Muster-Auftragsverarbeitungsvertrag (AVV)
zwischen
Dantschi Gruppe GmbH, Stitzenburgstraße 16, 70182 Stuttgart
– nachfolgend Auftragsverarbeiter –
und
dem Kunden (Unternehmen laut Registrierung)
– nachfolgend Verantwortlicher –
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung des Dienstes SmartCall Assist.
(2) Die Verarbeitung erfolgt ausschließlich zur Bereitstellung des KI-basierten Anrufbeantwortungsdienstes, einschließlich der Transkription, Beantwortung und Bereitstellung von Gesprächsinformationen.
(3) Die Dauer dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages über die Nutzung des Dienstes.
§ 2 Art und Zweck der Verarbeitung
(1) Die Verarbeitung umfasst insbesondere:
- Entgegennahme eingehender Anrufe über Twilio,
- Sprachverarbeitung und -transkription,
- Generierung automatisierter Antworten über OpenAI on Azure,
- Bereitstellung der Transkripte und Zusammenfassungen im Kunden-Backend,
- technische Protokollierung und Fehleranalyse.
(2) Zweck der Verarbeitung ist die automatisierte Entgegennahme, Bearbeitung und Dokumentation von eingehenden Kundenanrufen.
§ 3 Art der Daten und Kategorien betroffener Personen
Datenarten: Telefonnummern, Gesprächsinhalte, Transkripte, technische Metadaten (z. B. IP-Adresse, Zeitstempel)
Betroffene Personen: Anrufer des Kunden, Mitarbeiter des Kunden
§ 4 Rechte und Pflichten des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich.
(2) Er hat die Betroffenen über die Verarbeitung zu informieren und ggf. Einwilligungen einzuholen.
(3) Er ist berechtigt, die Einhaltung der vereinbarten Datenschutzmaßnahmen beim Auftragsverarbeiter zu überprüfen.
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Er stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
(3) Er ergreift geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO (siehe Anlage 1).
(4) Er unterstützt den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten (Art. 15–22 DSGVO).
(5) Nach Abschluss der Auftragsverarbeitung werden die Daten gemäß den vereinbarten Fristen gelöscht.
§ 6 Unterauftragsverhältnisse
Der Auftragsverarbeiter darf folgende Unterauftragsverarbeiter einsetzen:
| Unterauftragsverarbeiter | Zweck | Sitz / Region |
|---|---|---|
| Twilio Ireland Ltd. | Telefonie, Call-Routing | EU (IE1) |
| Microsoft Ireland Operations Ltd. | Cloud-Hosting, Azure KI-Dienste | EU |
| OpenAI on Azure | Sprachverarbeitung / Antwortgenerierung | EU |
| Fathom Analytics Inc. | Webanalyse (datenschutzfreundlich) | Kanada / EU |
| UniOne Group (Mailtrap) | E-Mail-Versand | EU / ggf. Drittland mit SCCs |
Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen dieser Liste.
§ 7 Sicherheit der Verarbeitung
Die Sicherheit der Verarbeitung richtet sich nach den in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen.
§ 8 Weisungsrecht
Der Verantwortliche kann dem Auftragsverarbeiter jederzeit schriftliche Weisungen zur Verarbeitung erteilen.
Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
§ 9 Mitteilungspflichten
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Datenschutzverletzungen.
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Meldepflichten nach Art. 33 und 34 DSGVO.
§ 10 Löschung und Rückgabe von Daten
Nach Beendigung des Auftrags löscht oder anonymisiert der Auftragsverarbeiter alle personenbezogenen Daten innerhalb der vereinbarten Fristen (Transkripte nach 30 Tagen, Papierkorb 3 Tage).
§ 11 Haftung
Die Haftung richtet sich nach den Bestimmungen des Hauptvertrages und den geltenden gesetzlichen Vorschriften.
§ 12 Schriftform
Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.
Anlagen:
- Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
- Anlage 2: Liste der Unterauftragsverarbeiter
Ort, Datum: _______________________
Dantschi Gruppe GmbH
(Ort, Unterschrift)
Kunde
(Ort, Unterschrift)
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
| Maßnahme | Beschreibung |
|---|---|
| Zugriffskontrolle | Passwörter gehasht, Adminbereich nur mit 2FA, Rollen- & Rechtekonzept |
| Datenträgerkontrolle | Cloud-only-Speicherung (Azure), keine lokalen Kopien |
| Zugriffsschutz | TLS-Verschlüsselung für Web und API, Firewall, IP-Rate-Limiting |
| Speicherbegrenzung | Automatische Löschung nach 30 Tagen, Papierkorb 3 Tage |
| Pseudonymisierung | Logs enthalten keine Klarnamen, IDs statt Rufnummern |
| Verfügbarkeit | Azure-Backup, Notfallwiederherstellung, Monitoring |
| Vertraulichkeit | Mitarbeitende zur Verschwiegenheit verpflichtet |
| Integrität | Änderungen protokolliert, API-Zugriffe versioniert |
| Incident Response | internes Verfahren zur Meldung von Datenschutzverstößen |
| Audits & Kontrolle | jährliche Prüfung der Subauftragsverarbeiter und TOMs |