Auftragsverarbeitungsvereinbarung (AVV)

Anlage 1 zu den Nutzungsbedingungen · gem. Art. 28 DSGVO

1. Allgemeiner Geltungsbereich

Diese Auftragsverarbeitungsvereinbarung (“AVV”) ist integraler Bestandteil der Nutzungsbedingungen und kommt mit Abschluss des Vertrags zwischen der Promocura GmbH (“Auftragsverarbeiter”) und dem Kunden (“Verantwortlicher”) zustande.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.

2. Beschreibung der Datenverarbeitung

Kategorien betroffener Personen:

  • Endkunden und potenzielle Interessenten des Kunden
  • Mitarbeitende des Kunden
  • Lieferanten und Geschäftspartner des Kunden

Kategorien personenbezogener Daten:

  • Identifikationsdaten (Name, Firma, Telefonnummer, Adresse)
  • Kommunikationsinhalte (Gesprächsinhalte als Texttranskripte)
  • Termin- oder Kalendereinträge
  • Metadaten der Anrufe (Zeit, Dauer, Rufnummer, technische Logs)

Art, Zwecke und Dauer der Datenverarbeitung:

Die Datenverarbeitung erfolgt zur Vertragsdurchführung, um dem Kunden einen KI-gestützten Telefonie-Assistenten zur Verfügung zu stellen. Die Verarbeitung umfasst Echtzeit-Spracherkennung, Transkription und Aufarbeitung der Telefoninhalte. Es erfolgt keine dauerhafte Speicherung von Audioaufnahmen. Die Dauer der Datenverarbeitung richtet sich nach der Dauer des Vertrages.

3. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie die Wahrung der Rechte der betroffenen Personen verantwortlich. Für Meldepflichten nach Art. 33, 34 DSGVO ist der Verantwortliche zuständig.

4. Weisungen

Der Verantwortliche hat das Recht, dem Auftragsverarbeiter jederzeit Weisungen zu Art, Umfang und Verfahren der Datenverarbeitung in Textform zu erteilen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt, und ist berechtigt, die Durchführung auszusetzen.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und Weisungen. Der Auftragsverarbeiter ist verpflichtet, jeden Verstoß gegen datenschutzrechtliche Vorschriften sowie jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden, dem Verantwortlichen mitzuteilen.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten aus Art. 32-36 DSGVO sowie bei der Beantwortung von Betroffenenanfragen.

6. Unterauftragsverarbeiter

Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter Unterauftragsverarbeiter einsetzt. Die aktuell eingesetzten Unterauftragsverarbeiter sind:

AnbieterZweck / Standort
ElevenLabs Inc., New York, USAVoice-AI-Verarbeitung (TTS, STT), LLM-Verarbeitung (Google Gemini via ElevenLabs) — DPF-zertifiziert
Twilio Ireland Ltd., Dublin, IrlandTelefonie-Infrastruktur (Verbindungsaufbau, Anrufweiterleitung) — EU
Hetzner Online GmbH, Gunzenhausen, DEHosting, Speicherung von Transkripten und Metadaten — Deutschland
Stripe Payments Europe Ltd., Dublin, IEZahlungsabwicklung — EU / DPF-zertifiziert
HighLevel Inc., Dallas, USACRM und Kundenverwaltung — USA, SCCs

Vor Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters informiert der Auftragsverarbeiter den Verantwortlichen. Der Verantwortliche kann innerhalb von 30 Kalendertagen schriftlich Einspruch einlegen. Ist der Auftragsverarbeiter innerhalb von 30 Kalendertagen nach Einspruch nicht in der Lage, eine Alternative anzubieten, kann jede Partei den Vertrag außerordentlich und fristlos kündigen.

7. Ort der Datenverarbeitung

Der Auftragsverarbeiter wird personenbezogene Daten vornehmlich in der Europäischen Union verarbeiten. Die primäre Datenspeicherung erfolgt in Deutschland (Hetzner). Eine Drittübermittlung in die USA erfolgt im Rahmen der Nutzung von ElevenLabs (DPF-zertifiziert) und HighLevel (SCCs). Jede Übermittlung muss mit Kapitel V der DSGVO in Einklang stehen.

8. Dokumentation und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Datenschutzverpflichtungen zur Verfügung. Auf Verlangen gestattet der Auftragsverarbeiter die Kontrolle während der üblichen Geschäftszeiten nach angemessener Vorankündigung. Kontrollen können von einem unabhängigen, zur Verschwiegenheit verpflichteten Auditor durchgeführt werden. Kosten trägt der Verantwortliche.

9. Datensicherheit

Der Auftragsverarbeiter verpflichtet sich, angemessene technische und organisatorische Maßnahmen zu treffen. Die Maßnahmen sind in Annex 1 gelistet. Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu Daten, als dies zur Vertragsdurchführung erforderlich ist, und verpflichtet alle befugten Personen zur Vertraulichkeit.

10. Löschfristen

Die Löschung personenbezogener Daten erfolgt gemäß den gesetzlichen Aufbewahrungsfristen:

  • Transkripte und Metadaten: Löschung nach Weisung des Verantwortlichen, spätestens 30 Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Während der Vertragslaufzeit kann der Kunde Aufbewahrungsfristen konfigurieren.
  • Technische Verbindungsdaten: Maximal 30 Tage zur Fehlerbehebung.
  • Buchungsbelege: 8 Jahre gem. § 147 AO, § 257 HGB.
  • Steuerrechtlich relevante Unterlagen: 10 Jahre gem. § 147 AO, § 257 HGB.
  • Geschäftliche Kommunikation: 6 Jahre gem. § 147 AO, § 257 HGB.

11. Rückgabe und Löschung

Nach Beendigung der AVV löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt diese zurück und löscht bestehende Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Äußert sich der Verantwortliche nicht, werden die Daten 30 Tage nach Vertragsende gelöscht.

12. Laufzeit

Der AVV beginnt mit Abschluss des Vertrags und endet mit dessen Beendigung. Der Verantwortliche kann den AVV jederzeit fristlos kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters vorliegt.

Annex 1: Technische und Organisatorische Maßnahmen (TOM)

gem. Art. 32 DSGVO

Vertraulichkeit

Physische Zugangskontrolle

  • Sicherheitsschlösser an den Türen
  • Zutrittsmanagement: Berechtigte Personen und Umfang der Berechtigung sind vorab definiert
  • Sorgfältige Auswahl des Personals

Zugangskontrolle

  • Begrenzung der Anzahl der berechtigten Mitarbeiter
  • Passwortverfahren (Sonderzeichen, Mindestlänge, regelmäßiger Wechsel)
  • Restriktive Vergabe von Benutzerrechten
  • Einsatz einer zentralen Passwort-Policy
  • Zwei-Faktor-Authentifizierung für administrative Zugänge

Datenzugriffskontrolle

  • Zugriffsbeschränkung auf autorisierte Mitarbeiter
  • Automatisierte Protokollierung aller Datenzugriffe
  • Kleine Anzahl von Systemadministratoren
  • Regelmäßige Analyse von Protokollen und Aufzeichnungen

Trennungsregel

  • Systemtechnisch erzwungene Datentrennung (softwarebasierte Mandantentrennung)
  • Trennung von Produktiv- und Testsystemen
  • Zentrale Verwaltung von Datenbankzugriffsrechten

Verschlüsselung

  • TLS-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte Speicherung sensibler Daten (Encryption at Rest)

Verfügbarkeit und Ausfallsicherheit

  • Regelmäßige Backups für mindestens 120 Tage
  • Backup- und Disaster-Recovery-Plan vorhanden
  • Ausgelagerte und sichere Speicherung von Backups
  • Lokalisierte Server-Infrastruktur in Deutschland mit Redundanz (Hetzner)
  • Schnellwiederherstellungsprotokolle für kritische Systeme

Organisatorische Maßnahmen

  • Datenschutzschulungen und Sensibilisierungsprogramme für Mitarbeiter
  • Interne Datenschutzrichtlinien und -verfahren
  • Interne Audits und Überprüfung der Einhaltung der Vorschriften
  • Verpflichtung aller Mitarbeiter zur Vertraulichkeit und ggf. nach § 203 Abs. 4 StGB

Reaktion auf Vorfälle

  • Definierter Plan zur Reaktion auf Vorfälle (Incident Response Plan)
  • Tools zur Erkennung von Sicherheitsverletzungen und Warnsysteme
  • Meldung von Datenpannen an den Verantwortlichen innerhalb von 24 Stunden
  • Protokolle für die Überprüfung und Behebung nach einem Vorfall

Management von Unterauftragsverarbeitern

  • Risikobewertungen für alle Unterauftragsverarbeiter
  • Verbindliche Vertragsklauseln zur Gewährleistung des Datenschutzes
  • Regelmäßige Lieferantenaudits und Leistungsüberprüfungen

Datenminimierung und -aufbewahrung

  • Keine dauerhafte Speicherung von Audioaufnahmen — ausschließlich Texttranskripte
  • Richtlinien zur Beschränkung der Datenerfassung auf notwendige Informationen
  • Konfigurierbare Aufbewahrungsfristen für Kunden
  • Automatische Löschung nach Ablauf der konfigurierten Fristen