Zum Hauptinhalt springen
🚀 Wir sind neu! Nur noch 50 Plätze zum halben Preis: 29,50 €/Monat statt 59 €
BureauFlow

Auftragsverarbeitungsvertrag (AVV)

Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zwischen der Bureao Flow GmbH und ihren Kunden.

Dieser Auftragsverarbeitungsvertrag (AVV) wird geschlossen zwischen dem Kunden (nachfolgend Auftraggeber) und der Bureao Flow GmbH (nachfolgend Auftragnehmer) und ergänzt die Allgemeinen Geschäftsbedingungen (AGB) für den KI-Telefonassistenten BureauFlow.

1. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung des KI-Telefonassistenten BureauFlow. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (Abonnement).

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst:

  • Entgegennahme und Verarbeitung eingehender Telefonanrufe mittels KI-Sprachassistent
  • Automatische Spracherkennung (Speech-to-Text) und semantische Analyse
  • Erstellung und Zustellung von Anrufzusammenfassungen per WhatsApp
  • Automatische Terminbuchung in den Kalender des Auftraggebers
  • Speicherung und Anzeige von Anrufdaten im Dashboard
  • Verwaltung von Kontaktdaten im integrierten CRM

3. Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Stammdaten der Anrufer: Name, Telefonnummer (soweit mitgeteilt)
  • Kommunikationsinhalte: Gesprächsinhalte, Transkriptionen, Zusammenfassungen
  • Verbindungsdaten: Datum, Uhrzeit, Dauer des Anrufs
  • Terminbuchungsdaten: Wunschtermine, Anliegen, Kontaktdaten
  • Technische Daten: IP-Adressen, Geräteinformationen

4. Kategorien betroffener Personen

  • Anrufer, die die Telefonnummer des Auftraggebers wählen
  • Kontaktpersonen, die im CRM des Auftraggebers gespeichert werden

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

a) Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet.

b) Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

c) Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zu treffen, insbesondere:

  • Verschlüsselung der Datenübertragung (TLS 1.2+)
  • Verschlüsselung gespeicherter Daten (AES-256)
  • Zugangs- und Zugriffskontrolle (rollenbasiert)
  • Regelmäßige Sicherheitsupdates und Schwachstellenscans
  • Protokollierung von Zugriffen auf personenbezogene Daten
  • Automatische Datensicherung mit Wiederherstellungstests
  • Getrennte Speicherung der Daten verschiedener Auftraggeber

d) Die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (siehe Abschnitt 7).

e) Den Auftraggeber unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO) zu unterstützen.

f) Den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO zu unterstützen (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).

g) Nach Abschluss der Verarbeitung alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben und bestehende Kopien zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende.

h) Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen/Audits zu ermöglichen.

6. Pflichten des Auftraggebers

Der Auftraggeber ist verpflichtet:

a) Seine Anrufer darüber zu informieren, dass Anrufe durch einen KI-Assistenten entgegengenommen und verarbeitet werden (Informationspflicht nach Art. 13/14 DSGVO).

b) Sicherzustellen, dass die Nutzung des KI-Telefonassistenten im Einklang mit den geltenden Datenschutzvorschriften erfolgt.

c) Den Auftragnehmer unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

7. Unterauftragsverarbeitung

Der Auftragnehmer setzt derzeit folgende Unterauftragsverarbeiter ein:

UnterauftragsverarbeiterZweckStandort
Vercel Inc.Hosting der WebanwendungUSA (EU-U.S. DPF)
Neon Inc.Datenbankspeicherung (PostgreSQL)USA (SCCs)
Stripe Inc.ZahlungsabwicklungUSA (EU-U.S. DPF)
IONOS SEKI-SprachverarbeitungDeutschland/USA (EU-U.S. DPF)
Google LLCKalender-Integration, AnalyticsUSA (EU-U.S. DPF)
Meta Platforms (WhatsApp)Zustellung von ZusammenfassungenUSA/EU (EU-U.S. DPF)
Resend Inc.E-Mail-VersandUSA (SCCs)

Der Auftragnehmer informiert den Auftraggeber vorab über jede beabsichtigte Änderung der Unterauftragsverarbeiter. Der Auftraggeber kann einer Änderung innerhalb von 14 Tagen widersprechen. Im Falle eines begründeten Widerspruchs steht beiden Parteien ein außerordentliches Kündigungsrecht zu.

Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden wie in diesem AVV.

8. Datenübermittlung in Drittländer

Soweit Unterauftragsverarbeiter personenbezogene Daten außerhalb des EWR verarbeiten, erfolgt die Übermittlung auf Grundlage von:

  • Angemessenheitsbeschluss nach Art. 45 DSGVO (EU-U.S. Data Privacy Framework), oder
  • Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO mit ergänzenden technischen Schutzmaßnahmen

9. Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens aber innerhalb von 24 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist (Art. 33 Abs. 2 DSGVO). Die Meldung enthält:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl betroffener Personen
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

10. KI-spezifische Bestimmungen

a) Keine Nutzung zu Trainingszwecken: Personenbezogene Daten des Auftraggebers und seiner Anrufer werden nicht zum Training von KI-Modellen verwendet.

b) Transparenz der KI-Verarbeitung: Der Auftragnehmer informiert Anrufer zu Beginn des Gesprächs, dass sie mit einem KI-Assistenten sprechen.

c) Menschliche Eskalation: Anrufer können jederzeit die Verbindung beenden oder um Rückruf durch einen menschlichen Mitarbeiter bitten.

d) Keine automatisierte Einzelentscheidung: Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder den Anrufer erheblich beeinträchtigt.

11. Audit-Rechte

Der Auftraggeber hat das Recht, die Einhaltung dieses AVV zu überprüfen. Dies kann erfolgen durch:

  • Anforderung aktueller Zertifikate und Prüfberichte
  • Schriftliche Anfragen zu spezifischen Verarbeitungsmaßnahmen
  • Vor-Ort-Audits nach vorheriger Abstimmung (angemessene Ankündigungsfrist: 4 Wochen)

Der Auftragnehmer unterstützt Audits im zumutbaren Umfang. Die Kosten trägt der Auftraggeber, sofern kein Verstoß des Auftragnehmers festgestellt wird.

12. Haftung

Die Haftung richtet sich nach den Bestimmungen der DSGVO (insbesondere Art. 82 DSGVO) sowie den Haftungsregelungen des Hauptvertrags (AGB).

13. Laufzeit und Beendigung

Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft und endet automatisch mit dessen Beendigung. Die Pflichten aus den Abschnitten 5g (Datenlöschung), 9 (Datenschutzverletzungen) und 10 (KI-Bestimmungen) gelten auch nach Vertragsende fort.

14. Schlussbestimmungen

Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, Trier.

Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) haben die Bestimmungen dieses AVV Vorrang, soweit der Schutz personenbezogener Daten betroffen ist.

Stand: Februar 2026