Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Anwendungsbereich

(1) Vertragsgegenstand ist die Verarbeitung personenbezogener Daten durch VOXALIUM AI als Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen im Rahmen des Hauptvertrages über die Erbringung KI-gestützter Telefonie-Dienstleistungen (insbesondere Inbound- und Outbound-Anrufabwicklung über den VoiceAgent).

(2) Dieser AVV konkretisiert die Pflichten der Parteien aus Art. 28 DSGVO. Bei Widersprüchen zwischen diesem AVV und den AGB gehen die Regelungen dieses AVV in datenschutzrechtlichen Belangen vor.

(3) Der Verantwortliche bleibt im Sinne des Art. 4 Nr. 7 DSGVO Verantwortlicher für die Verarbeitung der personenbezogenen Daten. VOXALIUM AI handelt als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO.

§ 2 Gegenstand, Art, Zweck und Dauer der Verarbeitung

2.1 Gegenstand

Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung und dem Betrieb eines KI-gestützten Sprachassistenten („VoiceAgent“) zur Annahme eingehender (Inbound) und/oder zur Initiierung ausgehender (Outbound) Telefongespräche.

2.2 Art der Verarbeitung

Erheben, Erfassen, Organisation, Ordnung, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von personenbezogenen Daten (Art. 4 Nr. 2 DSGVO), soweit dies zur Erbringung der vertraglich geschuldeten Telefonie-Dienstleistungen erforderlich ist.

2.3 Zweck

• Annahme und automatisierte Beantwortung eingehender Telefonanrufe nach Maßgabe der vom Verantwortlichen bereitgestellten Skripte,
• Initiierung und Durchführung ausgehender Telefonanrufe im Auftrag des Verantwortlichen,
• Erzeugung und Speicherung von Audio-Mitschnitten und Text-Transcripten zur Qualitätssicherung und Fehleranalyse,
• Erstellung von Reports und Abrechnungsgrundlagen für den Verantwortlichen,
• Bereitstellung technischen Supports.

2.4 Dauer

Die Verarbeitung erfolgt für die Dauer des Hauptvertrages. Eine Verarbeitung über das Vertragsende hinaus erfolgt ausschließlich zur Erfüllung gesetzlicher Aufbewahrungspflichten (§§ 147 AO, 257 HGB) oder zur Abwicklung der Vertragsbeendigung gemäß § 13 dieses AVV.

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

3.1 Art der personenbezogenen Daten

• Kommunikations- und Kontaktdaten: Telefonnummer (Anrufer und Angerufener), Anrufzeitpunkt, Anrufdauer, Anrufstatus.
• Inhaltsdaten: Audio-Mitschnitt des Gesprächs, automatisch erzeugtes Text-Transcript des Gesprächsinhalts.
• Stamm- und Adressdaten (soweit vom Verantwortlichen bereitgestellt oder im Gespräch erhoben): Name, Anschrift, E-Mail-Adresse, ggf. weitere Identifikations- oder Kontaktdaten.
• Anliegen- und Vertragsdaten (soweit vom Verantwortlichen bereitgestellt oder im Gespräch erhoben): Kundennummer, Anliegen, Termin- und Beratungsdaten, Produkt-/Leistungsdaten.
• Technische Metadaten: Session-Identifikatoren, technische Protokolle.

Eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheits-, Religions-, Gewerkschaftsdaten) ist nicht vorgesehen. Sollten solche Daten im Einzelfall im Gespräch unvermeidbar genannt werden, ist der Verantwortliche dafür verantwortlich, die erforderliche Rechtsgrundlage zu schaffen.

3.2 Kategorien betroffener Personen

• Bestands- und Interessentenkunden des Verantwortlichen,
• Anrufer (Inbound) und vom Verantwortlichen kontaktierte Personen (Outbound),
• Beschäftigte und Ansprechpartner des Verantwortlichen, soweit sie an Gesprächen beteiligt sind,
• Dritte, deren Daten im Gespräch genannt werden.

§ 4 Weisungen und Zweckbindung

(1) VOXALIUM AI verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, sie ist nach dem Unionsrecht oder dem Recht eines Mitgliedstaates, dem VOXALIUM AI unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt VOXALIUM AI dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Weisungen sind grundsätzlich in Textform zu erteilen. Mündliche oder telefonische Weisungen sind unverzüglich in Textform zu bestätigen.

(3) VOXALIUM AI informiert den Verantwortlichen unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). VOXALIUM AI ist berechtigt, die Ausführung der entsprechenden Weisung bis zur Klärung auszusetzen.

(4) Eine Verwendung der personenbezogenen Daten zu eigenen Zwecken durch VOXALIUM AI ist ausgeschlossen. Insbesondere werden die Aufzeichnungen, Transcripte und sonstigen verarbeiteten Daten nicht zum Training oder zur Verbesserung eigener KI-Modelle von VOXALIUM AI verwendet.

§ 5 Allgemeine Pflichten des Auftragsverarbeiters

VOXALIUM AI verpflichtet sich insbesondere zu Folgendem:

• Einhaltung der einschlägigen datenschutzrechtlichen Vorschriften, insbesondere der DSGVO, des BDSG und ergänzender Vorschriften der Bundesländer und der EU,
• Bestellung eines Datenschutzbeauftragten, soweit eine gesetzliche Verpflichtung besteht (§ 38 BDSG); andernfalls Benennung einer für Datenschutzfragen zuständigen Ansprechperson,
• Verarbeitung personenbezogener Daten ausschließlich im Gebiet der EU bzw. des EWR, ausgenommen die in § 9 geregelten Fälle,
• Führung eines Verzeichnisses sämtlicher Kategorien von im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO,
• Zur Verfügung Stellung aller erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO.

§ 6 Vertraulichkeit

(1) VOXALIUM AI verpflichtet alle mit der Verarbeitung der personenbezogenen Daten befassten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO). Die Vertraulichkeitspflicht besteht auch nach Beendigung der Tätigkeit fort.

(2) Zur Verarbeitung der personenbezogenen Daten werden nur solche Personen eingesetzt, die zuvor mit den für sie relevanten Bestimmungen des Datenschutzrechts und diesem AVV vertraut gemacht wurden und die schriftlich oder in Textform auf die Vertraulichkeit verpflichtet wurden.

§ 7 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

(1) VOXALIUM AI trifft die in Anlage 1 zu diesem AVV beschriebenen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO).

(2) Die in Anlage 1 beschriebenen Maßnahmen können von VOXALIUM AI im Laufe des Vertragsverhältnisses an die technische und organisatorische Entwicklung angepasst werden, wobei das Schutzniveau nicht unterschritten wird.

(3) Wesentliche Änderungen werden dem Verantwortlichen in Textform mitgeteilt.

§ 8 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt VOXALIUM AI seine allgemeine Zustimmungzur Einschaltung weiterer Auftragsverarbeiter („Unterauftragsverarbeiter“) im Sinne des Art. 28 Abs. 2 DSGVO. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.

(2) VOXALIUM AI informiert den Verantwortlichen spätestens 30 Tage vor Hinzufügung oder Wechsel eines Unterauftragsverarbeiters in Textform unter Angabe des Namens, der Anschrift, der Art der Tätigkeit sowie – sofern einschlägig – des Drittlandes der Verarbeitung.

(3) Der Verantwortliche kann der Einschaltung innerhalb von 30 Tagen nach Zugang der Information aus wichtigem Grund – insbesondere datenschutzrechtlichen Bedenken – widersprechen. Bleibt ein Widerspruch innerhalb dieser Frist aus, gilt die Zustimmung als erteilt. Im Widerspruchsfall bemühen sich die Parteien um eine einvernehmliche Lösung. Kommt eine solche nicht binnen 30 Tagen nach Zugang des Widerspruchs zustande, steht jeder Partei ein Sonderkündigungsrecht zum Wirksamkeitsdatum der Sub-Processor-Änderung zu.

(4) VOXALIUM AI schließt mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag ab, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt, wie sie sich aus diesem AVV ergeben (Art. 28 Abs. 4 DSGVO). Insbesondere verpflichtet VOXALIUM AI den Unterauftragsverarbeiter zur Einhaltung angemessener technisch-organisatorischer Maßnahmen nach Art. 32 DSGVO.

(5) Erfüllt ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht, haftet VOXALIUM AI dem Verantwortlichen gegenüber für die Einhaltung der Pflichten durch den Unterauftragsverarbeiter (Art. 28 Abs. 4 Satz 3 DSGVO).

(6) Eine Übermittlung an Unterauftragsverarbeiter mit Sitz oder Verarbeitungsort in einem Drittland richtet sich zusätzlich nach § 9.

§ 9 Übermittlung in Drittländer

(1) Personenbezogene Daten werden grundsätzlich ausschließlich innerhalb der EU bzw. des EWR verarbeitet.

(2) Soweit im Einzelfall die Verarbeitung durch Unterauftragsverarbeiter außerhalb der EU bzw. des EWR erfolgt (Drittlandsübermittlung im Sinne des Kapitels V DSGVO), stellt VOXALIUM AI sicher, dass eine der folgenden Garantien vorliegt:

• Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO (z.B. EU-US Data Privacy Framework für entsprechend zertifizierte US-Anbieter), oder
• Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021, ergänzt durch geeignete zusätzliche Schutzmaßnahmen sowie – soweit erforderlich – eine Transfer Impact Assessment (TIA), oder
• verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) gemäß Art. 47 DSGVO, oder
• eine sonstige Garantie nach Art. 46 DSGVO.

(3) Die aktuelle Liste der Unterauftragsverarbeiter mit Verarbeitung außerhalb der EU bzw. des EWR sowie die jeweils zugrunde liegende Rechtsgrundlage des Drittlandstransfers werden in Anlage 2 ausgewiesen und auf Anfrage des Verantwortlichen aktualisiert zur Verfügung gestellt.

§ 10 Unterstützung bei Betroffenenrechten

(1) VOXALIUM AI unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Anträge betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Art. 12 bis 22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

(2) Wendet sich eine betroffene Person mit einem Antrag direkt an VOXALIUM AI, leitet VOXALIUM AI den Antrag unverzüglich an den Verantwortlichen weiter und beantwortet ihn nicht eigenständig, sofern keine ausdrückliche Weisung des Verantwortlichen vorliegt.

(3) Der angemessene Aufwand der Unterstützung gemäß diesem Paragraphen wird, sofern er das übliche Maß übersteigt, von VOXALIUM AI nach § 16 gesondert vergütet.

§ 11 Unterstützung bei Datenschutz-Folgenabschätzung und Aufsichtsbehörden

VOXALIUM AI unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere

• bei der Sicherstellung eines angemessenen Schutzniveaus durch technisch-organisatorische Maßnahmen,
• bei der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
• bei der vorherigen Konsultation der zuständigen Aufsichtsbehörde (Art. 36 DSGVO),
• bei Anfragen, Untersuchungen oder Maßnahmen von Aufsichtsbehörden, die sich auf die Verarbeitung im Rahmen dieses AVV beziehen.

§ 12 Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) VOXALIUM AI meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung in Textform.

(2) Die Meldung umfasst – soweit zum Meldungszeitpunkt bekannt – insbesondere folgende Angaben:

• Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen Datensätze,
• Beschreibung der wahrscheinlichen Folgen,
• Beschreibung der von VOXALIUM AI ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung möglicher nachteiliger Auswirkungen,
• Name und Kontaktdaten der für Datenschutzfragen zuständigen Ansprechperson.

(3) Die Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) sowie an betroffene Personen (Art. 34 DSGVO) obliegt dem Verantwortlichen. VOXALIUM AI unterstützt den Verantwortlichen hierbei.

§ 13 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Hauptvertrages hat VOXALIUM AI nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder zu löschen oder an den Verantwortlichen in einem gängigen, maschinenlesbaren Format zurückzugeben, sofern nicht nach Unionsrecht oder dem Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).

(2) Der Verantwortliche teilt VOXALIUM AI seine Wahl innerhalb von 30 Tagen nach Vertragsende in Textform mit. Erfolgt innerhalb dieser Frist keine Mitteilung, werden die Daten automatisch gelöscht.

(3) Die Löschung wird innerhalb von 30 Tagen nach der Wahl oder dem Fristablauf vorgenommen und auf Anfrage des Verantwortlichen schriftlich dokumentiert. Backup-Kopien werden im Rahmen der üblichen Backup-Zyklen mitgelöscht, spätestens jedoch nach 90 Tagen.

(4) Daten, die gesetzlichen Aufbewahrungspflichten (z.B. § 147 AO, § 257 HGB) unterliegen, werden bis zum Ablauf der Aufbewahrungsfrist gesperrt aufbewahrt und im Anschluss gelöscht.

§ 14 Kontroll- und Auditrechte

(1) VOXALIUM AI stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen, und ermöglicht Überprüfungen – einschließlich Inspektionen – durch den Verantwortlichen oder einen von diesem beauftragten Prüfer (Art. 28 Abs. 3 lit. h DSGVO).

(2) Überprüfungen sind in der Regel mit einem zeitlichen Vorlauf von mindestens 14 Tagen in Textform anzukündigen und finden während der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs statt. Sie dürfen nicht öfter als einmal jährlich erfolgen, es sei denn, es liegt ein wichtiger Anlass (z.B. konkrete Verdachtsmomente einer Datenschutzverletzung) vor.

(3) Die Vorlage aktueller Zertifizierungen, Audit-Berichte oder Selbsterklärungen (z.B. ISO 27001, BSI-C5, SOC 2) kann eine Vor-Ort-Überprüfung ersetzen, sofern sie ein angemessenes Schutzniveau dokumentieren.

(4) Beauftragt der Verantwortliche einen externen Prüfer, darf dieser nicht in einem Wettbewerbsverhältnis zu VOXALIUM AI stehen und ist vor Beginn der Prüfung zur Vertraulichkeit zu verpflichten.

(5) Der gerechtfertigte Mehraufwand für Audits wird gemäß § 16 vergütet.

§ 15 Haftung

(1) Im Verhältnis zu betroffenen Personen haftet jede Partei nach den Vorgaben des Art. 82 DSGVO. Die Parteien stellen sich im Innenverhältnis von Schadenersatzansprüchen Dritter frei, soweit der jeweilige Schaden ihrem Verantwortungsbereich zuzurechnen ist.

(2) Im Verhältnis der Parteien zueinander gelten ergänzend die Haftungsregelungen des Hauptvertrages (insbesondere § 15 AGB).

(3) Bußgelder, die gegen eine Partei aufgrund eines Verstoßes verhängt werden, der dem Verantwortungsbereich der anderen Partei zuzurechnen ist, sind von der jeweils verursachenden Partei zu tragen.

§ 16 Vergütung von Mehraufwand

(1) Unterstützungsleistungen, Audits und Mehraufwände, die durch außergewöhnliche Anforderungen des Verantwortlichen entstehen und über das vertraglich übliche Maß hinausgehen, werden nach den jeweils gültigen Stundensätzen von VOXALIUM AI gesondert vergütet.

(2) Mehraufwand, der auf einem von VOXALIUM AI zu vertretenden Datenschutzverstoß beruht, ist vom Verantwortlichen nicht zu vergüten.

§ 17 Vertragsdauer und Änderungen

(1) Dieser AVV gilt für die Dauer des Hauptvertrages. Er endet automatisch mit dem Ende des Hauptvertrages. Die Verpflichtungen aus § 6 (Vertraulichkeit), § 12 (Meldung) und § 13 (Löschung) bestehen darüber hinaus fort, soweit dies aus rechtlichen oder tatsächlichen Gründen erforderlich ist.

(2) Änderungen dieses AVV bedürfen der Textform; das Textformerfordernis kann nur in Textform abbedungen werden.

(3) Erfordert eine Änderung der datenschutzrechtlichen Rahmenbedingungen (z.B. Inkrafttreten neuer Gesetze, neue Rechtsprechung, neue Leitlinien des EDSA oder DSK) eine Anpassung dieses AVV, einigen sich die Parteien unverzüglich auf eine entsprechende Änderung. VOXALIUM AI kann eine erforderliche Anpassung in Textform vorschlagen; widerspricht der Verantwortliche der vorgeschlagenen Anpassung nicht binnen 30 Tagen, gilt sie als angenommen.

§ 18 Schlussbestimmungen

(1) Vorrang. Bei Widersprüchen zwischen Bestimmungen dieses AVV und Bestimmungen sonstiger Vereinbarungen zwischen den Parteien, insbesondere des Hauptvertrages, gehen die Bestimmungen dieses AVV in datenschutzrechtlichen Fragen vor.

(2) Anwendbares Recht und Gerichtsstand. Es gilt deutsches Recht unter Ausschluss kollisionsrechtlicher Verweisungen. Ausschließlicher Gerichtsstand ist Wuppertal, soweit der Verantwortliche Kaufmann im Sinne des § 38 ZPO, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

(3) Salvatorische Klausel. Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt diejenige wirksame und durchführbare Regelung, deren wirtschaftliche Auswirkungen denjenigen der unwirksamen Bestimmung möglichst nahekommen.

Anlage 1 — Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

VOXALIUM AI trifft die nachfolgenden technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Verarbeitung in ISO-27001-zertifizierten Rechenzentren (Hetzner Online GmbH, Deutschland) mit Zutrittskontrolle, Videoüberwachung und 24/7-Sicherheitsdienst. Eigene Geschäftsräume von VOXALIUM AI mit verschließbaren Türen und kontrolliertem Zugang.
• Zugangskontrolle: Authentifizierung mit Benutzername und Passwort, Zwei-Faktor-Authentifizierung (2FA) für administrative Zugänge, Verwendung von SSH-Schlüsseln statt Passwörtern für Server-Zugänge, automatische Sperrung nach Fehlversuchen, Passwort-Richtlinien.
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (Least-Privilege-Prinzip), differenzierte Zugriffsrechte pro Rolle und Aufgabe, regelmäßige Überprüfung der Berechtigungen, Protokollierung administrativer Zugriffe.
• Trennungskontrolle: Logische Mandantentrennung pro Kunde, getrennte Datenbanken bzw. logisch getrennte Datenbestände, getrennte Test- und Produktionsumgebungen.
• Pseudonymisierung und Verschlüsselung: Verschlüsselung der Daten bei der Übertragung (TLS 1.2+, HSTS), Verschlüsselung sensibler Daten im Ruhezustand, Pseudonymisierung wo technisch sinnvoll und zweckdienlich.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Eingabekontrolle: Protokollierung relevanter Verarbeitungs- und Administrationsvorgänge mit Zeitstempel und Benutzer-Kennung, revisionssichere Aufbewahrung der Protokolle.
• Weitergabekontrolle: Verschlüsselte Datenübertragung (TLS), keine Speicherung personenbezogener Daten auf Wechselmedien, sichere Vernichtung von Datenträgern nach DIN 66399.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

• Verfügbarkeitskontrolle: Regelmäßige Backups, redundante Systeme im Rechenzentrum, USV-Anlagen und Notstromversorgung beim Hosting-Anbieter, Monitoring und Alerting.
• Wiederherstellbarkeit: Definierte Backup- und Restore-Prozesse, regelmäßige Wiederherstellungstests, Recovery Time Objective (RTO) und Recovery Point Objective (RPO) nach Risikobewertung.
• Patch-Management: Zeitnahe Installation sicherheitsrelevanter Updates für Betriebssystem, Anwendungen und Bibliotheken, automatisiertes Vulnerability-Scanning.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige interne Überprüfung der technischen und organisatorischen Maßnahmen,
• Datenschutz-Management mit dokumentierten Prozessen,
• Schulung und Sensibilisierung der für die Verarbeitung zuständigen Personen,
• Incident-Response-Prozesse für Datenschutzvorfälle,
• Vorgaben zur Auftragnehmer-/Sub-Processor-Auswahl mit Datenschutz-Mindestkriterien.

Anlage 2 — Liste der Unterauftragsverarbeiter

Die folgende Liste enthält die zum Stand Mai 2026 von VOXALIUM AI eingesetzten Unterauftragsverarbeiter. Die jeweils aktuelle Liste wird laufend gepflegt und ist auf Anfrage an kontakt@voxalium.de in Textform erhältlich. Wesentliche Änderungen erfolgen nach dem in § 8 dieses AVV geregelten Verfahren.

A. Hosting und Infrastruktur

• Hetzner Online GmbH
  Industriestr. 25, 91710 Gunzenhausen, Deutschland
  Tätigkeit: Hosting der Anwendungsplattform und der Datenbanken in deutschen Rechenzentren.
  Verarbeitungsort: Deutschland (EU/EWR).
  Rechtsgrundlage des Transfers: Verarbeitung innerhalb der EU – keine Drittlandsübermittlung.

B. Telefonie- und Sprach-KI-Dienste

Die für den Betrieb des VoiceAgents eingesetzten Telefonie-Provider und KI-Modellanbieter werden im Rahmen der jeweiligen Vertrags-Konfiguration zwischen VOXALIUM AI und dem Verantwortlichen verbindlich festgelegt und in einer separaten, aktuell gehaltenen Übersicht ausgewiesen. Soweit ein Anbieter seinen Sitz oder den Verarbeitungsort außerhalb der EU bzw. des EWR hat, gelten die in § 9 dieses AVV festgelegten Garantien (insbesondere Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 sowie ggf. Transfer Impact Assessment).

Beispielhafte Kategorien:

• Telefonie-Provider für Inbound- und Outbound-Anrufabwicklung (Telekommunikations-Dienstleister; Verarbeitungsort EU oder mit SCC-Absicherung).
• Sprach-KI-Anbieter für Sprachsynthese, Spracherkennung und Sprachmodelle (Verarbeitungsort EU oder mit SCC-Absicherung; ggf. Nutzung des EU-US Data Privacy Framework).
• E-Mail-Versand-Dienstleister für transaktionale Benachrichtigungen (Verarbeitungsort EU oder mit SCC-Absicherung).

Hinweis: Die konkrete Sub-Processor-Liste wird zum Vertragsschluss mit der Auftragsbestätigung zur Verfügung gestellt und nach dem in § 8 dieses AVV geregelten Verfahren laufend aktualisiert.

Kontakt für Datenschutzfragen

Vera Bolotko
VOXALIUM AI (Einzelunternehmen)
Malzstr. 1, 42119 Wuppertal, Deutschland
E-Mail: kontakt@voxalium.de