Zum Hauptinhalt springen

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 24. Mai 2026

1. Parteien

Verantwortlicher: Sie („Kunde“) — der KI-Betreiber, die Agentur oder die Plattform, die Audact-Dienste nutzt.

Auftragsverarbeiter: Audact AI Ltd, 71-75 Shelton Street, London WC2H 9JQ, Vereinigtes Königreich („Audact“ oder „Audact AI Ltd“) — verarbeitet Interaktions-Metadaten in Ihrem Auftrag als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO. Geschäftsbeziehungen gehen nach der Gründung auf die Audact (Ireland) Ltd (in Gründung, voraussichtlich Q3 2026) über; dieser AVV wird durch schriftliche Mitteilung auf diese Gesellschaft übertragen, ohne dass die Rechte des Kunden beeinträchtigt werden.

2. Umfang der Verarbeitung (Art. 28 Abs. 3 DSGVO)

Gegenstand & Dauer: Bereitstellung der Compliance-Plattform von Audact; Dauer entsprechend dem zugrunde liegenden Servicevertrag zuzüglich etwaiger gesetzlich vorgeschriebener Aufbewahrungsfristen.

Art & Zweck: Compliance-Validierung, Erzeugung der Evidence Chain und Pflege des Prüfprotokolls gemäß den Weisungen des Kunden über die Plattformkonfiguration.

Datenkategorien: Anruf-Metadaten (Zeitstempel, Rechtsraum-Kennungen, Policy-Entscheidungen, Validierungsergebnisse, Nachweis-Hashes, Einwilligungsnachweise).

Betroffene Personen: Endnutzer / Anrufer / Chat-Teilnehmer der KI-Bereitstellung des Kunden.

Nicht verarbeitet: Gesprächsinhalte, Audioaufnahmen, personenbezogene Daten über das für die Compliance-Validierung Erforderliche hinaus. Alle personenbezogenen Daten werden mit pro Person individuellen Schlüsseln verschlüsselt und auf Löschungsverlangen dem Crypto-Shredding unterzogen.

Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3): Audact (a) verarbeitet ausschließlich auf dokumentierte Weisung des Kunden; (b) stellt sicher, dass das Personal zur Vertraulichkeit verpflichtet ist; (c) setzt Sicherheitsmaßnahmen nach Art. 32 um (Abschnitt 5); (d) zieht Subprozessoren nur zu den Bedingungen aus Abschnitt 3 hinzu; (e) unterstützt den Kunden bei den Rechten betroffener Personen und den Pflichten nach Art. 32-36; (f) löscht oder gibt Kundendaten bei Beendigung zurück (Abschnitt 8); (g) stellt die zum Nachweis der Compliance erforderlichen Informationen bereit und ermöglicht Audits gemäß Abschnitt 10.

3. Subprozessoren

Alle Dritten, die Daten im Auftrag von Audact oder unseren Kunden verarbeiten. Diese Liste wird gemäß Artikel 28 DSGVO geführt.

SubprozessorZweckVerarbeitete DatenStandort
AWS (Frankfurt)Infrastruktur-HostingAlle PlattformdatenEU (Frankfurt)
CloudflareCDN, DNS, DDoS-SchutzAnfrage-MetadatenEU + globales Edge
TelnyxSIP-TelefonieAnruf-Audio in Übertragung, Telefonie-MetadatenEU-PoPs — SCCs
LiveKit CloudWebRTC-Transport, Sprecherwechsel-ErkennungAudio in Übertragung (keine Speicherung)EU-Region
Deepgram Nova-3Speech-to-Text (Standard)Audio in Übertragung (keine Speicherung konfiguriert)USA (EU-Endpunkt) — SCCs
ElevenLabs FlashText-to-Speech (Standard)Vom LLM erzeugter TextUSA/EU — SCCs
OpenAI / AnthropicLLM-Inferenz (GPT-4o-mini Standard, Claude Sonnet Premium)Gesprächstext (keine Speicherung konfiguriert)USA (EU-Endpunkt, soweit verfügbar) — SCCs
Google WorkspaceE-Mail, DokumenteGeschäftskommunikationUSA/EU — SCCs
SlackInterne KommunikationInterne NachrichtenUSA — SCCs
NotionWiki / ProjektmanagementInterne BetriebsdatenUSA — SCCs
1PasswordVerwaltung von ZugangsdatenVerschlüsselte ZugangsdatenKanada/EU
Stripe (sobald live)ZahlungsabwicklungAbrechnungsdatenUSA/IE — SCCs

Compliance-Daten des Kunden werden ausschließlich in der EU verarbeitet; bestimmte in den USA ansässige Subprozessoren verarbeiten begrenzte Betriebsdaten unter Standardvertragsklauseln (SCCs) als Übermittlungsmechanismus gemäß Kapitel V DSGVO. Es findet keine internationale Übermittlung der Compliance-Nachweise des Kunden statt — die Evidence Chain verbleibt ausschließlich in der EU.

Die aktuelle Liste der Subprozessoren wird zudem in unserem Trust Center veröffentlicht.

Wir benachrichtigen Sie mindestens 30 Tage vor dem Hinzufügen oder Austausch eines Subprozessors. Sie können innerhalb dieses Zeitraums aus berechtigten Gründen schriftlich widersprechen; wird keine akzeptable Lösung gefunden, können Sie den betroffenen Dienst kündigen.

Liste der Subprozessoren zuletzt aktualisiert: 24. Mai 2026

4. Datenstandort

Alle Compliance-Daten des Kunden (Interaktions-Metadaten, Evidence Chains, Prüfprotokolle) werden ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert und verarbeitet, auf AWS eu-central-1 (Frankfurt) primär und AWS eu-west-1 (Irland) als Backup. Eine Migration zu Hetzner Frankfurt ist für Juli 2026 geplant (keine Kundendaten verlassen den EWR während oder nach der Migration).

Bestimmte oben aufgeführte Subprozessoren sind in den USA ansässig und verarbeiten begrenzte Betriebsdaten unter Standardvertragsklauseln (SCCs). Compliance-Daten des Kunden verlassen den EWR zu keinem Zeitpunkt — die Evidence Chain ist strukturell ausschließlich in der EU.

5. Sicherheitsmaßnahmen (Art. 32 DSGVO)

  • Verschlüsselung im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.3)
  • Pro Person individuelle Verschlüsselungsschlüssel für personenbezogene Daten (Crypto-Shredding-Fähigkeit)
  • SHA-256-Hash-Ketten für die Nachweisintegrität
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • SOC 2 Type II geplant für 2027
  • Regelmäßige Penetrationstests und Schwachstellen-Scans

6. Rechte betroffener Personen

Audact unterstützt den Kunden bei der Erfüllung von Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Übertragbarkeit) innerhalb von 72 Stunden nach Benachrichtigung. Die Löschung erfolgt per Crypto-Shredding: Der pro Person individuelle Verschlüsselungsschlüssel wird vernichtet, wodurch personenbezogene Daten dauerhaft unlesbar werden, während die Integrität der Evidence Chain erhalten bleibt.

7. Meldung von Verletzungen (Art. 33 Abs. 2 DSGVO)

Audact benachrichtigt den Kunden über jede Verletzung des Schutzes personenbezogener Daten unverzüglich und in jedem Fall spätestens 72 Stunden nach Bekanntwerden. Die Meldung umfasst: Art der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen. Audact leistet angemessene Unterstützung, damit der Kunde seinen Pflichten nach Art. 33 / 34 gegenüber Aufsichtsbehörden und betroffenen Personen nachkommen kann.

8. Laufzeit & Beendigung

Dieser AVV gilt für die Dauer des Servicevertrags. Bei Beendigung löscht Audact alle Kundendaten innerhalb von 30 Tagen oder gibt sie zurück, sofern keine Aufbewahrung nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich ist (Nachweisaufbewahrung nach der EU-KI-Verordnung; bis zu 10 Jahre bei regulierter Nutzung im Finanzdienstleistungsbereich). Kryptografische Evidence Chains können in nicht-personenbezogener, ausschließlich aus Hashes bestehender Form aufbewahrt werden, um die Audit-Integrität für den nach geltendem Recht vorgeschriebenen Zeitraum zu wahren.

9. Internationale Übermittlungen

Compliance-Daten des Kunden (Interaktions-Metadaten, Evidence Chains, Prüfprotokolle) werden nicht außerhalb des EWR übermittelt. Soweit begrenzte Betriebsdaten von den in Abschnitt 3 aufgeführten, in den USA ansässigen Subprozessoren verarbeitet werden, ist der Übermittlungsmechanismus die Standardvertragsklauseln (Modul 3 — Auftragsverarbeiter zu Auftragsverarbeiter, EU 2021/914), ergänzt durch geeignete technische und organisatorische Maßnahmen.

10. Auditrechte

Audact stellt dem Kunden auf angemessene schriftliche Anfrage und höchstens einmal pro 12-Monats-Zeitraum die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen bereit, einschließlich Auditberichten Dritter (ISO 27001, SOC 2 Type II, sobald verfügbar). Sofern der Kunde berechtigterweise ein weitergehendes Audit verlangt, vereinbaren die Parteien Umfang, Zeitpunkt und Kosten; Audits dürfen andere Kunden nicht beeinträchtigen und unterliegen der Vertraulichkeit.

11. Kontakt

AVV-Anfragen: dpo@audact.ai