Art. 28 DSGVO · Stand: 05.06.2026

Auftragsverarbeitung (AVV)

→ Datenschutzerklärung

Präambel

Dieser Auftragsverarbeitungsvertrag („AVV") konkretisiert die Pflichten der Vertragsparteien zur Datenverarbeitung gemäß Art. 28 DSGVO, die sich aus dem zwischen ihnen geschlossenen Hauptvertrag über die Nutzung der Plattform LaunchMyVoice ergeben.

Auftragsverarbeiter:
Mark Gerngross
Hauptstraße 1
87527 Sonthofen
hello@launchmyvoice.app
Verantwortlicher:
Kunde gemäß Account-Daten
(Vollständige Daten siehe Hauptvertrag /
Buchungsbestätigung)

§ 1 Gegenstand & Dauer der Verarbeitung

Gegenstand: Verarbeitung personenbezogener Daten zur Bereitstellung des Dienstes LaunchMyVoice — KI-gestützte Annahme von Telefonanrufen, Erstellung von Transkripten, Terminbuchung, Lead-Management.

Dauer: Der AVV gilt für die Dauer des Hauptvertrags und endet automatisch mit dessen Beendigung.

§ 2 Art & Zweck der Verarbeitung

  • Entgegennahme eingehender Anrufe und Verarbeitung des Audio-Streams
  • Spracherkennung (Speech-to-Text) lokal auf Servern in Deutschland
  • Erstellung eines Transkripts und einer KI-generierten Zusammenfassung
  • Speicherung von Anruf-Metadaten (Rufnummer, Dauer, Zeitpunkt)
  • Verarbeitung von Lead-Daten für Outbound-Kampagnen
  • Optional: Buchungs- und Bestelldaten an Drittsysteme weitergeben (Google Calendar, Sunmi POS, Buchhaltungs-API)

§ 3 Art der Daten & Kreis der Betroffenen

DatentypBetroffeneSpeicherdauer
Telefonnummer (Anrufer/-er)Endkunden des Verantwortlichen90 Tage (konfigurierbar)
Audio-AufnahmeEndkundenWird nach Transkription gelöscht (binnen 24 Std)
Transkript / InhalteEndkunden90 Tage (konfigurierbar)
Lead-Daten (Name, Telefon, Email)Vom Kunden importierte LeadsBis zur Löschung durch Kunde
Buchungen / BestellungenEndkundenGemäß handelsrechtlicher Aufbewahrungspflichten

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat folgende Schutzmaßnahmen implementiert (Art. 32 DSGVO):

  • Verschlüsselung: TLS 1.3 für alle Verbindungen (Let's Encrypt), Festplatten-Verschlüsselung auf VPS
  • Passwort-Hashing: bcrypt (Faktor 10) für alle Benutzer-Passwörter
  • Zugriffskontrolle: Separate Linux-User für Web-App und Voice-Engine, Datenbank nur auf localhost
  • Multi-Mandanten-Trennung: Strikte Tenant-Isolation in der Datenbank (Foreign-Key-Constraints + Row-Level Checks im Code)
  • Backups: Tägliche verschlüsselte Backups, 30 Tage Aufbewahrung
  • Logging: Zugriffs- und Fehler-Logs ohne personenbezogene Inhalte (nur Metadaten)
  • HMAC-Signatur: Interne API-Calls zwischen Web-App und Voice-Engine HMAC-SHA256-signiert
  • Hosting: Strato VPS in Deutschland, ISO 27001 zertifiziert

§ 5 Unterauftragsverarbeiter

Der Verantwortliche stimmt folgenden Unterauftragsverarbeitern zu:

NameSitzZweckDatenkategorien
Anthropic, Inc.USALLM (Claude) — SprachverständnisText-Snippets (keine Audio)
Strato AGDeutschlandServer-HostingAlle Datenkategorien (verschlüsselt)
sipgate GmbHDeutschlandSIP-Trunking, TelefonieTelefonnummern, Verbindungsdaten
ElevenLabs Inc. (optional)USAVoice-Clone TTS (nur Pro/Premium)Sprach-Samples des Kunden, Text-Snippets
Google LLC (optional)EU/USACalendar-BuchungenTermindaten

Bei US-Übermittlungen liegen die Standardvertragsklauseln (SCC, 2021/914/EU) der EU-Kommission vor. Der Auftragsverarbeiter informiert den Verantwortlichen über jede Änderung des Subverarbeiterkreises mit angemessener Frist (mind. 14 Tage Widerspruch).

§ 6 Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen
  • Vertraulichkeitsverpflichtung aller mit der Verarbeitung befassten Personen
  • Unverzügliche Meldung von Datenschutzverletzungen (Art. 33 DSGVO) binnen 24 Std
  • Unterstützung bei Anfragen Betroffener (Auskunft, Löschung, Übertragung)
  • Bereitstellung der TOM-Dokumentation auf Anfrage

§ 7 Pflichten des Verantwortlichen

  • Rechtmäßige Erhebung aller weitergegebenen Daten (Einwilligung gemäß Art. 6 DSGVO sicherstellen)
  • Outbound-Kampagnen nur an Endkunden, die zustimmen (UWG / TKG)
  • Information der Endkunden über den Einsatz von KI gemäß Art. 13 DSGVO
  • Benennung eines Datenschutzbeauftragten bei Bedarf (gemäß Art. 37 DSGVO)

§ 8 Rechte Betroffener

Anfragen Betroffener auf Auskunft, Berichtigung, Löschung oder Datenübertragbarkeit gegenüber dem Auftragsverarbeiter werden binnen 7 Werktagen an den Verantwortlichen weitergeleitet. Eigenständige Beantwortung erfolgt nur auf Anweisung des Verantwortlichen.

§ 9 Audit-Rechte

Der Verantwortliche hat das Recht, einmal jährlich auf eigene Kosten den Auftragsverarbeiter auf Einhaltung der DSGVO und dieses AVV zu prüfen — in der Regel durch Selbstauskunft oder Vorlage aktueller Zertifikate. Vor-Ort-Audits nach Voranmeldung (mind. 14 Tage).

§ 10 Beendigung & Rückgabe / Löschung

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten binnen 30 Tagen, soweit keine gesetzliche Aufbewahrungspflicht (z.B. § 257 HGB) entgegensteht. Auf Wunsch des Verantwortlichen erfolgt vor Löschung ein Datenexport (CSV / JSON) zur Übertragung an den Verantwortlichen.

§ 11 Haftung

Es gelten die Haftungsregelungen aus dem Hauptvertrag (AGB §7) sowie die gesetzlichen Vorgaben aus Art. 82 DSGVO. Im Außenverhältnis haften beide Parteien gesamtschuldnerisch, im Innenverhältnis trägt der Auftragsverarbeiter nur den Anteil, der seinem Verursachungsbeitrag entspricht.

§ 12 Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand: Sonthofen. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Dieser AVV gilt mit Vertragsschluss des Hauptvertrags als angenommen, sofern nicht gesondert in Textform widersprochen wird.

Vertragspartner

Mark Gerngross · Hauptstraße 1 · 87527 Sonthofen
hello@launchmyvoice.app

AVV-Version 1.0 · 05.06.2026