Auftragsverarbeitungsvertrag (AVV)
1. Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") wird geschlossen zwischen dem Kunden (nachfolgend "Auftraggeber" oder "Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO) und Nexum Systems UG (haftungsbeschränkt) (nachfolgend "Auftragnehmer" oder "Auftragsverarbeiter" im Sinne des Art. 4 Nr. 8 DSGVO).
Der Auftragsverarbeiter betreibt den Dienst "HeyAnnika", eine KI-gestützte Telefonassistenz für Immobilienmakler. Im Rahmen der Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Dieser AVV konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.
Dieser AVV ist Bestandteil des Hauptvertrags (Nutzungsvereinbarung / AGB) zwischen den Parteien und geht diesem in Bezug auf den Datenschutz vor.
2. Gegenstand und Dauer der Verarbeitung
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der KI-Telefonassistenz "HeyAnnika". Die Verarbeitung umfasst die automatisierte Entgegennahme und Bearbeitung eingehender Telefonanrufe im Namen des Auftraggebers.
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Mit Beendigung des Hauptvertrags endet auch dieser AVV, vorbehaltlich der in Abschnitt 10 geregelten Pflichten zur Datenrückgabe und Löschung.
3. Art und Zweck der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der:
- Sprachverarbeitung eingehender und ausgehender Telefonanrufe (Speech-to-Text)
- Sprachsynthese für die automatisierte Gesprächsführung (Text-to-Speech)
- Inhaltlichen Analyse und Beantwortung von Anfragen mittels Sprachmodellen (LLM)
- Lead-Qualifizierung und Bewertung von Interessenten
- Erstellung und Speicherung von Gespraechstranskriptionen
- Durchführung ausgehender Anrufe (Outbound) im Auftrag des Verantwortlichen, z.B. Rueckrufe und Nachfass-Anrufe
- SMS-Versand über Twilio (z.B. Anrufzusammenfassungen, Weiterleitungs-Kontext)
- Terminbuchung im Auftrag des Verantwortlichen über Kalender-Integrationen
- Versand von Expose-Unterlagen per E-Mail an Interessenten
- Empfang von Kontaktdaten über Webhook-API und Website-Widget
Die Verarbeitung erfolgt ausschließlich auf Weisung des Auftraggebers im Sinne des Art. 28 Abs. 3 lit. a DSGVO. Die Nutzung des Dienstes durch den Auftraggeber stellt eine solche Weisung dar.
4. Art der personenbezogenen Daten
Im Rahmen der Auftragsverarbeitung werden folgende Arten personenbezogener Daten verarbeitet:
- Telefonnummern der Anrufer
- Namen und Anreden (soweit im Gespräch mitgeteilt)
- Sprachdaten (Audioaufzeichnungen der Telefonate während der Echtzeit-Verarbeitung)
- Transkripte der geführten Gespräche
- Lead-Score und Qualifizierungsmerkmale
- E-Mail-Adressen (soweit im Gespräch mitgeteilt)
- Sonstige Kontaktdaten und Anfrageinhalte (z. B. Objektpraeferenzen, Budgetangaben)
5. Kategorien betroffener Personen
Die von der Verarbeitung betroffenen Personen umfassen:
- Kauf- und Mietinteressenten, die den Auftraggeber telefonisch kontaktieren
- Bestandskunden des Auftraggebers
- Sonstige Anrufer, die über die dem Auftraggeber zugewiesene Telefonnummer Kontakt aufnehmen
6. Pflichten des Auftragsverarbeiters
6.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
6.2 Vertraulichkeit
Der Auftragsverarbeiter gewaehrleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
6.3 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen. Die konkreten Maßnahmen sind in Abschnitt 8 dieses AVV festgelegt.
6.4 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Personen (Art. 28 Abs. 3 lit. e DSGVO).
6.5 Meldung von Datenpannen
Der Auftragsverarbeiter meldet dem Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens folgende Informationen:
- Beschreibung der Art der Verletzung
- Kategorien und ungefaehre Anzahl der betroffenen Personen und Datensätze
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung
6.6 Löschung und Rückgabe
Nach Abschluss der Verarbeitung loescht der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Auftraggebers oder gibt sie zurück und loescht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).
6.7 Nachweispflichten und Audits
Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen einschließlich Inspektionen bei, die vom Auftraggeber oder einem von ihm beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO).
7. Unterauftragnehmer
Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragnehmer) hinzuzuziehen (Art. 28 Abs. 2 DSGVO). Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.
Zum Zeitpunkt des Abschlusses dieses AVV setzt der Auftragsverarbeiter folgende Unterauftragnehmer ein:
| Name | Zweck | Standort | Garantie |
|---|---|---|---|
| Deepgram | Speech-to-Text | USA | EU-SCCs |
| OpenAI | Sprachverständnis / LLM | USA | EU-SCCs |
| ElevenLabs | Text-to-Speech | USA / EU | EU-SCCs |
| Twilio | Telefonie / SIP-Trunking | USA / EU | EU-SCCs |
| LiveKit | Echtzeit-Kommunikation | EU | DPA |
| Stripe | Zahlungsabwicklung | USA / EU | EU-SCCs |
| Hostinger | Hosting / Server | EU | AVV |
| Neon | Datenbank (PostgreSQL) | USA / EU | EU-SCCs, DPA |
| Sentry | Error-Tracking / Monitoring | USA / EU | EU-SCCs, DPA |
| Resend | E-Mail-Versand (Exposes, Einladungen) | USA | EU-SCCs |
| Google (Calendar API) | Kalender-Integration / Terminbuchung | USA / EU | EU-SCCs, DPA |
| Microsoft (Graph API) | Kalender-Integration / Terminbuchung | USA / EU | EU-SCCs, DPA |
Für sämtliche Unterauftragnehmer mit Sitz in den USA stellt der Auftragsverarbeiter sicher, dass die Datenübermittlung auf Grundlage der von der EU-Kommission genehmigten Standardvertragsklauseln (EU-SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO erfolgt. Der Auftragsverarbeiter verpflichtet jeden Unterauftragnehmer vertraglich zur Einhaltung der gleichen Datenschutzpflichten, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).
8. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:
8.1 Verschlüsselung
Sämtliche Datenübertragungen erfolgen über TLS-verschlüsselte Verbindungen (HTTPS). Daten werden sowohl bei der Uebertragung (in transit) als auch bei der Speicherung (at rest) verschlüsselt.
8.2 Pseudonymisierung
Interne Datensatzidentifikatoren werden als CUIDs (Collision-resistant Unique Identifiers) gefuehrt. Eine Zuordnung zu Klarnamen ist nur über die authentifizierte Anwendungsschicht möglich.
8.3 Zugriffskontrolle
Der Zugriff auf personenbezogene Daten erfolgt über eine rollenbasierte Zugriffskontrolle (RBAC). Passwoerter werden ausschließlich als bcrypt-Hashes gespeichert. Jeder Auftraggeber hat ausschließlich Zugriff auf seine eigenen Daten (Mandantentrennung).
8.4 Verfügbarkeit und Belastbarkeit
Die Infrastruktur wird auf professionellen Hosting-Systemen mit automatisierten Backups betrieben. Regelmaessige Datensicherungen gewaehrleisten die Wiederherstellbarkeit im Schadensfall.
8.5 Automatisierte Löschung
Audiodaten der Echtzeitverarbeitung werden nicht dauerhaft gespeichert. Transkripte und Lead-Daten unterliegen den vom Auftraggeber konfigurierbaren Aufbewahrungsfristen. Nach Ablauf der Fristen erfolgt eine automatisierte Löschung.
8.6 Verfahren zur regelmäßigen Überprüfung
Die Wirksamkeit der technischen und organisatorischen Maßnahmen wird regelmäßig überprüft, bewertet und evaluiert (Art. 32 Abs. 1 lit. d DSGVO).
9. Rechte und Pflichten des Auftraggebers
Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich (Art. 24 DSGVO).
- Der Auftraggeber erteilt dem Auftragsverarbeiter schriftliche Weisungen zur Datenverarbeitung. Muendliche Weisungen sind unverzüglich schriftlich zu bestätigen.
- Der Auftraggeber informiert Anrufer in geeigneter Weise über die Verarbeitung ihrer Daten durch eine KI-Assistenz. Die automatische Begrüßungsansage des Dienstes HeyAnnika enthält einen entsprechenden Hinweis.
- Der Auftraggeber ist verpflichtet, den Auftragsverarbeiter unverzüglich zu informieren, wenn er Fehler oder Unregelmaessigkeiten bei der Verarbeitung personenbezogener Daten feststellt.
- Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses AVV in angemessenen Abständen zu überprüfen.
10. Laufzeit und Kündigung
Dieser AVV beginnt mit dem Zeitpunkt, zu dem der Auftraggeber den Dienst HeyAnnika in Anspruch nimmt, und endet mit der Beendigung des Hauptvertrags.
Bei Beendigung des AVV wird der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers zurueckgeben oder löschen, es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht. Die Löschung wird dem Auftraggeber auf Verlangen schriftlich bestätigt.
Die Bestimmungen dieses AVV zur Vertraulichkeit und zu den technischen und organisatorischen Maßnahmen gelten über die Beendigung dieses AVV hinaus fort, solange der Auftragsverarbeiter noch über personenbezogene Daten des Auftraggebers verfügt.
11. Haftung und Schadensersatz
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Jede an einer Verarbeitung beteiligte Partei haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wird.
Der Auftragsverarbeiter haftet für den durch die Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder wenn er unter Nichtbeachtung der rechtmaessig erteilten Anweisungen des Auftraggebers oder gegen diese Anweisungen gehandelt hat (Art. 82 Abs. 2 DSGVO).
Im Innenverhaltnis stellt der Auftraggeber den Auftragsverarbeiter von Ansprüchen Dritter frei, soweit der Auftragsverarbeiter nachweist, dass er in keiner Weise für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DSGVO). Im Uebrigen gelten die Haftungsregelungen des Hauptvertrags.
Stand: April 2026