gemäß Art. 28 DSGVO
Stand: 30. März 2026
2. Definitionen
Im Sinne dieses AVV gelten die nachfolgenden Begriffsbestimmungen gemäß Art. 4 DSGVO:
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Verbreiten, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten.
- Betroffene Person: Die identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.
- Verantwortlicher: Die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (der Auftraggeber).
- Auftragsverarbeiter: Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (der Auftragnehmer).
- Unterauftragsverarbeiter: Jeder vom Auftragnehmer beauftragte weitere Verarbeiter, der einen Teil der Verarbeitung im Auftrag des Auftraggebers durchführt.
3. Gegenstand und Dauer
3.1 Gegenstand
Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag und nach Weisung des Auftraggebers im Rahmen der Nutzung der Vorden. Die Vorden bietet KI-gestützte Sprach-, Chat- und Omnichannel-Kommunikationsdienste, bei deren Erbringung personenbezogene Daten — insbesondere Kommunikationsdaten — verarbeitet werden.
3.2 Dauer
Dieser AVV tritt mit Abschluss des Hauptvertrags über die Nutzung der Vorden in Kraft und gilt für die gesamte Dauer der Vertragsbeziehung. Über das Vertragsende hinausgehende Pflichten, insbesondere zur Löschung und Rückgabe personenbezogener Daten, bleiben unberührt.
4. Art und Zweck der Verarbeitung
Die Verarbeitung umfasst folgende Tätigkeiten:
- KI-gestützte Sprachkommunikation: Entgegennahme, Verarbeitung und Weiterleitung von Telefonanrufen unter Einsatz von Spracherkennung und Sprachsynthese
- Chat-Kommunikation: Verarbeitung von Nachrichten über WhatsApp, Telegram, Web-Chat und weitere Kanäle
- Transkription: Automatische Verschriftlichung von Sprachaufzeichnungen mittels KI
- Analytik: Auswertung von Kommunikationsdaten zur Qualitätssicherung und Leistungsverbesserung
- Datenspeicherung: Technische Speicherung der Kommunikationsdaten im Auftrag des Auftraggebers
5. Arten personenbezogener Daten
Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:
- Sprachaufzeichnungen und Audiodaten
- Transkripte von Gesprächen
- Telefonnummern (Anrufer und Angerufene)
- E-Mail-Adressen
- IP-Adressen
- Chat-Nachrichten und Nachrichteninhalte
- Metadaten der Kommunikation (Zeitstempel, Dauer, Kanal)
6. Kategorien betroffener Personen
Die Verarbeitung betrifft folgende Gruppen betroffener Personen:
- Endnutzer: Personen, die über die Vorden kommunizieren
- Anrufer: Personen, die telefonisch mit dem System des Auftraggebers in Kontakt treten
- Chat-Teilnehmer: Personen, die über Chat-Kanäle (WhatsApp, Telegram, Web-Chat u. a.) kommunizieren
- Mitarbeiter des Auftraggebers: Beschäftigte, die die Plattform bedienen und verwalten
7. Pflichten des Auftragsverarbeiters
Der Auftragnehmer verpflichtet sich zu Folgendem:
7.1 Weisungsgebundenheit
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Auftraggebers, es sei denn, der Auftragnehmer ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zu einer anderweitigen Verarbeitung verpflichtet. In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses untersagt.
7.2 Vertraulichkeit
Der Auftragnehmer gewährleistet, dass sich alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7.3 Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (siehe Abschnitt 8).
7.4 Unterstützung bei Betroffenenanfragen
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen gemäß Art. 15–22 DSGVO durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist.
7.5 Meldung von Datenschutzverletzungen
Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden. Die Meldung enthält mindestens:
- Art der Datenschutzverletzung
- Betroffene Datenkategorien und ungefähre Anzahl der betroffenen Personen
- Wahrscheinliche Folgen der Verletzung
- Ergriffene und vorgeschlagene Maßnahmen zur Behebung und Abmilderung
7.6 Löschung und Rückgabe
Nach Beendigung der Verarbeitungstätigkeit löscht der Auftragnehmer sämtliche personenbezogenen Daten oder gibt sie an den Auftraggeber zurück — nach Wahl des Auftraggebers — und löscht vorhandene Kopien, sofern nicht nach Unionsrecht oder dem Recht eines Mitgliedstaats eine Verpflichtung zur Speicherung besteht.
8. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer hat folgende Maßnahmen gemäß Art. 32 DSGVO implementiert:
8.1 Verschlüsselung
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung im Ruhezustand | Verschlüsselung sämtlicher gespeicherter personenbezogener Daten nach gängigen Industriestandards |
| Verschlüsselung bei Übertragung | Verschlüsselung aller Datenübertragungen nach gängigen Industriestandards |
8.2 Zugriffskontrolle
| Maßnahme | Umsetzung |
|---|---|
| Authentifizierung | Sichere, sitzungsbasierte Authentifizierung mit kurzlebigen Zugriffstoken und Rotation |
| Autorisierung | Rollenbasierte Zugriffskontrolle nach dem Least-Privilege-Prinzip |
| Mehrstufige Authentifizierung | MFA für administrative Zugänge |
8.3 Mandantentrennung
Strikte logische Trennung der Daten auf Datenbank- und Anwendungsebene. Jeder Mandant verfügt über einen isolierten Datenbereich. Zugriffe über Mandantengrenzen hinweg werden technisch unterbunden.
8.4 Überwachung
| Maßnahme | Umsetzung |
|---|---|
| Anwendungsüberwachung | Kontinuierliche Anwendungs- und Fehlerüberwachung mit Scrubbing personenbezogener Daten in Fehlerberichten |
| Audit-Protokollierung | Lückenlose Protokollierung sicherheitsrelevanter Ereignisse |
| Zugriffsprotokollierung | Dokumentation aller Zugriffe auf personenbezogene Daten |
8.5 Sicherung und Wiederherstellung
- Regelmäßige verschlüsselte Backups in Cloud-Infrastruktur innerhalb der Europäischen Union
- Dokumentierte Wiederherstellungsverfahren
- Regelmäßige Überprüfung der Backup-Integrität
8.6 Vorfallsreaktion (Incident Response)
- Benachrichtigung des Auftraggebers innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung
- Dediziertes Incident-Response-Team
- Dokumentierter Reaktionsplan mit definierten Verantwortlichkeiten und Eskalationsstufen
9. Unterauftragsverarbeiter
9.1 Genehmigte Unterauftragsverarbeiter
Der Auftraggeber erteilt hiermit seine allgemeine schriftliche Genehmigung zum Einsatz der Unterauftragsverarbeiter, die auf der Unterauftragsverarbeiter-Seite des Auftragnehmers geführt werden (die „Unterauftragsverarbeiter-Liste"). Die Unterauftragsverarbeiter-Liste enthält für jeden Unterauftragsverarbeiter Name, Verarbeitungsort und Verarbeitungszweck und wird vom Auftragnehmer aktuell gehalten. Eine schriftliche Fassung der Unterauftragsverarbeiter-Liste zum Stichtag kann beim Auftragnehmer angefordert werden.
9.2 Änderungen bei Unterauftragsverarbeitern
Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters mindestens 30 Tage im Voraus in Textform. Der Auftraggeber hat das Recht, innerhalb dieser Frist begründeten Einspruch gegen die vorgesehene Änderung zu erheben.
Erhebt der Auftraggeber Einspruch und kann keine einvernehmliche Lösung gefunden werden, ist der Auftraggeber berechtigt, den Hauptvertrag mit einer angemessenen Frist zu kündigen.
9.3 Pflichten gegenüber Unterauftragsverarbeitern
Der Auftragnehmer stellt vertraglich sicher, dass sämtliche Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind, insbesondere in Bezug auf technische und organisatorische Maßnahmen sowie die Weisungsgebundenheit.
10. Internationale Übermittlungen
Soweit personenbezogene Daten in Drittländer außerhalb des EWR übermittelt werden, stellt der Auftragnehmer sicher, dass dies ausschließlich unter den folgenden Voraussetzungen geschieht:
- Standardvertragsklauseln (SVK): Abschluss der von der Europäischen Kommission genehmigten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO mit dem jeweiligen Unterauftragsverarbeiter
- Ergänzende Maßnahmen: Umsetzung zusätzlicher technischer Schutzmaßnahmen (insbesondere Verschlüsselung, Pseudonymisierung, Zugangsbeschränkung)
- Angemessenheitsbeschlüsse: Nutzung von Angemessenheitsbeschlüssen der Europäischen Kommission, sofern für das jeweilige Drittland vorliegend
Die primäre Cloud-Infrastruktur wird in Rechenzentren innerhalb der Europäischen Union betrieben.
11. Rechte der betroffenen Personen
11.1 Unterstützungspflicht
Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner technischen Möglichkeiten bei der Beantwortung von Anfragen betroffener Personen nach Art. 15–22 DSGVO, insbesondere bei:
- Auskunftsersuchen (Art. 15 DSGVO)
- Berichtigungsanträgen (Art. 16 DSGVO)
- Löschungsbegehren (Art. 17 DSGVO)
- Anträgen auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Anfragen zur Datenübertragbarkeit (Art. 20 DSGVO)
- Widersprüchen gegen die Verarbeitung (Art. 21 DSGVO)
11.2 Weiterleitung
Wendet sich eine betroffene Person mit einem Antrag unmittelbar an den Auftragnehmer, leitet dieser den Antrag unverzüglich an den Auftraggeber weiter.
12. Prüfungsrechte
12.1 Recht des Auftraggebers
Der Auftraggeber hat das Recht, die Einhaltung dieses AVV sowie der einschlägigen Datenschutzvorschriften zu überprüfen. Dies umfasst:
- Einholung von Auskünften und Nachweisen beim Auftragnehmer
- Durchführung von Inspektionen, einschließlich Vor-Ort-Prüfungen, in den Geschäftsräumen des Auftragnehmers — nach angemessener Vorankündigung und unter Wahrung der Geschäftsgeheimnisse des Auftragnehmers
- Beauftragung unabhängiger Prüfer, die einer Verschwiegenheitspflicht unterliegen
12.2 Mitwirkungspflicht
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen.
13. Laufzeit und Beendigung
13.1 Laufzeit
Dieser AVV gilt für die gesamte Dauer des Hauptvertrags über die Nutzung der Vorden. Er kann nicht unabhängig vom Hauptvertrag gekündigt werden.
13.2 Beendigung und Datenlöschung
Nach Beendigung des Hauptvertrags:
- Stellt der Auftragnehmer die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers unverzüglich ein.
- Löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen nach Vertragsende oder gibt sie — nach Wahl des Auftraggebers — in einem gängigen, maschinenlesbaren Format zurück.
- Der Auftragnehmer bestätigt dem Auftraggeber die vollständige Löschung in Textform.
Gesetzliche Aufbewahrungspflichten bleiben unberührt.
14. Schlussbestimmungen
14.1 Vorrang
Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV vor, soweit sie den Schutz personenbezogener Daten betreffen.
14.2 Anwendbares Recht
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland, soweit nicht zwingende Vorschriften der DSGVO abweichende Regelungen treffen.
14.3 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine solche zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
Für den Auftraggeber (Verantwortlicher):
Name: ___________________________ Funktion: ___________________________ Datum: ___________________________ Unterschrift: ___________________________
Für den Auftragnehmer (LucyHQ, Inc.):
Name: ___________________________ Funktion: ___________________________ Datum: ___________________________ Unterschrift: ___________________________