Warum VoiceBooker? Funktionen Use Cases & Branchen Preise Docs
Warum VoiceBooker? Funktionen Use Cases & Branchen Preise Docs Demo buchen Anmelden
 

Datenschutz

Auftragsverarbeitungsvertrag (AVV)

1. Präambel

Dieser Vertrag regelt die Bedingungen, unter denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, um den gesetzlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO), insbesondere Art. 28 DSGVO, zu entsprechen.

2. Gegenstand und Zweck der Auftragsverarbeitung

(1) Der Auftragsverarbeiter erbringt Dienstleistungen im Bereich der Bereitstellung und des Betriebs eines KI-gestützten Voice- und Sprachverarbeitungsdienstes (inkl. SIP-Anbindung, Spracherkennung, Sprachsynthese, Analyse und Speicherung von Transkripten). Die Dienstleistung ist in Anhang 1 näher beschrieben.

(2) Der Auftraggeber stellt dem Auftragsverarbeiter hierfür personenbezogene Daten auf elektronischem Weg zur Verfügung. Die Verarbeitung umfasst u. a. die Erhebung, Organisation, Speicherung, Nutzung, Auswertung, Übermittlung und Löschung personenbezogener Daten, soweit dies zur Vertragserfüllung erforderlich ist.

(3) Zweck der Verarbeitung ist die Erfüllung der vertraglich vereinbarten Leistungen zwischen Auftraggeber und Auftragsverarbeiter.

(4) Die Verarbeitung erfolgt für die Dauer der vertraglichen Leistungserbringung sowie für die in Ziffer 13 geregelten Rückgabe-/Löschfristen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Dieser AVV ist Anlage des genannten Hauptvertrags und wird für jeden neuen Hauptvertrag separat geschlossen.

3. Art der verarbeiteten Daten und Betroffenen

(1) Kategorien personenbezogener Daten, die verarbeitet werden:

  • Sprach- und Audiodaten und Stimme des Anrufers,
  • Transkripte von Sprachinhalten,
  • Metadaten (z. B. Zeitpunkt, Dauer, Session-Informationen),
  • Kontaktdaten (z. B. Rufnummern, Namen).
  • Weitere persönliche Daten je nach Konfiguration des Terminlandsystems sowie des VoiceBots in VoiceBooker.

(2) Kategorien betroffener Personen umfassen insbesondere:

  • Kunden und potenzielle Kunden des Auftraggebers,
  • Mitarbeiter des Auftraggebers (z. B. Administratoren, Service-Mitarbeiter),

4. Pflichten und Verantwortlichkeiten des Auftraggebers (Verantwortlicher)

(1) Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO. Er ist insbesondere verantwortlich für:

  • die Rechtmäßigkeit der Verarbeitung (Rechtsgrundlage, Einwilligungen, Interessenabwägungen),
  • die Erfüllung der Informationspflichten gegenüber betroffenen Personen,
  • die Festlegung von Zweck, Inhalten und Parametern der Verarbeitung sowie die Erteilung und Dokumentation von Weisungen (z. B. Skripte, Prompt-/Routing-Regeln, Aufbewahrungs- und Löschvorgaben),
  • die Prüfung, ob besondere gesetzliche Anforderungen an die Verarbeitung gelten,
  • die Prüfung der Ergebnisse der Auftragsverarbeitung auf inhaltliche Richtigkeit, soweit dies Teil der Verwendung durch den Auftraggeber ist.

(2) Der Auftraggeber erteilt nur rechtmäßige Weisungen und veranlasst keine rechtswidrigen Inhalte oder Zwecke. Der Auftraggeber unterstützt die Klärung unverzüglich, wenn Zweifel an der Rechtmäßigkeit einer Weisung bestehen.

5. Weisungsbefugnis

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit nicht eine Verarbeitung aufgrund gesetzlicher Verpflichtungen erforderlich ist. In letzterem Fall informiert der Auftragsverarbeiter den Auftraggeber vor der Verarbeitung über diese rechtlichen Anforderungen, sofern das betreffende Recht diese Information nicht aufgrund eines gesetzlichen Verbots aus Gründen eines wichtigen öffentlichen Interesses untersagt.

(2) Abweichungen von Weisungen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers.

(3) Weisungen sind mindestens in Textform (z. B. E-Mail, Ticket-System) zu erteilen. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich mindestens in Textform. Kontaktstelle des Auftragsverarbeiters für Weisungen und Datenschutzanfragen:

andré martin - it solutions & reserach UG
Herr Herbert Martin
- Datenschutzbeauftragter -
Am See 1a
01067 Dresden
Telefon: (0351) 2196800

(4) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

6. Datenminimierung und Vertraulichkeit

(1) Die Verarbeitung der personenbezogenen Daten beschränkt sich auf das notwendige Maß zur Erbringung der vereinbarten Leistungen.

(2) Der Auftragsverarbeiter stellt sicher, dass nur Personen auf Daten zugreifen, die hierzu vertraglich verpflichtet und vertraulich verpflichtet worden sind.

(3) Kopien oder Duplikate der Daten dürfen ohne Wissen des Auftraggebers nicht erstellt werden. Ausgenommen sind Sicherheitskopien, soweit sie für eine ordnungsgemäße Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

7. Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen zu ergreifen und fortlaufend anzupassen, die den Schutz personenbezogener Daten sicherstellen (Vertraulichkeit, Integrität, Verfügbarkeit).

(2) Die zum Zeitpunkt des Vertragsschlusses vereinbarten TOMs sind in Anhang 2 beschrieben. Die TOMs dürfen vom Auftragsverarbeiter weiterentwickelt werden, sofern dadurch das Schutzniveau nicht unterschritten wird.

(3) Soweit interne Richtlinien des Auftragsverarbeiters zur Konkretisierung der TOMs herangezogen werden, sind diese als Anlagen zu diesem AVV aufgenommen (vgl. Anhang 2). Änderungen dieser internen Richtlinien bedürfen der schriftlichen Zustimmung des Auftraggebers; bis zur Zustimmung gelten die zuletzt vereinbarten Versionen fort. Der Auftraggeber erhält vor Inkrafttreten neuer Versionen die Möglichkeit zur Prüfung, insbesondere ob das Schutzniveau unterschritten wird.

8. Unterstützung des Auftraggebers

(1) Der Auftragsverarbeiter unterstützt den Auftraggeber dabei, dessen Pflichten aus der DSGVO zu erfüllen, insbesondere bei der Sicherstellung der Rechte betroffener Personen, bei der Umsetzung von Art. 32 (Sicherheit der Verarbeitung), bei der Vorbereitung von Datenschutz-Folgabschätzungen sowie im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden.

(2) Meldungen von Vorfällen oder Auskunftsersuchen betroffener Personen werden unverzüglich an den Auftraggeber weitergeleitet, soweit gesetzlich zulässig. Der Auftragsverarbeiter beantwortet derartige Anfragen nicht direkt, sofern dies nicht gesetzlich erforderlich oder ausdrücklich durch den Auftraggeber angewiesen ist.

(3) Der Auftragsverarbeiter unterstützt den Auftraggeber auf dessen Weisung insbesondere bei:

  • Auskünften (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21),
  • Nachweisen gegenüber Aufsichtsbehörden,
  • Datenschutz-Folgenabschätzung (Art. 35) und ggf. vorheriger Konsultation (Art. 36).

9. Meldepflichten

(1) Der Auftragsverarbeiter informiert den Auftraggeber ohne unangemessene Verzögerung, spätestens jedoch binnen 24 Stunden, wenn eine Verletzung des Schutzes personenbezogener Daten bekannt wird.

(2) Er übergibt dem Auftraggeber alle relevanten Informationen, die dieser zur Erfüllung seiner Meldepflichten gegenüber den Betroffenen und Behörden benötigt, insbesondere:

  • Art der Verletzung, Kategorien und (soweit möglich) Anzahl betroffener Personen und Datensätze,
  • Name und Kontaktdaten einer Anlaufstelle,
  • wahrscheinliche Folgen der Verletzung,
  • ergriffene oder vorgeschlagene Abhilfemaßnahmen.

(3) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich über Kontrollhandlungen, Anfragen oder Maßnahmen einer Aufsichtsbehörde, soweit sie diesen Vertrag oder die Auftragsverarbeitung betreffen und soweit rechtlich zulässig.

10. Sub-Auftragsverarbeiter

(1) Der Auftragsverarbeiter darf Sub-Auftragsverarbeiter (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.

(2) Die zum Zeitpunkt des Vertragsschlusses genehmigten Sub-Auftragsverarbeiter sind in Anhang 3 aufgeführt.

(3) Für die Beauftragung neuer oder den Austausch bestehender Sub-Auftragsverarbeiter legt der Auftragsverarbeiter dem Auftraggeber rechtzeitig alle erforderlichen Informationen vor (insb. Name, Sitz/Region, Art der Verarbeitung, etwaige Drittlandübermittlungen und Garantien). Der Auftraggeber erhält eine angemessene Prüfungsfrist; eine Zustimmung gilt nur bei ausdrücklicher, dokumentierter Freigabe. Schweigen gilt nicht als Zustimmung.

(4) Lehnt der Auftraggeber die Einbeziehung eines Sub-Auftragsverarbeiters ab, bleibt dieser AVV sowie der Hauptvertrag hiervon unberührt. Der Auftragsverarbeiter setzt den Sub-Auftragsverarbeiter nicht ein und prüft mit dem Auftraggeber geeignete Alternativen; gesetzliche oder vertragliche Kündigungsrechte bleiben unberührt.

(5) Der Sub-Auftragsverarbeiter muss denselben Datenschutzpflichten unterliegen wie der Auftragsverarbeiter. Der Auftragsverarbeiter schließt mit Sub-Auftragsverarbeitern Verträge ab, die die Anforderungen von Art. 28 DSGVO erfüllen (insb. TOMs, Vertraulichkeit, Unterstützung, Löschung/Rückgabe, Auditrechte).

(6) Nebenleistungen, die an Dritte ausgelagert werden und keinen Zugriff auf personenbezogene Daten erfordern oder ermöglichen, fallen nicht unter diesen AVV. Soweit Nebenleistungen eine Verarbeitung personenbezogener Daten im Auftrag umfassen oder Zugriff darauf ermöglichen, gelten sie als Sub-Auftragsverarbeitung und sind nach den Regelungen dieses Vertrags zu genehmigen und in Anhang 3 zu benennen.

11. Ort der Verarbeitung / Drittlandübermittlungen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten grundsätzlich innerhalb der Europäischen Union / des Europäischen Wirtschaftsraums (EU/EWR). Soweit im Rahmen der Leistungserbringung eine Verarbeitung oder ein Zugriff aus einem Drittland (außerhalb EU/EWR) erfolgen kann (insb. bei in Anhang 3 benannten Sub-Auftragsverarbeitern), erfolgt dies nur unter Einhaltung der Vorgaben der Art. 44 ff. DSGVO.

(2) Der Auftragsverarbeiter stellt sicher, dass geeignete Garantien für Drittlandübermittlungen bestehen (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschluss, zusätzliche technische/organisatorische Maßnahmen). Auf Anfrage stellt der Auftragsverarbeiter dem Auftraggeber die einschlägigen Informationen zu den verwendeten Garantien in geeigneter Form zur Verfügung, soweit rechtlich zulässig. Informationen zu allen eingesetzten US-Dienstleistern werden in Anhang 3 bereitgestellt und bei Änderungen aktualisiert.

12. Prüfung und Nachweis

(1) Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen durch den Auftragsverarbeiter überprüfen zu lassen (Audit, Inspektion) – unter angemessener Vorankündigung gemäß Absatz 2 und ohne unzumutbare Betriebsstörung.

(2) Reguläre Audits sollen vorrangig als Dokumentenprüfung und/oder Remote-Audit erfolgen; Vor-Ort-Audits sind nur bei berechtigtem Anlass durchzuführen. Reguläre Audits kündigt der Auftraggeber mindestens 30 Tage vorher an. Ein berechtigter Anlass liegt insbesondere vor, wenn konkrete Anhaltspunkte für Datenschutzverstöße, Sicherheitsvorfälle oder aufsichtsbehördliche Anfragen bestehen. In diesen Fällen kann die Ankündigungsfrist angemessen verkürzt oder, soweit erforderlich, auf eine Ankündigung verzichtet werden.

(3) Der Auftragsverarbeiter stellt hierzu erforderliche Informationen und Nachweise bereit. Der Auftraggeber wahrt dabei Geschäfts- und Betriebsgeheimnisse des Auftragsverarbeiters sowie Rechte Dritter.

(4) Audits sind grundsätzlich nicht vergütungspflichtig. Nur soweit der Auftraggeber wiederholt Audits ohne berechtigten Anlass durchführt oder außergewöhnliche, nicht übliche Aufwände verursacht, trägt er diese nach vorheriger Abstimmung.

13. Rückgabe und Löschung

(1) Nach Beendigung der Verarbeitungstätigkeiten oder auf Aufforderung des Auftraggebers werden personenbezogene Daten nach dessen Wahl entweder gelöscht oder an den Auftraggeber zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht besteht.

(2) Die Rückgabe/der Export erfolgt nach der im Hauptvertrag bzw. in einer gesonderten Vereinbarung festgelegten Methode (z. B. verschlüsselte Übertragung). Fehlt eine Vereinbarung, erfolgt die Rückgabe in einem gängigen, maschinenlesbaren Format, soweit technisch möglich. Der Auftraggeber hat Exportwünsche rechtzeitig mitzuteilen.

(3) Die Löschung erfolgt grundsätzlich innerhalb von 30 Tagen nach Beendigung der Verarbeitung, sofern nicht:

  • der Auftraggeber eine spätere Löschung anweist, oder
  • gesetzliche Aufbewahrungspflichten oder die Abwehr/ Durchsetzung von Rechtsansprüchen entgegenstehen.

(4) Soweit personenbezogene Daten in Sicherungskopien (Backups) enthalten sind, werden diese Daten nach Maßgabe von Absatz 3 gelöscht. Eine Wiederherstellung der personenbezogenen Daten ist ausgeschlossen.

(5) Bis zur Löschung oder Rückgabe werden die datenschutzrechtlichen Verpflichtungen weiterhin eingehalten.

14. Haftung und Vorrang

(1) Für Haftung und Gewährleistung gelten die Regelungen des Hauptvertrags. Unberührt bleiben zwingende gesetzliche Ansprüche.

(2) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV hinsichtlich datenschutzrechtlicher Pflichten der Auftragsverarbeitung vor.

15. Schlussbestimmungen

(1) Dieser Vertrag ist Anlage des Hauptvertrags, tritt mit Unterzeichnung beider Parteien in Kraft und gilt für die Dauer der vertraglichen Beziehung. (2) Änderungen bedürfen der Schriftform.

Anhang 1: Beschreibung der Verarbeitung (Art. 28 Abs. 3 DSGVO)

  1. Gegenstand der Verarbeitung: Bereitstellung und Betrieb eines KI-gestützten Voice- und Sprachverarbeitungsdienstes inkl. SIP-Anbindung, Spracherkennung (STT), Sprachsynthese (TTS), Analyse und Speicherung von Transkripten.

  2. Dauer: Für die Dauer des Hauptvertrags sowie der Rückgabe-/Löschfristen gemäß Ziffer 13.

  3. Art und Zweck der Verarbeitung: Entgegennahme, Übertragung, (Vor-)Verarbeitung, Analyse, Speicherung, Ausgabe von Sprach-/Textinhalten zur Erfüllung der vom Auftraggeber veranlassten Kommunikation und Automatisierung (Voicebot).

  4. Kategorien personenbezogener Daten: Sprach- und Audiodaten; Transkripte von Sprachinhalten; Metadaten (Zeitpunkt, Dauer, Session-Informationen); Kontaktdaten (Rufnummern, Namen).

  5. Kategorien betroffener Personen: Kunden und potenzielle Kunden des Auftraggebers; Mitarbeiter des Auftraggebers (z. B. Administratoren, Service-Mitarbeiter), soweit deren Stimme oder Angaben verarbeitet werden.

Anhang 2: Technische und organisatorische Maßnahmen (TOMs)

Die nachfolgende Beschreibung stellt einen Mindeststandard dar. Konkrete Umsetzungen können sich je nach Systemkomponenten ändern, sofern das Schutzniveau nicht unterschritten wird.

  1. Zutrittskontrolle: Physischer Schutz von Rechenzentrumsstandorten durch eingesetzte Hosting-/Infrastrukturprovider; Zutrittsrechte nach dem Need-to-Know-Prinzip
    https://docs.hetzner.com/de/general/security-and-identify/technical-and-organizational-measures/

  2. Zugangskontrolle (Authentifizierung): Rollenbasierte Zugriffskontrolle (RBAC), starke Authentifizierung/ Mehrfaktor-Authentifizierung für alle Konten sofern unterstützt sowie keine Shared Accounts.

  3. Zugriffskontrolle (Autorisierung): Least-Privilege-Prinzip, getrennte Rollen (Admin/Operations/ Support/Entwicklung), regelmäßige Rezertifizierung von Zugriffsrechten (mindestens jährlich und anlassbezogen).

  4. Weitergabekontrolle / Übertragungssicherheit: Verschlüsselte Datenübertragung (TLS) für alle Schnittstellen; kontrollierte, dokumentierte Schnittstellen.

  5. Speichersicherheit: Verschlüsselung von Datenträgern/Volumes nach dem Stand der Technik; Schutz von Secrets/API-Keys als hochvertrauliche Information.

  6. Protokollierung und Monitoring: Protokollierung von administrativen Zugriffen und Zugriffen auf alle vom System zu verarbeitende Daten; Monitoring sicherheitsrelevanter Ereignisse; Nachvollziehbarkeit von Änderungen (Change-Logging).

  7. Trennungsgebot: Logische Mandantentrennung und Trennung von Umgebungen (z. B. Entwicklung/Test/Produktion), soweit eingesetzt; getrennte Berechtigungen je Umgebung.

  8. Verfügbarkeitskontrolle / Backup & Restore: Regelmäßige Datensicherungen gemäß Backup-Konzept; Wiederherstellungsprozesse; Schutz vor Datenverlust und Ausfall durch redundante Infrastruktur.

  9. Integritätskontrolle: Maßnahmen zur Verhinderung unbefugter Veränderung (z. B. Zugriffsrechte, Code-Reviews/Deploy-Freigaben, Checksummen/Signaturen).

  10. Incident Management: Dokumentierter Prozess zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen; klare Verantwortlichkeiten und Eskalationswege; Unterstützung der Benachrichtigungspflichten gemäß Ziffer 9 des AVV.

  11. Lieferanten-/Subprozessor-Management: Auswahl und Bewertung externer Dienstleister nach Sicherheits- und Datenschutzkriterien; vertragliche Bindung; laufende Überprüfung.

  12. Datenschutz durch Technikgestaltung: Datensparsamkeit und Zweckbindung; Security by Design/Default; Konfigurationsmöglichkeiten für Aufbewahrung und Löschung.

Vertragsbestandteil (Anlagen zu den TOMs):

  • information-security-policy.pdf (Version/Datum: 10.03.2026)
  • access-control-policy.pdf (Version/Datum: 10.03.2026)

Änderungen dieser Richtlinien bedürfen der schriftlichen Zustimmung des Auftraggebers; bis zur Zustimmung gilt die zuletzt vereinbarte Version fort.

Anhang 3: Genehmigte Sub-Auftragsverarbeiter

Der Auftragsverarbeiter setzt zur Erbringung der vertraglich geschuldeten Leistungen folgende Sub-Auftragsverarbeiter ein. Diese sind vom Auftraggeber ausdrücklich genehmigt und werden ausschließlich unter Einhaltung der Vorgaben der DSGVO sowie auf Grundlage geeigneter vertraglicher Vereinbarungen eingebunden.

Sub-Auftragsverarbeiter Sitz / Region Art der Verarbeitung
Hetzner Online GmbH\
Industriestr. 25\
91710 Gunzenhausen\
Deutschland Deutschland / EU Hosting, Serverbetrieb, Infrastruktur
Microsoft Ireland Operations Limited (Azure)\
One Microsoft Place\
South County Business Park\
Leopardstown\
Dublin 18\
Irland EU / ggf. Drittland LLM-Verarbeitung (Azure OpenAI / Azure AI Services)
Google Ireland Limited\
Gordon House\
Barrow Street\
Dublin 4\
Irland EU / ggf. Drittland Sprachverarbeitung (STT/TTS)
OpenAI, L.L.C.\
3180 18th St\
San Francisco, CA 94110, USA USA / EU-Endpoints Textverarbeitung mittels Large Language Models
ElevenLabs Inc.\
2810 N Church St\
Wilmington, DE 19802\
USA USA / EU-Endpoints Sprachsynthese (Text-to-Speech)
Cartesia AI\
1766 18th Street, Suite 1200\
San Francisco, CA 94107, USA USA / EU-Endpoints Sprachsynthese (Text-to-Speech)
Rimelabs\
26 7th St\
San Francisco, CA 94103, USA USA / EU-Endpoints Sprachsynthese (Text-to-Speech)

Der Einsatz weiterer (oder der Austausch bestehender) Sub-Auftragsverarbeiter erfolgt nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers (vgl. Ziffer 10). Schweigen gilt nicht als Zustimmung.

Informationen zu allen eingesetzten US-Dienstleistern sind in dieser Anlage enthalten und werden bei Änderungen aktualisiert.

Alle Sub-Auftragsverarbeiter werden vertraglich verpflichtet, mindestens gleichwertige Datenschutz- und Sicherheitsstandards einzuhalten, wie sie in diesem Vertrag festgelegt sind.

Die EU-Standardvertragsklauseln bzgl. US-Dienstleister sind unter folgenden Links einzusehen:


Über uns

Über VoiceBooker
Kunden & Partner

Partner werden

Produkt & Funktionen

Überblick
Vorteile von VoiceBots
Produkt & Funktionen

Häufig gestellte Fragen
Preise & Support
Setups & Dienstleistungen

Enterprise Funktionen für Contact Centers

Hilfreiches

Hilfe & Support
Systemanforderungen

Dokumentation & Help Center

Kontakt

VoiceBooker
c/o claiverly GmbH
Am See 1a
01067 Dresden

0351 2196800

info@voicebooker.de
Made with ❤️ in Dresden
AGBsDatenschutzImpressum