← Zurück zur Startseite

Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO

Entwurf — vor Verwendung anwaltlich prüfen lassen. Dieser AVV gilt in deutscher Sprache; maßgeblich ist ausschließlich die deutsche Fassung. Er ergänzt die Allgemeinen Geschäftsbedingungen und gilt mit Abschluss des Hauptvertrags zwischen der IQONEX GmbH, Eugen-Richter-Straße 45, 99085 Erfurt (nachfolgend „Auftragnehmer") und dem Kunden (nachfolgend „Verantwortlicher").

1. Gegenstand, Dauer und Weisungsbindung

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Verantwortlichen zur Erbringung der Leistung Empfango (KI-Telefonassistent inkl. Anrufannahme, Transkription, Zusammenfassung, Terminbuchung und Benachrichtigungen). Die Laufzeit entspricht der Laufzeit des Hauptvertrags. Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht gesetzlich zur Verarbeitung verpflichtet ist; in diesem Fall teilt er dies vor der Verarbeitung mit, soweit gesetzlich zulässig.

2. Art, Zweck und Umfang der Verarbeitung

  • Art/Zweck: Entgegennahme und Bearbeitung eingehender Telefonanrufe durch einen KI-Assistenten, Sprache-zu-Text, KI-gestützte Beantwortung, Zusammenfassung, optionale Terminbuchung und Benachrichtigung des Verantwortlichen.
  • Kategorien personenbezogener Daten: Stamm- und Kontaktdaten (Name, Telefonnummer), Gesprächsinhalte (Transkripte, Zusammenfassungen), optional Audioaufzeichnungen, technische Verbindungsdaten.
  • Kategorien betroffener Personen: Anrufer des Verantwortlichen sowie die Nutzerinnen und Nutzer des Verantwortlichen.

3. Vertraulichkeit

Der Auftragnehmer verpflichtet die mit der Verarbeitung befassten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO), soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen und hält dem Stand der Technik entsprechende Maßnahmen während der Vertragslaufzeit aufrecht.

5. Unterauftragsverarbeiter (Art. 28 Abs. 2 und 4 DSGVO)

Der Verantwortliche erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter. Der Auftragnehmer informiert den Verantwortlichen mindestens 30 Tage vor dem Einsatz eines neuen oder dem Wechsel eines Unterauftragsverarbeiters. Der Verantwortliche kann der Änderung aus berechtigten Gründen innerhalb dieser Frist schriftlich widersprechen. Der Auftragnehmer erlegt jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten vertraglich auf.

6. Unterstützung des Verantwortlichen

Der Auftragnehmer unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung der Betroffenenrechte (Art. 12–23 DSGVO) sowie bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation). Anfragen betroffener Personen, die beim Auftragnehmer eingehen, leitet dieser unverzüglich an den Verantwortlichen weiter.

7. Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO)

Der Auftragnehmer informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten und unterstützt ihn bei der Erfüllung der Melde- und Benachrichtigungspflichten.

8. Löschung und Rückgabe nach Vertragsende

Nach Abschluss der Verarbeitungsleistungen löscht der Auftragnehmer die personenbezogenen Daten oder gibt sie zurück, nach Wahl des Verantwortlichen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Hiervon unberührt bleiben gesetzlich vorgesehene Mindestaufbewahrungen (z. B. Art. 26 Abs. 6 der KI-Verordnung (EU) 2024/1689). Die regulären Speicherdauern ergeben sich aus unserer Datenschutzerklärung.

9. Nachweise und Überprüfung (Art. 28 Abs. 3 lit. h DSGVO)

Der Auftragnehmer stellt dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, die in angemessener Weise und mit angemessener Vorankündigung durchgeführt werden.

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32)

  • Hosting und Datenhaltung in der EU (Rechenzentrum Frankfurt am Main); Aufnahme-Speicher in der EU (AWS S3, Region eu-central-1).
  • Verschlüsselung der Datenübertragung (TLS) in Transit.
  • Zugriffskontrolle nach dem Need-to-know-Prinzip; rollenbasierte Berechtigungen; persönliche, nicht geteilte Zugangskonten.
  • Pseudonymisierung, wo möglich (z. B. IP-Adressen werden ausschließlich als Hashwert gespeichert).
  • Automatisierte Lösch-/Aufbewahrungsroutinen (Datenminimierung); Audioaufzeichnungen werden spätestens nach 30 Tagen gelöscht.
  • Protokollierung sicherheitsrelevanter Ereignisse (Audit-Logs); regelmäßige Aktualisierung der eingesetzten Systeme.

Anlage 2 — Unterauftragsverarbeiter

Stand: Juni 2026. Drittlandübermittlungen erfolgen auf Grundlage geeigneter Garantien (EU-Standardvertragsklauseln nach Art. 46 DSGVO) bzw. — soweit der Empfänger zertifiziert ist — auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO).

  • Microsoft (Azure OpenAI), EU-Region (Schweden) — KI-Sprachverarbeitung.
  • Deepgram Inc. (USA, über EU-Endpunkt; SCC) — Sprache-zu-Text.
  • ElevenLabs Inc. (USA; EU-US Data Privacy Framework) — Sprachsynthese.
  • Twilio Inc. (USA; SCC/DPF) — Telefonie, SMS, WhatsApp-Zustellung.
  • LiveKit — Echtzeit-Medienübertragung (Anruf-Session).
  • Amazon Web Services (AWS S3, eu-central-1) — Speicher für Aufzeichnungen.
  • Platform.sh SAS / Upsun (EU) — Hosting/Infrastruktur (Frankfurt am Main).
  • Nango (Frankfurt) — OAuth-Anbindung von Integrationen.
  • Stripe Inc. (USA; SCC/DPF) — Zahlungsabwicklung.
  • Google LLC (USA; DPF) — reCAPTCHA und optionale Google-Anmeldung.
  • E-Mail-Versanddienstleister — Versand von Benachrichtigungen.

Stand: Juni 2026