Skip to main content

Documentation Index

Fetch the complete documentation index at: https://docs.salesfrank.com/llms.txt

Use this file to discover all available pages before exploring further.

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen dem Kunden der Plattform „SalesFrank” (nachfolgend „Auftraggeber” oder „Verantwortlicher”) und Another Side Ventures Free Zone LLC
Al Shohada Road, Ras Al Khaimah, Vereinigte Arabische Emirate
(nachfolgend „Auftragnehmer” oder „Auftragsverarbeiter”) — gemeinsam nachfolgend „Parteien” — EU-Vertreter des Auftragnehmers gemäß Art. 27 DSGVO:
Thomas Bergmann
E-Mail: info@salesfrank.com Stand: März 2026

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV”) konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO im Zusammenhang mit der Nutzung der SaaS-Plattform „SalesFrank” (nachfolgend „Plattform”) durch den Auftraggeber. (2) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und auf dokumentierte Weisung des Auftraggebers. Die Einzelheiten der Verarbeitung, insbesondere Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen, sind in Anlage 1 dieses AVV beschrieben. (3) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrages (Nutzungsvertrags der Plattform). Dieser AVV endet automatisch mit Beendigung des Hauptvertrages, sofern nicht gesetzliche Aufbewahrungspflichten eine fortdauernde Speicherung erfordern.

§ 2 Weisungsbefugnis

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, der Auftragnehmer ist nach dem Recht der Europäischen Union oder dem Recht eines EU-Mitgliedstaates, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. (2) Die Weisungen des Auftraggebers werden initial durch diesen AVV und den Nutzungsvertrag festgelegt und können im Weiteren schriftlich oder in Textform (E-Mail) angepasst werden. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. (3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich insbesondere: (1) Personenbezogene Daten nur im Rahmen der dokumentierten Weisungen des Auftraggebers und der Zweckbestimmung des Hauptvertrages zu verarbeiten. (2) Alle Personen, die Zugang zu den personenbezogenen Daten haben, zur Vertraulichkeit zu verpflichten oder sicherzustellen, dass diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Vertragsverhältnisses fort. (3) Die in Anlage 2 beschriebenen technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten umzusetzen und während der Vertragslaufzeit aufrechtzuerhalten. Der Auftragnehmer gewährleistet, dass die Maßnahmen dem aktuellen Stand der Technik entsprechen und ein dem Risiko der Verarbeitung angemessenes Schutzniveau bieten (Art. 32 DSGVO). (4) Den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen, insbesondere bei:
  • Sicherheit der Verarbeitung (Art. 32 DSGVO)
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO)
  • Benachrichtigung der betroffenen Personen (Art. 34 DSGVO)
  • Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
  • Vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)
(5) Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen — einschließlich Inspektionen — durch den Auftraggeber oder einen von ihm beauftragten Prüfer zu ermöglichen und dazu beizutragen. (6) Den Zugang zu personenbezogenen Daten ausschließlich autorisierten Mitarbeitern zu gewähren, die den Zugang zur Erfüllung ihrer Aufgaben benötigen (Need-to-Know-Prinzip). (7) Den Auftraggeber bei der Führung seines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu unterstützen, indem er dem Auftraggeber auf Anfrage die hierfür erforderlichen Informationen bereitstellt. Dies umfasst insbesondere Angaben zu den Kategorien der verarbeiteten Daten, den Verarbeitungszwecken, den eingesetzten Unterauftragsverarbeitern, den Aufbewahrungsfristen und den getroffenen technisch-organisatorischen Maßnahmen. Die in diesem AVV und seinen Anlagen enthaltenen Informationen dienen dem Auftraggeber als Grundlage für sein Verarbeitungsverzeichnis. (8) Den Auftraggeber bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO zu unterstützen, soweit die vom Auftragnehmer durchgeführte Verarbeitung betroffen ist. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die hierfür erforderlichen Informationen zur Art der Verarbeitung, zum Umfang, zu den Umständen und zu den Risiken bereit. Der Auftragnehmer unterstützt den Auftraggeber ferner bei der vorherigen Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO, sofern eine solche erforderlich ist. (9) Den Auftraggeber unverzüglich — in der Regel innerhalb von 24 Stunden — zu informieren, wenn dem Auftragnehmer eine unrechtmäßige Verwendung, Kenntnisnahme oder Weitergabe von personenbezogenen Daten bekannt wird, die im Rahmen der Auftragsverarbeitung verarbeitet werden. Diese Meldepflicht besteht ergänzend zu der Meldepflicht bei Datenschutzverletzungen gemäß § 6 dieses AVV und umfasst insbesondere Fälle, in denen autorisierte Personen unbefugt auf Daten zugreifen, Daten unbefugt an Dritte weitergeben oder Daten für nicht autorisierte Zwecke verwenden. Der Auftragnehmer setzt angemessene Maßnahmen zur Erkennung solcher Vorfälle ein, insbesondere durch Zugriffsprotokollierung und regelmäßige Überprüfung der Zugriffsprotokolle.

§ 4 Pflichten des Auftraggebers (Verantwortlicher)

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich. (2) Der Auftraggeber stellt sicher, dass:
  • er über eine Rechtsgrundlage für die Verarbeitung der an den Auftragnehmer übermittelten personenbezogenen Daten verfügt
  • die betroffenen Personen gemäß Art. 13 und 14 DSGVO informiert werden
  • er die Weisung zur Verarbeitung erteilt und diese dokumentiert
  • er die vom Auftragnehmer getroffenen technisch-organisatorischen Maßnahmen als angemessen beurteilt hat
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt. (4) Abgrenzung der Verantwortlichkeiten: Die Parteien stellen klar, dass der Auftragnehmer hinsichtlich der personenbezogenen Daten der Kontaktpersonen (Daten, die der Auftraggeber auf die Plattform hochlädt und die im Rahmen der automatisierten Telefonate verarbeitet werden) als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO handelt. Für diese Daten gelten die Regelungen dieses AVV uneingeschränkt. Hinsichtlich der Stammdaten des Auftraggebers selbst (Registrierungsdaten, Kontaktdaten des Ansprechpartners, Unternehmensdaten, Zahlungsinformationen) handelt der Auftragnehmer hingegen als eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen, insbesondere handels- und steuerrechtlicher Aufbewahrungspflichten). Die Verarbeitung der Stammdaten des Auftraggebers unterliegt nicht dem Weisungsrecht des Auftraggebers. Nähere Informationen ergeben sich aus der Datenschutzerklärung des Auftragnehmers unter salesfrank.com.

§ 5 Rechte betroffener Personen

(1) Soweit eine betroffene Person Ansprüche auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch gemäß Art. 15 bis 21 DSGVO direkt gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen und den Auftraggeber unverzüglich informieren. (2) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des technisch Möglichen und Zumutbaren bei der Erfüllung von Betroffenenrechten. Der Auftragnehmer stellt dem Auftraggeber hierfür die erforderlichen technischen Funktionen im Dashboard zur Verfügung (u. a. Datenexport, Datenlöschung). (3) Die Unterstützung bei der Erfüllung von Standardanfragen betroffener Personen (insbesondere Auskunft, Löschung und Berichtigung einzelner Datensätze) ist mit der vereinbarten Vergütung abgegolten, soweit sie über die im Dashboard bereitgestellten Funktionen abgewickelt werden können. Soweit die Unterstützung bei der Erfüllung von Betroffenenrechten darüber hinaus einen unverhältnismäßigen Aufwand verursacht (z. B. umfangreiche manuelle Recherchen, Sonderexporte), ist der Auftragnehmer berechtigt, den Mehraufwand gesondert zu berechnen.

§ 6 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, über jede Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO, die im Zusammenhang mit der Auftragsverarbeitung steht. (2) Die Meldung enthält mindestens:
  • eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
  • den Namen und die Kontaktdaten eines Ansprechpartners
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung der Folgen
(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 7 Unterauftragsverarbeitung

(1) Der Auftragnehmer bedient sich zur Erbringung der vertragsgegenständlichen Leistungen der in Anlage 3 aufgeführten Unterauftragsverarbeiter. Der Auftraggeber erklärt mit Abschluss dieses AVV seine allgemeine Genehmigung für den Einsatz dieser Unterauftragsverarbeiter. (2) Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus informieren, um dem Auftraggeber die Möglichkeit zu geben, gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). (3) Erhebt der Auftraggeber Einspruch gegen einen neuen Unterauftragsverarbeiter, werden die Parteien eine einvernehmliche Lösung anstreben. Ist eine Einigung nicht möglich, ist jede Partei berechtigt, den Hauptvertrag mit einer Frist von 30 Tagen zum Monatsende zu kündigen. (4) Der Auftragnehmer legt dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind, insbesondere durch den Abschluss eines Auftragsverarbeitungsvertrages. Der Auftragnehmer bleibt dem Auftraggeber gegenüber für die Einhaltung der Pflichten durch den Unterauftragsverarbeiter verantwortlich. (5) Die aktuelle Liste der Unterauftragsverarbeiter kann jederzeit beim Auftragnehmer angefragt werden und wird im Rahmen der Plattform-Dokumentation veröffentlicht.

§ 8 Datenübermittlung in Drittländer

(1) Die Verarbeitung personenbezogener Daten findet grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR) statt. Die Kernsysteme der Plattform (Hosting, Datenbank, Anwendungsserver) werden auf Microsoft Azure in der Region EU West (Niederlande) betrieben. (2) Soweit Unterauftragsverarbeiter personenbezogene Daten in Drittländer übermitteln oder von dort aus darauf zugreifen, stellt der Auftragnehmer sicher, dass eine der folgenden Garantien gemäß Art. 44 ff. DSGVO vorliegt:
  • Ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO (z. B. EU-US Data Privacy Framework)
  • Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c) DSGVO
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) gemäß Art. 47 DSGVO
(3) Der Auftragnehmer hat für Unterauftragsverarbeiter mit Sitz in den USA die Teilnahme am EU-US Data Privacy Framework geprüft und/oder Standardvertragsklauseln vereinbart. Ergänzend wurden Transfer Impact Assessments (TIAs) durchgeführt, die das Datenschutzniveau im Empfängerland bewerten und bei Bedarf zusätzliche technische Schutzmaßnahmen (z. B. Verschlüsselung, Pseudonymisierung, vertragliche Zusatzsicherungen) vorsehen. (4) Der Auftragnehmer hat seinen Geschäftssitz in den Vereinigten Arabischen Emiraten (VAE). Die Verarbeitung und Speicherung personenbezogener Daten erfolgt jedoch ausschließlich auf Servern innerhalb der EU (Microsoft Azure, Region EU West). Der administrative Fernzugriff auf die Systeme durch autorisiertes Personal des Auftragnehmers erfolgt ausschließlich über verschlüsselte Verbindungen (VPN mit End-to-End-Verschlüsselung) und unter Einsatz von Multi-Faktor-Authentifizierung. Es werden keine personenbezogenen Daten auf Endgeräten außerhalb der EU gespeichert. Da der Fernzugriff aus den VAE als Übermittlung personenbezogener Daten in ein Drittland im Sinne der Art. 44 ff. DSGVO einzustufen sein kann, hat der Auftragnehmer Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission als Rechtsgrundlage für diesen Zugriff implementiert. Ergänzend hat der Auftragnehmer ein Transfer Impact Assessment (TIA) durchgeführt, das unter Berücksichtigung der ausschließlich administrativen Natur des Zugriffs, der eingesetzten Verschlüsselung, der Multi-Faktor-Authentifizierung und der Tatsache, dass keine Daten lokal gespeichert werden, zu dem Ergebnis kommt, dass die Standardvertragsklauseln in Verbindung mit den ergänzenden technischen und organisatorischen Maßnahmen (vgl. Anlage 2) ein angemessenes Schutzniveau gewährleisten. (5) Der Auftragnehmer hat gemäß Art. 27 DSGVO einen Vertreter in der Europäischen Union benannt: Thomas Bergmann, erreichbar unter info@salesfrank.com. Der EU-Vertreter dient als Anlaufstelle für betroffene Personen und Aufsichtsbehörden. (6) Die dokumentierten Transfer Impact Assessments — sowohl für den administrativen Fernzugriff als auch für die eingesetzten Unterauftragsverarbeiter — können auf Anfrage durch den Auftraggeber eingesehen werden. (7) Die Parteien vereinbaren ergänzend die Anwendung der Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission (Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter) als Rechtsgrundlage für den administrativen Fernzugriff aus den VAE sowie für sonstige Übermittlungen personenbezogener Daten in Drittländer im Rahmen dieses AVV. Die Einzelheiten sind in der Anlage 4 (Standardvertragsklauseln) dieses AVV geregelt.

§ 9 Löschung und Rückgabe personenbezogener Daten

(1) Nach Beendigung des Hauptvertrages löscht der Auftragnehmer — nach Wahl des Auftraggebers — sämtliche im Auftrag verarbeiteten personenbezogenen Daten unwiderruflich oder gibt sie an den Auftraggeber zurück, sofern nicht eine gesetzliche Verpflichtung zur weiteren Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO). Der Auftraggeber teilt seine Wahl spätestens innerhalb der in Absatz 2 genannten Frist mit. Erfolgt keine Mitteilung, werden die Daten gelöscht. Die Löschung erfolgt innerhalb von 60 Tagen nach Ablauf der in Absatz 2 genannten Export-Frist, insgesamt spätestens innerhalb von 90 Tagen nach Vertragsende. (2) Vor der Löschung räumt der Auftragnehmer dem Auftraggeber eine Frist von 30 Tagen ab Vertragsende ein, um seine Daten über die im Dashboard bereitgestellte Exportfunktion zu sichern. Der Datenexport wird in einem maschinenlesbaren, strukturierten und gängigen Format (CSV/JSON) zur Verfügung gestellt. (3) Der Auftraggeber kann während der Vertragslaufzeit jederzeit über das Dashboard:
  • Kontaktdaten und Gesprächsdaten einsehen und exportieren
  • Einzelne Datensätze oder Kampagnen löschen
  • Gesprächsaufzeichnungen und Transkripte löschen
(4) Nach vollständiger Löschung bestätigt der Auftragnehmer die Löschung auf Anfrage schriftlich oder in Textform. (5) Gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche Aufbewahrungsfristen für Rechnungsdaten) bleiben von den vorstehenden Regelungen unberührt. Soweit eine weitere Speicherung erforderlich ist, werden die betroffenen Daten gesperrt und nur für den gesetzlich vorgeschriebenen Zweck verarbeitet.

§ 10 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung der Vorgaben dieses AVV und der anwendbaren datenschutzrechtlichen Bestimmungen durch den Auftragnehmer zu überprüfen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber die hierfür erforderlichen Informationen zur Verfügung zu stellen. (2) Inspektionen vor Ort werden nach rechtzeitiger Ankündigung (in der Regel mindestens 14 Tage im Voraus) und unter Berücksichtigung der betrieblichen Belange des Auftragnehmers ermöglicht. Der Auftraggeber kann sich durch einen zur Verschwiegenheit verpflichteten Dritten vertreten lassen. (3) Der Auftragnehmer kann alternativ aktuelle Zertifizierungen, Prüfberichte oder Testate unabhängiger Prüfer (z. B. SOC-2-Berichte, ISO-27001-Zertifizierungen) als Nachweis vorlegen. (4) Audits bei Unterauftragsverarbeitern: Soweit der Auftraggeber eine Überprüfung eines vom Auftragnehmer eingesetzten Unterauftragsverarbeiters wünscht, ist diese Überprüfung grundsätzlich direkt mit dem jeweiligen Unterauftragsverarbeiter abzustimmen und durchzuführen. Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage bei der Kontaktaufnahme mit dem Unterauftragsverarbeiter. Soweit der Unterauftragsverarbeiter eigene Prüfberichte, Zertifizierungen oder Compliance-Dokumentation (z. B. SOC-2-Berichte, ISO-27001-Zertifikate, DPA-Dokumentation) bereitstellt, leitet der Auftragnehmer diese auf Anfrage an den Auftraggeber weiter, soweit er hierzu berechtigt ist. (5) Kosten und Rahmenbedingungen der Kontrollen: Inspektionen und Audits sind so durchzuführen, dass der laufende Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigt wird. Der Auftraggeber trägt seine eigenen Kosten für die Durchführung von Audits. Soweit ein Audit einen unverhältnismäßigen Aufwand auf Seiten des Auftragnehmers verursacht, der über die Bereitstellung der in Absatz 1 und 3 genannten Informationen hinausgeht, ist der Auftragnehmer berechtigt, den Mehraufwand zu den jeweils geltenden Stundensätzen zu berechnen. Der Auftragnehmer wird den Auftraggeber vor Beginn des Audits über den voraussichtlichen Aufwand informieren.

§ 11 Haftung

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Danach haftet jede an der Verarbeitung beteiligte Partei für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht werden. (2) Der Auftragnehmer haftet gegenüber betroffenen Personen für den durch die Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell an Auftragsverarbeiter gerichteten Pflichten aus der DSGVO nicht nachgekommen ist oder er unter Missachtung der rechtmäßig erteilten Anweisungen des Auftraggebers oder gegen diese Anweisungen gehandelt hat. (3) Der Auftragnehmer wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist. (4) Im Innenverhältnis der Parteien haftet der Auftraggeber für Schäden, die aus einer rechtswidrigen Datenverarbeitung resultieren, soweit er die Rechtswidrigkeit der Weisung oder der Datenerhebung zu vertreten hat. Dies umfasst insbesondere:
  • die rechtswidrige Erhebung von Kontaktdaten
  • die fehlende Rechtsgrundlage für die telefonische Kontaktaufnahme
  • die inhaltliche Konfiguration der KI-Agenten

§ 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses. (2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. (3) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) gehen die Regelungen dieses AVV in Bezug auf den Schutz personenbezogener Daten vor. (4) Dieser AVV unterliegt hinsichtlich des Datenschutzrechts dem Recht der Europäischen Union (DSGVO) in Verbindung mit dem jeweils anwendbaren nationalen Datenschutzrecht.

Anlage 1: Beschreibung der Datenverarbeitung

1. Gegenstand der Verarbeitung

Der Auftragnehmer stellt dem Auftraggeber die SaaS-Plattform „SalesFrank” zur Verfügung. Über die Plattform führt der Auftragnehmer im Auftrag des Auftraggebers automatisierte, KI-gestützte Telefonanrufe durch, zeichnet Gespräche auf, erstellt Transkriptionen und stellt die Ergebnisse dem Auftraggeber über ein Dashboard zur Verfügung.

2. Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der:
  • Durchführung automatisierter ein- und ausgehender Telefonanrufe im Auftrag des Auftraggebers
  • Aufzeichnung und Transkription der geführten Gespräche
  • Darstellung der Gesprächsergebnisse und Kampagnendaten im Dashboard
  • Terminplanung und Kalenderintegration (sofern vom Auftraggeber konfiguriert)
  • Nachverfolgung und automatisiertes Follow-up
  • Bereitstellung und Abrechnung der Plattform

2a. Art der Verarbeitungsvorgänge

Im Rahmen der Auftragsverarbeitung führt der Auftragnehmer folgende Verarbeitungsvorgänge im Sinne des Art. 4 Nr. 2 DSGVO durch:
VerarbeitungsvorgangBeschreibung
ErhebungEntgegennahme der vom Auftraggeber hochgeladenen Kontaktdaten über die Plattform (Dashboard, API-Upload, CSV-Import)
Organisation und OrdnenStrukturierung der Kontaktdaten in Kampagnen, Listen und Kategorien gemäß der Konfiguration des Auftraggebers
SpeicherungPersistente Speicherung der Kontaktdaten, Gesprächsaufzeichnungen, Transkripte und Metadaten auf den EU-Servern des Auftragnehmers (Microsoft Azure, EU West)
Anpassung und VeränderungAktualisierung von Kontaktdaten und Gesprächsstatus basierend auf Gesprächsergebnissen (z. B. „Termin vereinbart”, „kein Interesse”)
AbfrageZugriff auf gespeicherte Daten durch den Auftraggeber über das Dashboard sowie durch autorisiertes Personal des Auftragnehmers im Rahmen des Betriebs
VerwendungNutzung der Kontaktdaten zur Durchführung der KI-gestützten Telefonanrufe; Nutzung der Audiodaten zur Echtzeit-Transkription und KI-Verarbeitung
ÜbermittlungÜbermittlung von Audiodaten an Sprachdienstleister (STT/TTS) zur Echtzeitverarbeitung; Übermittlung von Textdaten an LLM-Dienste zur Gesprächsführung (vgl. Anlage 3)
VerknüpfungVerknüpfung von Kontaktdaten mit Gesprächsergebnissen, Transkripten und Terminvereinbarungen
EinschränkungSperrung von Daten bei Ausübung des Rechts auf Einschränkung durch betroffene Personen oder nach Vertragsende
Löschung und VernichtungLöschung einzelner Datensätze auf Weisung des Auftraggebers (Dashboard); vollständige Löschung nach Vertragsende gemäß § 9 AVV

3. Art der verarbeiteten personenbezogenen Daten

a) Daten des Auftraggebers (Nutzerdaten)

  • Vor- und Nachname
  • E-Mail-Adresse
  • Telefonnummer
  • Unternehmensdaten (Firmenname, Adresse)
  • Zahlungsinformationen (verarbeitet über Stripe)
  • Anmeldedaten / Nutzerkonto-Informationen

b) Daten der Kontaktpersonen (durch den Auftraggeber hochgeladen)

  • Telefonnummer (Pflichtfeld für die Durchführung des Anrufs)
  • Weitere vom Auftraggeber optional bereitgestellte Daten, darunter:
    • Vor- und Nachname
    • E-Mail-Adresse
    • Unternehmensdaten (Firmenname, Position, Branche)
    • Sonstige vom Auftraggeber hochgeladene Informationen

c) Gesprächsdaten

  • Gesprächsaufzeichnungen (Audio)
  • Transkripte der Gespräche
  • Gesprächsmetadaten (Datum, Uhrzeit, Dauer, Ergebnis, Anrufstatus)
  • Aus Gesprächen extrahierte Daten (z. B. vereinbarte Termine, Qualifizierungsergebnisse)

4. Kategorien betroffener Personen

  • Nutzer der Plattform: Mitarbeiter und Vertreter des Auftraggebers, die die Plattform nutzen
  • Kontaktpersonen: Natürliche Personen, deren Kontaktdaten der Auftraggeber auf die Plattform hochlädt und die von den KI-Agenten kontaktiert werden. In der Regel handelt es sich um geschäftliche Kontakte (B2B) wie Geschäftsführer, Vertriebsleiter oder sonstige Entscheidungsträger.

5. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Hauptvertrages. Nach Vertragsende werden die Daten gemäß § 9 dieses AVV gelöscht. Aufbewahrungsfristen während der Vertragslaufzeit:
DatenartAufbewahrungLöschung
KontaktdatenFür die Dauer der VertragslaufzeitJederzeit durch den Auftraggeber im Dashboard oder spätestens 90 Tage nach Vertragsende
Gesprächsaufzeichnungen (Audio)Für die Dauer der VertragslaufzeitJederzeit durch den Auftraggeber im Dashboard oder spätestens 90 Tage nach Vertragsende
TranskripteFür die Dauer der VertragslaufzeitJederzeit durch den Auftraggeber im Dashboard oder spätestens 90 Tage nach Vertragsende
GesprächsmetadatenFür die Dauer der VertragslaufzeitSpätestens 90 Tage nach Vertragsende
RechnungsdatenGemäß gesetzlicher AufbewahrungsfristenNach Ablauf der gesetzlichen Aufbewahrungsfrist (in der Regel 10 Jahre)

Anlage 2: Technisch-Organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO

Der Auftragnehmer hat die folgenden technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten implementiert. Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst.

1. Zutrittskontrolle

Maßnahmen, um Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen zu verwehren.
  • Die Plattform wird vollständig auf Cloud-Infrastruktur (Microsoft Azure, Region EU West) betrieben. Der Auftragnehmer unterhält keine eigenen Rechenzentren.
  • Microsoft Azure erfüllt die Anforderungen nach ISO 27001, SOC 1/2/3 und C5 (BSI) und gewährleistet physische Zutrittskontrolle zu den Rechenzentren (Biometrie, Videoüberwachung, Sicherheitspersonal, Zutrittsprotokolle).

2. Zugangskontrolle

Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
  • Authentifizierung über individuelle Benutzerkonten mit starken Passwortrichtlinien (Mindestlänge, Komplexität)
  • Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge
  • Automatische Sperrung nach wiederholten fehlgeschlagenen Anmeldeversuchen
  • Verschlüsselte VPN-Verbindung für jeden Fernzugriff auf die Produktivsysteme
  • Regelmäßige Überprüfung und Aktualisierung der Zugriffsberechtigungen

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihrem Berechtigungsprofil unterliegenden Daten zugreifen können.
  • Rollenbasiertes Berechtigungskonzept (Role-Based Access Control, RBAC) mit strikter Trennung nach Verantwortungsbereichen
  • Need-to-Know-Prinzip: Zugriff auf personenbezogene Daten nur für Mitarbeiter, die den Zugang für ihre Aufgabenerfüllung benötigen
  • Administrative Zugänge sind auf das Entwicklungs- und Betriebsteam beschränkt
  • Keine externen Entwickler oder Dienstleister mit Zugriff auf personenbezogene Daten
  • Protokollierung aller administrativen Zugriffe auf die Produktivsysteme

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der Übertragung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Verschlüsselung aller Daten bei der Übertragung mittels TLS 1.2 oder höher (Transport Layer Security)
  • Verschlüsselung aller Daten bei der Speicherung (Encryption at Rest) mittels AES-256 auf Azure-Infrastruktur
  • Verschlüsselte Datenbank-Verbindungen (MongoDB mit TLS)
  • Verschlüsselte API-Kommunikation zwischen allen Systemkomponenten
  • Keine Speicherung personenbezogener Daten auf lokalen Endgeräten von Mitarbeitern

5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind.
  • Protokollierung von Dateneingaben, -änderungen und -löschungen im System (Audit-Logging)
  • Benutzerindividuelle Zuordnung aller Aktionen durch authentifizierte Benutzerkonten
  • Revisionssichere Protokollierung administrativer Zugriffe

6. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.
  • Schriftliche Auftragsverarbeitungsverträge mit allen Unterauftragsverarbeitern
  • Sorgfältige Auswahl von Unterauftragsverarbeitern nach datenschutzrechtlichen Kriterien
  • Regelmäßige Überprüfung der Einhaltung der vertraglichen Verpflichtungen durch Unterauftragsverarbeiter
  • Weisungsgebundenheit der Mitarbeiter des Auftragnehmers

7. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
  • Hosting auf Microsoft Azure mit geo-redundanter Infrastruktur in der Region EU West
  • Automatisierte tägliche Backups der Datenbank (MongoDB) mit einer Aufbewahrung von mindestens 30 Tagen
  • Backups werden verschlüsselt gespeichert und in einer geographisch getrennten Azure-Availability-Zone innerhalb der EU vorgehalten
  • Redundante Systemarchitektur zur Vermeidung von Single Points of Failure
  • Monitoring und Alerting für Systemausfälle und Anomalien (24/7)
  • Disaster-Recovery-Konzept mit definierten Wiederherstellungszeiten (RTO: 24 Stunden, RPO: 24 Stunden)
  • Regelmäßige Tests der Wiederherstellungsprozeduren

8. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
  • Logische Mandantentrennung: Die Daten jedes Kunden werden durch individuelle Mandanten-Kennungen getrennt gespeichert und verarbeitet
  • Strikte Trennung von Produktions-, Staging- und Entwicklungsumgebungen
  • Testumgebungen verwenden ausschließlich anonymisierte oder synthetische Daten

9. Organisatorische Maßnahmen

  • Schriftliche Verpflichtung aller Mitarbeiter auf das Datengeheimnis und die Vertraulichkeit
  • Regelmäßige Sensibilisierung und Schulung der Mitarbeiter zu Datenschutz und Informationssicherheit
  • Dokumentiertes Verfahren zur Behandlung von Datenschutzvorfällen (Incident-Response-Prozess):
    1. Erkennung und Klassifizierung des Vorfalls
    2. Sofortmaßnahmen zur Eindämmung
    3. Analyse und Bewertung der Auswirkungen
    4. Information des Auftraggebers (innerhalb von 24 Stunden)
    5. Behebung und Dokumentation
    6. Nachbereitung und Ableitung von Verbesserungsmaßnahmen
  • Regelmäßige Überprüfung und Aktualisierung der technisch-organisatorischen Maßnahmen (mindestens jährlich)

Anlage 3: Genehmigte Unterauftragsverarbeiter

Stand: März 2026

Der Auftragnehmer setzt zur Erbringung der vertragsgegenständlichen Leistungen die folgenden Unterauftragsverarbeiter ein:
Nr.UnterauftragsverarbeiterSitzVerarbeitungsstandortVerarbeitungszweckRechtsgrundlage Drittlandtransfer
1Microsoft Ireland Operations Ltd (Microsoft Azure)Irland (EU)EU West (Niederlande)Hosting der Plattform, Compute, Speicherung, Datenbank (MongoDB), LLM-Verarbeitung (Azure OpenAI Service, Azure AI)Verarbeitung innerhalb der EU — kein Drittlandtransfer
2Twilio Ireland LtdIrland (EU)EU (Irland)Bereitstellung von Telefonnummern, Telefonie-Infrastruktur, VerbindungsaufbauVerarbeitung innerhalb der EU — kein Drittlandtransfer
3Stripe Payments Europe LtdIrland (EU)EUZahlungsabwicklung, Abonnementverwaltung, RechnungsstellungVerarbeitung innerhalb der EU — kein Drittlandtransfer. Stripe handelt hinsichtlich der Zahlungsdaten als eigenständiger Verantwortlicher (vgl. Hinweis zu Nr. 3).
4ElevenLabs, Inc.USAUSA/EUSprachsynthese (Text-to-Speech) und ggf. Spracherkennung (Speech-to-Text) für KI-TelefonateEU-US Data Privacy Framework; ergänzend SCCs gemäß Art. 46 Abs. 2 lit. c) DSGVO; TIA durchgeführt
5Deepgram, Inc.USAUSASpracherkennung (Speech-to-Text) — Echtzeit-Transkription der TelefonateEU-US Data Privacy Framework; ergänzend SCCs gemäß Art. 46 Abs. 2 lit. c) DSGVO; TIA durchgeführt
6Cartesia, Inc.USAUSASprachsynthese (Text-to-Speech) für KI-TelefonateSCCs gemäß Art. 46 Abs. 2 lit. c) DSGVO; TIA durchgeführt
7Microsoft Ireland Operations Ltd (Microsoft Azure)Irland (EU)EU West (Niederlande)Hosting der selbst-gehosteten LiveKit-Instanz — primäre Echtzeit-Sprachkommunikationsinfrastruktur für die Orchestrierung der KI-Telefonate (Verbindung zwischen Telefonie, STT, LLM und TTS)Verarbeitung innerhalb der EU — kein Drittlandtransfer (selbst-gehostete Open-Source-Software)
8Amazon Web Services EMEA SARL (AWS)Luxemburg (EU)EU (Frankfurt)Hosting der selbst-gehosteten Fallback-Sprachinfrastruktur (VAPI-Instanz) als Redundanzsystem zur primären LiveKit-InfrastrukturVerarbeitung innerhalb der EU — kein Drittlandtransfer (selbst-gehostete Software)

Hinweise zu den Unterauftragsverarbeitern

Zu Nr. 1 — Microsoft Azure: Sämtliche Kerndienste (Hosting, Datenbank, Anwendungsserver, LLM-Verarbeitung) werden in der Azure-Region EU West (Niederlande) betrieben. Die Nutzung von Azure OpenAI Service und Azure AI erfolgt ebenfalls innerhalb der EU-Region. Es findet kein Transfer personenbezogener Daten in Drittländer statt. Zu Nr. 2 — Twilio: Twilio Ireland Ltd betreibt die Telefonie-Infrastruktur für den europäischen Markt mit Serverstandort in Irland. Telefonnummern werden über die irische Niederlassung provisioniert. Zu Nr. 3 — Stripe: Stripe Payments Europe Ltd verarbeitet Zahlungsdaten ausschließlich innerhalb der EU. Stripe ist PCI DSS Level 1 zertifiziert. Hinweis zur datenschutzrechtlichen Rolle: Stripe handelt hinsichtlich der Zahlungsdaten (Kreditkartendaten, Bankverbindungen, Transaktionsdaten) als eigenständiger Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO und unterliegt insoweit nicht dem Weisungsrecht des Auftraggebers. Stripe wird in dieser Anlage der Vollständigkeit halber und zur Transparenz aufgeführt, obwohl es sich nicht um einen Unterauftragsverarbeiter im engeren Sinne handelt. Die Verarbeitung durch Stripe erfolgt auf Grundlage der eigenen Datenschutzerklärung von Stripe (stripe.com/privacy). Zu Nr. 4–6 — Sprachdienstleister (ElevenLabs, Deepgram, Cartesia): Diese Dienstleister werden für die Echtzeitverarbeitung von Sprachdaten während der Telefonate eingesetzt. Die Verarbeitung erfolgt als Echtzeit-Stream-Verarbeitung (Real-Time Processing):
  • Audiodaten werden in Echtzeit an die Dienstleister übermittelt und unmittelbar verarbeitet
  • Die Dienstleister speichern die Audiodaten nicht dauerhaft — die Verarbeitung erfolgt transient im Arbeitsspeicher
  • Die Übertragung erfolgt verschlüsselt (TLS 1.2+)
  • Mit allen Dienstleistern sind Auftragsverarbeitungsverträge (DPAs) und, soweit anwendbar, Standardvertragsklauseln (SCCs) abgeschlossen
  • Für jeden US-Dienstleister wurde ein Transfer Impact Assessment (TIA) durchgeführt, das zu dem Ergebnis kommt, dass in Verbindung mit den genannten technischen und vertraglichen Maßnahmen ein angemessenes Schutzniveau gewährleistet ist
Zu Nr. 7 — LiveKit (selbst-gehostet auf Azure EU): Der Auftragnehmer betreibt eine selbst-gehostete Instanz der Open-Source-Software LiveKit auf Microsoft Azure in der Region EU West (Niederlande). LiveKit dient als primäre Echtzeit-Kommunikationsinfrastruktur für die Orchestrierung der KI-Telefonate und koordiniert die Verbindung zwischen Telefonie (Twilio), Spracherkennung (STT), Sprachmodell (LLM) und Sprachsynthese (TTS). Da es sich um eine selbst-gehostete Open-Source-Lösung handelt, werden keine personenbezogenen Daten an LiveKit, Inc. als Unternehmen übermittelt. Die Datenverarbeitung findet ausschließlich auf der vom Auftragnehmer kontrollierten Azure-EU-Infrastruktur statt. Der Auftragnehmer hat die volle technische Kontrolle über diese Instanz, einschließlich Konfiguration, Updates und Zugriffsverwaltung. Es findet kein Drittlandtransfer statt. Zu Nr. 8 — AWS (Fallback-Infrastruktur, selbst-gehostet): Der Auftragnehmer betreibt auf Amazon Web Services (AWS, Region EU Frankfurt) eine selbst-gehostete Fallback-Sprachinfrastruktur auf Basis der Open-Source-Software VAPI. Diese Instanz dient ausschließlich als Redundanzsystem und wird nur dann aktiviert, wenn die primäre LiveKit-Infrastruktur vorübergehend nicht verfügbar ist. Da es sich um eine selbst-gehostete Lösung auf EU-Servern (AWS Frankfurt) handelt, werden keine personenbezogenen Daten an VAPI, Inc. als Unternehmen übermittelt. Der Auftragnehmer hat die volle technische Kontrolle über diese Instanz. Es findet kein Drittlandtransfer statt. Kalender-Integration (z. B. Cal.com, Calendly): Die Integration von Kalenderdiensten wird vom Auftraggeber eigenständig eingerichtet. Der Auftraggeber verbindet seinen eigenen Kalenderanbieter mit der Plattform. Der Auftragnehmer ist nicht Auftragsverarbeiter für diese Drittdienste; die datenschutzrechtliche Verantwortung für die Nutzung und Konfiguration dieser Dienste liegt beim Auftraggeber.
Anlagen dieses AVV:
  • Anlage 1: Beschreibung der Datenverarbeitung
  • Anlage 2: Technisch-Organisatorische Maßnahmen (TOMs)
  • Anlage 3: Genehmigte Unterauftragsverarbeiter
  • Anlage 4: Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 (separates Dokument: sccs-salesfrank.md)
Unterschrift Auftraggeber: Ort, Datum: ____________________________ Name, Funktion: ____________________________ Unterschrift: ____________________________
Unterschrift Auftragnehmer: Another Side Ventures Free Zone LLC Ort, Datum: ____________________________ Name, Funktion: ____________________________ Unterschrift: ____________________________