Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der KI-Voice-Assistenten der Coolblack GmbH.

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Die Verarbeitung erfolgt ausschließlich im Rahmen der Bereitstellung von KI-basierten Telefonassistenten und Voice-Bots gemäß dem Hauptvertrag.

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages über die Nutzung der KI-Voice-Assistenten.

(3) Art der Verarbeitung:

• Entgegennahme und Verarbeitung von Telefonanrufen
• Spracherkennung und Sprachsynthese (Text-to-Speech)
• Verarbeitung natürlicher Sprache durch KI-Modelle
• Terminbuchung und Kalenderintegration
• SMS- und E-Mail-Versand
• Protokollierung von Anrufen (Metadaten, Transkripte)
• Speicherung in der Wissensdatenbank

(4) Zweck der Verarbeitung:

• Automatisierte Anrufannahme und -bearbeitung
• Beantwortung von Kundenanfragen
• Terminvereinbarung und -verwaltung
• Weiterleitung an Mitarbeiter des Auftraggebers
• Erstellung von Statistiken und Auswertungen

(1) Kategorien personenbezogener Daten:

• Telefonnummern (Anrufer-ID)
• Sprachdaten (Audioaufnahmen)
• Transkripte der Gespräche
• Namen und Kontaktdaten (sofern genannt)
• E-Mail-Adressen
• Terminwünsche und -buchungen
• Gesprächsinhalte und Anfragen
• Metadaten (Datum, Uhrzeit, Dauer, Anrufstatus)

(2) Kategorien betroffener Personen:

• Kunden und Interessenten des Auftraggebers
• Geschäftspartner des Auftraggebers
• Sonstige Anrufer

(3) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden grundsätzlich nicht verarbeitet. Sollten Anrufer unaufgefordert sensible Daten (z.B. Gesundheitsdaten) mitteilen, werden diese nicht gesondert gespeichert oder ausgewertet.

(1) Weisungsgebundenheit: Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.

(2) Vertraulichkeit: Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Technische und organisatorische Maßnahmen: Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen (siehe Anlage TOM).

(4) Unterauftragnehmer: Der Auftragnehmer nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch (siehe §5).

(5) Unterstützung: Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner Pflichten gemäß Art. 32-36 DSGVO.

(6) Löschung/Rückgabe: Nach Abschluss der Verarbeitung werden alle personenbezogenen Daten nach Wahl des Auftraggebers gelöscht oder zurückgegeben (siehe §8).

(7) Nachweispflicht: Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen allein verantwortlich.

(2) Der Auftraggeber erteilt alle Weisungen schriftlich oder in Textform. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

(4) Der Auftraggeber ist verpflichtet, seine Anrufer (Kunden, Interessenten) gemäß Art. 13/14 DSGVO über die Datenverarbeitung durch den KI-Assistenten zu informieren, insbesondere:

• Hinweis auf den Einsatz eines KI-Assistenten
• Information über die Aufzeichnung und Verarbeitung des Gesprächs
• Hinweis auf die beteiligten Drittanbieter (OpenAI, ElevenLabs, etc.)

(5) Der Auftraggeber benennt einen Ansprechpartner für datenschutzrelevante Fragen.

(1) Der Auftraggeber erteilt hiermit seine allgemeine Genehmigung für den Einsatz der nachfolgend genannten Unterauftragnehmer. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern.

(2) Genehmigte Unterauftragnehmer:

Legende: DPF = EU-US Data Privacy Framework, SCCs = EU-Standardvertragsklauseln, AVV = Auftragsverarbeitungsvertrag

(3) Der Auftragnehmer stellt sicher, dass den Unterauftragnehmern dieselben Datenschutzpflichten auferlegt werden wie in diesem Vertrag.

(4) Der Auftraggeber kann der Hinzuziehung neuer Unterauftragnehmer innerhalb von 14 Tagen nach Information widersprechen. Im Falle eines berechtigten Widerspruchs kann der Hauptvertrag außerordentlich gekündigt werden.

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 12-22 DSGVO (Betroffenenrechte), insbesondere:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

(2) Wendet sich ein Betroffener direkt an den Auftragnehmer, wird dieser die Anfrage unverzüglich an den Auftraggeber weiterleiten.

(3) Die Unterstützung erfolgt im Rahmen des technisch Möglichen. Aufwändige Maßnahmen können nach Absprache vergütet werden.

(1) Der Auftraggeber hat das Recht, Überprüfungen – einschließlich Inspektionen – durchzuführen oder durch einen beauftragten Prüfer durchführen zu lassen.

(2) Inspektionen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und während der üblichen Geschäftszeiten durchzuführen.

(3) Der Auftragnehmer stellt alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung, insbesondere:

• Dokumentation der technischen und organisatorischen Maßnahmen
• Nachweise über Schulungen der Mitarbeiter
• Vertraulichkeitsverpflichtungen
• Verträge mit Unterauftragnehmern

(4) Alternativ zu einer Vor-Ort-Prüfung kann der Auftragnehmer aktuelle Zertifizierungen, Berichte unabhängiger Prüfer oder Selbstauskünfte vorlegen.

(1) Nach Beendigung des Hauptvertrages löscht der Auftragnehmer alle personenbezogenen Daten, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen.

(2) Auf Verlangen des Auftraggebers werden die Daten vor der Löschung in einem gängigen, maschinenlesbaren Format herausgegeben (z.B. CSV, JSON).

(3) Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende und wird auf Wunsch schriftlich bestätigt.

(4) Daten, die aufgrund gesetzlicher Aufbewahrungspflichten nicht gelöscht werden können, werden für die Dauer der Aufbewahrungsfrist gesperrt und nach Ablauf unverzüglich gelöscht.

(5) Die Löschung bei Unterauftragnehmern wird vom Auftragnehmer sichergestellt, soweit technisch möglich.

(1) Der Auftraggeber und der Auftragnehmer haften gegenüber betroffenen Personen nach Maßgabe des Art. 82 DSGVO.

(2) Im Innenverhältnis zwischen den Parteien haftet der Auftragnehmer nur für Schäden, die durch eine ihm zurechenbare Verletzung seiner Pflichten aus diesem Vertrag oder der DSGVO entstehen.

(3) Die Haftungsbeschränkungen des Hauptvertrages (AGB) gelten entsprechend, soweit nicht zwingende gesetzliche Vorschriften entgegenstehen.

(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform.

(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht dieser AVV vor.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit zulässig, Bad Salzuflen.

(5) Dieser Vertrag wird mit Abschluss des Hauptvertrages (Nutzungsvertrag für KI-Voice-Assistenten) wirksam und endet automatisch mit dessen Beendigung.

Stand: Januar 2026