Datenverarbeitungsvereinbarung (AVV)

Letzte Aktualisierung: 15. Juli 2025 Gemäß Art. 28 DSGVO Zwischen

dem Kunden (der “Verantwortliche”)
itellico AI GmbH, Postgasse 19, A-1010 Wien, Österreich (der “Auftragsverarbeiter”)

Präambel

Dieser Vertrag zur Auftragsverarbeitung (AVV) regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten zur Erfüllung der zwischen den Parteien geschlossenen Dienstleistungsvereinbarung (“Hauptvertrag”).

1. Gegenstand, Dauer und Spezifikation der Datenverarbeitung

1.1 Gegenstand

Gegenstand der Datenverarbeitung ist die Erbringung der im Hauptvertrag definierten Dienstleistungen.

1.2 Art und Zweck der Verarbeitung

Die Verarbeitung dient ausschließlich der Erbringung der im Hauptvertrag definierten Dienstleistungen.

1.3 Art der personenbezogenen Daten

Inhaltsdaten:
- Sprach- und Audiodaten aus allen Interaktionen
- Gesprächsinhalte in Textform (Transkripte)
- Alle vom Verantwortlichen im Rahmen des Hauptvertrags bereitgestellten Daten und Inhalte
- Alle vom Endnutzer freiwillig bereitgestellten Daten und Informationen
Kontaktdaten (sofern vom Endnutzer bereitgestellt):
- Telefonnummer (als Teil der Verbindungsdaten)
- Name (sofern vom Endnutzer aktiv angegeben, da dieser nicht proaktiv abgefragt wird)
- E-Mail-Adresse (sofern vom Endnutzer aktiv angegeben, da diese nicht proaktiv abgefragt wird)
Nutzungsdaten (Metadaten für Abrechnung und Analyse):
- Eindeutige Kennungen (z.B. Anruf-ID, Sitzungs-ID)
- Zeitstempel und Dauer der Interaktion
- Token-Verbrauch (für KI-basierte Dienste und Abrechnungszwecke)
- Technische Parameter der Übertragung
- IP-Adresse

1.4 Kategorien betroffener Personen

Endnutzer des Verantwortlichen (z.B. Kunden, Interessenten), die mit dem KI-Sprachassistenten interagieren.

1.5 Dauer der Verarbeitung

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

2. Pflichten des Auftragsverarbeiters

2.1 Verarbeitung auf Weisung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Die Nutzung der im Hauptvertrag definierten Dienstleistungen durch den Verantwortlichen stellt eine solche Weisung dar.

2.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.

2.3 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung. Die konkret umgesetzten TOMs sind im Anhang zu dieser Vereinbarung aufgeführt.

2.4 Keine Nutzung für KI-Training

Der Auftragsverarbeiter garantiert, dass er für die Verarbeitung von Inhaltsdaten wie Sprach- und Textdaten (z.B. für Transkription, Inhaltsgenerierung und Text-to-Speech-Synthese) ausschließlich APIs von Subunternehmern nutzt, die vertraglich garantieren, dass übermittelte Daten nicht für das Training von KI-Modellen verwendet werden. Dies gilt für alle eingesetzten Anbieter mit Ausnahme von Cartesia. Die Verarbeitung erfolgt in Übereinstimmung mit den jeweiligen Datenschutzbestimmungen der eingesetzten Anbieter und den in dieser Vereinbarung festgelegten Verpflichtungen.

3. Subunternehmer

3.1 Einsatz von Subunternehmern

Der Verantwortliche erteilt eine allgemeine Genehmigung für den Einsatz von Subunternehmern zur Erbringung der vertraglichen Dienstleistungen. Der Auftragsverarbeiter führt und aktualisiert eine Liste aller beauftragten Subunternehmer unter https://itellico.ai/legal/data-processors/.

3.2 Vertragliche Verpflichtungen und Garantien

Der Auftragsverarbeiter stellt durch den Abschluss von Verträgen (typischerweise die Standard-Datenverarbeitungsvereinbarungen der Anbieter) sicher, dass jeden Subunternehmer Datenschutzverpflichtungen unterliegen, die inhaltlich den in dieser AVV festgelegten entsprechen (gemäß Art. 28 Abs. 4 DSGVO).

3.3 Drittlandtransfers

Für Subunternehmer mit Sitz außerhalb der EU/des EWR stellt der Auftragsverarbeiter ein angemessenes Datenschutzniveau sicher, beispielsweise durch Zertifizierung im Rahmen des EU-US Data Privacy Framework (soweit anwendbar) oder durch Abschluss von EU-Standardvertragsklauseln (SCCs) und Umsetzung notwendiger zusätzlicher Schutzmaßnahmen.

3.4 Information und Widerspruchsrecht

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung anderer Subunternehmer mindestens 15 Tage vor der geplanten Beauftragung und gibt dem Verantwortlichen dadurch die Möglichkeit, aus wichtigen datenschutzrechtlichen Gründen Widerspruch einzulegen.

4. Rechte der betroffenen Person

Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit möglich, mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Verpflichtungen zur Wahrung der Rechte betroffener Personen (z.B. Auskunft, Berichtigung, Löschung).

5. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Artikel 32 bis 36 der DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).

5.1 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, nachdem er davon Kenntnis erlangt hat, gemäß Art. 33 Abs. 2 DSGVO. Die Meldung erfolgt spätestens 24 Stunden nach Kenntniserlangung der Verletzung an privacy@itellico.ai.

6. Datenspeicherung und Löschung

6.1 Verarbeitung während der Vertragslaufzeit

Standardspeicherung von Inhalts- und Kontaktdaten: Solange der Hauptvertrag aktiv ist, werden Inhaltsdaten (z.B. Aufzeichnungen, Transkripte, Wissensbasen, Einstellungen) und zugehörige Kontaktdaten für den Verantwortlichen als Teil der vereinbarten Dienstleistung gespeichert und nicht automatisch gelöscht.
Konfigurierbare Datenverarbeitung: Der Verantwortliche kann die Verarbeitung verschiedener Datentypen über die Plattformeinstellungen steuern:
- Flexible Verarbeitung: Der Verantwortliche kann Aufbewahrungseinstellungen für verschiedene Datentypen mit folgenden Kategorien konfigurieren:
  - Vollständig konfigurierbare Einstellungen: Bestimmte Datentypen können vollständig deaktiviert werden (Zero Retention) oder frei konfigurierbare Aufbewahrungsfristen zugewiesen bekommen (z.B. Anrufaufzeichnungen, automatisierte Nach-Anruf-Analysen wie Zusammenfassungen).
  - Mindestaufbewahrungseinstellungen: Andere Datentypen unterliegen Mindestaufbewahrungsfristen, wie an anderer Stelle in dieser AVV für betriebliche und rechtliche Zwecke definiert, können aber für längere Aufbewahrungsfristen über diese Mindestwerte hinaus konfiguriert werden (z.B. Transkripte, System-Prompts, API-Aufrufprotokolle).
- Mindestaufbewahrung: IP-Adressen werden 30 Tage lang für IT-Sicherheit und Betrugsprävention aufbewahrt und anschließend gelöscht oder anonymisiert. Telefonnummern und andere technische Metadaten werden bis zu 90 Tage nach der Abrechnung aufbewahrt, um telekommunikationsrechtliche Vorschriften einzuhalten, und werden dann automatisch gelöscht oder anonymisiert.
- Missbrauchsüberwachung und Rechtsverteidigung: In Übereinstimmung mit Branchenstandards werden bestimmte Daten bis zu 30 Tage lang aufbewahrt, um Missbrauch zu erkennen und die Einhaltung von Nutzungsrichtlinien sicherzustellen:
  - System-Prompts und Gesprächskontext: werden bis zu 30 Tage lang zur Missbrauchserkennung und Musteranalyse aufbewahrt
  - Gesprächstranskripte und Ereignisse: werden bis zu 30 Tage lang zur Überwachung der Einhaltung von Plattformrichtlinien aufbewahrt
  - API-Aufrufprotokolle und Funktionsaufrufe: werden bis zu 30 Tage lang für technische Untersuchungen und Streitbeilegung aufbewahrt
  - Diese Aufbewahrungsfrist gilt unabhängig von kundenkonfigurierten Aufbewahrungseinstellungen und dient berechtigten Geschäftsinteressen zur Verhinderung von Plattformmissbrauch und zur Verteidigung gegen potenzielle Verstöße, die von KI-Dienstleistern gemeldet werden.
- Gesetzliche Aufbewahrung: Abrechnungsrelevante Metadaten müssen gemäß gesetzlichen Verpflichtungen aufbewahrt werden und können nicht vorzeitig gelöscht werden.
Grenzen der Konfigurierbarkeit: Die vom Verantwortlichen konfigurierbaren Aufbewahrungsfristen für Inhaltsdaten können nicht kürzer sein als die vom Auftragsverarbeiter in Abschnitt 6.3 definierten Mindestaufbewahrungsfristen für Metadaten. Die Generierung und Aufbewahrung abrechnungsrelevanter und anderer Metadaten durch den Auftragsverarbeiter bleiben von kundenspezifischen Einstellungen unberührt.

6.2 Löschung von Verkehrsdaten und anderen personenbezogenen Daten

Automatische Löschung von Verkehrsdaten gemäß § 167 TKG 2021: Der Auftragsverarbeiter löscht oder anonymisiert Verkehrsdaten (Telefonnummern, genaue Zeitstempel, Anruf-IDs) automatisch gemäß folgenden Fristen:

Vorauszahlung/Prepaid: Bei Anrufen, die durch Vorauszahlungen oder Jahresverträge abgedeckt sind, erfolgt die Löschung 90 Tage nach dem Anrufdatum. - Nachträgliche Abrechnung: Bei Anrufen, die nachträglich abgerechnet werden, erfolgt die Löschung 90 Tage nach dem Abrechnungsdatum.

Löschung und Rückgabe nach Vertragsende oder auf Anfrage: Nach Vertragsende: Nach Abschluss der Erbringung von Verarbeitungsdienstleistungen (d.h. nach Beendigung des Hauptvertrags) ist der Auftragsverarbeiter verpflichtet, alle verbleibenden Inhalts- und Kontaktdaten nach einer Frist von 90 Tagen unwiderruflich zu löschen, einschließlich aller vorhandenen Kopien. Auf Weisung des Verantwortlichen: Nach Wahl des Verantwortlichen wird der Auftragsverarbeiter entweder (a) alle personenbezogenen Daten an den Verantwortlichen zurückgeben oder (b) alle personenbezogenen Daten und vorhandenen Kopien unwiderruflich löschen, sofern nicht die Speicherung durch EU-Recht oder Recht eines Mitgliedstaats vorgeschrieben ist. Abrechnungsrelevante Metadaten müssen weiterhin gemäß gesetzlichen Aufbewahrungsfristen aufbewahrt werden.

6.3 Aufbewahrung von Metadaten

Die Aufbewahrung von Metadaten ist zweckgebunden und nach Datentyp differenziert:

Abrechnungsrelevante Metadaten: Zur Erfüllung gesetzlicher Buchhaltungs- und Dokumentationspflichten (z.B. 7 Jahre gemäß § 212 UGB in Österreich) werden abrechnungsrelevante Metadaten (z.B. Kunden-ID, Dauer, Token-Verbrauch) für die Dauer der gesetzlichen Fristen aufbewahrt.
Anonymisierte Daten: Nach vollständiger Anonymisierung können Daten unbegrenzt für statistische Analysen und Produktverbesserung aufbewahrt werden, da sie keinen personenbezogenen Bezug mehr haben.

7. Prüfrechte

Der Verantwortliche hat das Recht, die Einhaltung der Bestimmungen dieser Vereinbarung durch den Auftragsverarbeiter zu überprüfen. Solche Überprüfungen sind mit angemessener Frist anzukündigen und während der normalen Geschäftszeiten durchzuführen. Der Auftragsverarbeiter kann die Einhaltung auch durch Vorlage geeigneter, aktueller Zertifikate, Berichte oder Bescheinigungen unabhängiger Prüfer (z.B. Wirtschaftsprüfer, Datenschutzbeauftragte, Sicherheitszertifizierungen) nachweisen.

Anhang – Technische und organisatorische Maßnahmen (TOMs)

Stand: 15. Juli 2025 Im Folgenden werden die tatsächlich vom Auftragsverarbeiter umgesetzten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung dargestellt.

1. Zutrittskontrolle

Rechenzentren: AWS Frankfurt (eu-central-1) mit DSGVO-Konformität.
Zugang: Biometrische Kontrollen und 24/7-Überwachung durch das AWS-Rechenzentrum.

2. Zugangskontrolle

Administratoren: Multi-Faktor-Authentifizierung (MFA) ist verpflichtend.
Anwendungen: Token-basierte API-Authentifizierung.
Prinzip: Strikte rollenbasierte Zugriffskontrolle (RBAC).

3. Zugriffskontrolle (Berechtigungen)

Datenbanken: Zugriff ausschließlich aus dem geschützten Kubernetes-Cluster heraus.
Speicher: Granulare S3-Bucket-Richtlinien nach dem Prinzip der geringsten Berechtigung.
Geheimnisse: Verwendung von AWS Secrets Manager für alle Zugangsdaten.

4. Trennungskontrolle

Mandanten: Strikte logische Mandantentrennung auf Anwendungsebene. Jedem Mandanten wird eine eindeutige ID (UUID) zugewiesen, die bei jedem Datenzugriffsanfrage validiert wird. Dies stellt sicher, dass Abfragen nur Daten des jeweiligen Mandanten zurückgeben können.
Umgebungen: Separate Virtual Private Clouds (VPCs) für Entwicklungs- und Produktionssysteme.
Container: Kubernetes-Namespaces zur Service-Isolation.

5. Pseudonymisierung und Verschlüsselung

Daten in Übertragung: TLS 1.3 für alle Datenübertragungen.
Daten im Ruhezustand: AES-256-Verschlüsselung für S3-Speicher und Backups.
Pseudonymisierung: Angewendet auf spezifische personenbezogene Daten, wo erforderlich.

6. Verfügbarkeitskontrolle

Hochverfügbarkeit: Multi-AZ-Bereitstellung über mindestens 3 Verfügbarkeitszonen.
Backups: Regelmäßige automatische Backups mit angemessenen Aufbewahrungsfristen.
Überwachung: 24/7-Systemleistungsüberwachung mit automatisierten Alarmen.

7. Eingabekontrolle (Protokollierung)

Systemprotokolle: Verwendung von AWS CloudTrail für alle API-Aufrufe.
Zugriffsprotokolle: Vollständige Protokollierung aller Zugriffe auf sensible Daten.
Audit: Kubernetes-Audit-Logs zur Verfolgung von Container-Aktivitäten.

8. Auftragskontrolle (Compliance)

Prozesse: Dokumentierte Standard Operating Procedures (SOPs) für kritische Vorgänge.
Change Management: Versionskontrollierte Infrastruktur (Infrastructure-as-Code).
Schulung: Regelmäßige Datenschutz- und Sicherheitsschulungen für alle relevanten Mitarbeiter.

Erste Schritte

Erstellen

Testen

Veröffentlichen

Optimieren

Accounts und Subaccounts

Partner-Netzwerk

Rechtliches

​Datenverarbeitungsvereinbarung (AVV)

​Präambel

​1. Gegenstand, Dauer und Spezifikation der Datenverarbeitung

​1.1 Gegenstand

​1.2 Art und Zweck der Verarbeitung

​1.3 Art der personenbezogenen Daten

​1.4 Kategorien betroffener Personen

​1.5 Dauer der Verarbeitung

​2. Pflichten des Auftragsverarbeiters

​2.1 Verarbeitung auf Weisung

​2.2 Vertraulichkeit

​2.3 Technische und organisatorische Maßnahmen (TOMs)

​2.4 Keine Nutzung für KI-Training

​3. Subunternehmer

​3.1 Einsatz von Subunternehmern

​3.2 Vertragliche Verpflichtungen und Garantien

​3.3 Drittlandtransfers

​3.4 Information und Widerspruchsrecht

​4. Rechte der betroffenen Person

​5. Unterstützung des Verantwortlichen

​5.1 Meldung von Datenschutzverletzungen

​6. Datenspeicherung und Löschung

​6.1 Verarbeitung während der Vertragslaufzeit

​6.2 Löschung von Verkehrsdaten und anderen personenbezogenen Daten

​6.3 Aufbewahrung von Metadaten

​7. Prüfrechte

​Anhang – Technische und organisatorische Maßnahmen (TOMs)

​1. Zutrittskontrolle

​2. Zugangskontrolle

​3. Zugriffskontrolle (Berechtigungen)

​4. Trennungskontrolle

​5. Pseudonymisierung und Verschlüsselung

​6. Verfügbarkeitskontrolle

​7. Eingabekontrolle (Protokollierung)

​8. Auftragskontrolle (Compliance)