Rechtliches
Auftragsverarbeitungsvertrag (AVV)
Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO zwischen dem Kunden (Verantwortlicher) und der D.CRAMER ESOLUTIONS LTD (Auftragsverarbeiter) für die Nutzung der Software Einwandfr.ai.
01 Vertragsparteien & Gegenstand
Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag") konkretisiert die datenschutzrechtlichen Pflichten der Parteien aus dem zugrunde liegenden Nutzungsvertrag über die Software Einwandfr.ai (nachfolgend „Hauptvertrag").
Verantwortlicher ist der nutzende Kunde, der über Zwecke und Mittel der Verarbeitung der Gesprächs- und Nutzungsdaten entscheidet.
Auftragsverarbeiter ist:
D.CRAMER ESOLUTIONS LTD
Larnaca, Zypern · Handelsregister HE469716 · USt-ID CY60126352Y
Direktor: Daniel Cramer · info@einwandfr.ai
Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen, soweit dies zur Erbringung der im Hauptvertrag vereinbarten Leistungen erforderlich ist.
02 Art, Umfang und Zweck der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der Software Einwandfr.ai – insbesondere der Echtzeit-Transkription und KI-gestützten Analyse von Verkaufsgesprächen, der Erstellung von Gesprächszusammenfassungen sowie der Bereitstellung des Team-Cockpits.
Die Verarbeitung umfasst je nach Konfiguration: Erheben, Erfassen, Organisieren, Speichern, Auslesen, Verwenden, Übermitteln an die in Anlage 2 genannten Unterauftragsverarbeiter sowie Löschen. Im speicherfreien Modus erfolgt keine dauerhafte Speicherung der Gesprächsinhalte.
03 Dauer der Verarbeitung
Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags, sofern sich aus den nachfolgenden Bestimmungen – insbesondere zu Löschung und Rückgabe – keine darüber hinausgehenden Pflichten ergeben.
04 Datenarten & Betroffenenkreise
Kategorien betroffener Personen: Mitarbeitende des Verantwortlichen (Vertriebsnutzer) sowie Gesprächspartner des Verantwortlichen (z. B. Interessenten, Kunden).
Arten der Daten: Stammdaten (Name, E-Mail, Rolle), Audio- und Transkriptionsdaten der Gespräche, daraus abgeleitete Analyse- und Metadaten (Scores, Zusammenfassungen, Einwand-Klassifikationen), Nutzungs- und Protokolldaten. Inhaltsdaten können – je nach Gesprächsverlauf – besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) enthalten; deren Vermeidung obliegt dem Verantwortlichen.
05 Weisungsrecht des Verantwortlichen
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich der Konfigurationsentscheidungen in der Software (z. B. Speichermodus, Aufbewahrungsfristen). Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich. Mündliche Weisungen werden unverzüglich in Textform bestätigt.
06 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere:
- Daten nur im Rahmen des Auftrags und der Weisungen zu verarbeiten;
- die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO);
- die technisch-organisatorischen Maßnahmen nach Anlage 1 umzusetzen und aktuell zu halten;
- den Verantwortlichen bei dessen Pflichten nach Art. 32–36 DSGVO im erforderlichen Umfang zu unterstützen;
- einen etwaigen Datenschutzbeauftragten bzw. Ansprechpartner zu benennen;
- Verarbeitungen außerhalb der EU/des EWR nur unter den Voraussetzungen der Kapitel V DSGVO vorzunehmen (siehe Anlage 2).
07 Technisch-organisatorische Maßnahmen (Anlage 1)
Der Auftragsverarbeiter unterhält angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:
| Schutzziel | Maßnahmen |
|---|---|
| Vertraulichkeit | Verschlüsselte Übertragung (TLS); Zugriffsbeschränkung nach Need-to-know; rollenbasierte Rechte (RBAC); mandantengetrennte Datenhaltung. |
| Integrität | Authentifizierung über gehärtete Identity-Provider; Protokollierung sicherheitsrelevanter Ereignisse; Eingabe- und Weisungskontrolle. |
| Verfügbarkeit & Belastbarkeit | EU-Hosting auf verwalteter Cloud-Infrastruktur; Backups; Schutz vor Angriffen (u. a. DDoS-Abwehr). |
| Verfahren zur Überprüfung | Regelmäßige Überprüfung der Maßnahmen; Datenminimierung; konfigurierbarer speicherfreier Modus. |
08 Unterauftragsverarbeiter (Anlage 2)
Der Verantwortliche erteilt seine allgemeine Genehmigung zum Einsatz der nachfolgenden Unterauftragsverarbeiter. Wechsel oder Hinzunahme werden dem Verantwortlichen vorab mitgeteilt; er kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
| Dienstleister | Zweck | Ort | Transfergrundlage |
|---|---|---|---|
| Cloudflare | Hosting / CDN / Sicherheit | EU (mit US-Anbieter) | SCC / DPF |
| Supabase | Datenbank & Authentifizierung | EU (Frankfurt) | EU-Verarbeitung |
| Deepgram | Sprache-zu-Text (Transkription) | USA | SCC |
| Anthropic (Claude) | KI-Analyse der Gespräche | USA | SCC |
| Anmeldung via OAuth (optional) | USA | SCC / DPF |
Mit jedem Unterauftragsverarbeiter bestehen Verträge mit Datenschutzpflichten, die den Anforderungen dieses Vertrags entsprechen. Eine jeweils aktuelle Liste stellt der Auftragsverarbeiter auf Anfrage bereit.
09 Unterstützung & Rechte betroffener Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträgen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch nachzukommen. Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.
10 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei dessen Melde- und Benachrichtigungspflichten gemäß Art. 33, 34 DSGVO.
11 Nachweise & Kontrollrechte
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die der Verantwortliche oder ein von ihm beauftragter Prüfer durchführt. Kontrollen erfolgen mit angemessener Ankündigung, ohne unverhältnismäßige Störung des Betriebs und unter Wahrung der Vertraulichkeit Dritter.
12 Löschung & Rückgabe nach Vertragsende
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche personenbezogene Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Im speicherfreien Modus bestehen keine dauerhaft gespeicherten Gesprächsinhalte.
13 Haftung
Für die Haftung gelten die Regelungen des Hauptvertrags sowie Art. 82 DSGVO. Im Innenverhältnis tragen die Parteien die Verantwortung entsprechend ihrem jeweiligen Verursachungs- und Verantwortungsbeitrag.
14 Schlussbestimmungen
Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags hinsichtlich der Auftragsverarbeitung vor. Änderungen bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Stand: Juni 2026 · Version 1.0
← Zurück zur Datenschutzerklärung