Caaisy
AnmeldenRegistrieren

Auftragsverarbeitungsvertrag

Stand: Oktober 2025

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen dem Verantwortlichen (Kunde) und der mii ventures GmbH, Regerstraße 70a, 22761 Hamburg, Deutschland.

Präambel

Der Auftragsverarbeiter (mii ventures GmbH) erbringt für den Verantwortlichen KI-gestützte Telefonie-Dienstleistungen zur Terminvereinbarung mit Bestandskunden („Caaisy“). Die Parteien schließen diesen Auftragsverarbeitungsvertrag zur Konkretisierung der Anforderungen gemäß Art. 28 DSGVO. Dieser Vertrag regelt die Verarbeitung personenbezogener Daten, die im Rahmen der Nutzung des Dienstes durch den Verantwortlichen erfolgen.

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand: Verarbeitung personenbezogener Daten zur Durchführung automatisierter, KI-basierter Telefonanrufe, Transkriptionen und Terminvereinbarungen im Auftrag des Verantwortlichen.

1.2 Dauer: Dieser AVV gilt für die Laufzeit des Hauptvertrags. Nach Beendigung dessen gelten die in diesem Vertrag geregelten Lösch- und Rückgabepflichten.

2. Art der Verarbeitung, Datenarten und betroffene Personen

2.1 Art der Verarbeitung: Erhebung, Speicherung, Übermittlung, Transkription, Auswertung und Protokollierung von Gesprächsdaten einschließlich Audioaufzeichnungen, Gesprächsverläufen und technischer Verbindungsdaten.

2.2 Verarbeitete Datenarten:

  • Name und Kontaktdaten (z. B. Telefonnummer, E-Mail)
  • Termin- und Gesprächsinformationen
  • Gesprächsaufzeichnungen (Audiofiles)
  • Transkripte und Protokolle
  • technische Metadaten (z. B. Zeitstempel, IP-Adresse, Verbindungsinformationen)

2.3 Kategorien betroffener Personen:

  • Bestandskunden des Verantwortlichen (z. B. Versicherungsnehmer, Bankkunden, Beratungskunden)
  • Mitarbeiter und Ansprechpartner des Verantwortlichen

2.4 Keine automatisierte Entscheidungsfindung: Die Verarbeitung umfasst keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.

3. Weisungsgebundenheit

3.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen.

3.2 Weisungen erfolgen grundsätzlich in Textform. Mündliche Weisungen müssen unverzüglich schriftlich bestätigt werden.

3.3 Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Auffassung ist, dass eine Weisung gegen die Datenschutzvorschriften verstößt.

4. Technische und organisatorische Maßnahmen (TOMs)

4.1 Der Auftragsverarbeiter implementiert geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

Diese umfassen insbesondere:

  • Verschlüsselung der Daten in Transit (TLS 1.2+) und at Rest,
  • rollenbasierte Zugriffskontrollen (Role-Based Access Control),
  • Zugriff ausschließlich durch Administratoren mit Multi-Faktor-Authentifizierung,
  • Protokollierung und Auditierung von Zugriffen,
  • Netzsegmentierung, Firewall- und Backup-Konzepte,
  • Prinzip der minimalen Rechtevergabe („Least Privilege“),
  • regelmäßige Sicherheitsupdates und Systemhärtung.

4.2 Der Auftragsverarbeiter kann auf Anfrage Nachweise (z. B. Sicherheitsrichtlinien, ISO-/SOC-Zertifikate seiner Unterauftragsverarbeiter, Penetrationstests) vorlegen.

4.3 Der Auftragsverarbeiter strebt mittelfristig die Einführung von Informationssicherheitszertifizierungen (z. B. nach ISO 27001) an.

5. Vertraulichkeit

5.1 Der Auftragsverarbeiter verpflichtet alle Personen, die mit der Verarbeitung personenbezogener Daten betraut sind, zur Vertraulichkeit.

5.2 Entsprechende Verpflichtungen gelten auch für eingesetzte Subunternehmer.

6. Unterstützungspflichten

6.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen gemäß Art. 15–22 DSGVO.

6.2 Ebenso unterstützt er bei Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO und bei Konsultationen mit Aufsichtsbehörden gemäß Art. 36 DSGVO.

6.3 Datenschutzverletzungen werden unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, an den Verantwortlichen gemeldet. Die Meldung enthält Art, Umfang, mögliche Folgen sowie ergriffene Gegenmaßnahmen.

7. Unterauftragsverarbeiter

7.1 Der Auftragsverarbeiter darf Unterauftragsverarbeiter einsetzen, sofern diese vertraglich auf ein mit der DSGVO vergleichbares Datenschutzniveau verpflichtet sind.

7.2 Eine aktuelle Liste der Unterauftragsverarbeiter ist jederzeit hier abrufbar. Diese Liste enthält Angaben zu Anbieter, Zweck, Standort und Rechtsgrundlage der Übermittlung. Vollständige Identifikationsdaten (z.B. Unternehmensadressen) werden auf Anfrage bereitgestellt.

7.3 Datenübermittlungen in Drittländer: Übermittlungen an Subunternehmer außerhalb der EU/des EWR erfolgen nur auf Grundlage geeigneter Garantien gem. Art. 44 ff. DSGVO:

  • Für Anbieter mit Sitz in den USA erfolgt die Übermittlung auf Grundlage des EU–US Data Privacy Frameworks (DPF).
  • Für Anbieter ohne DPF-Zertifizierung erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln (SCCs) sowie ergänzender Transfer Impact Assessments (TIAs).
  • Anbieter mit Sitz in der EU oder in Ländern ohne Drittstaatübermittlung sind hiervon nicht betroffen.

7.4 Änderungen der eingesetzten Subunternehmer werden dem Verantwortlichen mindestens 14 Tage vor Inkrafttreten mitgeteilt. Der Verantwortliche kann aus berechtigten datenschutzrechtlichen Gründen widersprechen.

8. Kontrollrechte

8.1 Der Verantwortliche ist berechtigt, die Einhaltung der Datenschutzbestimmungen durch den Auftragsverarbeiter zu überprüfen – durch eigene Audits oder durch anerkannte Prüfer.

8.2 Audits sind mit angemessener Frist anzukündigen und erfolgen während der üblichen Geschäftszeiten, unter Wahrung der Vertraulichkeit und Sicherheitsinteressen des Auftragsverarbeiters.

8.3 Der Auftragsverarbeiter kann gleichwertige Nachweise (z. B. Auditberichte, Zertifikate) anstelle physischer Inspektionen vorlegen.

9. Löschung und Rückgabe von Daten

9.1 Nach Beendigung der Verarbeitung oder auf Anforderung des Verantwortlichen werden personenbezogene Daten – sofern keine gesetzliche Aufbewahrungspflicht besteht – gelöscht oder dem Verantwortlichen in einem gängigen Format (z. B. CSV, JSON) bereitgestellt.

9.2 Rollierende Backups werden innerhalb von 30 Tagen überschrieben; Protokolle und Logs werden spätestens nach 90 Tagen anonymisiert oder gelöscht.

9.3 Der Verantwortliche kann seine Daten während der Vertragslaufzeit jederzeit über die Plattform exportieren.

10. Haftung

10.1 Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags (AGB). Gesetzliche Ansprüche nach Art. 82 DSGVO bleiben unberührt.

10.2 Der Auftragsverarbeiter haftet für Pflichtverletzungen eigener Unterauftragsverarbeiter sowie für eigenes Verschulden.

11. Schlussbestimmungen

11.1 Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

11.2 Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

11.3 Es gilt deutsches Recht; ausschließlicher Gerichtsstand ist Hamburg.

11.4 Dieser Vertrag kann elektronisch unterzeichnet werden. Hierfür wende dich bitte an support@caaisy.com.

Auftragsverarbeitungsvereinbarung - Caaisy