AVV

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

ai-loop.de
Anwar YOU Consulting GmbH
Gladbacher Str. 3–5, 40764 Langenfeld

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien im Rahmen der Auftragsverarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.

(2) Der Auftragsverarbeiter (Anwar YOU Consulting GmbH, nachfolgend „Auftragnehmer“) verarbeitet personenbezogene Daten im Auftrag des Kunden (nachfolgend „Auftraggeber“) im Rahmen der im Hauptvertrag (AGB) vereinbarten Dienstleistungen.

(3) Die Dauer der Auftragsverarbeitung richtet sich nach der Laufzeit des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung umfasst folgende Tätigkeiten:

• (1) Durchführung automatisierter Telefonanrufe mittels KI-Voice-Agents
• (2) Sprachsynthese und Spracherkennung (Text-to-Speech / Speech-to-Text)
• (3) Transkription von Gesprächsinhalten
• (4) Qualifizierung und Kategorisierung von Kontakten (Lead-Scoring)
• (5) Speicherung und Verwaltung von Kontaktdaten
• (6) Terminvereinbarung über integrierte Buchungssysteme

(2) Der Zweck der Verarbeitung ist die Erbringung von KI-gestützten Vertriebsautomatisierungs-Dienstleistungen gemäß dem Hauptvertrag.

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

• (1) Kontaktdaten: Name, Telefonnummer, E-Mail-Adresse
• (2) Unternehmensdaten: Firmenname, Position, Branche
• (3) Gesprächsdaten: Audiodaten, Transkripte, Gesprächsergebnisse
• (4) Termindaten: Datum, Uhrzeit, Buchungsinformationen
• (5) Statusdaten: Lead-Status, Qualifizierungsergebnis

§ 4 Kategorien betroffener Personen

• (1) Geschäftskontakte und potenzielle Kunden (Leads) des Auftraggebers
• (2) Ansprechpartner in Unternehmen, die vom Auftraggeber kontaktiert werden sollen

§ 5 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, bedürfen einer gesonderten Vereinbarung.

(2) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung beauftragten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer ergreift alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs), insbesondere:

• (1) SSL/TLS-Verschlüsselung aller Datenübertragungen
• (2) Zugriffskontrolle und Authentifizierung (API-Keys, rollenbasierte Zugriffe)
• (3) Regelmäßige Sicherheitsupdates der eingesetzten Systeme
• (4) Datensicherung (Backups) auf europäischen Servern
• (5) Protokollierung von Zugriffen auf personenbezogene Daten

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32-36 DSGVO, insbesondere bei:

• (1) Sicherstellung der Verarbeitungssicherheit
• (2) Meldung von Datenschutzverletzungen
• (3) Datenschutz-Folgenabschätzungen
• (4) Vorherigen Konsultationen mit der Aufsichtsbehörde

§ 6 Rechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen, einschließlich durch Inspektionen vor Ort nach angemessener Vorankündigung (mindestens 14 Tage).

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 7 Sub-Auftragsverarbeiter

(1) Der Auftraggeber stimmt dem Einsatz folgender Sub-Auftragsverarbeiter zu:

(2) Der Auftragnehmer informiert den Auftraggeber vor der Hinzuziehung oder Ersetzung eines Sub-Auftragsverarbeiters. Der Auftraggeber kann innerhalb von 14 Tagen Einspruch erheben. Bei berechtigtem Einspruch wird der Auftragnehmer den Sub-Auftragsverarbeiter nicht einsetzen oder eine einvernehmliche Lösung suchen.

(3) Der Auftragnehmer stellt vertraglich sicher, dass die Sub-Auftragsverarbeiter die gleichen Datenschutzpflichten einhalten wie in diesem AVV vereinbart.

(4) Mit Sub-Auftragsverarbeitern in Drittländern (insbesondere USA) werden Datenübermittlungen auf Grundlage des EU-US Data Privacy Framework (DPF) und ergänzend der EU-Standardvertragsklauseln (SCCs) durchgeführt.

§ 8 Meldepflicht bei Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung enthält mindestens:

• (1) Beschreibung der Art der Verletzung
• (2) Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
• (3) Beschreibung der wahrscheinlichen Folgen
• (4) Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

§ 9 Betroffenenrechte

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15-22 DSGVO).

(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser die Anfrage unverzüglich an den Auftraggeber weiter.

§ 10 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrages löscht der Auftragnehmer alle im Auftrag verarbeiteten personenbezogenen Daten, es sei denn, eine gesetzliche Aufbewahrungspflicht besteht.

(2) Auf Verlangen des Auftraggebers werden die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format zurückgegeben.

(3) Die Löschung wird dem Auftraggeber schriftlich bestätigt.

§ 11 Schlussbestimmungen

(1) Dieser AVV ist Bestandteil des Hauptvertrages (AGB) zwischen Auftragnehmer und Auftraggeber.

(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag haben die Bestimmungen dieses AVV Vorrang in datenschutzrechtlichen Belangen.

(3) Änderungen dieses AVV bedürfen der Schriftform.

(4) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers.

Stand: März 2026. Dieser AVV ersetzt keine individuelle Rechtsberatung.