Legal

Data Processing Agreement

Version 2.0 · May 2026 · Art. 28 GDPR

1. Parties

This Data Processing Agreement ("DPA") is entered into between the Client (Data Controller) and KonzeptWeber LLC, 30 N Gould St Ste N, Sheridan WY 82801, USA, operating as Yachay Systems (Data Processor).

Contact for data protection matters: info@yachay.systems

2. Subject Matter and Duration

This DPA governs the processing of personal data by the Processor on behalf of the Controller in connection with the provision of AI-powered communication and scheduling services. The DPA applies for the duration of the service agreement and ends upon deletion or return of all personal data.

3. Nature and Purpose of Processing

The Processor operates AI communication agents on behalf of the Controller. Processing includes:

4. Types of Personal Data

The following categories of personal data may be processed:

Special categories (Art. 9 GDPR): For healthcare verticals (e.g. physiotherapy), message content may include health-related information voluntarily provided by data subjects (e.g. symptoms, complaints, health insurance information). The Controller is responsible for ensuring a valid legal basis under Art. 9(2) GDPR for the processing of such data.

5. Categories of Data Subjects

6. Obligations of the Processor

The Processor shall:

  1. Process personal data only on documented instructions from the Controller, including with regard to transfers to third countries (Art. 28(3)(a) GDPR)
  2. Ensure that all persons authorized to process personal data are bound by confidentiality obligations (Art. 28(3)(b) GDPR)
  3. Implement appropriate technical and organizational measures as described in Section 7 (Art. 28(3)(c) GDPR)
  4. Comply with the conditions for engaging subprocessors as set out in Section 8 (Art. 28(3)(d) GDPR)
  5. Assist the Controller in responding to requests from data subjects exercising their rights under Chapter III GDPR (Art. 28(3)(e) GDPR)
  6. Assist the Controller in ensuring compliance with obligations under Articles 32 to 36 GDPR, including breach notification and data protection impact assessments (Art. 28(3)(f) GDPR)
  7. Delete or return all personal data upon termination as described in Section 11 (Art. 28(3)(g) GDPR)
  8. Make available all information necessary to demonstrate compliance and allow for audits as described in Section 10 (Art. 28(3)(h) GDPR)

7. Technical and Organizational Measures

The Processor implements the following measures to ensure an appropriate level of security (Art. 32 GDPR):

A detailed description of all technical and organizational measures is available upon request.

8. Subprocessors

The Controller grants the Processor general authorization to engage subprocessors for the services described in this DPA. The following subprocessors are currently engaged:

ProviderPurposeLocation
Hetzner Online GmbHServer hosting and infrastructureGermany
Meta Platforms Ireland Ltd.WhatsApp Business API, Instagram, Facebook MessengerIreland (EU)
OpenAI LLCAI language processingUSA (DPF)
Google LLCAI language processing (Gemini)USA (DPF)
Anthropic PBCAI language processingUSA (DPF)
DeepSeekAI language processingChina (SCCs)
OpenRouter Inc.AI model routingUSA (DPF)
Resend Inc.Transactional email deliveryUSA (DPF)
Telegram Messenger Inc.Telegram Bot API (optional)UAE (SCCs)

The Processor shall inform the Controller of any intended addition or replacement of subprocessors at least 14 days in advance, giving the Controller the opportunity to object. If the Controller raises a justified objection, the Processor shall refrain from engaging the subprocessor or offer the Controller the right to terminate the service agreement.

The Processor ensures that subprocessors are bound by data protection obligations no less protective than those in this DPA.

9. International Data Transfers

Personal data is primarily stored and processed on servers located in Germany (EU). Where personal data is transferred to subprocessors outside the EU/EEA, the following safeguards apply:

AI language processing providers are used under API terms that prohibit the use of input data for model training (zero-retention or zero-training policies).

10. Audits

The Processor shall make available to the Controller all information necessary to demonstrate compliance with the obligations laid down in Art. 28 GDPR (Art. 28(3)(h) GDPR). The Processor shall allow for and contribute to audits, including inspections, conducted by the Controller or an auditor mandated by the Controller. Such audits shall be conducted with reasonable prior notice (at least 14 days) and during normal business hours, and shall not unreasonably interfere with the Processor's operations.

11. Data Retention and Deletion

Personal data is stored for the duration of the service agreement. Upon termination:

  1. The Controller may request export of all personal data in a machine-readable format (JSON/CSV) within 30 days of termination.
  2. After the export period (or immediately upon request if no export is needed), all personal data will be permanently deleted from active systems within 14 days.
  3. Data in encrypted backups will be removed through regular backup rotation (maximum 14 days after deletion from active systems).

For trial accounts that are not converted to a paid subscription, all data is automatically deleted 33 days after trial expiration.

12. Breach Notification

The Processor shall notify the Controller without undue delay (and in any event within 48 hours) after becoming aware of a personal data breach affecting the Controller's data. The notification shall include:

The Controller remains responsible for determining whether notification to the supervisory authority (Art. 33 GDPR) or to data subjects (Art. 34 GDPR) is required.

13. Governing Law

This DPA is governed by the General Data Protection Regulation (EU) 2016/679 and, where applicable, the national data protection laws of the Controller's country of establishment.

Rechtliches

Auftragsverarbeitungsvertrag

Version 2.0 · Mai 2026 · Art. 28 DSGVO

1. Vertragsparteien

Dieser Auftragsverarbeitungsvertrag ("AVV") wird geschlossen zwischen dem Kunden (Verantwortlicher) und KonzeptWeber LLC, 30 N Gould St Ste N, Sheridan WY 82801, USA, handelnd als Yachay Systems (Auftragsverarbeiter).

Ansprechpartner Datenschutz: info@yachay.systems

2. Gegenstand und Laufzeit

Dieser AVV regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung KI-gestuetzter Kommunikations- und Terminplanungsdienste. Der AVV gilt fuer die Dauer des Dienstleistungsvertrags und endet mit der Loeschung oder Rueckgabe aller personenbezogenen Daten.

3. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter betreibt KI-Kommunikationsagenten im Auftrag des Verantwortlichen. Die Verarbeitung umfasst:

4. Arten personenbezogener Daten

Folgende Kategorien personenbezogener Daten koennen verarbeitet werden:

Besondere Kategorien (Art. 9 DSGVO): Bei Gesundheitsdienstleistern (z.B. Physiotherapie) koennen Nachrichteninhalte gesundheitsbezogene Informationen enthalten, die von betroffenen Personen freiwillig mitgeteilt werden (z.B. Symptome, Beschwerden, Krankenkasseninformationen). Der Verantwortliche ist dafuer zustaendig, eine gueltige Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO fuer die Verarbeitung solcher Daten sicherzustellen.

5. Kategorien betroffener Personen

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, auch in Bezug auf Uebermittlungen in Drittlaender (Art. 28 Abs. 3 lit. a DSGVO)
  2. Sicherzustellen, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO)
  3. Geeignete technische und organisatorische Massnahmen gemaess Abschnitt 7 umzusetzen (Art. 28 Abs. 3 lit. c DSGVO)
  4. Die Bedingungen fuer den Einsatz von Unterauftragsverarbeitern gemaess Abschnitt 8 einzuhalten (Art. 28 Abs. 3 lit. d DSGVO)
  5. Den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zu unterstuetzen (Art. 28 Abs. 3 lit. e DSGVO)
  6. Den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO zu unterstuetzen, einschliesslich Meldung von Datenpannen und Datenschutz-Folgenabschaetzungen (Art. 28 Abs. 3 lit. f DSGVO)
  7. Nach Beendigung alle personenbezogenen Daten zu loeschen oder zurueckzugeben gemaess Abschnitt 11 (Art. 28 Abs. 3 lit. g DSGVO)
  8. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfuegung zu stellen und Ueberpruefungen zu ermoeglichen gemaess Abschnitt 10 (Art. 28 Abs. 3 lit. h DSGVO)

7. Technische und organisatorische Massnahmen

Der Auftragsverarbeiter setzt folgende Massnahmen um, um ein angemessenes Schutzniveau zu gewaehrleisten (Art. 32 DSGVO):

Eine ausfuehrliche Beschreibung aller technischen und organisatorischen Massnahmen ist auf Anfrage erhaeltlich.

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern fuer die in diesem AVV beschriebenen Dienste. Folgende Unterauftragsverarbeiter werden derzeit eingesetzt:

AnbieterZweckStandort
Hetzner Online GmbHServer-Hosting und InfrastrukturDeutschland
Meta Platforms Ireland Ltd.WhatsApp Business API, Instagram, Facebook MessengerIrland (EU)
OpenAI LLCKI-SprachverarbeitungUSA (DPF)
Google LLCKI-Sprachverarbeitung (Gemini)USA (DPF)
Anthropic PBCKI-SprachverarbeitungUSA (DPF)
DeepSeekKI-SprachverarbeitungChina (SCCs)
OpenRouter Inc.KI-Model-RoutingUSA (DPF)
Resend Inc.Transaktions-E-Mail-VersandUSA (DPF)
Telegram Messenger Inc.Telegram Bot API (optional)VAE (SCCs)

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 14 Tage im Voraus ueber beabsichtigte Aenderungen bei Unterauftragsverarbeitern und gibt dem Verantwortlichen die Moeglichkeit zum Widerspruch. Bei begruendetem Widerspruch wird der Auftragsverarbeiter den Unterauftragsverarbeiter nicht einsetzen oder dem Verantwortlichen ein Kuendigungsrecht einraeumen.

Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter Datenschutzpflichten unterliegen, die nicht weniger schuetzend sind als die in diesem AVV festgelegten.

9. Internationale Datenuebermittlung

Personenbezogene Daten werden primaer auf Servern in Deutschland (EU) gespeichert und verarbeitet. Soweit personenbezogene Daten an Unterauftragsverarbeiter ausserhalb der EU/des EWR uebermittelt werden, gelten folgende Garantien:

KI-Sprachverarbeitungsanbieter werden unter API-Bedingungen eingesetzt, die die Verwendung von Eingabedaten zum Modelltraining untersagen (Zero-Retention- bzw. Zero-Training-Richtlinien).

10. Ueberpruefungen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfuegung, die zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO erforderlich sind (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragsverarbeiter ermoeglicht und unterstuetzt Ueberpruefungen einschliesslich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten Pruefer durchgefuehrt werden. Solche Ueberpruefungen erfolgen mit angemessener Vorankuendigung (mindestens 14 Tage) waehrend der ueblichen Geschaeftszeiten und duerfen den Betrieb des Auftragsverarbeiters nicht unangemessen beeintraechtigen.

11. Datenspeicherung und Loeschung

Personenbezogene Daten werden fuer die Dauer des Dienstleistungsvertrags gespeichert. Bei Beendigung:

  1. Der Verantwortliche kann innerhalb von 30 Tagen nach Beendigung den Export aller personenbezogenen Daten in einem maschinenlesbaren Format (JSON/CSV) anfordern.
  2. Nach Ablauf der Exportfrist (oder sofort auf Anfrage, wenn kein Export benoetigt wird) werden alle personenbezogenen Daten innerhalb von 14 Tagen unwiderruflich aus den aktiven Systemen geloescht.
  3. Daten in verschluesselten Backups werden durch regulaere Backup-Rotation entfernt (maximal 14 Tage nach Loeschung aus aktiven Systemen).

Bei Test-Accounts, die nicht in ein bezahltes Abonnement umgewandelt werden, werden alle Daten automatisch 33 Tage nach Ablauf der Testphase geloescht.

12. Meldung von Datenpannen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzueglich (und in jedem Fall innerhalb von 48 Stunden) nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft. Die Meldung umfasst:

Der Verantwortliche bleibt dafuer zustaendig zu entscheiden, ob eine Meldung an die Aufsichtsbehoerde (Art. 33 DSGVO) oder an betroffene Personen (Art. 34 DSGVO) erforderlich ist.

13. Anwendbares Recht

Dieser AVV unterliegt der Datenschutz-Grundverordnung (EU) 2016/679 sowie, soweit anwendbar, den nationalen Datenschutzgesetzen des Niederlassungsstaats des Verantwortlichen.

Legal

Acuerdo de Procesamiento de Datos

Version 2.0 · Mayo 2026 · Art. 28 RGPD

1. Partes

Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre el Cliente (Responsable del tratamiento) y KonzeptWeber LLC, 30 N Gould St Ste N, Sheridan WY 82801, USA, operando como Yachay Systems (Encargado del tratamiento).

Contacto para asuntos de proteccion de datos: info@yachay.systems

2. Objeto y Duracion

Este DPA regula el tratamiento de datos personales por parte del Encargado en nombre del Responsable en relacion con la prestacion de servicios de comunicacion y programacion de citas basados en inteligencia artificial. El DPA se aplica durante la vigencia del acuerdo de servicio y finaliza con la eliminacion o devolucion de todos los datos personales.

3. Naturaleza y Proposito del Tratamiento

El Encargado opera agentes de comunicacion de IA en nombre del Responsable. El tratamiento incluye:

4. Tipos de Datos Personales

Las siguientes categorias de datos personales pueden ser tratadas:

Categorias especiales (Art. 9 RGPD): Para prestadores de servicios de salud (p. ej., fisioterapia), el contenido de los mensajes puede incluir informacion relacionada con la salud proporcionada voluntariamente por los interesados (p. ej., sintomas, dolencias, informacion de seguro medico). El Responsable es responsable de garantizar una base juridica valida conforme al Art. 9(2) RGPD para el tratamiento de dichos datos.

5. Categorias de Interesados

6. Obligaciones del Encargado

El Encargado se compromete a:

  1. Tratar los datos personales unicamente conforme a las instrucciones documentadas del Responsable, incluidas las relativas a transferencias a terceros paises (Art. 28(3)(a) RGPD)
  2. Garantizar que todas las personas autorizadas para tratar datos personales esten sujetas a obligaciones de confidencialidad (Art. 28(3)(b) RGPD)
  3. Implementar las medidas tecnicas y organizativas apropiadas descritas en la Seccion 7 (Art. 28(3)(c) RGPD)
  4. Cumplir las condiciones para la contratacion de subencargados segun la Seccion 8 (Art. 28(3)(d) RGPD)
  5. Asistir al Responsable en la respuesta a solicitudes de los interesados que ejerzan sus derechos conforme al Capitulo III del RGPD (Art. 28(3)(e) RGPD)
  6. Asistir al Responsable en el cumplimiento de las obligaciones de los Articulos 32 a 36 del RGPD, incluida la notificacion de violaciones de seguridad y las evaluaciones de impacto en la proteccion de datos (Art. 28(3)(f) RGPD)
  7. Eliminar o devolver todos los datos personales a la finalizacion segun la Seccion 11 (Art. 28(3)(g) RGPD)
  8. Poner a disposicion del Responsable toda la informacion necesaria para demostrar el cumplimiento y permitir auditorias segun la Seccion 10 (Art. 28(3)(h) RGPD)

7. Medidas Tecnicas y Organizativas

El Encargado implementa las siguientes medidas para garantizar un nivel de seguridad adecuado (Art. 32 RGPD):

Una descripcion detallada de todas las medidas tecnicas y organizativas esta disponible bajo solicitud.

8. Subencargados

El Responsable otorga al Encargado una autorizacion general para contratar subencargados para los servicios descritos en este DPA. Los siguientes subencargados estan actualmente contratados:

ProveedorPropositoUbicacion
Hetzner Online GmbHAlojamiento de servidores e infraestructuraAlemania
Meta Platforms Ireland Ltd.WhatsApp Business API, Instagram, Facebook MessengerIrlanda (UE)
OpenAI LLCProcesamiento linguistico de IAEE.UU. (DPF)
Google LLCProcesamiento linguistico de IA (Gemini)EE.UU. (DPF)
Anthropic PBCProcesamiento linguistico de IAEE.UU. (DPF)
DeepSeekProcesamiento linguistico de IAChina (SCCs)
OpenRouter Inc.Enrutamiento de modelos de IAEE.UU. (DPF)
Resend Inc.Envio de correos transaccionalesEE.UU. (DPF)
Telegram Messenger Inc.Telegram Bot API (opcional)EAU (SCCs)

El Encargado informara al Responsable con al menos 14 dias de antelacion sobre cualquier adicion o sustitucion prevista de subencargados, dando al Responsable la oportunidad de objetar. Si el Responsable presenta una objecion justificada, el Encargado se abstendra de contratar al subencargado u ofrecera al Responsable el derecho de rescindir el acuerdo de servicio.

El Encargado asegura que los subencargados esten sujetos a obligaciones de proteccion de datos no menos protectoras que las establecidas en este DPA.

9. Transferencias Internacionales de Datos

Los datos personales se almacenan y procesan principalmente en servidores ubicados en Alemania (UE). Cuando los datos personales se transfieran a subencargados fuera de la UE/EEE, se aplican las siguientes garantias:

Los proveedores de procesamiento linguistico de IA se utilizan bajo terminos de API que prohiben el uso de datos de entrada para el entrenamiento de modelos (politicas de retencion cero o entrenamiento cero).

10. Auditorias

El Encargado pondra a disposicion del Responsable toda la informacion necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 del RGPD (Art. 28(3)(h) RGPD). El Encargado permitira y contribuira a auditorias, incluidas inspecciones, realizadas por el Responsable o un auditor designado por este. Dichas auditorias se realizaran con aviso previo razonable (al menos 14 dias) durante el horario comercial habitual y no interferiran de manera irrazonable con las operaciones del Encargado.

11. Retencion y Eliminacion de Datos

Los datos personales se almacenan durante la vigencia del acuerdo de servicio. A la finalizacion:

  1. El Responsable puede solicitar la exportacion de todos los datos personales en un formato legible por maquina (JSON/CSV) dentro de los 30 dias posteriores a la finalizacion.
  2. Tras el periodo de exportacion (o inmediatamente a solicitud si no se necesita exportacion), todos los datos personales seran eliminados permanentemente de los sistemas activos en un plazo de 14 dias.
  3. Los datos en copias de seguridad cifradas se eliminaran mediante la rotacion regular de copias de seguridad (maximo 14 dias despues de la eliminacion de los sistemas activos).

Para cuentas de prueba que no se conviertan en suscripcion de pago, todos los datos se eliminan automaticamente 33 dias despues de la expiracion de la prueba.

12. Notificacion de Violaciones de Seguridad

El Encargado notificara al Responsable sin demora indebida (y en todo caso dentro de las 48 horas) despues de tener conocimiento de una violacion de la seguridad de los datos personales que afecte los datos del Responsable. La notificacion incluira:

El Responsable sigue siendo responsable de determinar si es necesaria la notificacion a la autoridad de control (Art. 33 RGPD) o a los interesados (Art. 34 RGPD).

13. Ley Aplicable

Este DPA se rige por el Reglamento General de Proteccion de Datos (UE) 2016/679 y, en su caso, por las leyes nacionales de proteccion de datos del pais de establecimiento del Responsable.