Dem jeweiligen Kunden der MeinAssistent Digital GmbH (nachfolgend „Verantwortlicher“) und MeinAssistent Digital GmbH Durlacher Allee 75–77 76131 Karlsruhe Deutschland (nachfolgend „Auftragsverarbeiter“) Präambel Dieser Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Rahmen der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Grundlage ist der zwischen den Parteien geschlossene Hauptvertrag über Dienstleistungen im Bereich KI-gestützter Telefonie und automatisierter Kundenkommunikation. § 1 Gegenstand und Dauer der Verarbeitung Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Verantwortlichen im Rahmen der Erbringung von Voice-AI-Dienstleistungen. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags sowie nach den Weisungen des Verantwortlichen. § 2 Art und Zweck der Verarbeitung Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung automatisierter Telefonie- und Kommunikationsdienstleistungen. Die Verarbeitung umfasst insbesondere: Entgegennahme und Aufbau von Telefonanrufen Echtzeit-Transkription von Sprache in Text Verarbeitung von Gesprächsinhalten durch KI-Sprachmodelle Generierung gesprochener Antworten Übermittlung strukturierter Daten an Systeme des Verantwortlichen (z. B. Kalender, CRM) § 3 Art der personenbezogenen Daten und betroffene Personen 1. Art der Daten Audiodaten Kommunikationsdaten (z. B. Telefonnummern, Zeitstempel, Dauer) Inhaltsdaten (Transkripte, Gesprächszusammenfassungen) Sonstige personenbezogene Daten, die im Gespräch genannt werden 2. Kreis der betroffenen Personen Kunden, Interessenten und sonstige Anrufer des Verantwortlichen § 4 Pflichten des Auftragsverarbeiters Der Auftragsverarbeiter verpflichtet sich insbesondere, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten die Vertraulichkeit der Daten zu wahren und alle mit der Verarbeitung betrauten Personen entsprechend zu verpflichten geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten zu unterstützen den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren nach Beendigung des Auftrags personenbezogene Daten nach Weisung des Verantwortlichen zu löschen oder zurückzugeben § 5 Unterauftragsverhältnisse Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Unterauftragsverarbeiter einzusetzen. Die genehmigten Unterauftragsverarbeiter sind in Anlage 1 aufgeführt. Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern Vereinbarungen gemäß Art. 28 DSGVO bestehen. Änderungen bei Unterauftragsverarbeitern werden dem Verantwortlichen rechtzeitig mitgeteilt. § 6 Datenübermittlung in Drittländer Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, sofern die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Geeignete Garantien sind insbesondere: Angemessenheitsbeschlüsse der EU-Kommission EU-Standardvertragsklauseln anerkannte Datenschutzrahmen wie das EU-U.S. Data Privacy Framework § 7 Kontrollrechte des Verantwortlichen Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV im Rahmen angemessener Prüfungen oder Audits zu überprüfen oder durch Dritte überprüfen zu lassen. § 8 Schlussbestimmungen Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Es gilt deutsches Recht. Anlage 1 – Genehmigte Unterauftragsverarbeiter Der Verantwortliche stimmt der Beauftragung der nachfolgend aufgeführten Unterauftragsverarbeiter sowie deren verbundener Unternehmen zu. Die Beauftragung dient der Erbringung der vertraglich vereinbarten Leistungen sowie der Sicherstellung der technischen Infrastruktur, Ausfallsicherheit und Skalierbarkeit. Amazon Web Services EMEA SARL (AWS Europe) Sitz: Luxemburg Leistung: Bereitstellung von Cloud-Infrastruktur einschließlich Hosting, Server-, Speicher- und Netzwerkinfrastruktur für den Betrieb der Voice-AI-Plattform sowie die Verarbeitung und Speicherung von Gesprächsdaten. Datentransfer: Die Verarbeitung erfolgt innerhalb der Europäischen Union. Eine Übermittlung in Drittländer findet grundsätzlich nicht statt, sofern keine zusätzlichen Garantien gemäß DSGVO vereinbart wurden. Aufbewahrung und Löschung: Gesprächsdaten und Transkripte werden, soweit keine abweichende Weisung besteht, automatisiert nach spätestens 7 Tagen gelöscht. Anthropic PBC UK Ltd. Sitz: London, Vereinigtes Königreich Mutterkonzern: Anthropic PBC, USA Leistung: Bereitstellung generativer KI-Modelle zur Verarbeitung und Analyse von Texteingaben sowie zur dialogbasierten Interaktion. Datentransfer: Soweit eine Übermittlung an die US-Muttergesellschaft erfolgt, basiert diese auf EU-Standardvertragsklauseln. Das Vereinigte Königreich gilt als Drittland mit angemessenem Datenschutzniveau. Bland AI Inc. Sitz: San Francisco, USA Leistung: Bereitstellung technischer Infrastruktur für automatisierte Telefonieprozesse. Datentransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. Cartesia Inc. Sitz: New York, USA Leistung: Technische Generierung von Audiodaten mit niedriger Latenz. Datentransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. Celonis SE (Betreiber von Make.com) Sitz: München, Deutschland Leistung: Bereitstellung von Plattformen zur Prozessautomatisierung und Datenintegration. Datentransfer: Soweit Daten an US-Tochtergesellschaften übermittelt werden, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln. Deepgram Inc. Sitz: San Francisco, USA Leistung: Verarbeitung von Audiosignalen und Umwandlung in Textformate (Speech-to-Text). Datentransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. ElevenLabs Inc. Sitz: New York, USA Leistung: Generierung synthetischer Audiodaten aus Text (Text-to-Speech). Datentransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. Google Ireland Limited Sitz: Dublin, Irland Leistung: Bereitstellung von Kommunikations- und Kollaborationsdiensten sowie Cloud-Speicher. Datentransfer: Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-U.S. Data Privacy Frameworks oder von EU-Standardvertragsklauseln. Groq Inc. Sitz: Mountain View, USA Leistung: Bereitstellung technischer Inferenz-Infrastruktur. Datentransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. Microsoft Ireland Operations Ltd. Sitz: Dublin, Irland Leistung: Bereitstellung von Cloud-Hosting-Diensten und kognitiven technischen Services. Datentransfer: Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder von EU-Standardvertragsklauseln. Mistral AI SAS Sitz: Paris, Frankreich Leistung: Bereitstellung großer Sprachmodelle zur textbasierten Informationsverarbeitung. Datentransfer: Die Verarbeitung erfolgt innerhalb der Europäischen Union. n8n.io GmbH Sitz: Berlin, Deutschland Leistung: API-Management und Workflow-Orchestrierung. Datentransfer: Die Verarbeitung erfolgt innerhalb der Europäischen Union oder eines sicheren Drittlandes gemäß Art. 45 DSGVO. OpenAI OpCo, LLC Sitz: San Francisco, USA Leistung: Verarbeitung von Texteingaben durch generative KI-Modelle. Datentransfer: Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder von EU-Standardvertragsklauseln. Retell AI Inc. Sitz: San Francisco, USA Leistung: Koordination von Conversational-Voice-Schnittstellen und Audio-Streaming. Datentransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. Synthflow AI Inc. Sitz: Lewes, USA Leistung: Automatisierung von Sprachkommunikation. Datentransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. Telnyx LLC Sitz: Chicago, USA Leistung: Bereitstellung von Netzwerkinfrastruktur für IP-basierte Kommunikation. Datentransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. Twilio Inc. Sitz: San Francisco, USA Leistung: Programmierschnittstellen für Kommunikationsdienste. Datentransfer: Die Übermittlung erfolgt auf Grundlage genehmigter Binding Corporate Rules sowie ergänzender EU-Standardvertragsklauseln. Vapi Inc. Sitz: San Francisco, USA Leistung: Koordination und Steuerung von Audio-Streaming-Prozessen. Datentransfer: Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln. Zapier Inc. Sitz: San Francisco, USA Leistung: Automatisierte Datenübertragung zwischen webbasierten Anwendungen. Datentransfer: Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder von EU-Standardvertragsklauseln. Anlage 2 – Technische und organisatorische Maßnahmen (TOMs) Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um. Diese umfassen Maßnahmen zur Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Verfügbarkeits- und Trennungskontrolle sowie zur Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten. Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst.