Integrationen

Integrationen

Preise

Preise

Anmelden

Anmelden

14 Tage kostenlos testen

AVV

Letzte Aktualisierung: 01.10.2025

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

zwischen dem Kunden als Verantwortlichen

und

der PL Core GmbH als Auftragsverarbeiter

Präambel

Diese Vereinbarung zur Auftragsverarbeitung (nachfolgend "AVV") regelt die datenschutzrechtlichen Rechte und Pflichten zwischen dem Kunden (nachfolgend "Verantwortlicher") und der PL Core GmbH, Römerstraße 102, 69115 Heidelberg (nachfolgend "Auftragsverarbeiter") im Zusammenhang mit der Nutzung der KI-basierten Telefonie-Plattform HotReach®.

Diese AVV wird automatisch Bestandteil des Hauptvertrags, sobald der Verantwortliche die Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters akzeptiert.

§ 1 Gegenstand und Dauer der Verarbeitung

1.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erbringung der in den AGB beschriebenen KI-Telefonie-Services. Die Verarbeitung umfasst insbesondere:

  • Durchführung automatisierter Telefonate mittels KI-Agenten

  • Verwaltung von Kontaktdaten in isolierten Workspaces

  • Erstellung von Gesprächstranskriptionen und -aufzeichnungen

  • Analyse von Gesprächsverläufen zur Optimierung der Vertriebsprozesse

1.2 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags zwischen den Parteien.

§ 2 Art und Zweck der Verarbeitung

2.1 Die Verarbeitung erfolgt zum Zweck der Bereitstellung einer KI-basierten B2B-Telefonie-Plattform. Der Auftragsverarbeiter führt im Auftrag des Verantwortlichen automatisierte Anrufe durch, verwaltet die hierfür erforderlichen Kontaktdaten und erstellt Gesprächsdokumentationen.

2.2 Die konkreten Verarbeitungstätigkeiten umfassen:

  • Speicherung und Verwaltung von Kontaktdaten in isolierten Workspaces

  • Technische Abwicklung von Telefonaten über Drittanbieter-APIs

  • Erstellung von Audioaufzeichnungen und Transkripten

  • KI-gestützte Analyse von Gesprächsinhalten

  • Bereitstellung von Auswertungen und Berichten über die Plattform

§ 3 Art der personenbezogenen Daten

3.1 Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

  • Namen und Kontaktdaten der anzurufenden Personen (Telefonnummern, E-Mail-Adressen)

  • Firmenzugehörigkeit und Position

  • Gesprächsinhalte und -aufzeichnungen

  • Metadaten zu Anrufen (Zeitpunkt, Dauer, Status)

  • Vom Verantwortlichen definierte zusätzliche Variablen und Notizen

3.2 Der Auftragsverarbeiter weist ausdrücklich darauf hin, dass keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden sollen. Der Verantwortliche ist verpflichtet, seine KI-Agenten entsprechend zu konfigurieren und sicherzustellen, dass keine Gesundheitsdaten, Informationen über ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder andere sensible Daten erhoben werden.

§ 4 Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien von Personen:

  • Geschäftskontakte und potenzielle Kunden des Verantwortlichen

  • Mitarbeiter von Unternehmen im B2B-Bereich

  • Bestandskunden des Verantwortlichen

  • Sonstige vom Verantwortlichen definierte Kontaktpersonen im geschäftlichen Kontext

§ 5 Pflichten des Auftragsverarbeiters

5.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen. Die erste Weisung ergibt sich aus dem Hauptvertrag und dieser AVV. Weitere Weisungen können per E-Mail an support@hotreach.ai erteilt werden oder über die Konfigurationseinstellungen in der Plattform erfolgen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung gegen geltendes Recht verstößt.

5.2 Der Auftragsverarbeiter gewährleistet, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Zugang zu personenbezogenen Daten wird auf Personen beschränkt, die diesen zur Erfüllung ihrer Aufgaben benötigen.

5.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte gemäß Art. 12 bis 23 DSGVO im Rahmen des technisch Möglichen und gegen angemessene Vergütung bei außergewöhnlichem Aufwand. Bei Anfragen betroffener Personen, die sich direkt an den Auftragsverarbeiter richten, leitet dieser diese unverzüglich an den Verantwortlichen weiter.

5.4 Der Verantwortliche trägt die alleinige Verantwortung für die Rechtmäßigkeit der Datenverarbeitung, insbesondere für das Vorliegen wirksamer Einwilligungen der angerufenen Personen gemäß § 7 Abs. 2 Nr. 2 UWG.

§ 6 Technische und organisatorische Maßnahmen

6.1 Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

6.2 Zutrittskontrolle: Die Datenverarbeitung erfolgt ausschließlich in ISO 27001-zertifizierten AWS-Rechenzentren über die Plattform Bubble.io. Ein physischer Zugang zu den Servern ist nicht möglich, da die Infrastruktur vollständig cloud-basiert betrieben wird.

6.3 Zugangskontrolle: Der Zugang zur Plattform erfolgt über individuelle Benutzerkonten mit sicheren Passwörtern. Administratorzugänge sind auf die Geschäftsführung und autorisierte Entwickler beschränkt. Eine Zwei-Faktor-Authentifizierung wird für alle administrativen Zugänge empfohlen.

6.4 Zugriffskontrolle: Die Plattform implementiert eine strikte Mandantentrennung durch isolierte Workspaces. Kunden haben ausschließlich Zugriff auf ihre eigenen Datenbestände. Interne Zugriffe erfolgen nach dem Need-to-know-Prinzip über ein definiertes Rollenkonzept.

6.5 Weitergabekontrolle: Alle Datenübertragungen erfolgen verschlüsselt über HTTPS/TLS 1.2 oder höher. Die API-Kommunikation mit Drittanbietern erfolgt ausschließlich über verschlüsselte Verbindungen. Daten werden sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt.

6.6 Eingabekontrolle: Alle relevanten Systemaktivitäten werden automatisch protokolliert. Änderungen an Kundendaten sind über die Plattform-Historie nachvollziehbar.

6.7 Verfügbarkeitskontrolle: Die Datensicherung erfolgt automatisch durch AWS-Backup-Mechanismen mit täglichen Sicherungen. Die in den AGB garantierte Verfügbarkeit von 98% wird durch redundante Systeme und automatisches Failover gewährleistet. Im Falle eines Systemausfalls können Daten innerhalb von 24 Stunden wiederhergestellt werden.

6.8 Der Auftragsverarbeiter überprüft regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen und passt diese bei Bedarf an den Stand der Technik an.

§ 7 Unterauftragsverarbeiter

7.1 Der Auftragsverarbeiter ist berechtigt, die in Anlage 1 genannten Unterauftragsverarbeiter einzusetzen. Der Verantwortliche stimmt der Beauftragung dieser Unterauftragsverarbeiter zu. Der Auftragsverarbeiter stellt sicher, dass die Unterauftragsverarbeiter durch Vertrag zur Einhaltung derselben Datenschutzpflichten verpflichtet werden, die auch für den Auftragsverarbeiter gelten.

7.2 Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung neuer oder die Ersetzung bestehender Unterauftragsverarbeiter mit einer Frist von mindestens 14 Tagen per E-Mail. Der Verantwortliche hat das Recht, gegen solche Änderungen innerhalb von 14 Tagen nach Erhalt der Information schriftlich Einspruch zu erheben.

7.3 Der Einspruch muss sachlich begründet werden und sich auf nachweisbare Datenschutzbedenken stützen. Erfolgt kein fristgerechter Einspruch, gilt die Änderung als genehmigt. Bei berechtigtem Einspruch werden die Parteien eine einvernehmliche Lösung anstreben. Kann keine Einigung erzielt werden, steht beiden Parteien ein außerordentliches Kündigungsrecht zu.

§ 8 Kontrollrechte des Verantwortlichen

8.1 Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Bestimmungen dieser AVV zu kontrollieren. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung.

8.2 Kontrollen können in Form von schriftlichen Auskunftsersuchen erfolgen, die der Auftragsverarbeiter innerhalb angemessener Frist, spätestens jedoch innerhalb von 30 Tagen, beantwortet. Der Verantwortliche kann einmal jährlich einen standardisierten Fragebogen zur Überprüfung der Datenschutzmaßnahmen anfordern.

8.3 Bei konkreten Anhaltspunkten für Datenschutzverstöße können zusätzliche Nachweise verlangt werden. Vor-Ort-Kontrollen sind aufgrund des Cloud-basierten Geschäftsmodells nicht vorgesehen. Sofern der Verantwortliche weitergehende Audits für erforderlich hält, trägt er die hierdurch entstehenden Kosten, sofern das Audit keine wesentlichen Verstöße aufdeckt.

§ 9 Mitteilungspflichten

9.1 Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden, Verletzungen des Schutzes personenbezogener Daten. Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung

  • Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze

  • Voraussichtliche Folgen der Verletzung

  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung oder Abmilderung

9.2 Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen.

§ 10 Löschung und Rückgabe von Daten

10.1 Nach Beendigung der Auftragsverarbeitung bleiben die Daten des Verantwortlichen für einen Zeitraum von 90 Tagen vollständig im System gespeichert, um eine mögliche Reaktivierung des Accounts zu ermöglichen. Während dieser Zeit kann der Verantwortliche seine Daten jederzeit über die Plattformfunktionen in einem strukturierten, maschinenlesbaren Format (CSV oder JSON) exportieren.

10.2 Nach Ablauf der ersten 90 Tage werden die Daten für weitere 90 Tage in ein Archiv verschoben. Die Daten sind in dieser Phase nicht mehr direkt über die Plattform zugänglich, können aber bei berechtigtem Interesse des Verantwortlichen (beispielsweise zur Beweissicherung bei Rechtsstreitigkeiten) wiederhergestellt werden.

10.3 Nach insgesamt 180 Tagen nach Vertragsbeendigung werden alle personenbezogenen Daten des Verantwortlichen vollständig und unwiderruflich gelöscht. Dies umfasst alle Produktivdaten, Backups, Archivdaten und Kopien.

10.4 Ausgenommen von der Löschung sind Daten, die aufgrund gesetzlicher Aufbewahrungspflichten länger gespeichert werden müssen. Insbesondere werden Rechnungsdaten und Zahlungsinformationen entsprechend den handels- und steuerrechtlichen Aufbewahrungsfristen für 10 Jahre aufbewahrt.

10.5 Die Löschung erfolgt durch sichere Überschreibung oder bei Cloud-Speichern durch Aufhebung der Verschlüsselung und Überschreibung der Speicherbereiche. Der Auftragsverarbeiter bestätigt dem Verantwortlichen auf Anfrage schriftlich die vollständige Löschung.

§ 11 Verschwiegenheit

11.1 Der Auftragsverarbeiter verpflichtet sich, alle im Rahmen der Auftragsverarbeitung erlangten Informationen über die Geschäftstätigkeit, Kunden und Geschäftsgeheimnisse des Verantwortlichen streng vertraulich zu behandeln.

11.2 Diese Verschwiegenheitspflicht gilt auch nach Beendigung des Vertragsverhältnisses fort. Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung betrauten Personen entsprechend zur Verschwiegenheit.

§ 12 Haftung

12.1 Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen und den Regelungen des Hauptvertrags. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die durch eine Verletzung dieser AVV oder der datenschutzrechtlichen Bestimmungen verursacht werden. Die Haftungsbeschränkungen gemäß § 14 der AGB gelten entsprechend.

12.2 Bei Schadensersatzansprüchen betroffener Personen unterstützen sich die Parteien gegenseitig bei der Klärung des Sachverhalts und der Abwehr unberechtigter Ansprüche. Soweit der Auftragsverarbeiter für einen Schaden verantwortlich ist, stellt er den Verantwortlichen von Ansprüchen Dritter frei.

12.3 Bei der Nutzung der HotReach-Plattform für automatisierte Anrufe agiert der Anbieter als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Der Kunde bleibt datenschutzrechtlich Verantwortlicher. Die Einzelheiten werden in der Auftragsverarbeitungsvereinbarung (AVV) geregelt, die mit Akzeptanz dieser AGB automatisch mitakzeptiert wird und unter https://www.hotreach.ai/legal/avv einsehbar ist.

Verbraucher nutzen die Plattform typischerweise nicht in einer Weise, die eine AVV erfordert; für sie gelten die Bestimmungen der Datenschutzerklärung.

§ 13 Vergütung

Die Vergütung des Auftragsverarbeiters erfolgt gemäß den Vereinbarungen im Hauptvertrag. Zusätzliche Leistungen, die über den vereinbarten Leistungsumfang hinausgehen, insbesondere außergewöhnlicher Aufwand bei der Unterstützung von Betroffenenanfragen oder Audits, werden nach Aufwand zu marktüblichen Stundensätzen vergütet.

§ 14 Sonstiges

14.1 Diese AVV tritt mit Akzeptanz der AGB automatisch in Kraft und gilt für die gesamte Dauer des Hauptvertrags.

14.2 Änderungen und Ergänzungen dieser AVV bedürfen der Textform. Dies gilt auch für die Änderung dieser Textformklausel.

14.3 Bei Widersprüchen zwischen dieser AVV und dem Hauptvertrag haben die Regelungen dieser AVV in datenschutzrechtlichen Fragen Vorrang.

14.4 Sollten einzelne Bestimmungen dieser AVV unwirksam sein, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen.

14.5 Es gilt das Recht der Bundesrepublik Deutschland.

Anlage 1: Verzeichnis der Unterauftragsverarbeiter

Stand: Oktober 2025

Bubble.io (USA)

  • Leistung: Hosting-Plattform, Bereitstellung der technischen Infrastruktur

  • Ort der Verarbeitung: AWS-Rechenzentren in den USA

Retell AI Inc. (USA)

  • Leistung: KI-gesteuerte Telefonagenten, Sprachverarbeitung

  • Ort der Verarbeitung: USA

OpenAI, LLC (USA)

  • Leistung: KI-Modelle für Gesprächsanalyse und -führung

  • Ort der Verarbeitung: USA

Twilio Inc. (USA)

  • Leistung: Telefonie-Infrastruktur, Sprachübertragung

  • Ort der Verarbeitung: EU-Rechenzentren (primär), USA (Backup)

Stripe Payments Europe Limited (Irland)

  • Leistung: Zahlungsabwicklung

  • Ort der Verarbeitung: EU

SendGrid/Twilio (USA)

  • Leistung: E-Mail-Versand für transaktionale E-Mails

  • Ort der Verarbeitung: EU-Rechenzentren

Zapier Inc. (USA)

  • Leistung: Workflow-Automatisierung (nur bei Aktivierung durch Kunden)

  • Ort der Verarbeitung: USA

Make (Integromat s.r.o., Tschechien)

  • Leistung: Workflow-Automatisierung (nur bei Aktivierung durch Kunden)

  • Ort der Verarbeitung: EU

N8N GmbH (Deutschland)

  • Leistung: Workflow-Automatisierung (nur bei Aktivierung durch Kunden)

  • Ort der Verarbeitung: EU

Cal.com Inc. (USA)

  • Leistung: Kalenderintegration (nur bei Aktivierung durch Kunden)

  • Ort der Verarbeitung: USA

Close.com (USA)

  • Leistung: CRM-System für interne Kundenbeziehungsverwaltung

  • Ort der Verarbeitung: USA

Der Auftragsverarbeiter stellt sicher, dass mit allen genannten Unterauftragsverarbeitern Verträge gemäß Art. 28 DSGVO abgeschlossen wurden, die ein angemessenes Datenschutzniveau gewährleisten.