Auftragsverarbeitungsvertrag
Zuletzt aktualisiert: 3. April 2026
1. Parteien
Verantwortlicher: Sie ("Kunde") — der KI-Deployer, die Agentur oder Plattform, die Audact-Services nutzt.
Auftragsverarbeiter: Audact Ltd ("Audact") — verarbeitet Interaktions-Metadaten in Ihrem Auftrag.
2. Verarbeitungsumfang
Datenkategorien: Anruf-Metadaten (Zeitstempel, Jurisdiktions-Identifikatoren, Policy-Entscheidungen, Validierungsergebnisse, Evidence-Hashes, Einwilligungsaufzeichnungen).
Nicht verarbeitet: Gesprächsinhalte, Audioaufzeichnungen, PII über das für die Compliance-Validierung erforderliche Maß hinaus. Alle PII wird mit Per-Subject-Schlüsseln verschlüsselt und unterliegt Krypto-Schreddern auf Löschantrag.
Zweck: Compliance-Validierung, Evidence-Generierung und Prüfpfad-Pflege gemäß den Anweisungen des Kunden.
3. Unterauftragsverarbeiter
Alle Drittparteien, die Daten im Auftrag von Audact oder unseren Kunden verarbeiten. Diese Liste wird gemäß DSGVO Article 28 gepflegt.
| Unterauftragsverarbeiter | Zweck | Verarbeitete Daten | Standort |
|---|---|---|---|
| AWS (Frankfurt) | Infrastruktur-Hosting | Alle Plattformdaten | EU (Frankfurt) |
| Cloudflare | CDN, DNS, DDoS-Schutz | Anfrage-Metadaten | EU + globale Edge |
| Telnyx | SIP-Telefonie | Anruf-Audio im Transit, Telefonie-Metadaten | EU-PoPs — SCCs |
| LiveKit Cloud | WebRTC-Transport, Turn-Erkennung | Audio im Transit (keine Aufbewahrung) | EU-Region |
| Deepgram Nova-3 | Sprache-zu-Text (Standard) | Audio im Transit (keine Aufbewahrung konfiguriert) | US (EU-Endpunkt) — SCCs |
| ElevenLabs Flash | Text-zu-Sprache (Standard) | LLM-generierter Text | US/EU — SCCs |
| OpenAI / Anthropic | LLM-Inferenz (GPT-4o-mini Standard, Claude Sonnet Premium) | Gesprächstext (keine Aufbewahrung konfiguriert) | US (EU-Endpunkt wo verfügbar) — SCCs |
| Google Workspace | E-Mail, Docs | Geschäftskommunikation | US/EU — SCCs |
| Slack | Interne Kommunikation | Interne Nachrichten | US — SCCs |
| Notion | Wiki / Projektmanagement | Interne Betriebsdaten | US — SCCs |
| 1Password | Anmeldedaten-Management | Verschlüsselte Anmeldedaten | Kanada/EU |
| Stripe (wenn live) | Zahlungsverarbeitung | Abrechnungsdaten | US/IE — SCCs |
US-ansässige Unterauftragsverarbeiter operieren unter Standardvertragsklauseln (SCCs) als Transfermechanismus gemäß DSGVO Kapitel V.
Wir benachrichtigen Sie 30 Tage vor dem Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters. Sie können innerhalb von 14 Tagen Einspruch erheben.
Zuletzt aktualisiert: 12. April 2026
4. Datenresidenz
Alle Kunden-Compliance-Daten (Interaktions-Metadaten, Evidence Chains, Audit-Logs) werden ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) auf AWS eu-central-1 (Frankfurt) gespeichert und verarbeitet.
Bestimmte oben aufgeführte Unterauftragsverarbeiter sind in den USA ansässig und verarbeiten begrenzte Betriebsdaten unter Standardvertragsklauseln (SCCs). Keine Kunden-Compliance-Daten verlassen den EWR.
5. Sicherheitsmaßnahmen (DSGVO Art. 32)
- Verschlüsselung im Ruhezustand (AES-256) und im Transit (TLS 1.3)
- Per-Subject-Verschlüsselungsschlüssel für PII (Krypto-Schreddern-Fähigkeit)
- SHA-256-Hash-Chains für Evidence-Integrität
- Rollenbasierte Zugangskontrolle (RBAC)
- SOC 2 Type II geplant 2027
- Regelmäßige Penetrationstests und Schwachstellen-Scans
6. Rechte betroffener Personen
Audact unterstützt den Kunden bei der Erfüllung von Anträgen betroffener Personen (Zugang, Berichtigung, Löschung, Übertragbarkeit) innerhalb von 72 Stunden nach Benachrichtigung. Löschung wird über Krypto-Schreddern implementiert: der Per-Subject-Verschlüsselungsschlüssel wird vernichtet, wodurch personenbezogene Daten dauerhaft unleserlich werden, während die Evidence-Chain-Integrität erhalten bleibt.
7. Datenpannenmeldung
Audact benachrichtigt den Kunden innerhalb von 36 Stunden nach Bekanntwerden über jede personenbezogene Datenpanne. Die Benachrichtigung umfasst: Art der Panne, betroffene Datenkategorien, ungefähre Anzahl der Datensätze, wahrscheinliche Folgen und getroffene Maßnahmen.
8. Laufzeit & Kündigung
Dieser AVV gilt für die Dauer des Servicevertrags. Bei Kündigung löscht oder gibt Audact alle Kundendaten innerhalb von 30 Tagen zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht (EU-AI-Act-Evidence-Anforderungen).
9. Kontakt
AVV-Anfragen: dpo@audact.ai