MyReceptionAIZurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag ("AVV") gilt zwischen Mohammad Mirzakhanidehkordi, Einzelunternehmer, handelnd unter KorrektCode (nachfolgend "Auftragsverarbeiter") und dem jeweiligen Kunden ("Verantwortlicher"), soweit MyReceptionAI personenbezogene Daten im Auftrag des Kunden verarbeitet.

Akzeptanz: Dieser AVV wird mit Abschluss des Vertrags über die Nutzung von MyReceptionAI, spätestens mit der Nutzung der Dienste zur Verarbeitung personenbezogener Daten im Auftrag des Kunden, verbindlicher Bestandteil des Vertragsverhältnisses. Ein gesonderter manueller Unterschriftsprozess ist nicht erforderlich, sofern nicht im Einzelfall ausdrücklich anders vereinbart.

Soweit zwischen den Parteien ein individuell unterzeichneter Auftragsverarbeitungsvertrag geschlossen wird, geht dieser im Kollisionsfall diesem Online-AVV vor.

1. Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter erbringt für den Verantwortlichen SaaS-Leistungen im Zusammenhang mit KI-gestützter Telefonie, Anrufannahme, Gesprächsverarbeitung, Terminbuchung, CRM-Funktionen, Kalenderintegration, Wissensdatenbanken und zugehöriger Kommunikation.

Die Verarbeitung erfolgt für die Dauer des zugrunde liegenden Vertragsverhältnisses über die Nutzung von MyReceptionAI sowie darüber hinaus nur insoweit, wie gesetzliche Aufbewahrungspflichten bestehen oder vertraglich geregelte Lösch- und Rückgabefristen laufen.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung, Durchführung, Administration, Absicherung und Verbesserung der vertraglich vereinbarten Dienste des Verantwortlichen. Dies umfasst insbesondere:

  • Entgegennahme und technische Vermittlung eingehender Anrufe und Web-Gespräche,
  • Transkription, Analyse und Zusammenfassung von Gesprächsinhalten,
  • Terminabstimmung und optionales Anlegen von Kalendereinträgen,
  • Erfassung und Verwaltung von Kontakt- und CRM-Daten,
  • Versand transaktionsbezogener Benachrichtigungen und Berichte,
  • Speicherung, Strukturierung, Abruf und Löschung kundenbezogener Datenbestände.

3. Kategorien betroffener Personen und Daten

Von der Verarbeitung können insbesondere folgende Gruppen betroffener Personen erfasst sein: Ansprechpartner des Verantwortlichen, Mitarbeiter, Interessenten, Endkunden, Anrufer, Terminteilnehmer und sonstige Kommunikationspartner des Verantwortlichen.

Verarbeitet werden je nach Nutzung insbesondere folgende Datenkategorien:

  • Stammdaten wie Name, Firma, Position und Kontaktdaten,
  • Telefonnummern, E-Mail-Adressen und Kommunikationsmetadaten,
  • Termin-, Kalender- und Buchungsinformationen,
  • Gesprächsinhalte, Audio-/Sprachdaten, Transkripte und Gesprächsnotizen,
  • vom Verantwortlichen bereitgestellte Wissensdatenbank- und CRM-Inhalte,
  • technische Nutzungs-, Protokoll- und Sicherheitsdaten.

Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO ist nicht Vertragszweck, kann jedoch je nach Verhalten von Anrufern oder Konfiguration des Verantwortlichen nicht vollständig ausgeschlossen werden.

4. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, soweit nicht eine Verarbeitung durch das Recht der Union oder der Mitgliedstaaten vorgeschrieben ist. Als dokumentierte Weisungen gelten insbesondere die im Hauptvertrag, in den Einstellungen der Plattform, in diesem AVV sowie in sonstigen schriftlichen oder textförmigen Vorgaben des Verantwortlichen beschriebenen Verarbeitungen.

Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, wird er den Verantwortlichen hierauf unverzüglich hinweisen.

5. Pflichten des Verantwortlichen

  • Der Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte verantwortlich.
  • Der Verantwortliche stellt sicher, dass für die beauftragte Verarbeitung eine gültige Rechtsgrundlage besteht.
  • Der Verantwortliche informiert Endnutzer rechtskonform über den Einsatz von KI-Systemen, Telefonie- und ggf. Aufzeichnungsfunktionen und holt erforderliche Einwilligungen ein.
  • Der Verantwortliche prüft, ob und inwieweit besondere Kategorien personenbezogener Daten verarbeitet werden dürfen.
  • Der Verantwortliche hat Weisungen vollständig, eindeutig und datenschutzkonform zu erteilen.

6. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur im Rahmen der Weisungen und des vereinbarten Vertragszwecks.
  • Wahrung der Vertraulichkeit durch entsprechend verpflichtete Personen.
  • Umsetzung angemessener technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO.
  • Unterstützung des Verantwortlichen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen und behördlichen Anfragen, soweit erforderlich und zumutbar.
  • Unverzügliche Information bei Bekanntwerden von Verletzungen des Schutzes personenbezogener Daten, soweit diese den Auftragsgegenstand betreffen.
  • Löschung oder Rückgabe personenbezogener Daten nach Vertragsende nach Maßgabe dieses AVV und der Hauptvereinbarung.

7. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.

  • Zugriffsbeschränkungen und rollenbasierte Berechtigungen,
  • Authentifizierungs- und Passwortschutzmechanismen,
  • Transportverschlüsselung und, soweit angemessen, Verschlüsselung gespeicherter Daten,
  • Protokollierung sicherheitsrelevanter Vorgänge,
  • Datensicherungs-, Wiederherstellungs- und Verfügbarkeitsmaßnahmen,
  • Verfahren zur regelmäßigen Überprüfung und Aktualisierung von Sicherheitsmaßnahmen.

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern, soweit diese für die Erbringung der Dienste erforderlich sind. Der Auftragsverarbeiter wird Unterauftragsverarbeiter sorgfältig auswählen und vertraglich im gesetzlich erforderlichen Umfang verpflichten.

Zum Zeitpunkt dieses AVV können insbesondere folgende Unterauftragsverarbeiter bzw. Unterdienstleister mit personenbezogenen Daten in Berührung kommen, soweit dies für den konkreten Leistungsumfang relevant ist: Supabase (Datenbank/Auth), Vercel (Hosting), Twilio (Telefonie), Vapi.ai (Orchestrierung von Sprach-/KI-Funktionen), Daily.co (WebRTC), OpenAI und Anthropic (über Vapi.ai, soweit genutzt), ElevenLabs (Sprachsynthese), Resend (Transaktions-E-Mails) sowie Google im Rahmen aktivierter Kalenderintegration.

Der Auftragsverarbeiter kann Unterauftragsverarbeiter hinzufügen, ersetzen oder austauschen, sofern dies sachlich erforderlich ist. Wesentliche Änderungen werden durch Aktualisierung dieses AVV, der Datenschutzerklärung oder auf anderem geeigneten Weg mitgeteilt. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.

9. Drittlandtransfers

Soweit Unterauftragsverarbeiter oder sonstige Dienstleister Daten außerhalb der EU/des EWR verarbeiten, stellt der Auftragsverarbeiter sicher, dass hierfür ein angemessenes Datenschutzniveau nach den gesetzlichen Vorgaben besteht, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln (SCC) oder andere geeignete Garantien gemäß Art. 44 ff. DSGVO.

10. Unterstützung bei Betroffenenrechten und Datenschutzvorfällen

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Erfüllung von Anträgen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch, soweit die Unterstützung den Auftragsgegenstand betrifft und mit angemessenem Aufwand möglich ist.

Im Fall einer Verletzung des Schutzes personenbezogener Daten, die den Auftragsgegenstand betrifft, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich nach Bekanntwerden im Rahmen des gesetzlich und tatsächlich Zumutbaren.

11. Löschung und Rückgabe

Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen nach Maßgabe der vertraglichen Vereinbarungen löschen oder auf Anforderung zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Soweit im Hauptvertrag oder in der Datenschutzerklärung konkrete Fristen genannt sind, gelten diese auch für diesen AVV, insbesondere für Anrufprotokolle, Transkripte, CRM-Daten, Wissensdatenbank-Dateien und Integrationsdaten.

12. Nachweise und Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen auf angemessene Anfrage Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses AVV nachzuweisen. Vor-Ort-Prüfungen oder Audits sind nur in angemessenem Umfang, nach vorheriger Ankündigung, während üblicher Geschäftszeiten und unter Wahrung von Betriebs- und Geschäftsgeheimnissen zulässig, soweit keine vorrangigen Nachweise oder Zertifizierungen ausreichen.

13. Haftung und Verhältnis zum Hauptvertrag

Im Übrigen gelten die Haftungsregelungen des Hauptvertrags bzw. der AGB, soweit gesetzlich zulässig und soweit datenschutzrechtliche Spezialregelungen nichts Abweichendes vorsehen.

14. Schlussbestimmungen

Dieser AVV ergänzt den Hauptvertrag über die Nutzung von MyReceptionAI. Sollte eine Bestimmung dieses AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Maßgeblich ist die jeweils aktuelle Fassung dieses AVV unter https://www.myreceptionai.com/avv.