AV-Vertrag | Yumita

1. Vertragsparteien

Zwischen dem Auftraggeber (nachfolgend "Verantwortlicher"), der den KI-Telefonassistenten von Yumita nutzt,

und

Yumita
Yusuf Albayrak
yusuf@yumita.net
(nachfolgend "Auftragsverarbeiter")

wird folgender Vertrag ueber die Auftragsverarbeitung (nachfolgend "AV-Vertrag") geschlossen.

2. Gegenstand und Dauer

Gegenstand: Der Auftragsverarbeiter stellt dem Verantwortlichen einen KI-Telefonassistenten als Software-as-a-Service (SaaS) bereit. Dies umfasst die automatisierte Annahme von Telefonanrufen, deren Aufzeichnung, Transkription, KI-gestuetzte Zusammenfassung sowie die Benachrichtigung des Verantwortlichen.

Dauer: Dieser AV-Vertrag gilt fuer die gesamte Laufzeit des SaaS-Vertrags und endet mit dessen Beendigung.

3. Art und Zweck der Verarbeitung

Erhebung und Speicherung von Anruferdaten
Aufzeichnung und Speicherung von Telefongespraechen (Audio)
Automatische Transkription der Gespraeche
KI-gestuetzte Analyse und Zusammenfassung
Kategorisierung nach Dringlichkeit und Anruftyp
Benachrichtigung des Verantwortlichen (Telegram, E-Mail, Webhook)
Loeschung auf Anweisung des Verantwortlichen

4. Art der personenbezogenen Daten

Telefonnummern der Anrufer
Namen der Anrufer (soweit im Gespraech genannt)
Gespraechsaufzeichnungen (Audiodateien)
Transkripte der Gespraeche
KI-generierte Zusammenfassungen
Metadaten (Zeitpunkt, Dauer, Dringlichkeit)

Hinweis: Je nach Branche des Verantwortlichen koennen besondere Kategorien personenbezogener Daten nach Art. 9 DS-GVO betroffen sein (z.B. Gesundheitsdaten bei Arztpraxen). Der Verantwortliche ist verpflichtet, den Auftragsverarbeiter hierueber zu informieren.

5. Kategorien betroffener Personen

Anrufer / Kunden des Verantwortlichen
Geschaeftspartner des Verantwortlichen
Sonstige Personen, die den Verantwortlichen telefonisch kontaktieren

6. Pflichten des Auftragsverarbeiters

Verarbeitung personenbezogener Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen
Gewaehrleistung der Vertraulichkeit (alle Mitarbeiter sind zur Vertraulichkeit verpflichtet)
Keine Nutzung der Daten fuer eigene Zwecke, insbesondere kein Training von KI-Modellen mit Kundendaten
Unverzuegliche Information des Verantwortlichen bei rechtswidrigen Weisungen
Unterstuetzung bei der Erfuellung von Betroffenenrechten (Art. 15-22 DS-GVO)
Unverzuegliche Meldung von Datenschutzverletzungen (innerhalb von 24 Stunden)
Unterstuetzung bei Datenschutz-Folgenabschaetzungen (Art. 35 DS-GVO)
Zusammenarbeit mit Aufsichtsbehoerden

7. Technisch-organisatorische Massnahmen (TOM)

Der Auftragsverarbeiter trifft folgende Massnahmen gemaess Art. 32 DS-GVO:

Vertraulichkeit

Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Row Level Security)
Authentifizierung ueber Supabase Auth mit verschluesselten Passwoertern
Mandantentrennung: Strikte Datenisolierung pro Kunde

Integritaet

Transportverschluesselung: TLS 1.2+ fuer alle Verbindungen
Speicherverschluesselung: AES-256 at rest (Supabase/AWS)
Eingabekontrolle: Protokollierung aller Datenveraenderungen

Verfuegbarkeit

Hosting auf Vercel (Edge Network, automatische Skalierung)
Datenbank auf Supabase (automatische Backups, Region Frankfurt/EU)
Redundante Infrastruktur bei allen Cloud-Anbietern

Belastbarkeit

Rate Limiting zum Schutz vor Ueberlastung
Automatische Skalierung bei erhoehtem Aufkommen

Loeschkonzept

DSGVO-konforme Loeschfunktion im Dashboard ("Erledigt & Daten loeschen")
Loeschung umfasst: Name, Telefonnummer, Zusammenfassung, Transkript, Audioaufnahme
Anonymisierter Datensatz verbleibt als Tombstone (verhindert Re-Sync)

8. Unterauftragnehmer (Sub-Prozessoren)

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zum Einsatz der folgenden Unterauftragnehmer. Der Auftragsverarbeiter informiert den Verantwortlichen vor Hinzufuegen oder Wechsel eines Unterauftragnehmers. Der Verantwortliche hat ein Einspruchsrecht.

Unternehmen	Zweck	Standort	Rechtsgrundlage
Vapi Inc.	KI-Telefonie-Orchestrierung	USA	EU-US DPF / SCCs
Twilio Inc.	Telefonnetz, SMS, IVR	USA	EU-US DPF / SCCs
Deepgram Inc.	Speech-to-Text (Transkription)	USA	EU-US DPF / SCCs
Cartesia Inc.	Text-to-Speech (KI-Stimme)	USA	EU-US DPF / SCCs
Supabase Inc.	Datenbank, Auth, Speicherung	EU (Frankfurt)	EU-Hosting
Vercel Inc.	Web-Hosting, Edge Functions	EU/Global	EU-US DPF / SCCs
Anthropic PBC	KI-Sprachmodell (Claude)	USA	EU-US DPF / SCCs

DPF: EU-US Data Privacy Framework. SCCs: EU-Standardvertragsklauseln (Standard Contractual Clauses).

9. Kontrollrechte und Audits

Der Verantwortliche hat das Recht, Inspektionen durchzufuehren oder durch beauftragte Pruefer durchfuehren zu lassen
Der Auftragsverarbeiter stellt alle erforderlichen Informationen bereit
Inspektionen sind mit angemessener Vorlaufzeit (14 Tage) anzukuendigen
Alternativ koennen aktuelle Zertifikate oder Pruefberichte vorgelegt werden

10. Loeschung und Rueckgabe

Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 30 Tagen geloescht
Auf Wunsch des Verantwortlichen werden die Daten vor Loeschung in einem gaengigen Format exportiert und uebergeben
Der Auftragsverarbeiter bestaetigt die vollstaendige Loeschung auf Anfrage schriftlich
Ausgenommen sind Daten, fuer die eine gesetzliche Aufbewahrungspflicht besteht

11. Haftung

Es gelten die Haftungsregelungen nach Art. 82 DS-GVO. Der Auftragsverarbeiter haftet gegenueber dem Verantwortlichen fuer Schaeden, die durch eine nicht den Weisungen des Verantwortlichen oder nicht der DS-GVO entsprechende Verarbeitung entstehen.

12. Schlussbestimmungen

Aenderungen dieses Vertrags beduerfen der Schriftform
Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Uebrigen wirksam
Es gilt deutsches Recht
Gerichtsstand ist der Sitz des Auftragsverarbeiters

Verantwortlicher

Ort, Datum, Unterschrift

Auftragsverarbeiter (Yumita)