Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Parteien

Auftragsverarbeiter:

LNDR UG (haftungsbeschränkt)

Marke: Rezeptiona

Am Hainebuch 20

32457 Porta-Westfalica

Deutschland

E-Mail: hello@rezeptiona.ai

Verantwortlicher (Auftraggeber):

Der jeweilige Kunde (Handwerksbetrieb), der die Dienste von Rezeptiona gemäß dem Hauptvertrag (Nutzungsvertrag) in Anspruch nimmt.

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) ist Bestandteil des zwischen den Parteien geschlossenen Nutzungsvertrags und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen im Bereich der KI-gestützten Telefonassistenz (Voice-KI-Telefonassistenz). Im Rahmen dieser Dienstleistung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.

(2) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag) zwischen den Parteien. Mit Beendigung des Hauptvertrags endet auch dieser AVV.

§ 2 Art, Zweck und Umfang der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich für folgende Zwecke:

Entgegennahme und Bearbeitung eingehender Telefonanrufe beim Verantwortlichen
Echtzeit-Transkription und KI-gestützte Analyse von Gesprächsinhalten (Anliegen, Dringlichkeit, Rückrufwunsch)
Weiterleitung strukturierter Anrufinformationen per WhatsApp-Nachricht oder vergleichbarem Benachrichtigungskanal an den Verantwortlichen
Optionale Terminbuchung in dem vom Verantwortlichen genutzten Kalendersystem
Speicherung und Bereitstellung von Anrufdaten im Dashboard des Verantwortlichen

(2) Eine Verarbeitung der Daten zu anderen als den in Abs. 1 genannten Zwecken ist dem Auftragsverarbeiter nicht gestattet. Insbesondere werden die Daten nicht für eigene Zwecke des Auftragsverarbeiters (z.B. Produktverbesserung, Training eigener KI-Modelle) genutzt.

§ 3 Kategorien personenbezogener Daten und betroffene Personen

Kategorien personenbezogener Daten

Name und Telefonnummer des Anrufers
Inhalt des Gesprächs (Anliegen, Dringlichkeit, Terminwünsche)
Zeitstempel und Anrufdauer
Optional: E-Mail-Adresse, Anschrift, Auftragsdaten (sofern vom Anrufer angegeben)
Optional: Gesprächsaufzeichnung (MP3), sofern vom Verantwortlichen aktiviert

Kategorien betroffener Personen

Kunden und Interessenten des Verantwortlichen
Sonstige Personen, die den Verantwortlichen anrufen

§ 4 Weisungsrecht des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

(2) Weisungen werden in der Regel über die Einstellungen des SaaS-Dashboards (z.B. Aktivierung/Deaktivierung von Gesprächsaufzeichnungen, Konfiguration des Assistenten) erteilt. Darüber hinaus können Weisungen per E-Mail an hello@rezeptiona.ai erteilt werden.

(3) Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder sonstige anwendbare Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich darüber. Der Auftragsverarbeiter ist berechtigt, die Umsetzung einer solchen Weisung bis zur Klärung auszusetzen.

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen insbesondere zu folgenden Maßnahmen:

Umsetzung der in § 6 dieses AVV beschriebenen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO
Sicherstellung, dass die mit der Verarbeitung befassten Mitarbeiter und Auftragnehmer zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen
Keine Einschaltung weiterer Auftragsverarbeiter (Unterauftragnehmer) ohne vorherige schriftliche Genehmigung des Verantwortlichen, mit Ausnahme der in § 7 dieses AVV aufgeführten, genehmigten Unterauftragnehmer
Unterstützung des Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (TOMs, Meldepflichten, Folgenabschätzung) unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen
Unterstützung des Verantwortlichen bei der Bearbeitung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch)
Unverzügliche Information des Verantwortlichen über Verletzungen des Schutzes personenbezogener Daten (Datenpannen) gemäß Art. 33, 34 DSGVO

§ 6 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

Vertraulichkeit

Zugriffssteuerung: Nur autorisierte Mitarbeiter haben Zugriff auf personenbezogene Daten
Zwei-Faktor-Authentifizierung (2FA) für alle Administrator-Zugänge
Rollenbasierte Berechtigungssteuerung (RBAC)

Integrität

TLS-Verschlüsselung (Transport Layer Security) für alle Datenübertragungen
AES-256-Verschlüsselung für gespeicherte Daten (at rest)
Logging und Audit-Trails für sicherheitsrelevante Zugriffe

Verfügbarkeit und Belastbarkeit

ISO-27001-zertifizierte Rechenzentren in der Europäischen Union
Regelmäßige automatisierte Backups
Monitoring und Alerting für Systemausfälle

Verfahren zur regelmäßigen Überprüfung

Regelmäßige Überprüfung und Aktualisierung der TOMs
Zeitlich begrenzte Zugriffslinks für Mediendateien (1 Stunde Gültigkeit)

§ 7 Einsatz von Unterauftragsverarbeitern

(1) Der Verantwortliche erteilt hiermit seine generelle Genehmigung zur Einschaltung der nachfolgend aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Hinzufügung oder Austausch von Unterauftragsverarbeitern) mit angemessener Frist, damit der Verantwortliche Einwände erheben kann.

Anbieter	Zweck	Sitz / Verarbeitungsort	Transfermechanismus
Supabase Inc.	PostgreSQL-Datenbank, Authentifizierung	USA / EU-Region (Frankfurt, AWS eu-central-1)	EU-SCCs
OpenAI, LLC	KI-Sprachverarbeitung (NLU, Gesprächsführung)	USA	EU-SCCs
ElevenLabs, Inc.	Text-to-Speech Sprachsynthese (TTS)	USA (Zero Retention)	EU-SCCs
Telnyx LLC	Telefonie-Infrastruktur, Rufnummernverwaltung	USA / EU	EU-SCCs
Deepgram Inc.	Sprache-zu-Text (STT), Echtzeit-Transkription	USA / EU-Endpunkt (api.eu.deepgram.com)	EU-SCCs
Hetzner Online GmbH	Voice-Server, Hintergrundverarbeitung	Deutschland (Falkenstein)	–
Vercel Inc.	Web- und App-Hosting	USA / EU Edge	EU-SCCs

(2) Für alle Unterauftragsverarbeiter mit Sitz außerhalb des EWR gilt: Die Datenübermittlung in Drittstaaten erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO oder eines anderen geeigneten Garantiemechanismus.

(3) Der Auftragsverarbeiter schließt mit allen Unterauftragsverarbeitern Verträge ab, die diesen Unterauftragsverarbeitern inhaltlich gleichwertige Datenschutzverpflichtungen auferlegen, wie sie dem Auftragsverarbeiter aus diesem AVV obliegen.

§ 8 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags (Nutzungsvertrag) löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Der Verantwortliche kann vor oder innerhalb von 30 Tagen nach Vertragsende die Herausgabe der gespeicherten Daten (Anrufdaten, Transkripte) in einem maschinenlesbaren Format (JSON/CSV) per E-Mail an hello@rezeptiona.ai anfordern.

(3) Gesprächsaufzeichnungen werden nach spätestens 90 Tagen automatisch gelöscht, auch während des laufenden Vertragsverhältnisses.

§ 9 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV geregelten Pflichten des Auftragsverarbeiters zu kontrollieren. Hierzu kann er Audits (einschließlich Vor-Ort-Inspektionen) durchführen oder durch einen beauftragten Dritten durchführen lassen.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Kontrollmaßnahmen angemessen und stellt alle erforderlichen Informationen zur Verfügung. Audits sind mit angemessener Frist (mindestens 14 Tage) anzukündigen und auf das notwendige Maß zu beschränken.

(3) Der Auftragsverarbeiter ist berechtigt, die Kosten für aufwendige Kontrollmaßnahmen dem Verantwortlichen in Rechnung zu stellen, sofern diese über ein angemessenes Maß hinausgehen.

§ 10 Haftung

Die Haftung der Parteien bestimmt sich nach Art. 82 DSGVO sowie nach den Regelungen des Hauptvertrags (Nutzungsvertrag). Jede Partei haftet für den Schaden, den sie durch eine nicht DSGVO-konforme Verarbeitung verursacht hat. Handelt eine Partei nicht schuldhaft, kann sie gemäß Art. 82 Abs. 3 DSGVO vollständig oder teilweise von ihrer Haftung befreit werden.

§ 11 Schlussbestimmungen

(1) Schriftlichkeit: Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform (E-Mail genügt). Mündliche Nebenabreden bestehen nicht.

(2) Anwendbares Recht: Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

(3) Gerichtsstand: Soweit gesetzlich zulässig, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem AVV der Sitz des Auftragsverarbeiters (Porta-Westfalica).

(4) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

Stand: Mai 2025 (Version 2025-05)

Zurück zur Startseite