1. Einleitung und Parteien
Auftragsverarbeiterinnocapai, Anbieter von KI-Agenten. Inhaber und Rechtsträger: Innovative Capital Development Consultancy S.L., Palma de Mallorca, Spain.
VerantwortlicherDer Kunde: Firmenname, Adresse, Verantwortlicher und USt-ID gemäß Hauptvertrag.
Der Verantwortliche nutzt Leistungen des Auftragsverarbeiters im Bereich KI-gestützter Kommunikation, insbesondere Telefon-, Chat- und ggf. Avatar-Funktionen der innocapai Produkte.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach dokumentierter Weisung des Verantwortlichen. Diese AVV konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO.
2. Gegenstand und Dauer der Verarbeitung
Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen von Bereitstellung, Betrieb, Wartung und Support einer KI-basierten Kommunikationsplattform, einschließlich Integrationen in Systeme des Verantwortlichen.
Diese AVV gilt für die Dauer des Hauptvertrags. Sie endet automatisch mit Beendigung des Hauptvertrags, sofern Pflichten wie Löschung, Rückgabe, Vertraulichkeit oder Nachweise nicht darüber hinaus fortgelten.
3. Art, Umfang und Zweck der Verarbeitung
Art der Verarbeitung
- Entgegennahme, Verarbeitung und technische Protokollierung von Spracheingaben und Texteingaben der Endnutzer.
- Transkription, Analyse, Antwortgenerierung und Weiterleitung von Kommunikationsinhalten.
- Speicherung von Konfigurationen, Gesprächsverläufen, Metadaten und Systemprotokollen nach vereinbarter Einstellung.
- Umsetzung technischer Weisungen, etwa Löschvorgänge, Datenexporte oder Rollenverwaltung.
Telefonie-Scope: Soweit beauftragt, umfasst Telefon-KI sowohl eingehende Anrufe als auch ausgehende Anrufe nach Konfiguration und dokumentierter Weisung des Verantwortlichen.
Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO erfolgt durch den Auftragsverarbeiter nicht, sofern nicht ausdrücklich anders vereinbart.
Zweck der Verarbeitung
Zweck ist die Erbringung der vertraglichen Leistungen zur automatisierten, KI-gestützten Kommunikation in Chat und Telefonie sowie die Bereitstellung der hierfür erforderlichen technischen Plattform.
4. Datenarten und betroffene Personen
Arten personenbezogener Daten
- Kontakt- und Stammdaten, etwa Name, Telefonnummer, E-Mail-Adresse oder Kundennummer.
- Kommunikationsinhalte, Transkripte, Audiodaten und Chatverläufe.
- Termin-, Anfrage-, Ticket- und Geschäftsvorfallsdaten.
- Verbindungs- und Nutzungsdaten, etwa Zeitstempel, Gesprächsdauer oder verwendete Endgeräte.
Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO dürfen nur verarbeitet werden, wenn dies ausdrücklich beauftragt, rechtlich zulässig und technisch besonders abgesichert ist.
Kategorien betroffener Personen
- Kunden, Interessenten, Patienten, Mandanten oder sonstige Endnutzer des Verantwortlichen.
- Mitarbeiter und Beauftragte des Verantwortlichen, etwa Administratoren oder Testnutzer.
- Weitere Personengruppen nach Konfiguration oder Integration durch den Verantwortlichen.
5. Pflichten des Auftragsverarbeiters
- Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
- Unverzügliche Information, falls eine Weisung aus Sicht des Auftragsverarbeiters gegen Datenschutzrecht verstößt.
- Verpflichtung aller zur Verarbeitung befugten Personen auf Vertraulichkeit.
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO.
- Unterstützung bei Betroffenenrechten nach Art. 12 bis 23 DSGVO.
- Unterstützung bei Pflichten nach Art. 32 bis 36 DSGVO, insbesondere Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen.
- Unverzügliche Information nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.
Kein Training mit Echtdaten: innocapai verwendet keine personenbezogenen Echtdaten der Endkunden des Verantwortlichen zum Training von KI-Modellen.
Die Verarbeitung erfolgt entsprechend der vereinbarten Systemkonfiguration innerhalb der EU beziehungsweise des EWR. Ein Drittlandbezug erfolgt nur nach vorheriger dokumentierter Zustimmung und unter geeigneten Garantien nach Kapitel V DSGVO.
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die verfügbaren Informationen zum Nachweis der Einhaltung dieser AVV zur Verfügung. Audits sind nach angemessener Vorankündigung möglich.
6. Unterauftragsverarbeiter
innocapai darf Unterauftragsverarbeiter einsetzen, sofern diese in Anlage 1 aufgeführt sind. Änderungen werden mindestens 30 Tage vor Wirksamwerden mitgeteilt, sofern nicht zwingende Gründe eine kürzere Frist erfordern.
Der Verantwortliche kann aus wichtigem datenschutzbezogenem Grund ablehnen. innocapai verpflichtet Unterauftragsverarbeiter vertraglich zu mindestens gleichwertigen Datenschutzpflichten.
| Unterauftragsverarbeiter | Leistung / Zweck | Datenstandort | Hinweise |
|---|
| Hetzner Online GmbH (DE) | Hosting / IaaS / Serverbetrieb | EU/EWR | EU-Standorte, kein Drittlandtransfer beabsichtigt. |
| Microsoft Azure | Cloud-Infrastruktur, sofern genutzt | EU/EWR, Frankfurt/DE | Drittlandbezug nur ausnahmsweise mit Zustimmung und geeigneten Garantien, soweit erforderlich. |
| OpenAI | LLM-Inference / Antwortgenerierung | Nach Kunden-Setup und vertraglicher Vereinbarung | DPA, SCC/TIA und Zero Data Retention, soweit im jeweiligen Kunden-Setup vereinbart und technisch aktiviert. |
| ElevenLabs | TTS / Sprachsynthese | Nach Kunden-Setup und vertraglicher Vereinbarung | DPA, SCC/TIA und Zero Data Retention, soweit im jeweiligen Kunden-Setup vereinbart und technisch aktiviert. |
| Anthropic (Claude) | LLM-Inference | Nach Kunden-Setup und vertraglicher Vereinbarung | DPA, SCC/TIA und weitere Garantien, soweit Drittlandbezug oder Anbieter-Setup dies erfordern. |
| Twilio | Voice / Telekommunikation | Nach Kunden-Setup und vertraglicher Vereinbarung | DPA, SCC/TIA und weitere Garantien, soweit Drittlandbezug oder Anbieter-Setup dies erfordern. |
innocapai ist berechtigt, diese Liste mit 30-tägiger Voranzeige gegenüber dem Verantwortlichen zu aktualisieren.
7. Pflichten des Verantwortlichen
Der Verantwortliche ist verantwortlich für die Rechtmäßigkeit der Verarbeitung, insbesondere Rechtsgrundlagen, Informationspflichten gegenüber Betroffenen sowie die Erteilung rechtmäßiger und dokumentierter Weisungen.
Der Verantwortliche informiert innocapai unverzüglich über Fehler, Unregelmäßigkeiten oder Verstöße bei der Verarbeitung und dokumentiert die jeweils geltenden Löschfristen schriftlich.
Sofern der Verantwortliche als White-Label-Partner tätig ist, stellt er sicher, dass die datenschutzrechtlichen Beziehungen zu Dritten rechtskonform ausgestaltet werden, einschließlich erforderlicher Vereinbarungen nach Art. 28 DSGVO.
8. Beendigung, Rückgabe und Löschung
Nach Abschluss der vertraglichen Arbeiten und spätestens nach Beendigung des Hauptvertrags löscht oder gibt der Auftragsverarbeiter personenbezogene Daten nach Wahl und Weisung des Verantwortlichen zurück, sofern keine gesetzliche Pflicht zur weiteren Speicherung besteht.
Ausschließlicher Gerichtsstand für Streitigkeiten aus oder im Zusammenhang mit dieser AVV ist Palma de Mallorca, soweit gesetzlich zulässig.
9. Anlage 2: Technische und organisatorische Maßnahmen
Infrastruktur und HostingBetrieb auf Hetzner-Servern in EU-Rechenzentren, containerbasierte Architektur und strikte Trennung von Test und Produktion.
OrganisationZugriff nur für autorisierte Personen mit Vertraulichkeitsverpflichtung, Need-to-know und Least Privilege.
VerschlüsselungWebdienste via HTTPS, mindestens TLS 1.2; Serverzugriff via SSH-Key; externe Übertragungen verschlüsselt.
ZugriffskontrolleZentrales IAM/SSO inklusive MFA, SSH-Key-Authentifizierung und Entzug von Zugriffen bei Rollenausscheiden.
BackupTägliche Backups auf separatem EU/EWR-Hosting, MFA-geschützter Zugriff und rotationsbasierte Retention über mehrere Wochen.
MonitoringSystem- und Security-Logs 30 bis 90 Tage rotationsbasiert, Monitoring via Zabbix und Wazuh.
Incident ResponseProzess für Erkennung, Analyse, Behebung und Wiederherstellung sowie unverzügliche Benachrichtigung des Verantwortlichen.
KI-spezifische MaßnahmenMandantenspezifische LLM-Kontexttrennung, kein Training mit Kundendaten, Zero Data Retention soweit vertraglich vereinbart und Schutz gegen Prompt-Injection.