Auftragsverarbeitungsvereinbarung
Palma de Mallorca, Spanien
Verantwortlicher, USt-ID
(1) Der Verantwortliche nutzt Leistungen des Auftragsverarbeiters im Bereich KI-gestützter Kommunikation (Telefon-, Avatar- und Chat-KI-Mitarbeiter).
(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach dokumentierter Weisung des Verantwortlichen.
(3) Diese AVV konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO und gilt ergänzend zum Hauptvertrag.
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Erbringung folgender Dienstleistungen: Bereitstellung, Betrieb, Wartung und Support einer KI-basierten Kommunikationsplattform (Telefon-, Avatar- und Chat-KI-Mitarbeiter), einschließlich ggf. Integrationen in Systeme des Verantwortlichen.
Diese AVV gilt für die Dauer des Hauptvertrags. Sie endet automatisch mit Beendigung des Hauptvertrags, sofern nicht einzelne Pflichten (z. B. Löschung/Rückgabe, Vertraulichkeit, Nachweise) darüber hinaus fortgelten.
Die Verarbeitung umfasst insbesondere:
- Hosting und technische Bereitstellung der Plattform zur Nutzung von Chat- und Telefon-KI-Systemen
- Entgegennahme, Verarbeitung und technische Protokollierung von Spracheingaben und Texteingaben der Endnutzer
- Konvertierung von Sprache in Text (ASR) und Text in Sprache (TTS), soweit beauftragt
- Semantische Analyse und Antwortgenerierung durch KI-Modelle
- Ausgabe KI-generierter Antworten
- Speicherung/Protokollierung/Analyse von Dialogverläufen zu Zwecken der Fehleranalyse, Nachvollziehbarkeit, Dokumentation und Optimierung, soweit vertraglich vereinbart und angewiesen
- Umsetzung technischer Weisungen des Verantwortlichen (z. B. Löschvorgänge, Datenexporte, Rollenverwaltung)
- Ggf. Weiterleitung von Nutzeranfragen an angeschlossene Drittsysteme über definierte Schnittstellen, sofern beauftragt
Telefonie-Scope (Inbound/Outbound): Soweit beauftragt, umfasst „Telefon-KI“ sowohl eingehende Anrufe (Inbound) als auch ausgehende Anrufe (Outbound), jeweils nach Konfiguration und dokumentierter Weisung des Verantwortlichen (z. B. Service-Calls, Terminbestätigung, Rückrufe, Kampagnen).
Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung i. S. v. Art. 22 DSGVO erfolgt durch den Auftragsverarbeiter nicht, sofern nicht ausdrücklich anders vereinbart.
Zweck ist die Erbringung der vertraglichen Leistungen zur automatisierten, KI-gestützten Kommunikation (Chat und Telefonie) und zur Bereitstellung der hierfür erforderlichen technischen Plattform. Bei Outbound-Telefonie umfasst der Zweck – soweit beauftragt – auch die Kontaktaufnahme gegenüber betroffenen Personen nach Vorgabe des Verantwortlichen.
- Stammdaten (z. B. Name, Vorname, Anrede)
- Kontaktdaten (z. B. Telefonnummer, E-Mail-Adresse, Anschrift)
- Kommunikationsinhalte (z. B. Audio, gesprochene Aussagen, Chatnachrichten, Gesprächsprotokolle, Transkriptionen)
- Verbindungs- und Nutzungsdaten (z. B. Zeitstempel, Dauer von Gesprächen, verwendete Endgeräte)
- Kundenkennungen / Referenznummern / interne IDs
- Kontext- oder Eingabedaten aus automatisierten Prompts oder Dialogsystemen
- Optional: Zahlungs- und Abrechnungsinformationen (sofern über die Plattform abgewickelt)
Besondere Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO dürfen nur verarbeitet werden, wenn dies ausdrücklich beauftragt, rechtlich zulässig und technisch besonders abgesichert ist. Der Verantwortliche bleibt für die Rechtmäßigkeit verantwortlich und hat den Auftragsverarbeiter vorab zu informieren.
- Endkunden/Nutzer, die mit dem KI-Mitarbeiter (Telefon oder Chat) interagieren
- Ansprechpartner bei Geschäftskunden (z. B. bei Supportanfragen)
- Mitarbeiter/Beauftragte des Verantwortlichen (z. B. Admins/Testnutzer)
- Ggf. weitere Personengruppen nach Konfiguration/Integration durch den Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich hinsichtlich etwaiger Übermittlungen.
(2) Ist der Auftragsverarbeiter aufgrund Unions- oder Mitgliedstaatrechts zur Verarbeitung verpflichtet, informiert er den Verantwortlichen vorab, soweit rechtlich zulässig.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die TOM sind in Anlage 2 beschrieben und Bestandteil dieser AVV.
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO), insbesondere bei Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch – jeweils nach dokumentierter Weisung.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Meldungen von Datenschutzverletzungen (Art. 33/34 DSGVO), Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und vorherigen Konsultationen (Art. 36 DSGVO), soweit die Unterstützung die Verarbeitung betrifft und dem Auftragsverarbeiter möglich ist.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach Bekanntwerden über Verletzungen des Schutzes personenbezogener Daten. Die Meldung enthält die verfügbaren Informationen, die der Verantwortliche zur Erfüllung seiner Pflichten benötigt.
Soweit der Verantwortliche Transparenzhinweise gegenüber Endnutzern bereitstellen muss (z. B. „Sie sprechen mit einem digitalen Assistenten“), unterstützt der Auftragsverarbeiter durch geeignete technische Möglichkeiten nach Konfiguration. Die inhaltliche Verantwortung für Informationspflichten gegenüber Betroffenen liegt beim Verantwortlichen.
(1) Kein Training mit Echtdaten: Der Auftragsverarbeiter verwendet keine personenbezogenen Echtdaten der Endkunden des Verantwortlichen zum Training von KI-Modellen.
(2) Etwaige Optimierungen/Prompt-Tests erfolgen ausschließlich mit synthetischen oder dedizierten Testdaten, sofern vereinbart.
(1) Die Verarbeitung erfolgt – entsprechend der vereinbarten Systemkonfiguration – innerhalb der EU bzw. des EWR.
(2) Sollte im Ausnahmefall ein Drittlandbezug nicht vollständig ausgeschlossen sein, erfolgt dies nur nach vorheriger dokumentierter Zustimmung des Verantwortlichen und unter geeigneten Garantien nach Kapitel V DSGVO.
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zur Verfügung stehenden Informationen zum Nachweis der Einhaltung dieser AVV zur Verfügung.
(2) Der Verantwortliche ist berechtigt, nach angemessener Vorankündigung Audits/Prüfungen durchzuführen oder durch Dritte durchführen zu lassen. Umfang, Häufigkeit, Kostenregelung und Schutz von Geschäftsgeheimnissen werden angemessen berücksichtigt.
(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter einsetzen, sofern diese in Anlage 1 aufgeführt sind (allgemeine Genehmigung).
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzunahme/Austausch) von Unterauftragsverarbeitern mindestens 30 Tage vor Wirksamwerden, sofern nicht zwingende Gründe eine kürzere Frist erfordern.
(3) Der Verantwortliche kann aus wichtigem Grund (datenschutzbezogene Gründe) der Änderung widersprechen. Können die Parteien keine Lösung finden, kann der Verantwortliche die betroffenen Leistungen außerordentlich kündigen.
Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich zu mindestens gleichwertigen Datenschutzpflichten wie in dieser AVV.
Der Verantwortliche ist verantwortlich für die Rechtmäßigkeit der Verarbeitung (inkl. Rechtsgrundlagen), die Erfüllung von Informationspflichten gegenüber Betroffenen sowie für die Erteilung rechtmäßiger und dokumentierter Weisungen.
Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler/Unregelmäßigkeiten oder Verstöße bei der Verarbeitung feststellt.
Der Verantwortliche ist dafür verantwortlich, die jeweils geltenden Löschfristen schriftlich zu dokumentieren und dem Auftragsverarbeiter als Weisung zugänglich zu machen.
Sofern der Verantwortliche als White-Label-Partner tätig ist und die beauftragten Leistungen unter eigenem Namen gegenüber Dritten bereitstellt, stellt er sicher, dass die datenschutzrechtlichen Beziehungen zu diesen Dritten rechtskonform ausgestaltet werden – einschließlich des Abschlusses erforderlicher Vereinbarungen nach Art. 28 DSGVO.
Der Verantwortliche nutzt die Leistungen nur im Einklang mit anwendbarem Recht. Er erteilt keine Weisungen und übermittelt keine Inhalte/Daten, deren Verarbeitung offensichtlich rechtswidrig ist.
(1) Nach Abschluss der vertraglichen Arbeiten und spätestens nach Beendigung des Hauptvertrags löscht oder gibt der Auftragsverarbeiter personenbezogene Daten nach Wahl und Weisung des Verantwortlichen zurück, es sei denn, eine gesetzliche Pflicht zur weiteren Speicherung besteht.
(2) Sofern Backups betroffen sind, erfolgt die Löschung im Rahmen der technischen Möglichkeiten und regulären Backup-Rotation, sofern keine abweichende Weisung vereinbart ist.
(1) Es gilt spanisches Recht, unter Ausschluss kollisionsrechtlicher Verweisungen, soweit zwingendes Recht nicht entgegensteht.
(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser AVV ist Palma de Mallorca, soweit gesetzlich zulässig.
Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt eine wirksame Regelung als vereinbart, die dem wirtschaftlichen Zweck am nächsten kommt.
Bei Widersprüchen zwischen AVV und Hauptvertrag geht diese AVV hinsichtlich datenschutzrechtlicher Pflichten vor, sofern der Hauptvertrag keine strengeren Datenschutzpflichten enthält.
Anlage 1 – Unterauftragsverarbeiter (Subprozessoren)
| Unterauftragsverarbeiter | Leistung / Zweck | Datenstandort | Hinweise |
|---|---|---|---|
| Hetzner Online GmbH (DE) | Hosting / IaaS / Serverbetrieb | EU/EWR | EU-Standorte, kein Drittlandtransfer beabsichtigt |
| Microsoft Azure | Cloud-Infrastruktur (sofern genutzt) | EU/EWR (Frankfurt/DE) | Drittlandbezug nur ausnahmsweise mit Zustimmung & Garantien |
| OpenAI | LLM-Inference (Antwortgenerierung) | EU-Residency nach Vereinbarung | Zero Data Retention nur soweit vertraglich aktiviert |
| ElevenLabs | TTS (Sprachsynthese) | EU-Residency | Zero Data Retention nur soweit vertraglich aktiviert |
| Anthropic (Claude) | LLM-Inference | EU/EWR nach Vereinbarung | Je nach Setup DPA/SCC |
| Twilio | Voice / Telekommunikation | EU-Residency | Vertraglich geregelt |
Der Auftragsverarbeiter ist berechtigt, diese Liste mit 30-tägiger Voranzeige gegenüber dem Verantwortlichen zu aktualisieren.
Anlage 2 – Technische und organisatorische Maßnahmen (TOM)
Betrieb auf Hetzner-Servern in EU-Rechenzentren. Container-basierte Architektur (Docker) und/oder dedizierte virtuelle Server pro Instanz. Strikte Trennung Test/Produktion.
Zugriff nur für autorisierte Personen mit Vertraulichkeitsverpflichtung. Need-to-know / Least Privilege. Kein routinemäßiger Zugriff auf Kundendaten.
Webdienste ausschließlich via HTTPS (min. TLS 1.2). Serverzugriff via SSH-Key. Alle externen Übertragungen (Audio, Transkripte, Prompts) ausschließlich verschlüsselt.
Zentrales IAM/SSO inkl. MFA. SSH-Key-Authentifizierung für alle Serverzugriffe. Zugriffe werden bei Rollenausscheiden unverzüglich entzogen.
Tägliche Backups auf separatem EU-Server. Backup-Zugriff ausschließlich durch Hauptadministrator (MFA-geschützt). Retention rotationsbasiert über mehrere Wochen.
System-/Security-Logs 30–90 Tage rotationsbasiert. Keine Inhaltslogs im Regelbetrieb. Monitoring via Zabbix (Verfügbarkeit) und Wazuh (Security).
Etablierter Prozess: Erkennung → Analyse → Behebung → Wiederherstellung. Benachrichtigung des Verantwortlichen unverzüglich gemäß AVV. Post-Mortem-Dokumentation.
Mandantenspezifische LLM-Kontexttrennung. Keine Nutzung von Kundendaten zu Trainingszwecken. Zero Data Retention auf Anfrage aktivierbar. Schutz gegen Prompt-Injection.