Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
Dieser Auftragsverarbeitungsvertrag ergänzt die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung von Vocalis AI und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden.
Inhaltsverzeichnis
- Vertragsparteien
- Gegenstand und Dauer
- Art und Zweck der Verarbeitung
- Datenkategorien und Betroffene
- Pflichten des Auftragsverarbeiters
- Pflichten des Verantwortlichen
- Unterauftragsverarbeiter
- Betroffenenrechte
- Kontroll- und Prüfrechte
- Technische und organisatorische Maßnahmen
- Meldepflichten bei Datenschutzverletzungen
- Datenübermittlung in Drittländer
- Beendigung und Datenrückgabe
- Haftung
- Schlussbestimmungen
§ 1 Vertragsparteien
Auftraggeber / Verantwortlicher
Der Kunde, der sich bei Vocalis AI registriert und die Plattform nutzt (nachfolgend „Verantwortlicher" oder „Auftraggeber").
Die Angaben des Verantwortlichen ergeben sich aus der Registrierung und dem Kundenkonto.
Auftragnehmer / Auftragsverarbeiter
Jonas Reichert LLC
(nachfolgend „Auftragsverarbeiter" oder „Vocalis AI")
E-Mail: [email protected]
Verantwortlicher und Auftragsverarbeiter werden nachfolgend einzeln auch als „Partei" und gemeinsam als „Parteien" bezeichnet.
§ 2 Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Vocalis AI Voice Agent Plattform. Die Einzelheiten der Datenverarbeitung, insbesondere die Art der Daten und der Kreis der Betroffenen, ergeben sich aus diesem Vertrag.
2.2 Dauer
Dieser AVV gilt für die gesamte Dauer des Hauptvertrags (Nutzung der Vocalis AI Plattform gemäß den AGB) und endet automatisch mit dessen Beendigung, sofern nicht einzelne Bestimmungen eine längere Geltung vorsehen.
§ 3 Art und Zweck der Verarbeitung
3.1 Art der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- Erheben und Speichern von Audiodaten (Sprachaufnahmen)
- Umwandlung von Sprache in Text (Speech-to-Text)
- Verarbeitung durch KI-Sprachmodelle (LLM)
- Umwandlung von Text in Sprache (Text-to-Speech)
- Speicherung von Gesprächstranskripten und Metadaten
- Analyse und Auswertung von Gesprächsdaten
- Übermittlung an Drittdienste (gemäß § 7)
3.2 Zweck der Verarbeitung
Die Datenverarbeitung erfolgt ausschließlich zu folgenden Zwecken:
- Bereitstellung und Betrieb von KI-gestützten Voice Agents
- Automatisierte Kundenkommunikation im Auftrag des Verantwortlichen
- Qualitätssicherung und Verbesserung der Dienste
- Erstellung von Analysen und Berichten für den Verantwortlichen
- Erfüllung vertraglicher Pflichten gegenüber dem Verantwortlichen
Hinweis: Eine Verarbeitung zu anderen Zwecken, insbesondere zu eigenen Zwecken des Auftragsverarbeiters, findet nicht statt. Die Daten des Verantwortlichen werden nicht für das Training von KI-Modellen verwendet.
§ 4 Art der Daten und Kreis der Betroffenen
4.1 Kategorien personenbezogener Daten
| Datenkategorie | Beispiele | Verarbeitung |
|---|---|---|
| Audiodaten | Sprachaufnahmen der Anrufe | Echtzeitverarbeitung, keine dauerhafte Speicherung |
| Transkriptionen | Textprotokolle der Gespräche | Speicherung gemäß Kundeneinstellung (Standard: 90 Tage) |
| Kontaktdaten | Telefonnummer, ggf. Name des Anrufers | Speicherung für Gesprächszuordnung |
| Metadaten | Anrufzeit, Dauer, Status | Speicherung für Analyse und Abrechnung |
| Gesprächsinhalte | Alle im Gespräch mitgeteilten Informationen | Je nach Konfiguration |
4.2 Besondere Kategorien personenbezogener Daten
Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten) ist grundsätzlich nicht vorgesehen. Sollte der Verantwortliche Voice Agents für Use Cases einsetzen, bei denen solche Daten verarbeitet werden könnten, ist er verpflichtet:
- Vocalis AI vorab schriftlich zu informieren
- Eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO sicherzustellen
- Geeignete zusätzliche Schutzmaßnahmen zu implementieren
4.3 Kreis der betroffenen Personen
- Endkunden/Anrufer des Verantwortlichen
- Interessenten und Leads
- Geschäftspartner und deren Mitarbeiter
- Sonstige Personen, die mit dem Voice Agent kommunizieren
§ 5 Pflichten des Auftragsverarbeiters
5.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Weisungen: Der Verantwortliche kann Weisungen schriftlich, per E-Mail oder über die Funktionen der Plattform erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
5.2 Vertraulichkeit
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Sicherheit der Verarbeitung
Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die konkreten Maßnahmen sind in Anlage 1 (TOMs) beschrieben.
5.4 Unterauftragsverarbeitung
Der Auftragsverarbeiter nimmt keine weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Einzelheiten regelt § 7.
5.5 Unterstützungspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen:
- Bei der Erfüllung von Betroffenenrechten (Art. 12-23 DSGVO)
- Bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung)
- Bei Prüfungen durch Aufsichtsbehörden
5.6 Löschung und Rückgabe
Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie zurück, sofern nicht eine Verpflichtung zur Speicherung besteht. Einzelheiten regelt § 13.
5.7 Nachweispflicht
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen bei.
§ 6 Pflichten des Verantwortlichen
6.1 Rechtmäßigkeit
Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er stellt sicher, dass:
- Eine gültige Rechtsgrundlage für die Verarbeitung vorliegt (z.B. Art. 6 Abs. 1 DSGVO)
- Betroffene Personen ordnungsgemäß informiert werden (Art. 13, 14 DSGVO)
- Erforderliche Einwilligungen eingeholt werden
6.2 Weisungsrecht
Der Verantwortliche hat das Recht, dem Auftragsverarbeiter Weisungen bezüglich der Art, des Umfangs und der Methode der Datenverarbeitung zu erteilen.
6.3 Informationspflicht
Wichtig: Der Verantwortliche ist verpflichtet, seine Endnutzer (Anrufer) über die Verwendung eines KI-Voice-Agents und die damit verbundene Datenverarbeitung zu informieren. Dies sollte idealerweise zu Beginn jedes Gesprächs erfolgen.
6.4 Kontaktperson
Der Verantwortliche benennt eine Kontaktperson für Datenschutzangelegenheiten, die für die Kommunikation mit dem Auftragsverarbeiter zuständig ist.
§ 7 Unterauftragsverarbeiter
7.1 Allgemeine Genehmigung
Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß der Liste in Anlage 2.
7.2 Aktuelle Unterauftragsverarbeiter
| Unterauftragnehmer | Leistung | Standort | Datenkategorien |
|---|---|---|---|
| Hostinger International Ltd. | Server-Hosting, Infrastruktur | EU (Litauen) | Alle Plattformdaten |
| Deepgram, Inc. | Speech-to-Text | USA | Audiodaten |
| OpenAI, LLC | Large Language Model (LLM) | USA | Textdaten, Transkripte |
| Cartesia AI, Inc. | Text-to-Speech | USA | Textdaten |
| Stripe, Inc. | Zahlungsabwicklung | USA/EU | Zahlungsdaten |
| Brevo (Sendinblue) | E-Mail-Versand (optional) | EU (Frankreich) | E-Mail-Adressen |
| Google LLC (Gmail) | E-Mail-Versand (Standard) | USA | E-Mail-Adressen |
| ElevenLabs, Inc. | Text-to-Speech (Alternative) | USA | Textdaten |
7.3 Änderungen
Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 14 Tage vor der Änderung. Der Verantwortliche kann der Änderung innerhalb dieser Frist widersprechen.
7.4 Vertragliche Absicherung
Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern Verträge geschlossen werden, die mindestens die gleichen Datenschutzpflichten auferlegen wie dieser AVV.
§ 8 Unterstützung bei Betroffenenrechten
8.1 Anfragen von Betroffenen
Wendet sich eine betroffene Person mit Anträgen nach Art. 15-22 DSGVO direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
8.2 Unterstützungsleistungen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung folgender Rechte:
| Recht | DSGVO-Artikel | Unterstützung durch Vocalis AI |
|---|---|---|
| Auskunft | Art. 15 | Bereitstellung von Datenexporten |
| Berichtigung | Art. 16 | Korrektur von Daten auf Anweisung |
| Löschung | Art. 17 | Löschfunktion im Dashboard / auf Anfrage |
| Einschränkung | Art. 18 | Sperrung von Datensätzen |
| Datenübertragbarkeit | Art. 20 | Export in maschinenlesbarem Format |
| Widerspruch | Art. 21 | Umsetzung nach Weisung |
8.3 Reaktionszeit
Der Auftragsverarbeiter unterstützt den Verantwortlichen innerhalb von 5 Werktagen nach Eingang einer entsprechenden Anfrage.
§ 9 Kontroll- und Prüfrechte
9.1 Prüfungsrecht
Der Verantwortliche hat das Recht, vor Beginn der Verarbeitung und sodann regelmäßig die Einhaltung der technischen und organisatorischen Maßnahmen sowie der Verpflichtungen aus diesem AVV zu überprüfen.
9.2 Durchführung
Prüfungen können durchgeführt werden durch:
- Einsichtnahme in Bescheinigungen und Berichte unabhängiger Instanzen (z.B. ISO-Zertifizierungen, SOC-Reports)
- Einholung von Auskünften und Dokumenten
- Vor-Ort-Inspektionen (nach vorheriger Ankündigung von 14 Tagen)
- Beauftragung eines unabhängigen Prüfers
9.3 Kosten
Vor-Ort-Inspektionen, die über das jährliche Maß von einer Prüfung hinausgehen, werden dem Verantwortlichen zu angemessenen Tagessätzen berechnet.
9.4 Verfügbare Nachweise
Vocalis AI stellt folgende Nachweise bereit:
- Aktuelle Version dieses AVV inkl. Anlagen
- Dokumentation der technischen und organisatorischen Maßnahmen
- Liste der Unterauftragsverarbeiter
- Sicherheitszertifikate (soweit vorhanden)
§ 10 Technische und Organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter setzt die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um:
Anlage 1: Technische und Organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle:
- Hosting in zertifizierten EU-Rechenzentren (ISO 27001)
- Physische Zugangskontrolle durch Hostingprovider
Zugangskontrolle:
- Passwortrichtlinien (Mindestlänge, Komplexität)
- Zwei-Faktor-Authentifizierung (2FA) verfügbar
- Automatische Sperrung nach Fehlversuchen
- Session-Timeout
Zugriffskontrolle:
- Rollenbasiertes Berechtigungssystem (RBAC)
- Prinzip der minimalen Berechtigung
- Protokollierung aller Zugriffe
Trennungskontrolle:
- Mandantenfähige Architektur
- Logische Trennung der Kundendaten
- Separate Datenbanken je Kunde (Enterprise)
Pseudonymisierung:
- Verwendung von IDs statt Klarnamen in Logs
- Anonymisierung in Analysedaten
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle:
- Verschlüsselung aller Datenübertragungen (TLS 1.3)
- Ende-zu-Ende-Verschlüsselung für Audiodaten
- Sichere API-Authentifizierung (API-Keys, JWT)
Eingabekontrolle:
- Vollständige Protokollierung aller Änderungen
- Audit-Logs mit Benutzer, Zeitstempel, Aktion
- Unveränderlichkeit von Audit-Logs
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)
Verfügbarkeitskontrolle:
- Tägliche automatisierte Backups
- Verschlüsselte Backup-Speicherung
- Geografisch redundante Datenhaltung
- Disaster-Recovery-Plan
- Ziel-SLA: 99,5% Verfügbarkeit
Belastbarkeit:
- Skalierbare Cloud-Infrastruktur
- Automatisches Load-Balancing
- DDoS-Schutz
4. Verfahren zur Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige Sicherheitsüberprüfungen
- Vulnerability Scanning
- Security-Updates und Patch-Management
- Dokumentation aller Sicherheitsmaßnahmen
- Mitarbeiterschulungen zum Datenschutz
§ 11 Meldepflichten bei Datenschutzverletzungen
11.1 Meldung an den Verantwortlichen
Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, jede Verletzung des Schutzes personenbezogener Daten.
11.2 Inhalt der Meldung
Die Meldung enthält mindestens:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Zahl der betroffenen Personen
- Kategorien und ungefähre Zahl der betroffenen Datensätze
- Name und Kontaktdaten des Datenschutzbeauftragten oder sonstiger Anlaufstellen
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
11.3 Unterstützung
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und den betroffenen Personen (Art. 34 DSGVO).
11.4 Dokumentation
Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit zusammenhängenden Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen.
§ 12 Datenübermittlung in Drittländer
12.1 Übermittlung in die USA
Einige der in § 7 genannten Unterauftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage von:
| Rechtsgrundlage | Beschreibung | Anbieter |
|---|---|---|
| EU-US Data Privacy Framework | Zertifizierung unter dem DPF-Abkommen | OpenAI, Stripe, Google |
| Standardvertragsklauseln (SCCs) | EU-Kommissionsbeschluss 2021/914 | Deepgram, Cartesia AI, ElevenLabs |
12.2 Ergänzende Maßnahmen
Zusätzlich zu den vertraglichen Garantien werden folgende technische Maßnahmen implementiert:
- Verschlüsselung der Daten bei der Übertragung und im Ruhezustand
- Minimierung der übertragenen Datenmenge
- Keine dauerhafte Speicherung von Audiodaten bei US-Anbietern
12.3 Informationspflicht
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er Kenntnis von Umständen erlangt, die die Rechtmäßigkeit der Datenübermittlung in Drittländer in Frage stellen könnten.
§ 13 Beendigung und Datenrückgabe/-löschung
13.1 Nach Vertragsende
Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter:
- Dem Verantwortlichen die Möglichkeit geben, seine Daten innerhalb von 30 Tagen zu exportieren
- Alle personenbezogenen Daten nach Ablauf dieser Frist löschen
- Die Löschung auf Verlangen schriftlich bestätigen
13.2 Ausnahmen von der Löschung
Eine Löschung unterbleibt, soweit:
- Eine gesetzliche Aufbewahrungspflicht besteht (z.B. steuerrechtlich: 10 Jahre)
- Der Verantwortliche eine längere Speicherung angewiesen hat
13.3 Löschung bei Unterauftragsverarbeitern
Der Auftragsverarbeiter stellt sicher, dass auch alle Unterauftragsverarbeiter die Daten entsprechend löschen oder zurückgeben.
§ 14 Haftung
14.1 Haftungsverteilung
Die Haftung für Datenschutzverstöße richtet sich nach Art. 82 DSGVO:
- Jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter haftet für den gesamten Schaden
- Ein Auftragsverarbeiter haftet nur dann, wenn er seinen speziell auferlegten Pflichten nicht nachgekommen ist oder Anweisungen des Verantwortlichen missachtet hat
14.2 Freistellung
Soweit der Auftragsverarbeiter für einen Schaden haftet, der durch eine Verletzung der Pflichten des Verantwortlichen verursacht wurde, stellt der Verantwortliche den Auftragsverarbeiter von allen Ansprüchen frei.
14.3 Haftungsbeschränkung
Die Haftungsbeschränkungen des Hauptvertrags (AGB) gelten entsprechend, soweit dies mit Art. 82 DSGVO vereinbar ist.
§ 15 Schlussbestimmungen
15.1 Rangfolge
Im Falle von Widersprüchen zwischen diesem AVV und anderen vertraglichen Vereinbarungen hat dieser AVV in Bezug auf den Datenschutz Vorrang.
15.2 Änderungen
Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Formerfordernisses.
15.3 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
15.4 Anwendbares Recht
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.
15.5 Gerichtsstand
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem AVV ist – soweit gesetzlich zulässig – München, Deutschland.
Anlage 2: Liste der genehmigten Unterauftragsverarbeiter
| Unternehmen | Adresse | Leistung | Garantie |
|---|---|---|---|
| Hostinger International Ltd. | Švitrigailos str. 34, Vilnius, Litauen | Cloud-Hosting | AVV, EU |
| Deepgram, Inc. | 548 Market St, San Francisco, CA, USA | Speech-to-Text API | SCCs, DPA |
| OpenAI, LLC | 3180 18th Street, San Francisco, CA, USA | Large Language Model | DPF, DPA |
| Cartesia AI, Inc. | San Francisco, CA, USA | Text-to-Speech API | SCCs, DPA |
| Stripe, Inc. | 510 Townsend Street, San Francisco, CA, USA | Zahlungsabwicklung | DPF, DPA |
| Brevo (Sendinblue SAS) | 106 boulevard Haussmann, 75008 Paris, Frankreich | E-Mail-Service (optional) | AVV, EU |
| Google LLC (Gmail SMTP) | 1600 Amphitheatre Parkway, Mountain View, CA, USA | E-Mail-Versand (Standard) | DPF, DPA |
| ElevenLabs, Inc. | New York, NY, USA | Text-to-Speech API (Alternative) | SCCs, DPA |
Stand: Januar 2026
Legende: AVV = Auftragsverarbeitungsvertrag, DPA = Data Processing Agreement, SCCs = Standard Contractual Clauses, DPF = EU-US Data Privacy Framework
Vertragsschluss: Dieser AVV wird mit der Registrierung bei Vocalis AI und der Bestätigung der AGB wirksam geschlossen. Eine separate Unterschrift ist nicht erforderlich (Art. 28 Abs. 9 DSGVO – elektronische Form).
Stand: 30. Januar 2026 | Version 1.1
Zurück zur Startseite