Rechtliche Dokumente

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 15. Juli 2025

gemäß Art. 28 DSGVO

Zwischen - dem Kunden (der „Auftraggeber“) - itellico internet solutions GmbH, Postgasse 19, A-1010 Wien, Österreich (der „Auftragsverarbeiter“)

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten zur Erfüllung des zwischen den Parteien geschlossenen Dienstleistungsvertrags („Hauptvertrag“).

1. Gegenstand, Dauer und Spezifikation der Datenverarbeitung

1.1 Vertragsgegenstand

Gegenstand der Datenverarbeitung ist die Erbringung der im Hauptvertrag definierten Dienstleistungen.

1.2 Art und Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich der Erbringung der im Hauptvertrag definierten Dienstleistungen.

1.3 Art der personenbezogenen Daten

  • Inhaltsdaten:
    • Sprach- und Audiodaten aller Interaktionen
    • Gesprächsinhalte in Textform (Transkripte)
    • Alle vom Auftraggeber im Rahmen des Hauptvertrags zur Verfügung gestellten Daten und Inhalte
    • Alle vom Endnutzer freiwillig bereitgestellten Daten und Informationen
  • Kontaktdaten (sofern vom Endnutzer bereitgestellt):
    • Telefonnummer (als Teil der Verbindungsdaten)
    • Name (sofern vom Endnutzer aktiv angegeben, da keine proaktive Abfrage erfolgt)
    • E-Mail-Adresse (sofern vom Endnutzer aktiv angegeben, da keine proaktive Abfrage erfolgt)
  • Nutzungsdaten (Metadaten für Abrechnung und Analyse):
    • Eindeutige Kennungen (z.B. Anruf-ID, Session-ID)
    • Zeitstempel und Dauer der Interaktion
    • Token-Verbrauch (für KI-basierte Dienste und Abrechnungszwecke)
    • Technische Parameter der Übertragung
    • IP-Adresse

1.4 Kategorien der betroffenen Personen

  • Endnutzer des Verantwortlichen (z.B. Kunden, Interessenten), die mit dem KI-Sprachassistenten interagieren.

1.5 Dauer der Verarbeitung

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

2. Pflichten des Auftragsverarbeiters

2.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Die Nutzung der im Hauptvertrag definierten Dienstleistungen durch den Auftraggeber gilt als Weisung.

2.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind.

2.3 Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung. Die konkret umgesetzten TOMs sind im Anhang zu dieser Vereinbarung aufgeführt.

2.4 Keine Nutzung für KI-Training

Der Auftragsverarbeiter sichert zu, dass für die Verarbeitung von Inhaltsdaten wie Sprach- und Textdaten (z.B. für Transkription, Inhaltsgenerierung und Text-to-Speech-Synthese) ausschließlich APIs von Sub-Auftragsverarbeitern genutzt werden, die vertraglich garantieren, dass übermittelte Daten nicht für das Training von KI-Modellen verwendet werden. Dies gilt für alle eingesetzten Anbieter mit Ausnahme von Cartesia. Die Verarbeitung erfolgt gemäß den jeweiligen Datenschutzbestimmungen der eingesetzten Anbieter und den in dieser Vereinbarung festgelegten Pflichten.

3. Sub-Auftragsverarbeiter

3.1 Einsatz von Sub-Auftragsverarbeitern

Der Auftraggeber stimmt dem Einsatz von Sub-Auftragsverarbeitern zur Erbringung der vertraglichen Leistungen generell zu. Der Auftragsverarbeiter führt und pflegt eine aktuelle Liste aller eingesetzten Sub-Auftragsverarbeiter unter https://itellico.ai/de/rechtliches/datenverarbeiter/.

3.2 Vertragliche Verpflichtungen und Garantien

Der Auftragsverarbeiter stellt durch den Abschluss von Verträgen (in der Regel die Standard-Auftragsverarbeitungsverträge der Anbieter) sicher, dass jeder Sub-Auftragsverarbeiter Datenschutzverpflichtungen unterliegt, die den in diesem AVV festgelegten materiell entsprechen (gemäß Art. 28 Abs. 4 DSGVO).

3.3 Drittlandübermittlungen

Für Sub-Auftragsverarbeiter mit Sitz außerhalb der EU/des EWR stellt der Auftragsverarbeiter sicher, dass ein angemessenes Datenschutzniveau besteht, z.B. durch die Zertifizierung unter dem EU-US Data Privacy Framework (sofern anwendbar) oder den Abschluss der EU-Standardvertragsklauseln (SVK) und erforderliche zusätzliche Schutzmaßnahmen.

3.4 Information und Widerspruchsrecht

Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung bezüglich der Hinzuziehung neuer oder der Ersetzung bestehender Sub-Auftragsverarbeiter mindestens 15 Tage vor der geplanten Beauftragung und gibt dem Auftraggeber so die Möglichkeit, aus wichtigem datenschutzrechtlichem Grund Widerspruch einzulegen.

4. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten in Bezug auf die Rechte der betroffenen Personen (z.B. Auskunft, Berichtigung, Löschung).

5. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).

5.1 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich nach Kenntnisnahme jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 2 DSGVO. Die Meldung erfolgt spätestens innerhalb von 24 Stunden nach Kenntniserlangung unter privacy@itellico.ai.

6. Datenaufbewahrung und Löschung

6.1 Verarbeitung während der Vertragslaufzeit

  • Standard-Speicherung von Inhalts- und Kontaktdaten: Solange der Hauptvertrag aktiv ist, werden Inhaltsdaten (z.B. Aufzeichnungen, Transkripte, Wissensdatenbanken, Einstellungen) und zugehörige Kontaktdaten für den Verantwortlichen als Teil der vereinbarten Dienstleistung gespeichert und nicht automatisch gelöscht.
  • Konfigurierbare Datenverarbeitung: Der Verantwortliche kann über die Plattform-Einstellungen die Verarbeitung verschiedener Datentypen steuern:
    • Flexible Verarbeitung: Der Verantwortliche kann Aufbewahrungseinstellungen für verschiedene Datentypen mit folgenden Kategorien konfigurieren:
      • Vollständig konfigurierbare Einstellungen: Bestimmte Datentypen können vollständig deaktiviert werden (Zero Retention) oder mit frei konfigurierbaren Aufbewahrungsfristen versehen werden (z.B. Anrufaufzeichnungen, automatisierte Post-Call-Analysen wie Zusammenfassungen).
      • Mindestaufbewahrung erforderlich: Andere Datentypen unterliegen Mindestaufbewahrungsfristen wie an anderer Stelle in diesem AVV für operative und rechtliche Zwecke definiert, können aber für längere Aufbewahrungsfristen über diese Mindestanforderungen hinaus konfiguriert werden (z.B. Transkripte, System-Prompts, API-Aufrufprotokolle).
    • Mindestaufbewahrung: IP-Adressen werden für IT-Sicherheit und Betrugsprävention 30 Tage aufbewahrt und danach gelöscht oder anonymisiert. Telefonnummern und andere technische Metadaten werden bis zu 90 Tage nach der Abrechnung zur Einhaltung von Telekommunikationsvorschriften aufbewahrt und werden danach automatisch gelöscht oder anonymisiert.
    • Missbrauchsüberwachung und Rechtsverteidigung: Entsprechend Industriestandards werden bestimmte Daten bis zu 30 Tage aufbewahrt, um Missbrauch zu identifizieren und die Einhaltung von Nutzungsrichtlinien sicherzustellen:
      • System-Prompts und Gesprächskontext: werden bis zu 30 Tage für Missbrauchserkennung und Musteranalyse aufbewahrt
      • Gesprächstranskripte und Ereignisse: werden bis zu 30 Tage für die Überwachung der Einhaltung von Plattformrichtlinien aufbewahrt
      • API-Aufrufprotokolle und Funktionsaufrufe: werden bis zu 30 Tage für technische Untersuchungen und Streitbeilegung aufbewahrt
      • Diese Aufbewahrungsfrist gilt unabhängig von kundenspezifischen Aufbewahrungseinstellungen und dient berechtigten Geschäftsinteressen zur Verhinderung von Plattform-Missbrauch und zur Verteidigung gegen potenzielle Verletzungen, die von KI-Dienstleistern gemeldet werden.
    • Gesetzliche Aufbewahrung: Abrechnungsrelevante Metadaten müssen gemäß gesetzlichen Pflichten aufbewahrt werden und können nicht vorzeitig gelöscht werden.
  • Grenzen der Konfigurierbarkeit: Die vom Verantwortlichen konfigurierbaren Aufbewahrungsfristen für Inhaltsdaten können die in Abschnitt 6.3 definierten Mindestaufbewahrungsfristen für Metadaten des Auftragsverarbeiter nicht unterschreiten. Die Generierung und Aufbewahrung von abrechnungsrelevanten und sonstigen Metadaten durch den Auftragsverarbeiter bleibt von kundenspezifischen Einstellungen unberührt.

6.2 Löschung von Verkehrsdaten und sonstigen personenbezogenen Daten

Automatische Löschung von Verkehrsdaten gemäß § 167 TKG 2021: Der Auftragsverarbeiter löscht oder anonymisiert Verkehrsdaten (Telefonnummern, exakte Zeitstempel, Anruf-IDs) automatisch nach folgenden Fristen:

- Vorauszahlung/Prepaid: Bei Anrufen, die durch Vorauszahlungen oder Jahresverträge abgedeckt sind, erfolgt die Löschung 90 Tage nach dem Anrufdatum. - Nachträgliche Abrechnung: Bei Anrufen, die nachträglich abgerechnet werden, erfolgt die Löschung 90 Tage nach dem Abrechnungsdatum.

Löschung und Rückgabe nach Vertragsende oder auf Anfrage: Nach Vertragsende: Nach Abschluss der Erbringung der Verarbeitungsleistungen (d.h. nach Beendigung des Hauptvertrags) ist der Auftragsverarbeiter verpflichtet, alle verbleibenden Inhalts- und Kontaktdaten nach einer Frist von 90 Tagen unwiderruflich zu löschen, einschließlich aller vorhandenen Kopien.

Auf Weisung des Verantwortlichen: Der Auftragsverarbeiter wird nach Wahl des Verantwortlichen entweder (a) alle personenbezogenen Daten an den Verantwortlichen zurückgeben oder (b) alle personenbezogenen Daten und vorhandenen Kopien unwiderruflich löschen, soweit nicht nach EU- oder mitgliedstaatlichem Recht eine Speicherung erforderlich ist.

Abrechnungsrelevante Metadaten müssen weiterhin gemäß den gesetzlichen Aufbewahrungsfristen aufbewahrt werden.

6.3 Aufbewahrung von Metadaten

Die Aufbewahrung von Metadaten erfolgt zweckgebunden und differenziert nach Datentyp:
  • Abrechnungsrelevante Metadaten: Zur Erfüllung gesetzlicher Buchführungs- und Nachweispflichten (z.B. 7 Jahre gemäß § 212 UGB in Österreich) werden abrechnungsrelevante Metadaten (z.B. Kunden-ID, Dauer, Token-Verbrauch) für die Dauer der gesetzlichen Fristen aufbewahrt.
  • Anonymisierte Daten: Nach vollständiger Anonymisierung können Daten für statistische Auswertungen und Produktverbesserungen ohne zeitliche Begrenzung aufbewahrt werden, da sie keinen Personenbezug mehr aufweisen.

7. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieser Vereinbarung durch den Auftragsverarbeiter zu überprüfen. Diese Überprüfungen sind mit angemessener Frist anzukündigen und während der üblichen Geschäftszeiten durchzuführen. Der Auftragsverarbeiter kann den Nachweis der Einhaltung auch durch die Vorlage geeigneter, aktueller Zertifikate, Berichte oder Testate von unabhängigen Prüfinstanzen (z.B. Wirtschaftsprüfer, Datenschutzbeauftragter, Sicherheitszertifizierungen) erbringen.

---

Anhang – Technisch-organisatorische Maßnahmen (TOMs)

Stand: 15. Juli 2025

Die folgenden Maßnahmen sind die vom Auftragsverarbeiter tatsächlich umgesetzten technischen und organisatorischen Maßnahmen zur Sicherstellung der Datenverarbeitung.

1. Zutrittskontrolle (Physische Sicherheit)

  • Rechenzentren: AWS Frankfurt (eu-central-1) mit GDPR-Konformität.
  • Zugang: Biometrische Kontrollen und 24/7-Überwachung durch das AWS-Rechenzentrum.

2. Zugangskontrolle (Systemzugang)

  • Administratoren: Multi-Faktor-Authentifizierung (MFA) ist obligatorisch.
  • Anwendungen: Token-basierte API-Authentifizierung.
  • Prinzip: Strikte rollenbasierte Zugriffskontrolle (RBAC).

3. Zugriffskontrolle (Berechtigungen)

  • Datenbanken: Zugriff ausschließlich aus dem geschützten Kubernetes-Cluster.
  • Storage: Granulare S3-Bucket-Policies nach dem Least-Privilege-Prinzip.
  • Secrets: Nutzung von AWS Secrets Manager für alle Zugangsdaten.

4. Trennungskontrolle (Datentrennung)

  • Mandanten: Strikte logische Mandantentrennung auf Anwendungsebene. Jedem Mandanten wird eine eindeutige ID (UUID) zugewiesen, die bei jedem Datenzugriff validiert wird. Dies stellt sicher, dass Abfragen nur Daten des jeweiligen Mandanten zurückgeben können.
  • Umgebungen: Getrennte Virtual Private Clouds (VPCs) für Entwicklungs- und Produktionssysteme.
  • Container: Kubernetes-Namespaces zur Isolation von Diensten.

5. Pseudonymisierung und Verschlüsselung

  • Daten im Transit: TLS 1.3 für alle Datenübertragungen.
  • Daten im Ruhezustand: AES-256-Verschlüsselung für S3-Storage und Backups.
  • Pseudonymisierung: Wird bei Bedarf auf bestimmte personenbezogene Daten angewendet.

6. Verfügbarkeitskontrolle

  • Hochverfügbarkeit: Multi-AZ-Deployment über mindestens 3 Availability Zones.
  • Backups: Regelmäßige automatische Sicherungen mit angemessenen Aufbewahrungsfristen.
  • Monitoring: 24/7-Überwachung der Systemleistung mit automatischen Alarmen.

7. Eingabekontrolle (Protokollierung)

  • System-Logs: Nutzung von AWS CloudTrail für alle API-Aufrufe.
  • Zugriffs-Logs: Vollständige Protokollierung aller Zugriffe auf sensible Daten.
  • Audit: Kubernetes-Audit-Logs zur Nachverfolgung von Container-Aktivitäten.

8. Auftragskontrolle (Compliance)

  • Prozesse: Dokumentierte Standard Operating Procedures (SOPs) für kritische Abläufe.
  • Change Management: Versionskontrollierte Infrastruktur (Infrastructure-as-Code).
  • Training: Regelmäßige Datenschutz- und Sicherheitsschulungen für alle relevanten Mitarbeiter.
Mit Lisa sprechen

Lisa, Ihre digitale Mitarbeiterin

Bereit zu helfen

Lisa, Ihre digitale Mitarbeiterin

Lernen Sie Lisa kennen, Ihre digitale Mitarbeiterin

Erleben Sie natürliche Gespräche mit fortschrittlicher Sprach-KI-Technologie

Durch Klicken auf Gespräch starten stimmen Sie unserer Datenschutzrichtlinie zu

Verbindung zu Lisa wird hergestellt...

Powered by itellicoAI • Datenschutz
Lisa, Ihre digitale Mitarbeiterin
Lisa hört zu...