Auftragsverarbeitungsvertrag (AVV)
Dieser AVV ist Bestandteil des Hauptvertrags zwischen Auftragnehmer und Auftraggeber. Bitte vor Vertragsabschluss vollständig lesen, ausdrucken, unterschreiben und per E-Mail an seideldavin3@gmail.com senden — oder im Dashboard digital unterzeichnen.
Präambel
Der Auftragnehmer (Davin Seidel, Einzelunternehmen, Humboldtstraße 55, 75175 Pforzheim) verarbeitet im Rahmen der Plattform „Pfotenklingel“ personenbezogene Daten im Auftrag des Auftraggebers (der Salon-Inhaber/in). Die Parteien schließen deshalb folgenden Vertrag gemäß Art. 28 DSGVO.
§ 1 Gegenstand und Dauer
Gegenstand der Auftragsverarbeitung ist die Entgegennahme von Anrufen durch eine KI-Telefonassistenz, die Aufzeichnung und Transkription dieser Anrufe, die Verarbeitung der erhobenen Daten zur Terminbuchung, sowie die Bereitstellung dieser Daten im Dashboard des Auftraggebers. Die Dauer entspricht der Laufzeit des Hauptvertrags.
§ 2 Art und Zweck
Verarbeitung von Stimmaufnahmen, Transkripten und strukturierten Anrufdaten ausschließlich zum Zweck der Terminvermittlung und Auskunftserteilung im Namen des Auftraggebers.
§ 3 Art der Daten
- Rufnummer des Endanrufers
- Stimmaufnahme und Transkript
- Name, ggf. Hundename, Rasse, Größe
- Termindaten (Wunschdienstleistung, Datum, Uhrzeit)
§ 4 Kategorien betroffener Personen
- Endkunden des Hundesalons (anrufende Personen)
- Mitarbeiter des Auftraggebers, soweit am Telefon
§ 5 Pflichten des Auftragnehmers
- Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers, vorbehaltlich gesetzlicher Ausnahmen.
- Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen.
- Technische und organisatorische Maßnahmen nach Art. 32 DSGVO — siehe Anlage 2.
- Unterstützung des Auftraggebers bei Betroffenenanfragen, Meldepflichten (Art. 33/34) und Datenschutz-Folgenabschätzungen.
- Löschung oder Rückgabe aller verarbeiteten Daten nach Beendigung des Vertrags, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
§ 6 Pflichten des Auftraggebers
- Sicherstellung der Rechtsgrundlage der Verarbeitung gegenüber den Endkunden (Information, Einwilligung wo erforderlich).
- Meldepflichten gegenüber Aufsichtsbehörden und Betroffenen.
- Benennung eines Ansprechpartners für Datenschutzfragen.
§ 7 Unterauftragsverarbeiter
Der Auftraggeber erteilt allgemeine Genehmigung zur Beauftragung der in Anlage 1 aufgeführten Unterauftragsverarbeiter. Über Änderungen informiert der Auftragnehmer mindestens 14 Tage vorher per E-Mail. Der Auftraggeber hat in diesem Fall ein Widerspruchsrecht; widerspricht er, steht ihm ein Sonderkündigungsrecht zu.
§ 8 Kontroll- und Auskunftsrechte
Der Auftraggeber kann sich auf eigene Kosten von der Einhaltung dieses Vertrags überzeugen, insbesondere durch Einholung schriftlicher Auskünfte oder durch eine Audits durch qualifizierte Dritte.
§ 9 Haftung
Die Haftung bestimmt sich nach Art. 82 DSGVO sowie nach den Haftungsregelungen des Hauptvertrags.
§ 10 Schlussbestimmungen
Änderungen und Ergänzungen bedürfen der Textform. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Bestimmungen dieses AVV vor. Es gilt deutsches Recht.
Anlage 1 – Unterauftragsverarbeiter
| Anbieter | Zweck | Sitz | Garantien |
|---|---|---|---|
| Vapi Inc. | Telefonie-Plattform, Sprachsteuerung, Call-Aufzeichnung | USA | Standardvertragsklauseln (SCC), TIA |
| Anthropic PBC | Sprachmodell (LLM) Claude Haiku 4.5 für Gesprächsführung | USA / EU (AWS Bedrock Frankfurt wo möglich) | Standardvertragsklauseln (SCC), No-Train-Policy |
| ElevenLabs Inc. | Text-zu-Sprache (TTS), Stimmsynthese | USA | Standardvertragsklauseln (SCC) |
| Deepgram Inc. | Spracherkennung (STT), Sprache-zu-Text | USA | Standardvertragsklauseln (SCC) |
| Supabase Inc. | Datenbank (Termine, Anrufprotokolle), Authentifizierung, Speicher | EU (Frankfurt, eu-central-1) | Innerhalb EU — keine zusätzlichen Maßnahmen nötig |
| Vercel Inc. | Hosting der Webanwendung | EU (Frankfurt fra1) / Edge weltweit | Standardvertragsklauseln (SCC) für Edge-Anteile |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Abonnement, SEPA) | Irland (EU) / USA | Standardvertragsklauseln (SCC) |
Anlage 2 – Technische und organisatorische Maßnahmen (TOMs)
- Zutrittskontrolle: Server stehen in zertifizierten Rechenzentren der Auftragsverarbeiter (insb. AWS / GCP / Vercel / Supabase, EU-Region wo möglich).
- Zugangskontrolle: Authentifizierung über Magic-Link, rollenbasierter Zugriff, Service-Role-Trennung. Keine direkten Datenbankzugriffe ohne TLS.
- Zugriffskontrolle: Row Level Security (RLS) auf allen Mandantentabellen — strikte Mandantentrennung.
- Weitergabekontrolle: Sämtliche Übertragungen via TLS 1.2+. Webhook-Verifikation per HMAC-SHA256.
- Eingabekontrolle: Audit-Logs und Anrufprotokolle mit Zeitstempel; Idempotenz-Keys verhindern doppelte Buchungen.
- Auftragskontrolle: Weisungsgebundene Verarbeitung, schriftliche AVV mit allen Unterauftragsverarbeitern.
- Verfügbarkeitskontrolle: Backups durch Supabase (Point-in-Time-Recovery), Notfall-Wiederherstellung dokumentiert.
- Trennungskontrolle: Logische Trennung pro Mandant via tenant_id auf jeder Zeile.
- Löschkonzept: Anrufaufnahmen und Transkripte werden nach 30 Tagen automatisch gelöscht (per Tenant konfigurierbar).
Unterschriften
Auftragnehmer: Davin Seidel, Pforzheim, am ________________
Auftraggeber: ___________________________________ (Salonname, Inhaber/in, Ort, Datum)
Stand: 30.5.2026 — Diese Fassung wurde nicht abschließend juristisch geprüft. Vor Vertragsschluss empfehlen wir eine kurze anwaltliche Durchsicht.