AVV mit eigener Anschrift

Für Firmenkunden stellen wir auf Anfrage gerne eine AVV mit der eigenen Anschrift aus.

Auftragsvereinbarung gemäß Art. 28 DSGVO

Stand: 26. April 2025

Diese Auftragsvereinbarung (nachfolgend „AVV“) gilt zwischen dem Nutzer des Safina AI Dienstes, der als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO handelt (nachfolgend „Auftraggeber“ oder „Kunde“),

und

der DK Tech Solutions UG (haftungsbeschränkt) Schwanthalerstr. 141 80339 München (nachfolgend „Auftragnehmer“).

Präambel

Diese AVV ist Bestandteil der Nutzungsbedingungen für den Safina AI Dienst und regelt die Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO. Sie gilt für alle Auftraggeber, die den Dienst als Unternehmer nutzen und dabei personenbezogene Daten durch den Auftragnehmer verarbeiten lassen. Diese AVV wird durch die Zustimmung des Auftraggebers zu den Nutzungsbedingungen von Safina AI und/oder die Nutzung des Dienstes wirksam.

Vor diesem Hintergrund vereinbaren die Parteien das Folgende:

I. Gegenstand des Auftrags, Anwendungsbereich und Verantwortlichkeit

Der Gegenstand dieses Auftrags ergibt sich aus den Nutzungsbedingungen von Safina AI und der Leistungsbeschreibung des Dienstes.

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die in den Nutzungsbedingungen und der Leistungsbeschreibung von Safina AI konkretisiert sind. Insbesondere geht es um die Bereitstellung und den Betrieb einer KI-gesteuerten Mailbox / eines KI-Telefonassistenten (Safina AI). Dies umfasst unter anderem:

  • Entgegennahme von Telefonanrufen im Namen des Auftraggebers.

  • Aufzeichnung von Telefongesprächen (Audio), sofern diese Funktion vom Auftraggeber explizit aktiviert wird (standardmäßig deaktiviert).

  • Transkription von Telefongesprächen.

  • Erstellung von Anrufzusammenfassungen und Analysen (z.B. Stimmungsbewertung, Erkennung von To-dos).

  • Erkennung und Markierung von potenziellen Spam- oder Phishing-Anrufen.

  • Speicherung der Anrufdaten (Audio, Transkript, Metadaten, Zusammenfassungen).

  • Bereitstellung der verarbeiteten Informationen für den Auftraggeber über die Safina AI Anwendung und konfigurierbare Benachrichtigungen (z.B. Push, E-Mail).

  • Verwaltung von Kontaktdaten und Konfigurationseinstellungen des Auftraggebers im Rahmen der Dienstleistung.

Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung (z.B. Information der Anrufer über die Aufzeichnung, Einholung etwaiger Einwilligungen) und der Übermittlung der Daten an den Auftragnehmer allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).

Die Weisungen werden initial durch die Nutzungsbedingungen und die Konfiguration des Dienstes durch den Auftraggeber festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an den Auftragnehmer durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung), soweit dies die Funktionalität des Dienstes zulässt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

II. Dauer des Auftrags

Die Dauer dieses Auftrags (Laufzeit) ist an die Laufzeit der Nutzung des Dienstes Safina AI durch den Auftraggeber gemäß den akzeptierten Nutzungsbedingungen gekoppelt (z.B. durch aktive Zahlung eines Abonnements).

Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet (einschließlich systembedingter Backups).

Soweit sich aus anderen Vereinbarungen zwischen Auftraggeber und Auftragnehmer anderweitige Abreden zum Schutz personenbezogener Daten ergeben, soll dieser Vertrag zur Auftragsverarbeitung vorrangig gelten, es sei denn die Parteien vereinbaren ausdrücklich etwas anderes.

III. Konkretisierung

  1. Art der Daten

    Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten im Rahmen der Bereitstellung von Safina AI sind folgende Datenarten / -kategorien:

    • Kommunikationsdaten: Telefonnummern (Anrufer, Auftraggeber), E-Mail-Adressen (Auftraggeber für Benachrichtigungen/Login), Anruf-Metadaten (Datum, Uhrzeit, Dauer).

    • Audio-Daten: Sprachaufzeichnungen der von Safina AI entgegengenommenen Anrufe (nur bei Aktivierung durch den Auftraggeber).

    • Inhaltsdaten: Gesprächstranskripte, Inhalte von Anrufzusammenfassungen, extrahierte Informationen (z.B. To-dos, Namen, falls im Gespräch genannt).

    • Personenstammdaten: Namen von Anrufern (falls im Gespräch genannt oder übermittelt), Name und Kontaktdaten der Nutzer des Auftraggebers.

    • Analyse- und Bewertungsdaten: Ergebnisse der Stimmungsanalyse, Spam-Klassifizierung.

    • Konfigurationsdaten: Vom Auftraggeber gewählte Einstellungen (z.B. Stimme, Tonalität, Weiterleitungsregeln, Benachrichtigungspräferenzen, Aktivierungsstatus der Audio-Aufzeichnung).

    • Kontaktdaten des Auftraggebers: Ggf. vom Auftraggeber in Safina AI hinterlegte oder synchronisierte Kontaktdaten zur Verwaltung von Anrufregeln.

    • Nutzerdaten des Auftraggebers: Login-Daten, Nutzerprofileinstellungen.

  2. Kreis der Betroffenen

    Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst:

    • Anrufer: Personen, die den Auftraggeber telefonisch kontaktieren und deren Anruf von Safina AI entgegengenommen wird.

    • Mitarbeiter/Nutzer des Auftraggebers: Personen, die den Safina AI Dienst im Auftrag des Auftraggebers nutzen und verwalten.

    • Kontakte des Auftraggebers: Personen, deren Kontaktdaten der Auftraggeber ggf. in Safina AI zur Konfiguration hinterlegt oder synchronisiert.

  3. Ort der Verarbeitung und Verschwiegenheit

    Die Verarbeitung der Daten erfolgt ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (insbesondere Deutschland). Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 bis 50 DSGVO erfüllt sind (z.B. durch Standardvertragsklauseln). Die Zustimmung darf vom Auftraggeber nicht unbillig verweigert werden.

    Die Vertragsparteien sind verpflichtet, über sämtliche Geschäfts- und Betriebsgeheimnisse des jeweils anderen Stillschweigen zu bewahren, diese streng geheim zu halten und nicht an Dritte weiterzugeben – es sei denn, die jeweils andere Vertragspartei erteilt ausdrücklich ihre vorherige schriftliche Zustimmung oder es besteht eine gesetzliche Verpflichtung zur Weitergabe. Diese Geheimhaltungsverpflichtung betrifft alle nicht öffentlich bekannten Informationen, von denen die Vertragsparteien im Kontext der Durchführung der Zusammenarbeit Kenntnis erlangen.

    Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers und der Regelungen der Nutzungsbedingungen. Es ist dem Auftragnehmer untersagt, die Daten zu anderen als den vereinbarten Zwecken zu verwenden, insbesondere für eigene Zwecke zu analysieren oder an unbefugte Dritte weiterzugeben. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten personenbezogenen Daten, insbesondere Audioaufnahmen und Transkripte, nicht zum Training eigener oder fremder KI-Modelle verwendet werden.

IV. Technisch-organisatorische Maßnahmen

Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technisch-organisatorischen Maßnahmen gemäß Art. 32 DS-GVO zum angemessenen Schutz der personenbezogenen Daten unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen. Eine Beschreibung der aktuellen TOMs wird dem Auftraggeber auf Anfrage oder als Anhang zu dieser Vereinbarung zur Verfügung gestellt.

Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen wird der Auftragnehmer dokumentieren und dem Auftraggeber auf Anfrage mitteilen.

V. Rechte von betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technisch-organisatorischer Maßnahmen bei der Erfüllung der Pflichten des Auftraggebers zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Personen (Art. 12-23 DS-GVO).

Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person (insbesondere ein Anrufer) sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

Soweit die Bereitstellung von Auskünften, die Löschung, Einschränkung oder Datenübertragbarkeit vom Leistungsumfang umfasst und durch den Auftraggeber über die Funktionalitäten von Safina AI selbst vorgenommen werden kann, obliegt dies dem Auftraggeber. Ansonsten unterstützt der Auftragnehmer nach Weisung.

VI. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat, zusätzlich zu der Einhaltung der Regelungen dieses Vertrags, eigene gesetzliche Pflichten gemäß der DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

  2. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

  3. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

  4. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung durch den Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften im erforderlichen Umfang zu unterstützen.

  5. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

  6. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer VIII dieses Vertrags (z.B. durch geeignete Zertifizierungen, Testate, Berichte oder Selbstauskünfte).

  7. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten gemäß Art. 33 und 34 DS-GVO (Meldung von Datenschutzverletzungen). Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten, die im Rahmen dieses Auftrags verarbeitet werden, unverzüglich an den Auftraggeber, nachdem er davon Kenntnis erlangt hat. Die Meldung enthält zumindest die in Art. 33 Abs. 3 DS-GVO geforderten Informationen.

  8. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung seiner Informationspflichten gegenüber Betroffenen und stellt ihm die dafür notwendigen Informationen über die Verarbeitung durch den Auftragnehmer zur Verfügung.

  9. Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO hinsichtlich der Nutzung von Safina AI verpflichtet ist, unterstützt ihn der Auftragnehmer mit den ihm vorliegenden notwendigen Informationen. Gleiches gilt für eine etwaige Pflicht zur Konsultation der Aufsichtsbehörde gemäß Art. 36 DS-GVO.

Dieser Vertrag entbindet den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DS-GVO.

VII. Unterauftragsverhältnisse

Der Auftragnehmer ist berechtigt, zur Erbringung der vertraglich geschuldeten Leistung Unterauftragnehmer einzusetzen (Unterauftragsverhältnisse). Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung (Safina AI Service) beziehen. Hierzu zählen z.B. Hosting-Dienstleister, Anbieter von KI-Modellen zur Transkription oder Analyse, Kommunikationsdienstleister.

Der Auftragnehmer informiert den Auftraggeber über jeden beabsichtigten Einsatz oder Wechsel eines Unterauftragnehmers. Eine aktuelle Liste der eingesetzten Unterauftragnehmer mit Angabe des Standorts und der erbrachten Leistung wird dem Auftraggeber gesondert zur Verfügung gestellt (z.B. auf der Webseite des Auftragnehmers oder als Anhang). Der Auftraggeber hat das Recht, aus wichtigem, datenschutzrechtlichem Grund Einspruch gegen den Einsatz oder Wechsel eines Unterauftragnehmers zu erheben. Der Einspruch ist innerhalb von 14 Tagen nach Zugang der Information schriftlich oder in Textform beim Auftragnehmer einzulegen. Erhebt der Auftraggeber nicht fristgerecht Einspruch, gilt die Beauftragung des Unterauftragnehmers als genehmigt.

Der Auftragnehmer stellt sicher, dass mit jedem Unterauftragnehmer eine vertragliche Vereinbarung gemäß Art. 28 Abs. 2-4 DS-GVO geschlossen wird, die im Wesentlichen den Pflichten aus dieser Vereinbarung entspricht, insbesondere hinsichtlich der technischen und organisatorischen Maßnahmen und der Vertraulichkeit.

Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst zulässig, wenn die Verpflichtung des Unterauftragnehmers gemäß Art. 28 Abs. 4 DS-GVO erfolgt ist.

Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch geeignete Garantien gemäß Art. 44 ff. DS-GVO sicher (z.B. EU-Standardvertragsklauseln), sofern kein Angemessenheitsbeschluss vorliegt. Der Auftragnehmer überprüft die Einhaltung der Pflichten durch den Unterauftragnehmer regelmäßig.

Eine weitere Auslagerung durch den Unterauftragnehmer (Sub-Sub-Beauftragung) bedarf der vorherigen Zustimmung des Auftragnehmers und, falls erforderlich, der Information des Auftraggebers gemäß dem oben beschriebenen Verfahren.

VIII. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und der vertraglichen Vereinbarungen durch den Auftragnehmer im erforderlichen Umfang zu kontrollieren bzw. durch im Einzelfall zu benennende Prüfer kontrollieren zu lassen.

Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung der Kontrolle erforderlich sind. Dies kann insbesondere durch Vorlage von geeigneten Nachweisen wie Testaten, Berichten unabhängiger Stellen, Selbstauskünften oder geeigneten Zertifizierungen erfolgen.

Inspektionen vor Ort beim Auftragnehmer sind nach rechtzeitiger Ankündigung (in der Regel mindestens 10 Werktage) während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs möglich. Der Auftragnehmer ist berechtigt, hierfür einen angemessenen Aufwendungsersatz zu verlangen, sofern die Inspektion nicht aufgrund eines konkreten Verdachts einer Datenschutzverletzung durch den Auftragnehmer erfolgt.

IX. Weisungsbefugnis des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Vereinbarungen dieses Vertrages und nach dokumentierten Weisungen des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Die initialen Weisungen ergeben sich aus den Nutzungsbedingungen und der Nutzung/Konfiguration von Safina AI durch den Auftraggeber.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DS-GVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

X. Löschung und Rückgabe von personenbezogenen Daten

Nach Beendigung der Nutzung des Dienstes durch den Auftraggeber (z.B. durch Kündigung des Abonnements) oder jederzeit auf Weisung des Auftraggebers hat der Auftragnehmer sämtliche personenbezogenen Daten, die Gegenstand dieser Vereinbarung sind und sich in seiner Verfügungsgewalt befinden, nach Wahl des Auftraggebers entweder datenschutzkonform zu löschen oder an den Auftraggeber zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen des Auftragnehmers der Löschung entgegenstehen.

Die Löschung umfasst auch alle vorhandenen Kopien, einschließlich systembedingter Sicherungskopien (Backups), wobei die Löschung aus Backups im Rahmen der technischen Möglichkeiten und üblichen Backup-Zyklen erfolgt.

Der Auftragnehmer bestätigt dem Auftraggeber die erfolgte Löschung bzw. Rückgabe auf Anfrage schriftlich.

XI. Haftung

Für die Haftung der Parteien bei Datenschutzverstößen gelten die gesetzlichen Regelungen, insbesondere Art. 82 DS-GVO. Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen gemäß den Bestimmungen des Art. 82 DS-GVO.

XII. Schriftformerfordernis, Salvatorische Klausel

Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile bedürfen der Schriftform (Textform gemäß § 126b BGB ist ausreichend). Dies gilt auch für den Verzicht auf dieses Formerfordernis. Mündliche Nebenabreden bestehen nicht.

Diese Vereinbarung unterliegt deutschem Recht unter Ausschluss des UN-Kaufrechts.

Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt für etwaige Vertragslücken.

Für den Auftragnehmer:

München

(DK Tech Solutions UG (haftungsbeschränkt) (in Gründung)) ([Name und Funktion des Unterzeichners für Safina AI, z.B. Geschäftsführer])

Wichtige Hinweise für die Webseite:

  • Verlinkung: Stellt sicher, dass eure Nutzungsbedingungen klar auf diese AVV verweisen und erklären, dass sie für Unternehmer, die personenbezogene Daten verarbeiten, gilt und durch Zustimmung zu den Nutzungsbedingungen akzeptiert wird.

  • Zugänglichkeit: Platziert die AVV gut sichtbar im "Rechtliches"-Bereich eurer Webseite, zusammen mit Impressum, Datenschutzerklärung und Nutzungsbedingungen.

  • Aktualisierung: Haltet das "Stand"-Datum aktuell, wenn ihr Änderungen vornehmt. Denkt daran, den Zusatz "(in Gründung)" zu entfernen, sobald die UG im Handelsregister eingetragen ist.

  • TOMs & Subunternehmer: Wie in der AVV erwähnt, müsst ihr die Liste der Subunternehmer und die Beschreibung der TOMs aktuell halten und zugänglich machen (z.B. als separate Dokumente im Legal-Bereich oder auf Anfrage).