zwischen dem jeweiligen Kunden der MeinAssistent Digital GmbH nachfolgend „Verantwortlicher“ und MeinAssistent Digital GmbH Durlacher Allee 75 76131 Karlsruhe Deutschland Handelsregister: Amtsgericht Mannheim, HRB 707561 Geschäftsführer: Frank Meier E-Mail: info@meinassistent.ai Telefon: +49 721 95279593 Website: www.meinassistent.ai nachfolgend „Auftragsverarbeiter“ Präambel Dieser Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Rahmen der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Grundlage ist der zwischen den Parteien geschlossene Hauptvertrag über Dienstleistungen im Bereich KI-gestützter Telefonie, Voice-AI, Chatbot-Funktionen, automatisierter Kundenkommunikation, Terminbuchung, Transkription, Gesprächszusammenfassung, CRM-, Kalender-, API-, Webhook- und Integrationsleistungen. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit keine gesetzliche Verpflichtung des Auftragsverarbeiters zu einer Verarbeitung besteht. § 1 Gegenstand und Dauer der Verarbeitung 1.1 Gegenstand Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Verantwortlichen im Rahmen der Erbringung von Voice-AI-Dienstleistungen, KI-Telefonassistenten, Chatbot-Diensten, automatisierter Kundenkommunikation, Terminbuchungen, Nachfolgekommunikation, Gesprächstranskription, Gesprächszusammenfassung, Rufweiterleitung, CRM-, Kalender-, API-, Webhook- und Integrationsleistungen. 1.2 Dauer Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags sowie nach den dokumentierten Weisungen des Verantwortlichen. Nach Beendigung des Hauptvertrags werden personenbezogene Daten nach Wahl und Weisung des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweiszwecke oder sonstigen gesetzlichen Pflichten entgegenstehen. 1.3 Vertragsbestandteil Dieser Vertrag zur Auftragsverarbeitung ist Bestandteil des Hauptvertrags zwischen den Parteien. Bei Widersprüchen zwischen Hauptvertrag und diesem Vertrag gehen die datenschutzrechtlichen Regelungen dieses Vertrags vor, soweit die Auftragsverarbeitung betroffen ist. § 2 Art und Zweck der Verarbeitung 2.1 Zweck Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung automatisierter Telefonie-, Chatbot-, Termin-, Kommunikations-, KI-, Integrations- und Supportdienstleistungen für den Verantwortlichen. 2.2 Verarbeitungsvorgänge Die Verarbeitung umfasst insbesondere: Entgegennahme und Aufbau von Telefonanrufen, Verarbeitung eingehender Anrufe, Echtzeit-Transkription von Sprache in Text, Verarbeitung von Gesprächsinhalten durch KI-Sprachmodelle, Generierung gesprochener Antworten, Generierung synthetischer Audiodaten aus Text, Verarbeitung von Audiosignalen und Umwandlung in Textformate, Erstellung von Gesprächszusammenfassungen, Speicherung und Anzeige von Gesprächsverläufen, Übermittlung von Zusammenfassungen per E-Mail, Versand von SMS, E-Mails oder Bestätigungen, Terminbuchungen in digitalen Kalendern, Rufweiterleitung an den Verantwortlichen oder dessen Mitarbeiter, Übergabe strukturierter Daten an Systeme des Verantwortlichen, insbesondere Kalender, CRM, ERP, Helpdesk oder sonstige Fachsysteme, Kontaktverwaltung, Aufgaben- und Terminplanung, Bewertungsmanagement, API-Management und Workflow-Orchestrierung, Prozessautomatisierung und Datenintegration, technische Bereitstellung, Wartung, Fehleranalyse, Support und Absicherung der Plattform. 2.3 Keine Verarbeitung zu eigenen Zwecken Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen nicht zu eigenen Zwecken, soweit nicht eine eigenständige gesetzliche Erlaubnis, eine gesetzliche Verpflichtung oder eine gesonderte Vereinbarung mit eigener Verantwortlichkeit besteht. § 3 Kategorien personenbezogener Daten Im Rahmen der Auftragsverarbeitung können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden: Audiodaten, Sprachdaten, Gesprächsinhalte, Transkripte, Gesprächszusammenfassungen, Kommunikationsdaten, Telefonnummern, E-Mail-Adressen, Namen, Unternehmenszugehörigkeit, Funktionsbezeichnungen, Kontaktdaten, Termindaten, Kalenderdaten, CRM-Daten, ERP-Daten, Helpdesk-Daten, Nachrichteninhalte aus E-Mail oder SMS, Metadaten wie Zeitpunkt, Dauer, Rufnummer, Verbindungsdaten und technische Kennungen, IP-Adressen, Browser- und Geräteinformationen, Log-Daten, Cookies und lokale Speicherinformationen, Formulardaten, Chatverläufe, Bewertungsdaten, Aufgabeninformationen, technische Integrationsdaten, API- und Webhook-Daten, sonstige personenbezogene Daten, die im Gespräch, Chat, Formular oder integrierten Kundensystem genannt oder übermittelt werden. § 4 Besondere Kategorien personenbezogener Daten 4.1 Mögliche Verarbeitung besonderer Daten Je nach Einsatzbereich des Verantwortlichen können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet werden, insbesondere wenn Anrufer oder Nutzer im Gespräch, Chat oder Formular entsprechende Angaben machen. Dies betrifft insbesondere: Gesundheitsdaten, Daten zu Behandlungen, Therapien, Pflege, Symptomen, Termingründen oder medizinischen Anliegen, Daten zur Religionszugehörigkeit oder Weltanschauung, Daten zur Gewerkschaftszugehörigkeit, Daten zur sexuellen Orientierung, biometrische Daten, soweit Sprache oder Audioaufnahmen eine Identifikation ermöglichen oder entsprechend verwendet werden, Daten zu politischen Meinungen, sonstige sensible Angaben, die betroffene Personen freiwillig oder unbeabsichtigt im Gespräch nennen. 4.2 Verantwortung des Verantwortlichen Der Verantwortliche ist dafür verantwortlich, dass für die Verarbeitung besonderer Kategorien personenbezogener Daten eine geeignete Rechtsgrundlage besteht und dass die Verarbeitung erforderlich, transparent und angemessen abgesichert ist. Der Verantwortliche hat den Auftragsverarbeiter zu informieren, wenn der Dienst in Bereichen eingesetzt wird, in denen regelmäßig besondere Kategorien personenbezogener Daten verarbeitet werden, insbesondere Gesundheitswesen, Pflege, Therapie, Personalwesen, Recruiting, Recht, Steuerberatung, Finanzdienstleistung, Versicherung oder vergleichbare regulierte Bereiche. 4.3 Datenminimierung Der Verantwortliche hat den Dienst so zu konfigurieren und zu nutzen, dass besondere Kategorien personenbezogener Daten möglichst vermieden oder auf das erforderliche Maß beschränkt werden. § 5 Kategorien betroffener Personen Betroffene Personen können insbesondere sein: Kunden des Verantwortlichen, Interessenten des Verantwortlichen, sonstige Anrufer des Verantwortlichen, Webseitenbesucher, Nutzer von Chatbot-Funktionen, Nutzer von Testanrufen, Personen, die Termine vereinbaren, Patienten, Mandanten, Bewerber, Mitarbeiter oder sonstige Kontaktpersonen, soweit der Verantwortliche den Dienst in entsprechenden Bereichen einsetzt, Mitarbeiter und Ansprechpartner des Verantwortlichen, Dienstleister, Lieferanten und Geschäftspartner des Verantwortlichen, sonstige Personen, deren personenbezogene Daten im Gespräch, Chat, Formular, Kalender, CRM, ERP, Helpdesk oder sonstigen angebundenen System verarbeitet werden. § 6 Rechte und Pflichten des Verantwortlichen 6.1 Verantwortlichkeit Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich. Dies umfasst insbesondere die Zulässigkeit der Datenerhebung, die Rechtmäßigkeit der Weisungen, die Erfüllung von Informationspflichten, die Sicherstellung erforderlicher Einwilligungen, die Festlegung von Löschfristen, die Beantwortung von Betroffenenanfragen und die Durchführung etwaiger Datenschutz-Folgenabschätzungen. 6.2 Weisungsrecht Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen können sich insbesondere beziehen auf Art, Umfang, Zwecke, Löschung, Rückgabe, Sperrung, Einschränkung, Berichtigung, Herausgabe, Übermittlung und Sicherheit der Verarbeitung. Weisungen sind grundsätzlich in Textform zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. 6.3 Rechtmäßigkeit von Weisungen Der Verantwortliche trägt die Verantwortung dafür, dass seine Weisungen rechtmäßig sind. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, wird er den Verantwortlichen hierauf hinweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der Weisung auszusetzen, bis der Verantwortliche die Weisung bestätigt, ändert oder zurücknimmt, sofern die Durchführung der Weisung zu einem Datenschutzverstoß führen könnte. 6.4 Information betroffener Personen Der Verantwortliche ist verpflichtet, betroffene Personen transparent über den Einsatz des KI-Telefonassistenten, Chatbots oder sonstiger automatisierter Kommunikationssysteme zu informieren. Dies umfasst insbesondere Hinweise auf KI-Interaktion, Gesprächsaufzeichnung, Transkription, Zusammenfassung, Terminbuchung, Datenweitergabe an Unterauftragsverarbeiter, Drittlandübermittlungen und Betroffenenrechte. 6.5 Einwilligungen und Rechtsgrundlagen Der Verantwortliche stellt sicher, dass für Aufzeichnungen, Transkriptionen, Anrufverarbeitungen, SMS- oder E-Mail-Nachfolgekommunikation, Terminbuchungen, Chatbot-Verarbeitungen und etwaige Verarbeitung besonderer Kategorien personenbezogener Daten geeignete Rechtsgrundlagen bestehen. § 7 Pflichten des Auftragsverarbeiters Der Auftragsverarbeiter verpflichtet sich insbesondere: personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, die Vertraulichkeit der Daten zu wahren, alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen, den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten zu unterstützen, den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO zu unterstützen, den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren, nach Beendigung des Auftrags personenbezogene Daten nach Weisung des Verantwortlichen zu löschen oder zurückzugeben, Unterauftragsverarbeiter nur nach Maßgabe dieses Vertrags einzusetzen, dem Verantwortlichen die zur Erfüllung seiner Kontrollpflichten erforderlichen Informationen bereitzustellen, keine personenbezogenen Kundendaten zum Training öffentlicher KI-Modelle zu verwenden, Kundendaten nicht für eigene Zwecke zu verwerten, geeignete Maßnahmen zur Trennung von Kundendaten, Inhaltsdaten und Metadaten zu treffen, technische Schutzmaßnahmen regelmäßig zu überprüfen und dem Stand der Technik anzupassen. § 8 Vertraulichkeit Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugriff auf personenbezogene Daten des Verantwortlichen haben, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung der Tätigkeit fort. § 9 Technische und organisatorische Maßnahmen 9.1 Allgemeine Verpflichtung Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen berücksichtigen insbesondere Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen. 9.2 Mindestmaßnahmen Die technischen und organisatorischen Maßnahmen umfassen insbesondere: Zugriffskontrolle, Zugangskontrolle, Zutrittskontrolle, Weitergabekontrolle, Eingabekontrolle, Verfügbarkeitskontrolle, Trennungskontrolle, Verschlüsselung, TLS-gesicherte Übertragung, rollenbasierte Zugriffskonzepte, Protokollierung administrativer Zugriffe, Pseudonymisierung, soweit sinnvoll und technisch möglich, Mandantentrennung, Trennung von Inhaltsdaten und Metadaten, soweit technisch und organisatorisch angemessen, Backup- und Wiederherstellungsprozesse, Schutz vor unbefugtem Zugriff, sichere Authentifizierung, sichere Verwaltung von Zugangsdaten und API-Schlüsseln, regelmäßige Überprüfung technischer Schutzmaßnahmen, Prozesse zur Behandlung von Sicherheitsvorfällen. 9.3 Konkretisierung Die technischen und organisatorischen Maßnahmen sind in Anlage 3 näher beschrieben. Der Auftragsverarbeiter darf diese Maßnahmen weiterentwickeln und durch gleichwertige oder bessere Maßnahmen ersetzen, sofern das Sicherheitsniveau nicht unterschritten wird. § 10 Löschung und Rückgabe 10.1 Löschung nach Vertragsende Nach Beendigung des Hauptvertrags oder nach dokumentierter Weisung des Verantwortlichen löscht der Auftragsverarbeiter personenbezogene Daten oder gibt sie an den Verantwortlichen zurück. Die Löschung oder Rückgabe erfolgt innerhalb von 30 Kalendertagen nach Vertragsende oder Weisung, soweit keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweiszwecke, technische Sicherungsfristen oder abweichenden Weisungen entgegenstehen. 10.2 Backups Soweit personenbezogene Daten in Backups enthalten sind, werden diese nach Ablauf der regulären Backup-Zyklen gelöscht oder überschrieben. Ein aktiver Zugriff auf Backup-Daten erfolgt nur, soweit dies zur Wiederherstellung, Sicherheit, Nachweisführung oder Erfüllung gesetzlicher Pflichten erforderlich ist. 10.3 Gesprächsdaten und Transkripte Gesprächsdaten und Transkripte werden, soweit keine abweichende Weisung besteht, automatisiert nach spätestens 7 Kalendertagen gelöscht. Soweit der Verantwortliche längere Speicherfristen wünscht oder gesetzlich benötigt, bedarf dies einer dokumentierten Weisung und einer entsprechenden Konfiguration. § 11 Unterstützung bei Betroffenenrechten Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren und der technischen Möglichkeiten bei der Erfüllung von Betroffenenrechten, insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Richtet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, wird der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiterleiten, soweit eine Zuordnung möglich ist. Der Auftragsverarbeiter beantwortet Betroffenenanfragen nicht eigenständig, sofern er hierzu nicht vom Verantwortlichen angewiesen oder gesetzlich verpflichtet ist. § 12 Unterstützung bei Datenschutzverletzungen 12.1 Meldung Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über Verletzungen des Schutzes personenbezogener Daten, die personenbezogene Daten des Verantwortlichen betreffen. 12.2 Inhalt der Meldung Die Meldung enthält, soweit verfügbar: Art der Datenschutzverletzung, Kategorien und ungefähre Anzahl betroffener Personen, Kategorien und ungefähre Anzahl betroffener Datensätze, wahrscheinliche Folgen der Datenschutzverletzung, ergriffene oder vorgeschlagene Maßnahmen zur Behebung oder Minderung, Ansprechpartner für Rückfragen. Soweit Informationen noch nicht vollständig verfügbar sind, können sie schrittweise nachgereicht werden. 12.3 Unterstützung Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Erfüllung von Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörden und betroffenen Personen. § 13 Datenschutz-Folgenabschätzung und Konsultation Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit die Unterstützung die vom Auftragsverarbeiter erbrachte Verarbeitung betrifft. § 14 Kontroll- und Auditrechte 14.1 Kontrollrecht Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags und der datenschutzrechtlichen Anforderungen beim Auftragsverarbeiter im Rahmen angemessener Prüfungen oder Audits zu überprüfen oder durch zur Verschwiegenheit verpflichtete Dritte überprüfen zu lassen. 14.2 Durchführung Audits sind mit angemessener Frist anzukündigen, während üblicher Geschäftszeiten durchzuführen und so auszugestalten, dass Betriebsablauf, Sicherheit, Vertraulichkeit und Rechte anderer Kunden nicht unangemessen beeinträchtigt werden. 14.3 Nachweise Der Auftragsverarbeiter kann geeignete Nachweise, Zertifizierungen, Prüfberichte, Sicherheitsdokumentationen, technische Beschreibungen oder schriftliche Auskünfte bereitstellen, soweit diese zur Überprüfung angemessen und ausreichend sind. 14.4 Kosten Audits erfolgen grundsätzlich auf Kosten des Verantwortlichen, soweit sie nicht aufgrund eines vom Auftragsverarbeiter zu vertretenden Datenschutzverstoßes erforderlich werden. § 15 Unterauftragsverarbeiter 15.1 Allgemeine Genehmigung Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Unterauftragsverarbeiter einzusetzen. Die genehmigten Unterauftragsverarbeiter sind in Anlage 4 aufgeführt. 15.2 Anforderungen Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern Vereinbarungen bestehen, die den Anforderungen des Art. 28 DSGVO entsprechen und ein im Wesentlichen gleichwertiges Datenschutzniveau gewährleisten. 15.3 Änderungen Änderungen bei Unterauftragsverarbeitern werden dem Verantwortlichen rechtzeitig mitgeteilt. Der Verantwortliche kann geplanten Änderungen aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Kalendertagen nach Mitteilung widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt. Im Falle eines berechtigten Widerspruchs werden die Parteien eine angemessene Lösung suchen. 15.4 Verantwortung Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Datenschutzverstöße seiner Unterauftragsverarbeiter nach Maßgabe der gesetzlichen Vorschriften und des Hauptvertrags. § 16 Drittlandübermittlung 16.1 Grundsatz Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, sofern die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. 16.2 Geeignete Garantien Geeignete Garantien sind insbesondere: Angemessenheitsbeschlüsse der EU-Kommission, EU-Standardvertragsklauseln, anerkannte Datenschutzrahmen wie das EU-U.S. Data Privacy Framework, zusätzliche technische und organisatorische Schutzmaßnahmen, soweit erforderlich. 16.3 Informationspflicht Der Auftragsverarbeiter informiert den Verantwortlichen über wesentliche Änderungen bei Drittlandübermittlungen, soweit diese die Verarbeitung personenbezogener Daten des Verantwortlichen betreffen. § 17 KI-spezifisches Trainingsverbot und Zero-Data-Retention 17.1 Trainingsverbot Der Auftragsverarbeiter verwendet personenbezogene Daten, Inhaltsdaten, Prompts, Audiodaten, Gesprächstranskripte, Gesprächszusammenfassungen, Dateien, CRM-Daten, Kalenderdaten, Chatverläufe oder sonstige Kundendaten des Verantwortlichen nicht zum Training, Fine-Tuning oder zur Verbesserung eigener oder fremder öffentlicher KI-Modelle, sofern keine ausdrückliche dokumentierte Weisung des Verantwortlichen vorliegt. 17.2 Keine Schulung öffentlicher KI-Modelle Personenbezogene Daten des Verantwortlichen werden nicht zum Training öffentlicher KI-Modelle verwendet. 17.3 De-identifizierte und aggregierte Systemverbesserung Eine Nutzung von Kundendaten zur Verbesserung der Systeme erfolgt ausschließlich in de-identifizierter und aggregierter Form und niemals zur Schulung öffentlicher KI-Modelle. 17.4 Zero-Data-Retention Soweit technisch und vertraglich verfügbar, nutzt der Auftragsverarbeiter bei KI-API-Anbietern Einstellungen, Vertragsmodelle oder technische Optionen zur Zero-Data-Retention oder zur Minimierung der Speicherdauer. Gesprächsinhalte, Prompts und temporäre Transkripte werden nicht dauerhaft durch KI-API-Anbieter gespeichert, soweit dies vertraglich zugesichert oder technisch verfügbar ist. 17.5 Temporäre Verarbeitung Temporäre Verarbeitungen durch KI-, Speech-to-Text-, Text-to-Speech-, Telefonie-, Streaming- oder Inferenzanbieter erfolgen nur, soweit dies zur Erbringung der vertraglich vereinbarten Leistung erforderlich ist. § 18 Schlussbestimmungen 18.1 Textform Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform, soweit nicht gesetzlich eine strengere Form vorgeschrieben ist. 18.2 Deutsches Recht Es gilt deutsches Recht. 18.3 Vorrang Im Falle von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen der Parteien gehen die Regelungen dieses Vertrags vor, soweit sie die Verarbeitung personenbezogener Daten im Auftrag betreffen. 18.4 Salvatorische Klausel Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Anlage 1 – Gegenstand, Zweck und Art der Verarbeitung 1. Gegenstand Gegenstand der Verarbeitung ist die Verarbeitung personenbezogener Daten durch MeinAssistent Digital GmbH im Auftrag des jeweiligen Kunden im Rahmen der Bereitstellung von MeinAssistent.ai als KI-gestütztem Telefonassistenten, Chatbot, SaaS-Dienst, Kommunikations-, Termin-, Integrations- und Automatisierungsplattform. 2. Zweck Zwecke der Verarbeitung sind: automatisierte Annahme eingehender Anrufe, KI-gestützte Gesprächsführung, Terminvereinbarung, Kalenderintegration, Gesprächsaufzeichnung, soweit rechtmäßig aktiviert, Transkription von Sprache in Text, Zusammenfassung von Gesprächen, Rufweiterleitung, Nachfolgekommunikation per E-Mail oder SMS, Kontaktverwaltung, CRM-, ERP-, Helpdesk- und Kalenderintegration, API-, Webhook- und Workflow-Orchestrierung, technische Bereitstellung und Wartung, Support, Fehleranalyse und Sicherheitsmaßnahmen, Testanrufe und Demonstrationen, soweit vom Verantwortlichen oder Interessenten ausgelöst. 3. Art der Verarbeitung Die Verarbeitung umfasst insbesondere: Erheben, Erfassen, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Verknüpfen, Einschränken, Löschen, Vernichten, Transkribieren, Zusammenfassen, Strukturieren, Umwandeln von Sprache in Text, Umwandeln von Text in Sprache, Weiterleiten, Bereitstellen über Schnittstellen. Anlage 2 – Kategorien personenbezogener Daten und betroffener Personen 1. Kategorien personenbezogener Daten Verarbeitet werden können insbesondere: Audiodaten, Kommunikationsdaten wie Telefonnummern, Zeitstempel und Dauer, technische Verbindungsdaten, Inhaltsdaten wie Transkripte und Gesprächszusammenfassungen, sonstige personenbezogene Daten, die im Gespräch genannt werden, Namen, Kontaktdaten, E-Mail-Adressen, Unternehmensdaten mit Personenbezug, Termindaten, Kalenderdaten, CRM-Daten, ERP-Daten, Helpdesk-Daten, Chatverläufe, Formulardaten, SMS- und E-Mail-Inhalte, Aufgaben- und Bewertungsdaten, Webseiten-Nutzungsdaten, IP-Adressen, Browser- und Geräteinformationen, Log-Daten, Cookies, Metadaten, technische Integrationsdaten, API- und Webhook-Daten. 2. Besondere Kategorien personenbezogener Daten Je nach Einsatzbereich des Verantwortlichen können besondere Kategorien personenbezogener Daten verarbeitet werden, insbesondere: Gesundheitsdaten, Daten zu Behandlungen, Symptomen, Termingründen, Therapien oder Pflege, biometrische Daten, soweit Sprache zur Identifikation verwendet wird oder eine Identifikation ermöglicht, religiöse oder weltanschauliche Angaben, Daten zur sexuellen Orientierung, politische Meinungen, Gewerkschaftszugehörigkeit, sonstige sensible Angaben, die betroffene Personen im Gespräch, Chat oder Formular nennen. 3. Kategorien betroffener Personen Betroffene Personen sind insbesondere: Kunden des Verantwortlichen, Interessenten des Verantwortlichen, sonstige Anrufer des Verantwortlichen, Webseitenbesucher, Nutzer von Chatbot-Funktionen, Nutzer von Testanrufen, Personen, die Termine vereinbaren, Patienten, Mandanten, Bewerber, Mitarbeiter oder sonstige Kontaktpersonen, soweit der Verantwortliche den Dienst in entsprechenden Bereichen einsetzt, Mitarbeiter und Ansprechpartner des Verantwortlichen, Dienstleister, Lieferanten und Geschäftspartner des Verantwortlichen, sonstige Personen, deren Daten im Rahmen der Nutzung des Dienstes verarbeitet werden. Anlage 3 – Technische und organisatorische Maßnahmen Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um. Diese umfassen Maßnahmen zur Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Verfügbarkeits- und Trennungskontrolle sowie zur Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten. Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst. 1. Vertraulichkeit 1.1 Zutrittskontrolle Der Auftragsverarbeiter trifft Maßnahmen, um unbefugten physischen Zutritt zu Datenverarbeitungsanlagen zu verhindern. Soweit Rechenzentren und Cloud-Infrastrukturen durch Unterauftragsverarbeiter betrieben werden, werden deren Zutrittskontrollmaßnahmen genutzt. 1.2 Zugangskontrolle Der Auftragsverarbeiter setzt angemessene Maßnahmen ein, um unbefugte Nutzung von Systemen zu verhindern. Hierzu gehören insbesondere Benutzerkonten, Passwortschutz, rollenbasierte Berechtigungen, sichere Authentifizierung, Sperrung nicht benötigter Zugänge und Zugriffsbeschränkungen. 1.3 Zugriffskontrolle Zugriffe auf personenbezogene Daten werden nach dem Need-to-know-Prinzip beschränkt. Berechtigungen werden nur solchen Personen eingeräumt, die diese zur Aufgabenerfüllung benötigen. 1.4 Verschlüsselung Datenübertragungen erfolgen, soweit technisch möglich, verschlüsselt, insbesondere mittels TLS. Ruhende Daten werden nach Maßgabe der eingesetzten Infrastruktur und Verfügbarkeit geeigneter Verschlüsselungsmechanismen geschützt. 1.5 Vertraulichkeitsverpflichtung Mit der Verarbeitung betraute Personen werden zur Vertraulichkeit verpflichtet. 2. Integrität 2.1 Weitergabekontrolle Der Auftragsverarbeiter trifft Maßnahmen, um sicherzustellen, dass personenbezogene Daten bei elektronischer Übertragung, Transport oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 2.2 Eingabekontrolle Administrative Zugriffe und wesentliche Systemereignisse werden angemessen protokolliert, soweit dies technisch möglich, datenschutzrechtlich zulässig und zur Sicherheit erforderlich ist. 2.3 Schutz vor Veränderung Technische und organisatorische Maßnahmen schützen Daten vor unbefugter Veränderung, insbesondere durch Zugriffsbeschränkungen, Rollenrechte, Protokollierung und sichere Systemkonfiguration. 3. Verfügbarkeit und Belastbarkeit 3.1 Verfügbarkeitskontrolle Der Auftragsverarbeiter trifft angemessene Maßnahmen, um personenbezogene Daten gegen zufällige Zerstörung oder Verlust zu schützen. Hierzu gehören insbesondere Backup-, Wiederherstellungs-, Monitoring- und Sicherheitsprozesse. 3.2 Wiederherstellbarkeit Die Wiederherstellbarkeit von Systemen und Daten wird im Rahmen der eingesetzten Infrastruktur und Backup-Konzepte angemessen berücksichtigt. 3.3 Ausfallsicherheit Der Auftragsverarbeiter setzt Cloud-, Hosting-, Kommunikations- und Infrastrukturleistungen ein, die auf Verfügbarkeit, Skalierbarkeit und Ausfallsicherheit ausgelegt sind. 4. Trennungskontrolle Personenbezogene Daten verschiedener Kunden werden logisch getrennt verarbeitet. Inhaltsdaten und Metadaten werden, soweit technisch und organisatorisch angemessen, getrennt verarbeitet oder durch Berechtigungskonzepte voneinander abgegrenzt. 5. Pseudonymisierung und Datenminimierung Soweit möglich und zweckmäßig, werden personenbezogene Daten pseudonymisiert, minimiert oder nur temporär verarbeitet. Der Auftragsverarbeiter verarbeitet nur solche Daten, die zur Erbringung der vertraglich vereinbarten Leistungen erforderlich sind oder auf Weisung des Verantwortlichen verarbeitet werden. 6. Protokollierung und Monitoring Der Auftragsverarbeiter setzt angemessene Protokollierungs- und Monitoringmaßnahmen ein, um Sicherheit, Stabilität, Fehleranalyse und Nachvollziehbarkeit zu gewährleisten. Protokolle werden nur im erforderlichen Umfang gespeichert und gegen unbefugten Zugriff geschützt. 7. Auftragskontrolle Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen. Unterauftragsverarbeiter werden nach Maßgabe dieses Vertrags eingesetzt und vertraglich auf angemessene Datenschutzpflichten verpflichtet. 8. Sicherheitsüberprüfung Technische und organisatorische Maßnahmen werden regelmäßig überprüft, bewertet und bei Bedarf angepasst. Sicherheitsrelevante Änderungen werden im Rahmen des Zumutbaren dokumentiert. Anlage 4 – Unterauftragsverarbeiter Stand der letzten Prüfung: 6. Mai 2026 Der Verantwortliche stimmt der Beauftragung der nachfolgend aufgeführten Unterauftragsverarbeiter sowie deren verbundener Unternehmen zu. Die Beauftragung dient der Erbringung der vertraglich vereinbarten Leistungen sowie der Sicherstellung der technischen Infrastruktur, Ausfallsicherheit und Skalierbarkeit. Amazon Web Services EMEA SARL (AWS Europe) Sitz: Luxemburg Leistung: Bereitstellung von Cloud-Infrastruktur einschließlich Hosting, Server-, Speicher- und Netzwerkinfrastruktur für den Betrieb der Voice-AI-Plattform sowie die Verarbeitung und Speicherung von Gesprächsdaten. Datentransfer: Die Verarbeitung erfolgt innerhalb der Europäischen Union. Eine Übermittlung in Drittländer findet grundsätzlich nicht statt, sofern keine zusätzlichen Garantien gemäß DSGVO vereinbart wurden. Aufbewahrung und Löschung: Gesprächsdaten und Transkripte werden, soweit keine abweichende Weisung besteht, automatisiert nach spätestens 7 Kalendertagen gelöscht. Anthropic Limited Sitz: London, Vereinigtes Königreich Mutterkonzern: Anthropic, PBC, USA Leistung: Bereitstellung generativer KI-Modelle zur Verarbeitung und Analyse von Texteingaben sowie zur dialogbasierten Interaktion. Datentransfer: Soweit eine Übermittlung an die US-Muttergesellschaft erfolgt, basiert diese auf geeigneten Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln. Das Vereinigte Königreich gilt als Drittland mit angemessenem Datenschutzniveau. Bland AI Inc. Sitz: San Francisco, Kalifornien, USA Leistung: Bereitstellung technischer Infrastruktur für automatisierte Telefonieprozesse. Datentransfer: Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht. Cartesia AI, Inc. Sitz: San Francisco, Kalifornien, USA Leistung: Technische Generierung von Audiodaten mit niedriger Latenz. Datentransfer: Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht. Make S.R.O. Sitz: Prag, Tschechische Republik Konzernzugehörigkeit: Celonis-Gruppe Leistung: Bereitstellung von Plattformen zur Prozessautomatisierung und Datenintegration. Datentransfer: Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit Daten an Konzernunternehmen oder Dienstleister außerhalb der Europäischen Union übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln. Deepgram Inc. Sitz: San Francisco, Kalifornien, USA Leistung: Verarbeitung von Audiosignalen und Umwandlung in Textformate (Speech-to-Text). Datentransfer: Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht. ElevenLabs Inc. Sitz: New York, New York, USA Leistung: Generierung synthetischer Audiodaten aus Text (Text-to-Speech). Datentransfer: Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht. Google Ireland Limited Sitz: Dublin, Irland Leistung: Bereitstellung von Kommunikations- und Kollaborationsdiensten sowie Cloud-Speicher. Datentransfer: Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln. Groq Inc. Sitz: Mountain View, Kalifornien, USA Leistung: Bereitstellung technischer Inferenz-Infrastruktur. Datentransfer: Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht. Microsoft Ireland Operations Ltd. Sitz: Dublin, Irland Leistung: Bereitstellung von Cloud-Hosting-Diensten und kognitiven technischen Services. Datentransfer: Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln. Mistral AI SAS Sitz: Paris, Frankreich Leistung: Bereitstellung großer Sprachmodelle zur textbasierten Informationsverarbeitung. Datentransfer: Die Verarbeitung erfolgt innerhalb der Europäischen Union. n8n GmbH Sitz: Berlin, Deutschland Leistung: API-Management und Workflow-Orchestrierung. Datentransfer: Die Verarbeitung erfolgt innerhalb der Europäischen Union oder eines sicheren Drittlandes gemäß Art. 45 DSGVO. Soweit eine Drittlandübermittlung erfolgt, werden geeignete Garantien gemäß Art. 44 ff. DSGVO eingesetzt. OpenAI OpCo, LLC Sitz: San Francisco, Kalifornien, USA Leistung: Verarbeitung von Texteingaben durch generative KI-Modelle. Datentransfer: Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln. Retell AI Inc. Sitz: San Francisco, Kalifornien, USA Leistung: Koordination von Conversational-Voice-Schnittstellen und Audio-Streaming. Datentransfer: Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht. AgentFlow AI GmbH Sitz: Berlin, Deutschland Produkt: Synthflow Leistung: Automatisierung von Sprachkommunikation. Datentransfer: Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit eine Übermittlung in Drittländer erfolgt, erfolgt diese nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO. Telnyx LLC Sitz: Chicago, Illinois, USA Leistung: Bereitstellung von Netzwerkinfrastruktur für IP-basierte Kommunikation. Datentransfer: Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht. Twilio Inc. Sitz: San Francisco, Kalifornien, USA Leistung: Programmierschnittstellen für Kommunikationsdienste. Datentransfer: Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks, genehmigter Binding Corporate Rules sowie ergänzend auf Grundlage von EU-Standardvertragsklauseln, soweit jeweils anwendbar. Vapi Inc. Sitz: San Francisco, Kalifornien, USA Leistung: Koordination und Steuerung von Audio-Streaming-Prozessen. Datentransfer: Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht. Zapier Inc. Sitz: San Francisco, Kalifornien, USA Leistung: Automatisierte Datenübertragung zwischen webbasierten Anwendungen. Datentransfer: Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln. Calendly LLC Sitz: Atlanta, Georgia, USA Leistung: Bereitstellung von Online-Terminvereinbarungsfunktionen und Verarbeitung von Terminbuchungen, Kalenderdaten, Kontaktdaten und Kommunikationsdaten, soweit Calendly im Rahmen der Dienstleistungen eingebunden wird. Datentransfer: Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln. IONOS SE Sitz: Montabaur, Rheinland-Pfalz, Deutschland Leistung: Domainverwaltung, DNS-Hosting, technische Bereitstellung von Web-, Domain- oder Infrastrukturleistungen, soweit IONOS im Rahmen der Dienstleistungen eingebunden wird. Datentransfer: Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit eine Übermittlung in Drittländer erfolgt, erfolgt diese nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO. Onepage GmbH Sitz: Frankfurt am Main, Deutschland Leistung: Bereitstellung von Webseiten-, Landingpage-, Formular-, Quiz-, Hosting- und Webseitenerstellungsfunktionen, insbesondere für die Webseite, Testanruf-Formulare, Kontaktformulare und Angebots- oder Einrichtungsprozesse. Datentransfer: Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit eine Übermittlung in Drittländer erfolgt, erfolgt diese nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO. Stand: 6. Mai 2026