Vereinbarung über die gemeinsame Verantwortlichkeit

Diese Vereinbarung wird geschlossen zwischen

• Zeptix (Alexander Sadomsky, c/o IP-Management #42121, Ludwig-Erhard-Str. 18, 20459 Hamburg, Deutschland) – nachfolgend „Zeptix" –
• und dem Chatbot-Betreiber, der über die Plattform einen Chatbot betreibt – nachfolgend „Betreiber" –

gemeinsam: „Parteien".

Diese Vereinbarung regelt die gemeinsame Verantwortlichkeit der Parteien gemäß Art. 26 DSGVO für die Verarbeitung personenbezogener Daten von Endnutzern (Visitor des Chatbots), die im Rahmen der Nutzung des vom Betreiber bereitgestellten Chatbots auf der Zeptix-Plattform anfallen.

Die Parteien legen gemäß Art. 26 Abs. 1 DSGVO folgende Verantwortungsbereiche fest:

3.1 Verantwortung des Chatbot-Betreibers.

• Inhaltliche Gestaltung des Chatbots (System-Prompt, Persönlichkeit, Wissensbasis-Dokumente und über die Trainings-KI eingepflegte Inhalte)
• Information der Endnutzer (eigene Datenschutzinformation, falls erforderlich, sowie Hinweis auf den KI-Charakter des Bots)
• Festlegung des Verarbeitungszwecks im Rahmen der eigenen Geschäftstätigkeit
• Reaktion auf Betroffenenanfragen (Auskunft, Löschung, Berichtigung etc.) der Endnutzer in erster Linie
• Rechtmäßigkeit der vom Bot verarbeiteten Inhalte (z. B. keine sensiblen Daten, kein urheberrechtlich geschütztes Material ohne Berechtigung)
• Falls eine Paywall mit Stripe-Anbindung aktiviert wird: eigene Stripe-Datenschutzpflichten

3.2 Verantwortung von Zeptix.

• Bereitstellung und Betrieb der technischen Plattform
• Auswahl und vertragliche Bindung der eingesetzten Subprocessors (siehe zeptix.io/subprocessors)
• Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO (Verschlüsselung, Zugriffskontrolle, Logging)
• Übermittlung der Chat-Inhalte an LLM-Anbieter zur Erzeugung der Antworten
• Bereitstellung der allgemeinen Datenschutzinformation für die Plattform unter zeptix.io/privacy
• Unterstützung des Chatbot-Betreibers bei Betroffenenanfragen, soweit nur Zeptix die technischen Mittel hat

Endnutzer können ihre Betroffenenrechte gegenüber jeder der Parteien geltend machen. Wir vereinbaren folgende Anlaufstellen:

• Primäre Anlaufstelle: der jeweilige Chatbot-Betreiber (Inhaltsverantwortung, Kenntnis des Verarbeitungskontexts)
• Subsidiäre Anlaufstelle: Zeptix unter [email protected] – wir leiten Anfragen unverzüglich an den verantwortlichen Chatbot-Betreiber weiter und unterstützen technisch.

Unbeschadet dieser internen Aufgabenverteilung steht es betroffenen Personen frei, ihre Rechte gegenüber jeder Partei geltend zu machen (Art. 26 Abs. 3 Satz 2 DSGVO).

Der Chatbot-Betreiber ist verpflichtet, die Endnutzer seines Bots in einer eigenen oder von Zeptix bereitgestellten Datenschutzinformation transparent zu informieren über:

• Identität des Chatbot-Betreibers und Kontaktdaten
• Zweck der Verarbeitung und Rechtsgrundlage
• Hinweis, dass Zeptix als Plattform-Betreiber gemeinsam verantwortlich ist (mit Verweis auf diese Vereinbarung und auf zeptix.io/privacy)
• KI-Hinweis (der Bot ist eine KI; Antworten können fehlerhaft sein)

Erlangt eine Partei Kenntnis von einer Datenschutzverletzung, die personenbezogene Daten der Endnutzer betrifft, informiert sie die andere Partei unverzüglich, spätestens innerhalb von 24 Stunden, schriftlich (E-Mail genügt).

Die Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO erfolgt grundsätzlich durch diejenige Partei, in deren Verantwortungsbereich die Verletzung eingetreten ist. Bei plattformseitigen Vorfällen übernimmt Zeptix; bei inhaltlichen Vorfällen (z. B. unbefugte Veröffentlichung von Wissensbasis-Daten) der Chatbot-Betreiber. Beide Parteien koordinieren sich.

Die von Zeptix eingesetzten Subprocessors (Hosting, LLM-Anbieter, Zahlungsdienstleister, E-Mail-Versand) sind unter zeptix.io/subprocessors aufgeführt. Mit allen Subprocessors bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

Der Chatbot-Betreiber kann eigene Subprocessors einsetzen (z. B. eigenes Stripe-Konto bei aktivierter Paywall) – dafür ist er allein verantwortlich.

Soweit Daten an Subprocessors in Drittländern übermittelt werden (insbesondere USA), erfolgt dies auf Grundlage des EU-US Data Privacy Framework und/oder Standardvertragsklauseln (Beschluss 2021/914). Details: zeptix.io/subprocessors.

Im Außenverhältnis haften die Parteien gegenüber betroffenen Personen gemäß Art. 82 DSGVO als Gesamtschuldner. Im Innenverhältnis trägt jede Partei die Verantwortung für die Bereiche aus Ziffer 3.

Diese Vereinbarung gilt für die Dauer der Vertragsbeziehung des Chatbot-Betreibers mit Zeptix. Wesentliche Änderungen werden dem Betreiber vor Inkrafttreten per E-Mail mitgeteilt. Nach Vertragsende werden Daten gemäß den Speicherfristen in der Datenschutzerklärung gelöscht.

Der wesentliche Inhalt dieser Vereinbarung wird betroffenen Personen über die Datenschutzerklärung des Chatbot-Betreibers sowie über zeptix.io/privacy zugänglich gemacht.

Aktuelle Version: 2026-04-17