§ 1 Gegenstand und Dauer der Verarbeitung

1. Dieser Auftragsverarbeitungsvertrag (nachfolgend “AVV”) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Auftragsverarbeitung im Zusammenhang mit dem Hauptvertrag über die Nutzung der SaaS-Plattform VoicePilot ergeben.

2. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers auf Grundlage dieses AVV und des Hauptvertrags. Die Laufzeit des AVV orientiert sich an der Laufzeit des Hauptvertrags.

3. Der Auftraggeber ist im Sinne von Art. 4 Nr. 7 DSGVO für die Datenverarbeitung verantwortlich. Der Auftragnehmer handelt ausschließlich nach dokumentierter Weisung des Auftraggebers.

§ 2 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Dienstleistungen, insbesondere:

• Bereitstellung und Betrieb der SaaS-Plattform VoicePilot
• Verarbeitung von Anrufdaten und Gesprächsinhalten mittels KI-gestützter Analyse
• Speicherung von Kontakt- und Kundenstammdaten
• Erstellung von Analysen, Berichten und Transkriptionen
• Technischer Support und Fehlerbehebung
• Hosting und Sicherung der Daten

§ 3 Art der personenbezogenen Daten

Gegenstand der Verarbeitung sind folgende Datenkategorien:

• Kontaktdaten (Name, Telefonnummer, E-Mail-Adresse)
• Gesprächsinhalte und Transkriptionen
• Nutzungsdaten und technische Protokolle
• Abrechnungsdaten
• Kundenstammdaten und Projektdaten
• Zugangsdaten zur Software (E-Mail-Adresse und verschlüsseltes Passwort)
• IP-Adressen und Daten der eingesetzten Endgeräte

Betroffene Personengruppen:

• Kunden und Interessenten des Auftraggebers
• Mitarbeiter des Auftraggebers
• Anrufer und Gesprächspartner
• Geschäftspartner und Lieferanten des Auftraggebers

§ 4 Pflichten des Auftragsnehmers

1. Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach dem Recht der Europäischen Union oder der Mitgliedstaaten dazu verpflichtet.

2. Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.

3. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten.

§ 5 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu gehören insbesondere:

• Verschlüsselung der Daten bei Übertragung und Speicherung (TLS 1.3, AES-256)
• Zugangs- und Zugriffskontrollsysteme mit rollenbasierter Berechtigung
• Regelmäßige Sicherheitsaudits und Penetrationstests
• Hosting ausschließlich in zertifizierten Rechenzentren in Deutschland
• Automatische Backups mit verschlüsselter Speicherung
• Pseudonymisierung und Anonymisierung, soweit möglich
• Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

§ 6 Unterauftragsverarbeiter

1. Der Auftragnehmer setzt Unterauftragsverarbeiter nur mit vorheriger schriftlicher Zustimmung des Auftraggebers ein. Eine aktuelle Liste der Unterauftragsverarbeiter wird auf Anfrage zur Verfügung gestellt.

2. Der Auftragnehmer wählt den Unterauftragsverarbeiter unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

3. Der Auftragnehmer hat mit jedem Unterauftragsverarbeiter einen AVV abzuschließen, der die Pflichten aus diesem AVV an den Unterauftragsverarbeiter weitergibt.

§ 7 Rechte der betroffenen Personen

1. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen gemäß Art. 12–23 DSGVO.

2. Wendet sich eine betroffene Person mit Forderungen zur Geltendmachung ihrer Rechte unmittelbar an den Auftragnehmer, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

§ 8 Meldepflichten bei Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme, jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

§ 9 Löschung und Rückgabe

1. Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten unwiderruflich, sofern keine gesetzliche Aufbewahrungspflicht besteht.

2. Auf Wunsch erfolgt eine Datenrückgabe in einem gängigen, maschinenlesbaren Format vor der Löschung.

3. Der Auftragnehmer bestätigt die Löschung schriftlich.

§ 10 Kontrollrechte des Auftraggebers

1. Der Auftraggeber hat das Recht, die Einhaltung der Vorgaben dieses AVV durch den Auftragnehmer zu kontrollieren. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung.

2. Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer werden nach rechtzeitiger Ankündigung während der üblichen Geschäftszeiten durchgeführt.