Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO — Stand: April 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen dem Kunden (nachfolgend „Verantwortlicher") und der Bureao Flow GmbH (nachfolgend „Auftragsverarbeiter") geschlossen und ist Bestandteil des Hauptvertrags über die Nutzung von BureauFlow.

Art. 1 – Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten (Anruferdaten, Transkripte, Kontaktdaten) im Auftrag des Verantwortlichen zum Zweck des Betriebs des KI-Telefonassistenten BureauFlow. Die Verarbeitung erfolgt für die Dauer des Nutzungsvertrags.

Art. 2 – Art und Zweck der Verarbeitung

Art der Verarbeitung: Erhebung, Speicherung, Übermittlung, Auswertung, Löschung von Anrufdaten.

Zweck: Entgegennahme, Transkription und Zusammenfassung eingehender Telefonanrufe; Terminbuchung; Kontaktverwaltung; Rechnungsstellung.

Betroffene Personen: Anrufer (Kunden des Verantwortlichen), Kontakte des Verantwortlichen.

Datenkategorien: Name, Telefonnummer, ggf. E-Mail-Adresse, Gesprächsinhalte (Transkripte), Termindaten, KI-generierte Analysen.

Art. 3 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten
Alle zur Verarbeitung eingesetzten Personen auf Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO)
Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen (TLS-Verschlüsselung, Zugangskontrolle, regelmäßige Updates)
Weitere Auftragsverarbeiter (Unterauftragsverarbeiter) nur mit Zustimmung des Verantwortlichen einzusetzen
Den Verantwortlichen bei der Erfüllung von Betroffenenrechten und DSGVO-Meldepflichten zu unterstützen
Nach Beendigung des Hauptvertrags alle Daten zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungsfristen bestehen

Art. 4 – Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein (allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO):

Vercel Inc. (Hosting) — USA — SCCs
Neon Tech Inc. (Datenbank) — USA — SCCs
Vapi AI (Sprachtelefonie) — USA — SCCs
Anthropic, PBC (KI-Modell) — USA — SCCs
Resend, Inc. (E-Mail) — USA — SCCs

Änderungen bei Unterauftragsverarbeitern werden dem Verantwortlichen mit angemessenem Vorlauf mitgeteilt. Der Verantwortliche kann Änderungen widersprechen.

Art. 5 – Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung aller Daten in Transit (TLS 1.2+)
Verschlüsselung aller Daten at Rest (AES-256)
Zugriffskontrollen und Rollenberechtigungen
Automatische Datenbankbackups (täglich)
Monitoring und Alerting bei Sicherheitsvorfällen
Passwort-Hashing (bcrypt) — keine Klartextspeicherung von Passwörtern
Regelmäßige Sicherheitsupdates und Dependency-Audits

Art. 6 – Meldepflichten

Der Auftragsverarbeiter meldet Datenschutzverletzungen gemäß Art. 33 DSGVO unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, an: datenschutz@bureauflow.de

Art. 7 – Kontakt und Ansprechpartner

Bureao Flow GmbH
z.H. Tomas Marty (Datenschutzbeauftragter)
Trimmelter Weg 1 a, 54295 Trier
datenschutz@bureauflow.de

Dieser AVV tritt mit Abschluss des Nutzungsvertrags in Kraft und ersetzt alle vorherigen Vereinbarungen zur Auftragsverarbeitung. Anwendbar ist deutsches Recht.

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO — Stand: April 2026

Art. 2 – Art und Zweck der Verarbeitung

Art der Verarbeitung: Erhebung, Speicherung, Übermittlung, Auswertung, Löschung von Anrufdaten.

Zweck: Entgegennahme, Transkription und Zusammenfassung eingehender Telefonanrufe; Terminbuchung; Kontaktverwaltung; Rechnungsstellung.

Betroffene Personen: Anrufer (Kunden des Verantwortlichen), Kontakte des Verantwortlichen.

Datenkategorien: Name, Telefonnummer, ggf. E-Mail-Adresse, Gesprächsinhalte (Transkripte), Termindaten, KI-generierte Analysen.

Art. 3 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten

Alle zur Verarbeitung eingesetzten Personen auf Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO)

Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen (TLS-Verschlüsselung, Zugangskontrolle, regelmäßige Updates)

Weitere Auftragsverarbeiter (Unterauftragsverarbeiter) nur mit Zustimmung des Verantwortlichen einzusetzen

Den Verantwortlichen bei der Erfüllung von Betroffenenrechten und DSGVO-Meldepflichten zu unterstützen

Nach Beendigung des Hauptvertrags alle Daten zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungsfristen bestehen

Art. 4 – Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein (allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO):

Vercel Inc. (Hosting) — USA — SCCs

Neon Tech Inc. (Datenbank) — USA — SCCs

Vapi AI (Sprachtelefonie) — USA — SCCs

Anthropic, PBC (KI-Modell) — USA — SCCs

Resend, Inc. (E-Mail) — USA — SCCs

Änderungen bei Unterauftragsverarbeitern werden dem Verantwortlichen mit angemessenem Vorlauf mitgeteilt. Der Verantwortliche kann Änderungen widersprechen.

Art. 5 – Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung aller Daten in Transit (TLS 1.2+)

Verschlüsselung aller Daten at Rest (AES-256)

Zugriffskontrollen und Rollenberechtigungen

Automatische Datenbankbackups (täglich)

Monitoring und Alerting bei Sicherheitsvorfällen

Passwort-Hashing (bcrypt) — keine Klartextspeicherung von Passwörtern

Regelmäßige Sicherheitsupdates und Dependency-Audits