DSB-Beschaffungs-Checkliste
Zehn Fragen, die Ihr Datenschutzbeauftragter stellen wird.
Die Fragen, die ein Datenschutzbeauftragter oder ein Einkaufsteam üblicherweise aufwirft, bevor ein Voice-AI-Anbieter freigegeben wird — jede mit unserer ehrlichen Antwort und einem Link zu der Seite, auf der Sie sie überprüfen können.
Diese Seite enthält allgemeine Informationen über Audact, keine Rechtsberatung.
- 1
Wo werden unsere Daten gehostet?
Plattformdaten werden auf AWS Frankfurt (eu-central-1) gehostet — physisch in der EU. AWS ist in den USA registriert, deshalb legen wir die CLOUD-Act-Exposition offen und veröffentlichen eine Roadmap zu vollständig EU-nativem Hosting (Hetzner Deutschland angepeilt für Juli 2026).
Roadmap EU-nativer Stack - 2
Wer sind Ihre Unterauftragsverarbeiter?
Wir veröffentlichen die vollständige Liste der Unterauftragsverarbeiter — Anbieter, Land, Funktion und Datenkategorie — und benachrichtigen Kunden 30 Tage, bevor ein neuer hinzukommt. Jede Übermittlung außerhalb des EWR ist durch Standardvertragsklauseln abgedeckt.
Liste der Unterauftragsverarbeiter - 3
Ist ein Auftragsverarbeitungsvertrag (AVV) verfügbar?
Ja. Unser an Artikel 28 DSGVO ausgerichteter AVV deckt Umfang der Verarbeitung, Unterauftragsverarbeiter, Sicherheitsmaßnahmen, Auditrechte und Meldung von Datenschutzverletzungen ab. Er steht vor der Unterzeichnung zur Prüfung bereit.
AVV lesen - 4
Wie lange sind Ihre Aufbewahrungsfristen, und können Daten gelöscht werden?
Die Aufbewahrung ist pro Kunde konfigurierbar. Standard sind 90 Tage für Anrufaudio und ein längerer Zeitraum für die kryptografische Evidenzkette, um Auditanforderungen zu erfüllen. Bei einem Löschersuchen werden personenbezogene Daten durch Vernichtung des jeweiligen Subjektschlüssels (Crypto-Shredding) entfernt, sodass abgelaufene Daten unlesbar gemacht werden.
Verzeichnis von Verarbeitungstätigkeiten (VVT) - 5
Wie gehen Sie mit DSGVO-Betroffenen- und Löschanfragen um?
Wir unterstützen Kunden (als Auftragsverarbeiter) bei Anfragen zu Auskunft, Datenübertragbarkeit und Löschung betroffener Personen. Die jeweiligen Wege sind veröffentlicht, mit privacy@audact.ai als Kontakt für Betroffenenangelegenheiten.
Weg für Löschanfragen - 6
Unterstützen Sie die Offenlegung nach Artikel 50 EU-KI-Verordnung, und gibt es einen Nachweis?
Ja. Die Artikel-50-Offenlegung läuft pro Anruf und wird im Evidenzbeleg pro Anruf attestiert. Sie können einen anonymisierten Musterbeleg (PDF + JSON) herunterladen und die Evidenzkette selbst prüfen, bevor Sie irgendetwas unterzeichnen.
Einen Musterbeleg durchgehen - 7
Wie sieht Ihr Prozess bei Datenschutzverletzungen / Vorfällen aus?
Wir betreiben einen Incident-Response-Prozess mit behördlicher Meldung innerhalb der 72-Stunden-Frist der DSGVO und einer Rufbereitschaft. Sicherheitsmeldungen gehen unter einer Responsible-Disclosure-Richtlinie an security@audact.ai.
Sicherheitsüberblick - 8
Wie werden Daten verschlüsselt und der Zugriff kontrolliert?
TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand und Verschlüsselung mit subjektbezogenen Schlüsseln für personenbezogene Daten. Der Zugriff erfolgt über rollenbasierte Zugriffskontrolle mit verpflichtender MFA für Admin-Zugriffe und einem aufbewahrten Audit-Log.
Sicherheitsüberblick - 9
Welche Zertifizierungen haben Sie oder planen Sie?
Wir sind heute DSGVO-konform. ISO 27001 ist in Arbeit, ISO 42001 und SOC 2 Type II sind für 2027 geplant. Wir geben den Status ehrlich an, statt Zertifizierungen zu suggerieren, die wir noch nicht besitzen.
Trust Center - 10
Wo bekommt der Einkauf alles an einem Ort?
Das Trust Center bündelt den AVV, die Liste der Unterauftragsverarbeiter, die Artikel-50-Vorlagen, das VVT und den Sicherheitsüberblick — alles an einem Ort für Ihre Beschaffungsakte.
Trust Center - 11
Ist die Unterauftragsverarbeiterliste des Voice-AI-Anbieters aktuell und verfügbar?
Die DSGVO erfordert Transparenz über Unterauftragsverarbeiter. Prüfen Sie, ob Ihr Anbieter eine aktuelle Unterauftragsverarbeiterliste führt und Sie über Änderungen informiert.
- 12
Wurde das Deployment in Ihrem Verzeichnis der Verarbeitungstätigkeiten (VVT) registriert?
DSGVO-Artikel 30 verlangt die Dokumentation aller Verarbeitungstätigkeiten. Aktualisieren Sie Ihr VVT, um das Voice-AI-Deployment, Datenflüsse und Verarbeitungszwecke zu erfassen.
Der Ein-Minuten-Nachweis
Geben Sie Ihrem Datenschutzbeauftragten genau den Beleg, den er prüft.
Laden Sie ein anonymisiertes Muster des Evidenzbelegs pro Anruf herunter — genau das Artefakt, das ein Datenschutzbeauftragter oder Auditor prüft — als PDF und JSON.
Alles, was der Einkauf braucht, an einem Ort.
Das Trust Center bündelt den AVV, die Liste der Unterauftragsverarbeiter, die Artikel-50-Vorlagen, das VVT und den Sicherheitsüberblick — oder starten Sie das White-Glove-Onboarding, wenn Sie bereit sind.