Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO — Stand: Februar 2026
1. Gegenstand und Dauer
Gegenstand dieses Auftragsverarbeitungsvertrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer (Senorit, Ebrahim Seyfi, Seeschwalbentwiete 23, 22119 Hamburg) im Rahmen des SaaS-Dienstleistungsvertrags über den KI-Telefonassistenz-Dienst "Senorit AI". Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des zugrundeliegenden Dienstleistungsvertrags.
2. Art und Zweck der Verarbeitung
Der Auftragnehmer betreibt einen KI-gestützten Telefonassistenten, der eingehende Anrufe im Namen des Auftraggebers entgegennimmt. Die Verarbeitung umfasst die Echtzeit-Transkription von Gesprächen, die Erstellung von Zusammenfassungen, die Klassifizierung von Anliegen sowie die Benachrichtigung des Auftraggebers über relevante Anrufe.
3. Art der personenbezogenen Daten
- Telefonnummern der Anrufer
- Gesprächstranskripte und Zusammenfassungen
- Namen der Anrufer (soweit im Gespräch genannt)
- Terminwünsche und sonstige strukturierte Gesprächsdaten
- Anrufdauer und Zeitpunkt
4. Kategorien betroffener Personen
Betroffene Personen sind Anrufer (Kunden, Interessenten und sonstige Kontaktpersonen) des Auftraggebers, deren Anrufe durch den KI-Telefonassistenten entgegengenommen werden.
5. Pflichten des Auftragnehmers
- Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Auftraggebers
- Gewährleistung der Vertraulichkeit — alle mit der Datenverarbeitung betrauten Personen sind zur Vertraulichkeit verpflichtet
- Umsetzung aller erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO
- Unterstützung des Auftraggebers bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO)
- Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen (Art. 35–36 DSGVO)
- Unverzügliche Information des Auftraggebers über Datenschutzverletzungen (Art. 33 DSGVO)
- Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung des Auftrags
6. Unterauftragnehmer
Der Auftragnehmer setzt folgende Unterauftragnehmer ein. Änderungen werden dem Auftraggeber rechtzeitig mitgeteilt; dieser hat ein Widerspruchsrecht.
| Dienst | Anbieter | Standort | Zweck |
|---|---|---|---|
| Supabase | Supabase Inc. | EU (Frankfurt) | Datenbank, Authentifizierung |
| Telnyx | Telnyx LLC | USA (EU SCC) | Telefonie, SMS, Sprach-KI, Transkription |
| Stripe | Stripe Inc. | EU (Irland) | Zahlungsabwicklung |
| Vercel | Vercel Inc. | EU (Frankfurt) | Hosting |
| Resend | Resend Inc. | USA (EU SCC) | E-Mail-Versand |
| Sentry | Functional Software Inc. | EU (Frankfurt) | Fehlerüberwachung |
7. Rechte des Auftraggebers
- Recht auf Durchführung von Audits und Inspektionen, auch durch beauftragte Dritte, nach angemessener Vorankündigung
- Recht auf umfassende Auskunft über die getroffenen technischen und organisatorischen Maßnahmen
- Recht auf Information über eingesetzte Unterauftragnehmer und deren Änderungen
- Widerspruchsrecht bei Hinzuziehung neuer Unterauftragnehmer
8. Löschung und Rückgabe
Nach Beendigung des Dienstleistungsvertrags löscht der Auftragnehmer sämtliche personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch des Auftraggebers erfolgt vor der Löschung eine Rückgabe der Daten in einem gängigen, maschinenlesbaren Format.
9. Technische und organisatorische Maßnahmen (TOMs)
- Verschlüsselung: Sämtliche Datenübertragungen sind mit TLS 1.3 verschlüsselt; Daten werden verschlüsselt gespeichert
- Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene stellt sicher, dass Kunden ausschließlich auf eigene Daten zugreifen können
- Authentifizierung: Supabase Auth mit sicherer Sitzungsverwaltung und rollenbasierter Zugriffskontrolle
- EU-Hosting: Alle Daten werden in der EU (Standort Frankfurt) gespeichert und verarbeitet
- Monitoring: Echtzeit-Fehlerüberwachung über Sentry zur schnellen Erkennung und Behebung von Störungen
- Backup: Regelmäßige automatisierte Datensicherungen mit definierten Wiederherstellungsverfahren