Auftragsverarbeitungsvertrag
Parteien, Gegenstand & Laufzeit
Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag“) konkretisiert die Datenschutzpflichten gemäß Art. 28 DSGVO zwischen
dem SHK-Betrieb, der diesem Vertrag im Einrichtungs-Assistenten zustimmt (nachfolgend „Verantwortlicher“),
und
Leitstand AI GmbH i.G.Weilermattweg 1
79410 Badenweiler, Deutschland
vertreten durch Amadeus Romeo (nachfolgend „Auftragsverarbeiter“).
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen des Dienstes „Leitstand“ (KI-gestützte Notruf-Annahme, Terminvereinbarung und Alarmierung). Der Verantwortliche bleibt allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung (Art. 6 DSGVO) und die Wahrung der Rechte der betroffenen Personen.
Laufzeit:Die Laufzeit dieses Vertrags ist untrennbar an die Laufzeit des zugrunde liegenden Hauptvertrags (Nutzungsvertrag) gekoppelt; er kann nicht isoliert gekündigt werden und endet automatisch mit dessen Beendigung. Die Pflichten aus den Abschnitten Vertraulichkeit sowie Löschung & Rückgabe bestehen über das Vertragsende hinaus fort.
Art, Zweck, Daten und betroffene Personen
Art und Zweck der Verarbeitung: Entgegennahme eingehender Anrufe außerhalb der Erreichbarkeit des Verantwortlichen, sprachliche Triage des Anliegens, strukturierte Erfassung des Einsatzes, Alarmierung/Benachrichtigung der Bereitschaft des Verantwortlichen (SMS/Anruf) sowie — sofern vom Verantwortlichen aktiviert — die Eintragung von Terminen in den Kalender des Verantwortlichen.
Art der personenbezogenen Daten:
- Name und Rückrufnummer des Anrufers, Einsatzadresse, Beschreibung des Anliegens;
- Anruf-Metadaten (Rufnummer, Zeitpunkt, Dauer, Gesprächsergebnis);
- Transkript bzw. Transkript-Zusammenfassung des Gesprächs;
- optional Audio-Aufzeichnung — nur nach Maßgabe des Abschnitts Gesprächsaufzeichnung;
- optional vom Anrufer übermittelte Fotos (Schadensbilder);
- bei aktivierter Terminbuchung: Termin-Daten (Name, Rückrufnummer, Einsatzadresse, Kurz-Anliegen);
- Rufnummer/Name des Bereitschafts-/Einsatzpersonals des Verantwortlichen.
Kategorien betroffener Personen: Anrufer und Endkunden des Verantwortlichen sowie das Bereitschafts-/Einsatzpersonal des Verantwortlichen.
Abgrenzung:Stamm-, Vertrags-, Abrechnungs- und Nachweisdaten des Betriebs selbst (z. B. Kontaktdaten des Inhabers, KYC-Unterlagen zur Rufnummern-Beschaffung) verarbeitet der Auftragsverarbeiter als eigener Verantwortlicher zur Durchführung des Hauptvertrags; sie sind nicht Gegenstand dieses Vertrags. Näheres regelt die Datenschutzerklärung.
Weisungsbindung
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich hinsichtlich der Übermittlung in Drittländer, sofern er nicht durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Die Konfiguration im Einrichtungs-Assistenten und im Dashboard (z. B. Aktivierung der Terminbuchung oder der Aufzeichnungs-Ansage) gilt als dokumentierte Weisung; ergänzende Weisungen bedürfen der Textform. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich; er ist berechtigt, die Ausführung auszusetzen, bis der Verantwortliche die Weisung bestätigt oder ändert.
Vertraulichkeit
Der Auftragsverarbeiter gewährt Zugang zu personenbezogenen Daten nur Personen, die zur Erfüllung dieses Vertrags darauf angewiesen sind, und verpflichtet diese vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO). Die Vertraulichkeitspflicht besteht nach Beendigung der Tätigkeit und dieses Vertrags fort.
Technische und organisatorische Maßnahmen (Art. 32)
Der Auftragsverarbeiter trifft insbesondere folgende Maßnahmen:
- Datenhaltung in der EU (Datenbank/Speicher: Supabase, Region Frankfurt; Orchestrierung: Hetzner, Deutschland);
- Verschlüsselung bei Übertragung (TLS) und im Ruhezustand (at-rest);
- mandantengetrennte Datenhaltung (Row-Level-Security) — jeder Betrieb sieht nur eigene Daten;
- Trennung personenbezogener Daten in einen geschützten Tresor vom analytischen Kern (Pseudonymisierung/Datenminimierung); Löschbarkeit einzelner Einsätze ohne Verlust des anonymen Kerns;
- rollenbasierte Zugriffskontrolle, Authentifizierung des Operators, Protokollierung administrativer Zugriffe;
- Zugangsdaten zu Kalender-Konten (sofern aktiviert) werden verschlüsselt gespeichert (AES-256-GCM) und beim Trennen der Verbindung widerrufen;
- Trennung von Produktiv- und Testumgebung; Entwicklung/Fehleranalyse erfolgt ohne Zugriff auf Klartext-Anruferdaten, soweit technisch möglich;
- dokumentiertes Löschkonzept mit Fristen (siehe Abschnitt Löschung & Rückgabe).
Die Maßnahmen werden dem Stand der Technik entsprechend fortgeschrieben; Änderungen dürfen das Schutzniveau nicht unterschreiten. Eine detaillierte TOM-Anlage wird mit der juristisch geprüften Endfassung beigefügt.
Verarbeitungsort & Drittlandübermittlung
Die Speicherung der Daten erfolgt in der EU (siehe Abschnitt 05). Für einzelne Verarbeitungsschritte — insbesondere Spracherkennung, Sprachsynthese und die KI-gestützte Dialogführung — setzt der Auftragsverarbeiter Sub-Auftragsverarbeiter ein, deren Konzernobergesellschaften ihren Sitz in den USA haben (siehe Abschnitt 07).
Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind: auf Grundlage eines Angemessenheitsbeschlusses (insbesondere EU-US Data Privacy Framework, Art. 45 DSGVO) oder geeigneter Garantien (EU-Standardvertragsklauseln, Art. 46 DSGVO) nebst ergänzender Schutzmaßnahmen. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage Informationen zu den jeweils einschlägigen Transfermechanismen zur Verfügung.
Sub-Auftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz der nachfolgenden Sub-Auftragsverarbeiter:
- ElevenLabs — Spracherkennung/-synthese, Gesprächsführung (EU-Residency-Endpoint; US-Konzern);
- Anbieter des Sprachmodells (LLM), derzeit OpenAI — KI-gestützte Dialoglogik/Auswertung des Gesprächs (USA; DPF/SCC);
- Twilio — Telefonie, SMS-Alarmierung, OTP-Verifikation (EU-Region; US-Konzern);
- Supabase — Datenhaltung/Authentifizierung (EU, Frankfurt; US-Konzern);
- Hetzner — Hosting der Orchestrierung (n8n, Deutschland);
- Vercel — Hosting/Auslieferung des Dashboards, über das der Verantwortliche Einsatzdaten einsieht (EU-Auslieferung Frankfurt; US-Konzern);
- Mailgun/Sinch — Versand von Transaktions-/Bestätigungs-E-Mails (EU-Region).
Hinweis Kalender:Bei aktivierter Terminbuchung trägt der Dienst Termine in den vom Verantwortlichen bereitgestellten Kalender (z. B. Google Calendar, Microsoft 365) ein. Der Kalender-Anbieter ist Dienstleister des Verantwortlichen; die Eintragung erfolgt als dokumentierte Weisung (Abschnitt 03).
Mit jedem Sub-Auftragsverarbeiter werden die Datenschutzpflichten vertraglich auf gleichwertigem Niveau vereinbart (Art. 28 Abs. 4 DSGVO); bei Drittlandbezug gilt Abschnitt 06. Kommt ein Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für dessen Pflichterfüllung. Auf Anfrage stellt der Auftragsverarbeiter dem Verantwortlichen die wesentlichen Inhalte der Sub-Auftragsverarbeitungsverträge zur Verfügung (Geschäftsgeheimnisse dürfen geschwärzt werden).
Änderungen: Über die beabsichtigte Hinzuziehung oder Ersetzung eines Sub-Auftragsverarbeiters informiert der Auftragsverarbeiter den Verantwortlichen mindestens 4 Wochen im Voraus in Textform. Der Verantwortliche kann binnen 14 Tagen aus wichtigem datenschutzrechtlichen Grund widersprechen; ohne Widerspruch gilt die Änderung als genehmigt. Kann bei berechtigtem Widerspruch keine zumutbare Lösung gefunden werden, steht beiden Parteien ein Sonderkündigungsrecht für den Hauptvertrag zu.
Gesprächsaufzeichnung (§ 201 StGB)
Eine Audio-Aufzeichnung von Gesprächen erfolgt ausschließlich, wenn der Verantwortliche diese Funktion aktiviert hat und der Anrufer zu Gesprächsbeginn per Ansage informiert wurde und eingewilligt hat (Vertraulichkeit des Wortes, § 201 StGB). Ohne Einwilligung wird kein Roh-Audio gespeichert; es erfolgt dann ausschließlich die strukturierte Erfassung (Transkript-Zusammenfassung). Der Anrufer wird zu Gesprächsbeginn stets darüber informiert, dass er mit einem KI-System spricht (Art. 50 KI-VO).
Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch; Art. 12–22 DSGVO). Anfragen betroffener Personen leitet er unverzüglich an den Verantwortlichen weiter; er beantwortet solche Anfragen nicht selbst, außer auf dokumentierte Weisung des Verantwortlichen.
Meldepflichten & weitere Unterstützung
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, Konsultation), unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.
Eine Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dem Verantwortlichen unverzüglich, spätestens binnen 48 Stunden nach Bekanntwerden. Die Meldung enthält — soweit bereits verfügbar — eine Beschreibung der Art der Verletzung (Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze), eine Anlaufstelle für weitere Informationen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Abhilfe- und Abmilderungsmaßnahmen; nachlaufende Erkenntnisse werden ohne unangemessene Verzögerung nachgereicht. Eigenständige Meldungen an Aufsichtsbehörden oder Betroffene nimmt der Auftragsverarbeiter nur auf Weisung des Verantwortlichen vor. Der Auftragsverarbeiter informiert den Verantwortlichen zudem unverzüglich über aufsichtsbehördliche Maßnahmen, die die Auftragsdaten betreffen können.
Löschung & Rückgabe nach Auftragsende
Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter die Daten nach Wahl des Verantwortlichen oder gibt sie in einem gängigen, strukturierten Format zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Anfrage bestätigt.
Unabhängig davon gelten laufende Löschfristen:
- Audio-Aufzeichnungen (falls aktiviert): 30 Tage;
- Transkript-Zusammenfassungen: 12 Monate;
- übermittelte Fotos (Schadensbilder): 60 Tage nach Abschluss des Einsatzes;
- auf Anrufer-Wunsch werden personenbezogene Daten eines Einsatzes vorzeitig gelöscht (der anonyme, nicht personenbeziehbare Kern bleibt für Statistikzwecke erhalten).
Nachweise & Kontrollen
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind, und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).
Kontrollen erfolgen abgestuft: vorrangig durch Bereitstellung aussagekräftiger Dokumentation (TOM-Beschreibung, Löschkonzept, Zertifikate/Testate der Sub-Auftragsverarbeiter, Auditberichte). Genügt dies im Einzelfall nicht, sind Vor-Ort-Kontrollen — auch durch einen zur Verschwiegenheit verpflichteten Dritten — höchstens einmal jährlich mit einer Ankündigungsfrist von 14 Tagen zu den üblichen Geschäftszeiten möglich; bei konkreten Anhaltspunkten für Verstöße auch anlassbezogen und kurzfristig. Jede Partei trägt ihre eigenen Kosten. Der Auftragsverarbeiter kontrolliert die Erfüllung seiner Pflichten zudem regelmäßig selbst und dokumentiert dies in geeigneter Weise.
Haftung & Schlussbestimmungen
Es gilt die Haftungsregelung des Art. 82 DSGVO; Rückgriffsansprüche im Innenverhältnis richten sich nach dem jeweiligen Verantwortungsanteil (Art. 82 Abs. 5 DSGVO). An den vertragsgegenständlichen Daten besteht kein Zurückbehaltungsrecht. Wird der Datenbestand beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa Pfändung oder Beschlagnahme) oder ein Insolvenzverfahren gefährdet, informiert er den Verantwortlichen unverzüglich.
Änderungen bedürfen der Textform. Verweise auf die DSGVO erfassen auch etwaige Nachfolgeregelungen. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt. Es gilt deutsches Recht.
Zustimmung erfolgt elektronisch im Einrichtungs-Assistenten durch die vertretungsberechtigte Person des Verantwortlichen; Zeitpunkt und Vertragsversion werden protokolliert.