Diese Übersetzung dient lediglich der Vereinfachung. Im Falle von Abweichungen oder Unstimmigkeiten zwischen dieser Übersetzung und der englischsprachigen Version ist die englischsprachige Version maßgebend.

Oriora — Auftragsverarbeitungsvereinbarung

Zuletzt aktualisiert: 2026-05-26 In Kraft getreten: 2026-05-26

1. Einleitung

Diese Auftragsverarbeitungsvereinbarung ("DPA") ist Bestandteil der Oriora Terms of Service zwischen Orioralabs OÜ ("Oriora", "Auftragsverarbeiter") und dem Kunden ("Kunde", "Verantwortlicher") (zusammen die "Parteien"). Sie regelt die Verarbeitung personenbezogener Daten durch Oriora im Auftrag des Kunden im Zusammenhang mit der Bereitstellung der Dienste von Oriora.

Diese DPA wird durch Verweis in die Oriora Terms of Service aufgenommen und tritt mit der Annahme der Terms of Service durch den Kunden bei der Registrierung in Kraft. Eine separate Unterschrift ist nicht erforderlich.

Im Falle eines Konflikts zwischen dieser DPA und den Terms of Service ist diese DPA in Bezug auf die Verarbeitung personenbezogener Daten maßgebend.

2. Definitionen

Begriffe, die in dieser DPA nicht definiert sind, haben die Bedeutungen, die ihnen in den Oriora Terms of Service oder der EU-Datenschutz-Grundverordnung (GDPR) zugewiesen sind.

• Verantwortlicher, Auftragsverarbeiter, Unterauftragsverarbeiter, personenbezogene Daten, Verarbeitung, betroffene Person — wie in der GDPR definiert.
• Datenschutzrecht — die GDPR und alle anwendbaren nationalen Umsetzungsgesetze, einschließlich der Gesetze Estlands.

3. Gegenstand, Dauer, Art und Zweck der Verarbeitung

4. Rollen der Parteien

Für die Verarbeitung im Rahmen dieser DPA ist der Kunde der Verantwortliche und Oriora der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Kunden (d.h. die personenbezogenen Daten der Endnutzer des Kunden oder anderer betroffener Personen, in deren Namen der Kunde die Dienste von Oriora nutzt).

Diese DPA begründet keine gemeinsame Verantwortlichkeit gemäß Artikel 26 der GDPR. Der Kunde steuert die zulässige Auswahl an AI vendors über die Konfiguration auf Kontoebene des Kunden – einschließlich des Auto routing-Schalters, der Präferenz für die Routing-Priorität, der Präferenzen für den Ausschluss von Anbietern, der BYOK-Schlüsselkonfiguration, der App-Auswahl und (sofern Auto routing deaktiviert ist) der ausgewählten Anbieterliste. Die Routing-Entscheidungen von Oriora erfolgen ausschließlich innerhalb der durch die Konfiguration des Kunden festgelegten Grenzen.

Oriora verarbeitet Service Data, Log Data, aggregierte Daten und de-identifizierte Daten als unabhängiger Verantwortlicher, ausschließlich zu den Zwecken des Betriebs, der Sicherung, der Abrechnung, der Unterstützung und der Verbesserung der Dienste von Oriora. Die Verarbeitung solcher Daten durch Oriora unterliegt der Oriora Privacy Policy.

5. Pflichten von Oriora als Auftragsverarbeiter

Oriora wird:

• (a) personenbezogene Daten nur auf dokumentierte Anweisung des Kunden verarbeiten, es sei denn, dies ist durch EU-Recht oder das Recht eines Mitgliedstaates anderweitig vorgeschrieben (in welchem Fall Oriora den Kunden vor der Verarbeitung über diese rechtliche Anforderung informiert, es sei denn, dieses Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses). Die dokumentierten Anweisungen des Kunden umfassen die vom Kunden auf Kontoebene getroffenen Konfigurationsentscheidungen, die von Oriora zur Verfügung gestellt werden, wie z.B. den Auto routing-Schalter, die Präferenz für die Routing-Priorität, die Präferenzen für den Ausschluss von Anbietern, die BYOK-Schlüsselkonfiguration, die App-Auswahl, Budgetkontrollen und (sofern Auto routing deaktiviert ist) die ausgewählte Anbieterliste. Das Routing von Oriora erfolgt innerhalb des vom Kunden definierten zulässigen Anbietersets;
• (b) sicherstellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen einer Vertraulichkeitspflicht unterliegen;
• (c) geeignete technische und organisatorische Maßnahmen implementieren, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich (soweit zutreffend) Verschlüsselung, Zugangskontrollen und sichere Infrastrukturanbieter;
• (d) Unterauftragsverarbeiter nur wie in Abschnitt 6 gestattet einsetzen;
• (e) den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflichten des Kunden zur Beantwortung von Anfragen betroffener Personen gemäß Abschnitt 7 unterstützen;
• (f) den Kunden bei der Einhaltung der Pflichten in Bezug auf die Sicherheit der Verarbeitung, die Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzungen und die vorherige Konsultation mit Aufsichtsbehörden unterstützen, unter Berücksichtigung der Art der Verarbeitung und der Oriora zur Verfügung stehenden Informationen;
• (g) am Ende der Leistungserbringung personenbezogene Daten löschen oder zurückgeben, wie in Abschnitt 11 dargelegt;
• (h) dem Kunden die Informationen zur Verfügung stellen, die zur Einhaltung dieser DPA erforderlich sind, und Audits gemäß Abschnitt 9 ermöglichen und dazu beitragen.

Fordert der Kunde im Rahmen dieser DPA Unterstützung an, die über das hinausgeht, was im Rahmen der normalen Leistungserbringung vernünftigerweise geleistet werden kann – zum Beispiel eine umfassende Zusammenarbeit bei einer Datenschutz-Folgenabschätzung, einer behördlichen Untersuchung oder einem Audit über Abschnitt 9 hinaus – so erstattet der Kunde Oriora die angemessenen Kosten für diese Unterstützung zu den zwischen den Parteien im Voraus vereinbarten Sätzen.

6. Unterauftragsverarbeiter

Der Kunde ermächtigt Oriora, die im Oriora Sub-processors-Dokument aufgeführten Unterauftragsverarbeiter einzusetzen, das durch Verweis in diese DPA aufgenommen wird.

Oriora wird den Kunden im Voraus über jede Hinzufügung oder den Ersatz von Unterauftragsverarbeitern durch den im Sub-processors-Dokument festgelegten Mechanismus informieren. Der Kunde kann einem neuen Unterauftragsverarbeiter aus angemessenen datenschutzrechtlichen Gründen widersprechen, indem er Oriora innerhalb von sieben (7) Tagen nach dieser Mitteilung schriftlich benachrichtigt. Wenn der Kunde widerspricht und Oriora innerhalb einer wirtschaftlich angemessenen Frist keine zumutbare Alternative zur Verfügung stellen kann, kann der Kunde den betroffenen Teil des Dienstes kündigen.

Die siebentägige Benachrichtigungs- und Widerspruchsfrist ist kürzer als die 30-Tage-Frist, die üblicherweise von größeren Auftragsverarbeitern verwendet wird, da Oriora seine vorgelagerten Infrastrukturanbieter nicht an längere Fristen binden kann.

Oriora bleibt für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang verantwortlich, in dem Oriora haften würde, wenn es die Dienste jedes Unterauftragsverarbeiters direkt im Rahmen dieser DPA erbringen würde. Diese Verantwortung unterliegt der Haftungsbeschränkung gemäß Abschnitt 12.

7. Rechte betroffener Personen

Oriora wird unter Berücksichtigung der Art der Verarbeitung den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Pflicht des Kunden unterstützen, auf Anfragen von betroffenen Personen zu reagieren, die ihre Rechte gemäß Datenschutzrecht (einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch) ausüben.

Erhält Oriora eine Anfrage direkt von einer betroffenen Person in Bezug auf die Verarbeitung durch den Kunden, wird Oriora die Anfrage, sofern gesetzlich nicht untersagt, unverzüglich an den Kunden weiterleiten und die Anfrage selbst nicht beantworten, es sei denn, dies geschieht auf dokumentierte Anweisung des Kunden.

Sofern Oriora aufgrund anwendbaren Rechts oder eines rechtlichen Verfahrens zur Offenlegung personenbezogener Daten gegenüber einer Regierungsbehörde, einem Gericht oder einer Strafverfolgungsbehörde verpflichtet ist, wird Oriora den Kunden, soweit rechtlich zulässig, im Voraus benachrichtigen und die Offenlegung auf das erforderliche Maß beschränken.

8. Meldung von Verletzungen des Schutzes personenbezogener Daten

Oriora wird den Kunden unverzüglich benachrichtigen, nachdem Oriora Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die die personenbezogenen Daten des Kunden betrifft, und dabei die Informationen bereitstellen, die Oriora zum Zeitpunkt der Benachrichtigung vernünftigerweise zur Verfügung stehen.

Oriora wird den Kunden auch unter Berücksichtigung der Art der Verarbeitung und der Oriora zur Verfügung stehenden Informationen dabei unterstützen, die eigenen Meldepflichten des Kunden gegenüber Aufsichtsbehörden und betroffenen Personen im Falle einer Verletzung des Schutzes personenbezogener Daten gemäß Datenschutzrecht zu erfüllen.

9. Auditrechte

Oriora betreibt einen ausschließlich Cloud-basierten, zustandslosen Dienst ohne physische Datenverarbeitungsanlage. Oriora speichert keine prompt- oder output-Inhalte des Kunden.

Auf angemessene schriftliche Anfrage hin wird Oriora Folgendes bereitstellen:

• (a) Architekturdokumentation, die die zustandslose Verarbeitung belegt, einschließlich Datenbankschema, das das Fehlen von Inhalts-Speichertabellen demonstriert;
• (b) Sicherheitsrichtlinien;
• (c) die aktuelle Liste der Sub-processors und die anwendbaren Standard Contractual Clauses mit Sub-processors;
• (d) kontospezifische Daten, die Oriora für den Kunden vorhält;
• (e) Verfahren zur Reaktion auf Vorfälle.

Hält der Kunde solche Informationen für unzureichend, kann der Kunde nach mindestens dreißig (30) Tagen schriftlicher Vorankündigung eine Ferninspektion (mittels Dokumentenprüfung und schreibgeschützter technischer Demonstration) nicht öfter als einmal pro Zwölfmonatszeitraum durch einen von den Parteien einvernehmlich bestimmten unabhängigen Prüfer (der kein Wettbewerber von Oriora ist) und unter Einhaltung von Vertraulichkeitspflichten durchführen. Angesichts des Fehlens einer physischen Datenverarbeitungsanlage werden keine physischen Vor-Ort-Inspektionsrechte gewährt.

Der Kunde trägt alle angemessenen Kosten eines Audits, einschließlich der Kosten seines unabhängigen Prüfers und der angemessenen Kosten von Oriora für die Bereitstellung des Zugangs. Die Kosten von Oriora werden zu den zwischen den Parteien im Voraus vereinbarten Sätzen berechnet. Wird ein Audit auf Verlangen einer zuständigen Aufsichtsbehörde durchgeführt, kooperieren die Parteien, wie gesetzlich vorgeschrieben.

Hinweisfristen und Häufigkeitsbeschränkungen in diesem Abschnitt 9 werden aufgehoben, wenn dies von einer zuständigen Aufsichtsbehörde verlangt wird.

10. Internationale Übermittlungen

Soweit personenbezogene Daten, die im Rahmen dieser DPA verarbeitet werden, außerhalb des Europäischen Wirtschaftsraums übermittelt werden, stützen sich die Parteien auf geeignete Garantien gemäß Kapitel V der GDPR.

Sofern die Übermittlung Standard Contractual Clauses erfordert, nehmen die Parteien die Standard Contractual Clauses der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914 der Kommission) durch Verweis auf:

• Sofern der Kunde als Verantwortlicher für personenbezogene Daten handelt, die an Oriora als Auftragsverarbeiter übermittelt werden: Modul 2 (Verantwortlicher zu Auftragsverarbeiter), wobei der Kunde der Datenexporteur und Oriora der Datenimporteur ist.
• Sofern der Kunde als Auftragsverarbeiter für personenbezogene Daten handelt, die an Oriora als Unterauftragsverarbeiter übermittelt werden (zum Beispiel, wenn der Kunde Managed API BYOK nutzt, um sein eigenes Produkt zu betreiben, das die personenbezogenen Daten der Endnutzer des Kunden verarbeitet): Modul 3 (Auftragsverarbeiter zu Unterauftragsverarbeiter), wobei der Kunde der Datenexporteur und Oriora der Datenimporteur ist.

In jedem Fall gilt: Die optionale Andockklausel ist integriert; die optionale unabhängige Streitbeilegungsklausel ist ausgeschlossen; das anwendbare Recht ist das Recht Estlands; die zuständige Aufsichtsbehörde ist die estnische Datenschutzinspektion.

Werden personenbezogene Daten von Oriora an einen außerhalb des EWR ansässigen Unterauftragsverarbeiter weiterübermittelt, so ist diese Übermittlung durch Standard Contractual Clauses oder eine andere geeignete Garantie geschützt, die zwischen Oriora und dem Unterauftragsverarbeiter geschlossen wurde.

11. Rückgabe und Löschung personenbezogener Daten

Am Ende der Leistungserbringung in Bezug auf die Verarbeitung wird Oriora nach Wahl des Kunden die personenbezogenen Daten des Kunden löschen oder zurückgeben, es sei denn, EU-Recht oder das Recht eines Mitgliedstaates erfordert eine weitere Speicherung.

Kontodaten und Abrechnungsunterlagen, die zu Zwecken gesetzlicher Verpflichtungen (wie z.B. dem estnischen Steuerrecht) aufbewahrt werden, können vor Ablauf der gesetzlichen Aufbewahrungsfrist nicht gelöscht werden.

Prompt-Inhalte, Output-Inhalte und multi-turn conversation history werden von Oriora zu keinem Zeitpunkt im Rahmen dieser DPA gespeichert, im Einklang mit der zustandslosen Architektur von Oriora.

12. Haftung

Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den Haftungsbeschränkungsbestimmungen in den Oriora Terms of Service. Nichts in diesem Abschnitt beschränkt die Haftung einer Partei, wenn eine solche Beschränkung nach anwendbarem Datenschutzrecht nicht zulässig ist.

13. Laufzeit und Kündigung

Diese DPA tritt am oben genannten Gültigkeitsdatum in Kraft und bleibt für die Dauer der Nutzung der Dienste von Oriora durch den Kunden in Kraft. Die Abschnitte 9, 10, 11 und alle anderen Bestimmungen, die ihrer Natur nach eine Beendigung überdauern sollten, bleiben bestehen.

14. Anwendbares Recht

Diese DPA unterliegt den Gesetzen der Republik Estland. Streitigkeiten, die sich aus dieser DPA ergeben, werden gemäß Abschnitt 19 der Oriora Terms of Service beigelegt.

15. Kontakt

Für Fragen zu dieser DPA oder zur Ausübung von Rechten daraus kontaktieren Sie [email protected].