Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses Auftragsverarbeitungsvertrags ist die Durchführung folgender Aufgaben durch den Auftragnehmer (Call Lana GmbH, nachfolgend „Auftragnehmer") im Auftrag des Kunden (nachfolgend „Auftraggeber"):

Entgegennahme und Bearbeitung eingehender Telefonanrufe mittels KI-gestütztem Sprachassistenten
Transkription und Zusammenfassung von Gesprächsinhalten
Speicherung von Anrufdaten und Gesprächsprotokollen
Weiterleitung relevanter Informationen an den Auftraggeber
Bereitstellung eines Dashboards zur Verwaltung der Anrufdaten

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages (Nutzungsvertrag) zwischen Auftraggeber und Auftragnehmer. Sie beginnt mit der Registrierung und endet mit der Kündigung des Dienstes.

§ 2 Art und Zweck der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zum Zweck der Erbringung des KI-Telefonassistenten-Dienstes „Call Lana".

(2) Die Verarbeitung umfasst folgende Tätigkeiten:

Erheben: Erfassung von Anruferdaten bei eingehenden Telefonanrufen
Speichern: Ablage von Gesprächsprotokollen und Transkripten in der Datenbank
Verändern: Erstellung von Zusammenfassungen aus Gesprächsinhalten durch KI
Übermitteln: Weiterleitung von Anrufinformationen an den Auftraggeber (Dashboard, E-Mail-Benachrichtigungen)
Löschen: Entfernung der Daten nach Vertragsende oder auf Weisung des Auftraggebers

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten sind Gegenstand der Verarbeitung:

Telefonnummern der Anrufer
Gesprächsinhalte (Audio und Transkription)
Namen der Anrufer (sofern im Gespräch genannt)
Datum, Uhrzeit und Dauer der Anrufe
Zusammenfassungen und Kategorisierungen der Gespräche
E-Mail-Adressen (sofern im Gespräch mitgeteilt)
Sonstige im Gespräch freiwillig mitgeteilte Daten

§ 4 Kategorien betroffener Personen

Von der Verarbeitung betroffen sind:

Kunden und Interessenten des Auftraggebers, die telefonisch Kontakt aufnehmen
Geschäftspartner und Lieferanten des Auftraggebers
Sonstige Personen, die den Telefonassistenten des Auftraggebers kontaktieren

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten (siehe § 7).

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere bei:

Sicherstellung der Verarbeitungssicherheit
Meldung von Datenschutzverletzungen an die Aufsichtsbehörde
Benachrichtigung betroffener Personen bei Datenschutzverletzungen
Durchführung von Datenschutz-Folgenabschätzungen

(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 6 Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen verantwortlich (Art. 4 Nr. 7 DSGVO).

(2) Der Auftraggeber ist verpflichtet, seine Anrufer in geeigneter Weise über die Datenverarbeitung durch den KI-Telefonassistenten zu informieren, insbesondere über:

Den Einsatz eines KI-gestützten Telefonassistenten
Die Aufzeichnung und Transkription des Gesprächs
Die Rechtsgrundlage der Verarbeitung
Die Betroffenenrechte (Auskunft, Löschung, Widerspruch)

(3) Der Auftraggeber erteilt alle Weisungen in Textform (E-Mail genügt). Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

§ 7 Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

7.1 Vertraulichkeit

Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Superadmin, Sales, Customer) mit Row-Level Security auf Datenbankebene
Zutrittskontrolle: Serverinfrastruktur bei Hetzner in Nürnberg (ISO 27001-zertifiziertes Rechenzentrum)
Zugangskontrolle: Authentifizierung über verschlüsselte Sessions, Passwort-Hashing, Token-basierte API-Zugriffe
Trennungskontrolle: Mandantentrennung durch Row-Level Security — jeder Kunde sieht ausschließlich seine eigenen Daten

7.2 Integrität

Eingabekontrolle: Alle Datenänderungen sind nachvollziehbar protokolliert
Weitergabekontrolle: Alle Datenübertragungen erfolgen ausschließlich über TLS 1.2+ verschlüsselte Verbindungen
AES-256-Verschlüsselung für sensible Daten (z. B. Zahlungstokens)

7.3 Verfügbarkeit und Belastbarkeit

Regelmäßige automatisierte Backups der Datenbank
Redundante Serverinfrastruktur
Monitoring und Alerting für Systemausfälle

7.4 Verfahren zur regelmäßigen Überprüfung

Automatisierte Tests (Unit- und End-to-End-Tests) als Teil der Deployment-Pipeline
Regelmäßige Überprüfung der Zugriffsberechtigungen
Incident-Response-Verfahren bei Sicherheitsvorfällen

§ 8 Unterauftragsverarbeiter

(1) Der Auftraggeber stimmt dem Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter zu:

Unterauftragnehmer	Standort	Zweck
Supabase Inc. (Hosting: Hetzner)	Nürnberg, Deutschland	Datenbank, Authentifizierung, Echtzeit-Funktionen
Microsoft Azure (OpenAI-Dienste)	EU (West Europe)	KI-Sprachverarbeitung und -Transkription
VAPI Inc.	USA (mit EU-DPA/SCCs)	Telefonie-Infrastruktur und Anrufabwicklung
Stripe Inc. (Stripe Payments Europe Ltd.)	Dublin, Irland (EU)	Zahlungsabwicklung
Resend Inc.	USA (mit EU-DPA/SCCs)	Transaktionale E-Mails (Rechnungen, Benachrichtigungen)
Plausible Analytics	EU	Cookielose Website-Analyse
Netlify Inc.	USA (mit EU-DPA/SCCs)	Website-Hosting und Content Delivery

(2) Für Unterauftragsverarbeiter mit Sitz außerhalb der EU/des EWR (VAPI, Resend, Netlify) bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als Garantie für ein angemessenes Datenschutzniveau.

(3) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Auftraggeber kann gegen diese Änderungen innerhalb von 14 Tagen nach Mitteilung Einspruch erheben.

(4) Der Auftragnehmer schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der die gleichen Datenschutzpflichten auferlegt wie diese AVV.

§ 9 Rechte der betroffenen Personen

(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte gemäß Kapitel III DSGVO:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Widerspruch (Art. 21 DSGVO)

(2) Wendet sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte direkt an den Auftragnehmer, leitet dieser den Antrag unverzüglich an den Auftraggeber weiter.

§ 10 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer benachrichtigt den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

Eine Beschreibung der Art der Verletzung
Die Kategorien und ungefähre Anzahl der betroffenen Personen
Die Kategorien und ungefähre Anzahl der betroffenen Datensätze
Eine Beschreibung der wahrscheinlichen Folgen
Eine Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen

§ 11 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrages löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.

(2) Auf Wunsch des Auftraggebers stellt der Auftragnehmer vor der Löschung eine Kopie der Daten in einem gängigen, maschinenlesbaren Format zur Verfügung (Datenexport über das Dashboard).

(3) Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende. Der Auftragnehmer bestätigt die vollständige Löschung auf Anfrage schriftlich.

§ 12 Kontroll- und Prüfrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses Vertrages und der datenschutzrechtlichen Vorschriften durch den Auftragnehmer zu überprüfen. Dies kann erfolgen durch:

Einholung von Auskünften des Auftragnehmers
Einsicht in die vorhandenen Zertifizierungen und Auditberichte
Vor-Ort-Inspektionen nach vorheriger Ankündigung (mindestens 14 Werktage im Voraus)

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 13 Haftung

(1) Die Haftung der Vertragsparteien richtet sich nach Art. 82 DSGVO.

(2) Der Auftragnehmer haftet für Schäden, die durch eine nicht den Weisungen des Auftraggebers entsprechende Verarbeitung verursacht werden, sofern er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder gegen die rechtmäßigen Weisungen des Auftraggebers gehandelt hat.

§ 14 Schlussbestimmungen

(1) Dieser Auftragsverarbeitungsvertrag wird automatisch Bestandteil des Vertragsverhältnisses bei Registrierung und Nutzung des Dienstes „Call Lana" und ergänzt die Allgemeinen Geschäftsbedingungen.

(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Hildesheim.

(4) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.