbezogene Daten werden im Rahmen der regulären Rotation der Sicherungssysteme innerhalb von höchstens neunzig (90) Tagen gelöscht. Eine gezielte vorzeitige Löschung aus solchen Sicherungen, einschließlich aufgrund von Anträgen auf Löschung nach Art. 17 DSGVO, ist nicht geschuldet; solange Daten in Sicherungen verbleiben, werden sie ausschließlich zu Zwecken der Wiederherstellung im Schadensfall vorgehalten und ansonsten von jeder weiteren Verarbeitung ausgeschlossen.

(4) Die in den Nutzungsbedingungen geregelte Funktion "Serverbackups" (kundengesteuerte Sicherungen Ihres Discord-Servers zu Wiederherstellungszwecken) bildet einen eigenständigen, von Ihnen selbst zu verwaltenden Datenbestand. Für deren Erstellung, Aufbewahrung, Löschung und Sicherheit gelten ausschließlich die Bestimmungen der Nutzungsbedingungen. Diese AVV regelt insoweit nicht die Aufbewahrungs- und Löschfristen.

(5) Für Discord-API-Daten gelten zusätzlich die im vorstehenden Abschnitt "Service Provider" gemäß Discord Entwicklerrichtlinien festgelegten Löschpflichten.

§ 16 Nachweise und Audit

(1) Wir stellen Ihnen die zum Nachweis der Einhaltung unserer Pflichten aus Art. 28 DSGVO erforderlichen Informationen in zusammengefasster Form zur Verfügung. Vorrangig erfolgt dies durch die Bereitstellung aktueller Prüfberichte unabhängiger Dritter, Zertifizierungen oder vergleichbarer Dokumente.

(2) Soweit zwingend gesetzlich erforderlich, ermöglichen wir Ihnen oder einem von Ihnen beauftragten Prüfer eine Inspektion. Eine solche Inspektion setzt voraus, dass

  • a) sie schriftlich mit einer Frist von mindestens sechzig (60) Tagen angekündigt wird,
  • b) ein konkreter, datenschutzrechtlich begründeter Anlass dargelegt wird,
  • c) höchstens einmal pro Kalenderjahr eine Inspektion stattfindet, es sei denn, eine zuständige Aufsichtsbehörde ordnet eine zusätzliche Prüfung an,
  • d) der Prüfer kein unmittelbarer Wettbewerber von ScootKit ist und vor Beginn der Prüfung eine angemessene Vertraulichkeitsvereinbarung abschließt,
  • e) die Prüfung den ordnungsgemäßen Geschäftsbetrieb von ScootKit nicht unverhältnismäßig beeinträchtigt und sich auf die für den Prüfgegenstand erforderlichen Bereiche beschränkt.

(2a) Die in Abs. 2 lit. a genannte Ankündigungsfrist und die in Abs. 2 lit. c genannte Beschränkung auf eine Inspektion pro Kalenderjahr gelten nicht bei einem konkreten und hinreichend begründeten Verdacht auf eine Verletzung des Schutzes personenbezogener Daten Ihrer Endnutzer oder einen vergleichbaren Sicherheitsvorfall. In solchen Fällen ist die Inspektion mit einer den Umständen angemessenen, kürzeren Frist anzukündigen; die übrigen Voraussetzungen aus Abs. 2 bleiben unberührt.

(3) Sämtliche mit Inspektionen verbundenen Kosten, einschließlich des Aufwands von ScootKit, tragen Sie, es sei denn, die Prüfung deckt einen wesentlichen, ScootKit zuzurechnenden Verstoß auf.

(4) Bei der Festlegung des Umfangs der Auskunfts- und Audit-Pflichten ist die in § 1 Abs. 4 genannte Eigenschaft von ScootKit als Kleinstunternehmen zu berücksichtigen.

§ 17 Künftige Funktionen, Aktualisierungen und Beta-Funktionen

(1) Diese AVV gilt automatisch für sämtliche künftigen Funktionen, Module und Erweiterungen der SCNX-Plattform, soweit diese personenbezogene Daten Ihrer Endnutzer in Auftragsverarbeitung verarbeiten. Eine gesonderte Annahme dieser AVV für einzelne neue Funktionen ist nicht erforderlich.

(2) Wir behalten uns vor, die Funktionalität und das Verhalten bestehender Module weiterzuentwickeln, einzuschränken oder einzustellen, soweit dies aus betrieblichen, wirtschaftlichen, sicherheitsrelevanten, rechtlichen oder regulatorischen Gründen erforderlich ist.

(3) Wesentliche Änderungen, die die Art oder den Umfang der Verarbeitung personenbezogener Daten betreffen, werden wir Ihnen rechtzeitig vor Wirksamwerden mitteilen. Sie sind verpflichtet, die Informationen, die Sie Ihren Endnutzern bereitstellen, regelmäßig zu überprüfen und an Änderungen der Funktionalität und des Verarbeitungsumfangs anzupassen.

(4) Funktionen, die ausdrücklich als Beta-, Alpha-, Vorschau-, Experimental-, Test- oder vergleichbare Funktionen ("Beta-Funktionen") gekennzeichnet sind, können wir jederzeit ohne Vorankündigung ändern, einschränken oder einstellen.

(5) Beta-Funktionen werden in ihrem jeweils aktuellen Zustand und nach Verfügbarkeit bereitgestellt. Eine Gewährleistung hinsichtlich Funktion, Verfügbarkeit, Datenpersistenz, Fehlerfreiheit oder Eignung für einen bestimmten Zweck besteht nicht. Eine etwaige Service-Level-Vereinbarung gilt für Beta-Funktionen nicht.

(6) Sie sind dafür verantwortlich, vor Aktivierung einer Beta-Funktion zu beurteilen, ob deren Einsatz für Ihre Endnutzer geeignet ist, und gegebenenfalls erhöhte Sorgfaltsmaßnahmen vorzusehen. Die Verarbeitung personenbezogener Daten in Beta-Funktionen erfolgt auf Ihre alleinige Verantwortung; ScootKit haftet hierfür nur im Rahmen der gesetzlichen Mindesthaftung.

(7) Wir behalten uns vor, diese AVV anzupassen, soweit Änderungen der Rechtslage, der Anforderungen von Aufsichtsbehörden oder unserer Plattform dies erforderlich machen. Für solche Anpassungen gilt das in den Nutzungsbedingungen geregelte Änderungsverfahren entsprechend: Änderungen gelten als genehmigt, wenn Sie ihnen entweder im Dashboard ausdrücklich zustimmen oder ihnen nicht in Textform binnen sechs (6) Wochen nach Zugang der Änderungsmitteilung widersprechen. Die Änderungsmitteilung erfolgt in der Regel per E-Mail oder im Dashboard. Auf das Widerspruchsrecht und die Rechtsfolge des Schweigens werden wir Sie in der Änderungsmitteilung gesondert hinweisen. Im Falle eines rechtzeitigen Widerspruchs gilt § 9 Abs. 4 entsprechend.

§ 18 Pflichten und Zusicherungen des Verantwortlichen

(1) Sie sichern zu und gewährleisten, dass

  • a) Sie das in den Nutzungsbedingungen geregelte Mindestalter erfüllen und, falls Sie minderjährig sind, die erforderliche Zustimmung Ihrer gesetzlichen Vertreter sowohl zu den Nutzungsbedingungen als auch zu dieser AVV vorliegt;
  • b) Sie Ihre Rolle nach Art. 4 Nr. 7 DSGVO und die Anwendbarkeit der Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO eigenverantwortlich beurteilt haben und ScootKit auf diese Beurteilung vertrauen darf;
  • c) für sämtliche von Ihnen veranlasste Verarbeitungen eine gültige Rechtsgrundlage nach Art. 6 sowie gegebenenfalls Art. 9 und Art. 22 DSGVO besteht;
  • d) Sie Ihre Endnutzer umfassend und rechtzeitig nach Art. 13 und 14 DSGVO sowie nach Art. 50 KI-VO informieren, einschließlich der Information über die Einbeziehung von ScootKit und der jeweiligen Unterauftragsverarbeiter sowie über etwaige automatisierte Entscheidungsfindung;
  • e) Ihre Bot- und Modulkonfiguration sowie die mit dem Bot verfolgten Zwecke mit geltendem Recht, einschließlich der Vorschriften zum Jugend-, Verbraucher- und Wettbewerbsschutz, vereinbar sind;
  • f) Sie keine Daten über die SCNX-Plattform verarbeiten, die ScootKit oder dessen Unterauftragsverarbeiter rechtlichen oder regulatorischen Risiken aussetzen, insbesondere keine illegalen, beleidigenden, gewaltverherrlichenden, jugendgefährdenden oder die Persönlichkeitsrechte Dritter verletzenden Inhalte;
  • g) von Ihnen bereitgestellte Beweis- und Belegdateien zu Moderationszwecken rechtmäßig erlangt wurden und keine besonderen Kategorien personenbezogener Daten enthalten, soweit hierfür keine eigene Rechtsgrundlage vorliegt;
  • h) Sie Custom Commands und vergleichbare individuelle Konfigurationen so gestalten, dass sie geltendes Recht einhalten, und Sie jederzeit Auskunft darüber geben können, welche personenbezogenen Daten durch diese verarbeitet werden;
  • i) Schnittstellen zu Drittsystemen, die Sie über die SCNX-Plattform konfigurieren oder aktivieren, keine Unterauftragsverarbeiter von ScootKit sind. Sie sind dafür verantwortlich, mit den jeweiligen Drittanbietern eigenständige datenschutzrechtliche Vereinbarungen zu treffen, soweit erforderlich, eine geeignete Rechtsgrundlage für die jeweilige Datenübermittlung vorzuhalten und geeignete Garantien gemäß Kapitel V DSGVO sicherzustellen;
  • j) Sie Konfigurationen, Custom Commands oder vergleichbare Inhalte, die Sie über von ScootKit bereitgestellte Importfunktionen aus anderen Quellen übernehmen, vor Aktivierung sorgfältig auf Rechtskonformität und Eignung prüfen. Mit der Aktivierung übernehmen Sie die alleinige Verantwortung für die importierten Inhalte und deren Wirkung in Ihrer Umgebung, als hätten Sie diese selbst erstellt;
  • k) sämtliche von Ihnen autorisierten Trusted-Admins im Sinne der Nutzungsbedingungen die Bestimmungen dieser AVV einhalten; Sie haften für deren Handlungen und Unterlassungen wie für eigene;
  • l) Sie für tenant-isolierte Oberflächen im Sinne von § 3 Abs. 5, die Sie Ihren Endnutzern bereitstellen, die rechtskonforme Ausgestaltung verantworten, insbesondere die Information Ihrer Endnutzer nach Art. 13 und 14 DSGVO über den Zugang, die dort verarbeiteten Daten sowie die zugrundeliegende Rechtsgrundlage;
  • m) Sie für öffentlich zugängliche Inhalte im Sinne von § 3 Abs. 6, die Sie über die SCNX-Plattform veröffentlichen, die rechtskonforme Ausgestaltung verantworten, einschließlich der Rechtsgrundlage für die Veröffentlichung personenbezogener Daten, der Beachtung von Persönlichkeits-, Urheber-, Marken- und Wettbewerbsrechten Dritter sowie der Einhaltung jugendschutz- und medienrechtlicher Vorgaben;
  • n) Sie Anträge betroffener Personen auf Wahrnehmung ihrer Rechte primär selbst entgegennehmen und bearbeiten.

(2) Verstoßen Sie gegen eine dieser Zusicherungen, sind wir berechtigt, betroffene Funktionen oder den gesamten Zugang ohne vorherige Ankündigung einzuschränken oder zu sperren.

§ 19 KI-spezifische Bestimmungen

(1) Diese Bestimmungen gelten zusätzlich, soweit Sie KI-gestützte Funktionen aktivieren oder konfigurieren.

(2) Rollen unter der KI-VO. Soweit Sie eine KI-Funktion für Ihre Endnutzer aktivieren, treten Sie als Betreiber im Sinne von Art. 3 Nr. 4 KI-VO auf. ScootKit handelt als Anbieter beziehungsweise als nachgelagerter Anbieter, soweit ScootKit die zugrundeliegenden KI-Modelle Dritter integriert, anpasst und für die Nutzung über die Plattform bereitstellt. Die Verantwortlichkeiten zwischen Betreiber und Anbieter richten sich nach der KI-VO.

(3) Transparenzpflichten. Sie sind ausschließlich verantwortlich für die Information Ihrer Endnutzer über den Einsatz von KI nach Art. 50 KI-VO sowie für die datenschutzrechtlichen Informationspflichten nach Art. 13 DSGVO. ScootKit stellt hierzu allgemeine Standardhinweise zur Verfügung; deren Eignung für Ihren konkreten Einsatzfall und die rechtskonforme Umsetzung obliegen ausschließlich Ihnen.

(4) Konfigurations- und Nutzungsverbote. Sie verpflichten sich, KI-Funktionen nicht in einer Weise zu konfigurieren oder zu nutzen, die

  • a) gegen Art. 5 KI-VO verstößt,
  • b) gegen Art. 50 KI-VO verstößt, insbesondere zur Impersonation natürlicher Personen ohne deren ausdrückliche Einwilligung,
  • c) gegen geltendes Recht zum Schutz Minderjähriger verstößt,
  • d) gegen unsere Nutzungsbedingungen oder anwendbare Nutzungsrichtlinien der zugrundeliegenden KI-Anbieter (insbesondere OpenAI, Anthropic, Google, ElevenLabs) verstößt.

(5) Bei eigenen Systemprompts, Persönlichkeiten oder vergleichbaren Konfigurationselementen tragen Sie die alleinige Verantwortung für deren Rechtskonformität. ScootKit ist berechtigt, Konfigurationen, die gegen die vorstehenden Pflichten oder unsere Nutzungsbedingungen verstoßen, jederzeit ohne vorherige Ankündigung zu deaktivieren, einzuschränken oder Inhalte zu entfernen.

(6) Keine Gewährleistung für KI-Ausgaben. KI-generierte Inhalte können fehlerhaft, unvollständig, voreingenommen oder irreführend sein. ScootKit übernimmt keinerlei Gewähr für die inhaltliche Richtigkeit, Vollständigkeit oder Eignung KI-generierter Ausgaben für einen bestimmten Zweck. ScootKit haftet nicht für Schäden, die aus der Nutzung KI-generierter Ausgaben oder aus Ausfällen, Verzögerungen oder Änderungen der Dienste der jeweiligen KI-Anbieter resultieren, soweit gesetzlich zulässig.

§ 20 Freistellung

(1) Soweit Sie Unternehmer im Sinne von § 14 BGB sind, stellen Sie ScootKit, deren verbundene Unternehmen, gesetzliche Vertreter, Mitarbeitende und Erfüllungsgehilfen von sämtlichen Ansprüchen Dritter frei, die aus oder im Zusammenhang mit

  • a) einem Verstoß Ihrerseits gegen diese Vereinbarung, unsere Nutzungsbedingungen oder geltendes Recht,
  • b) der Verletzung Ihrer Zusicherungen oder Verpflichtungen aus § 18,
  • c) der Konfiguration oder Nutzung von KI-Funktionen entgegen den Vorgaben dieser Vereinbarung,
  • d) der Konfiguration oder Nutzung von Custom Commands oder Modulen mit automatisierter Entscheidungsfindung entgegen geltendem Recht oder entgegen den Vorgaben dieser Vereinbarung,
  • e) den durch Sie bereitgestellten Beweis- und Belegdateien sowie sonstigen Inhalten,
  • f) Handlungen oder Unterlassungen von Ihnen autorisierter Trusted-Admins,
  • g) der Nutzung von Beta-Funktionen entgegen § 17,
  • h) der Konfiguration oder Nutzung von Schnittstellen zu Drittsystemen oder der Aktivierung importierter Konfigurationen entgegen den Vorgaben dieser Vereinbarung,
  • i) öffentlich veröffentlichten Inhalten im Sinne von § 3 Abs. 6, einschließlich Ansprüchen aus Persönlichkeits-, Urheber-, Marken- oder Wettbewerbsrechten Dritter

geltend gemacht werden.

(2) Die Freistellung umfasst auch angemessene Kosten der Rechtsverteidigung sowie Bußgelder, soweit eine Freistellung hiervon gesetzlich zulässig ist. Wir informieren Sie unverzüglich über entsprechende Ansprüche.

(3) Soweit Sie Verbraucher im Sinne von § 13 BGB sind, gilt anstelle der vorstehenden Freistellung die gesetzliche Haftung.

§ 21 Haftung

(1) Die Haftung der Parteien aus oder im Zusammenhang mit dieser AVV richtet sich nach den Bestimmungen unserer Nutzungsbedingungen. Ergänzend gilt:

  • a) Die Haftung für mittelbare Schäden, Folgeschäden, entgangenen Gewinn, Datenverlust (soweit dieser durch zumutbare eigene Sicherungsmaßnahmen vermeidbar gewesen wäre) sowie Reputationsschäden ist ausgeschlossen, soweit gesetzlich zulässig.
  • b) Soweit nach den Nutzungsbedingungen eine Haftung der Höhe nach nicht bereits beschränkt ist, ist die Haftung von ScootKit für Schäden aus oder im Zusammenhang mit dieser AVV der Höhe nach auf das Entgelt begrenzt, das Sie in den der Schadensentstehung vorausgehenden zwölf (12) Monaten an ScootKit gezahlt haben, soweit gesetzlich zulässig.
  • c) Unberührt bleiben die in den Nutzungsbedingungen geregelten zwingenden Haftungstatbestände, insbesondere die Haftung für Vorsatz und grobe Fahrlässigkeit, für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie die Haftung nach zwingenden gesetzlichen Vorschriften, einschließlich des Produkthaftungsgesetzes.

(2) Die Verantwortlichkeit nach Art. 82 DSGVO im Außenverhältnis zu betroffenen Personen bleibt von dieser Vereinbarung unberührt. Im Innenverhältnis haftet die Partei, die für den schadensauslösenden Verstoß verantwortlich ist; insoweit gilt der vorstehende Haftungsrahmen entsprechend.

§ 22 Schlussbestimmungen

(1) Vorrang. Im Verhältnis zu sonstigen Bestimmungen unserer Nutzungsbedingungen und sonstiger Vereinbarungen gehen die Regelungen dieser AVV vor, soweit es um die Verarbeitung personenbezogener Daten im Auftrag geht. Im Übrigen gelten die Nutzungsbedingungen ergänzend.

(2) Form. Diese AVV kommt durch Ihre Annahme unserer Nutzungsbedingungen zustande. Die elektronische Annahme genügt dem Schriftformerfordernis nach Art. 28 Abs. 9 DSGVO.

(2a) Auf Anfrage stellen wir Ihnen eine signierte Ausfertigung dieser AVV zu Ihren internen Zwecken zur Verfügung. Die Bereitstellung einer signierten Ausfertigung dient ausschließlich Ihrer Dokumentation und ist für die Wirksamkeit dieser AVV nicht erforderlich; die Wirksamkeit folgt ausschließlich aus Abs. 2.

(3) Salvatorische Klausel. Sollten einzelne Bestimmungen dieser AVV unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt diejenige wirksame und durchführbare Regelung, die den Zwecken dieser AVV in rechtlicher und wirtschaftlicher Hinsicht am nächsten kommt.

(4) Geltendes Recht und Gerichtsstand. Es gilt das in den Nutzungsbedingungen festgelegte Recht und der dort vereinbarte Gerichtsstand.

(5) Kontakt. Anfragen und Mitteilungen Ihrerseits im Zusammenhang mit dieser AVV richten Sie über das Formular unter https://scootk.it/dpa-request-form oder per E-Mail an [email protected]. Mitteilungen und Benachrichtigungen unsererseits erfolgen per E-Mail an die in Ihrem Account hinterlegte primäre Kontakt-E-Mail-Adresse oder im Dashboard.