Rechtliches
Auftragsverarbeitungsvertrag (AVV)
Hey Listen Technologies UG (haftungsbeschränkt) als Auftragsverarbeiter
Stand: 28. Mai 2026
Hey Listen Technologies UG (haftungsbeschränkt) als Auftragsverarbeiter
Version: 1.1 Gültig ab: 28. Mai 2026 Rechtsgrundlage: Art. 28 DSGVO Hinweis: Dies ist eine Vorlage. Vor Verwendung ist eine rechtliche Prüfung empfohlen.
AUFTRAGSVERARBEITUNGSVERTRAG
zwischen
[Kundenname / Unternehmensname] [Adresse] [PLZ, Ort] – nachfolgend „Verantwortlicher" –
und
Hey Listen Technologies UG (haftungsbeschränkt) Regensburger Straße 2, 28844 Weyhe – nachfolgend „Auftragsverarbeiter" –
§ 1 GEGENSTAND UND DAUER DES AUFTRAGS
1.1 Gegenstand
Der Auftragsverarbeiter erbringt für den Verantwortlichen folgende Leistungen:
KI-gestützte Telefonie-Dienstleistungen (hey-listen.ai):
- Entgegennahme und Verarbeitung eingehender Anrufe für den Verantwortlichen
- Echtzeit-Transkription von Gesprächen
- Extraktion von Gesprächsinhalten (Anliegen, Buchungsanfragen, Informationen)
- Weiterleitung von Gesprächsergebnissen an die Systeme des Verantwortlichen
- Ggf. direkte Buchung in Reservierungssysteme (Paket P102R: resOS; Paket P103H: HubRise)
1.2 Dauer
Der Vertrag gilt für die Dauer des Hauptvertrags (Dienstleistungsvertrag / Abonnement) zwischen den Parteien.
§ 2 KONKRETISIERUNG DES AUFTRAGS
2.1 Art und Zweck der Verarbeitung
| Aspekt | Beschreibung |
|---|---|
| Art der Verarbeitung | Erhebung, Speicherung, Verarbeitung, Übermittlung, Löschung |
| Zweck | Entgegennahme von Anrufen, Transkription, Extraktion von Gesprächsinhalten, Weiterleitung an Systeme des Verantwortlichen |
| Verarbeitungsort | Deutschland (Hetzner-Rechenzentrum, Frankfurt/Nürnberg) |
2.2 Art der personenbezogenen Daten
- Telefonnummer des Anrufers
- Anrufzeitpunkt und -dauer
- Gesprächsinhalt (Transkript in Textform)
- Vom Anrufer genannte Informationen (Name, Anliegen, Buchungsdetails)
2.3 Kategorien betroffener Personen
- Kunden des Verantwortlichen (Anrufer)
- Sonstige Personen, die den Verantwortlichen anrufen
2.4 Besondere Kategorien personenbezogener Daten
Grundsätzlich werden keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeitet. Sollte der Verantwortliche im Gesundheitsbereich tätig sein (z.B. Arztpraxis, Pflegeeinrichtung), sind gesonderte Vereinbarungen zu treffen. In diesem Fall ist ein gesonderter Anhang zu diesem AVV erforderlich.
§ 3 PFLICHTEN DES AUFTRAGSVERARBEITERS
3.1 Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In diesem Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.
3.2 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3.3 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen gemäß Art. 32 DSGVO. Die aktuellen TOMs sind in Anlage 1 zu diesem Vertrag dokumentiert.
3.4 Unterauftragsverarbeiter
Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen. Eine allgemeine Genehmigung für folgende Unterauftragsverarbeiter wird erteilt:
| Unterauftragsverarbeiter | Sitz | Verarbeitungszweck | Schutzmaßnahmen |
|---|---|---|---|
| Fonio GmbH | Wien, Österreich (Server: Hetzner DE) | KI-Sprachverarbeitung, Transkription | AVV, Hetzner-Rechenzentrum Deutschland |
| Twilio Ireland Ltd. | Dublin, Irland | Telefonie-Infrastruktur (SIP, Sub-Processor von Fonio) | AVV, SCCs |
| Make.com / Celonis SE | EU | Workflow-Automatisierung | AVV, EU-Server |
| HubSpot, Inc. | Puteaux, Frankreich (EU-Niederlassung) | CRM, Lead-Management, Kommunikation | AVV, SCCs für US-Muttergesellschaft |
| Hetzner Online GmbH | Gunzenhausen, Deutschland | Cloud-Hosting (eigene hey-listen.ai Infrastruktur) | AVV (in Vorbereitung), ISO 27001, EU-intern |
Änderungen an Unterauftragsverarbeitern werden dem Verantwortlichen mindestens 30 Tage im Voraus mitgeteilt. Der Verantwortliche hat das Recht, Änderungen zu widersprechen.
3.5 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) durch geeignete technische und organisatorische Maßnahmen.
3.6 Unterstützung bei Sicherheitspflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
3.7 Löschung und Rückgabe
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Gesprächstranskripte werden spätestens 90 Tage nach dem Gespräch automatisch gelöscht.
3.8 Nachweispflicht
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, durch den Verantwortlichen oder einen anderen von diesem beauftragten Prüfer.
§ 4 PFLICHTEN DES VERANTWORTLICHEN
4.1 Rechtmäßigkeit der Verarbeitung
Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich. Er stellt sicher, dass eine Rechtsgrundlage für die Verarbeitung vorliegt und die betroffenen Personen über die Verarbeitung informiert werden.
4.2 Transparenzpflicht gegenüber Anrufern
Der Verantwortliche ist verpflichtet, Anrufer über den Einsatz des KI-Telefonie-Dienstes zu informieren. Dies kann durch folgende Maßnahmen erfolgen:
- Ansage zu Beginn des Gesprächs (wird durch den Auftragsverarbeiter bereitgestellt)
- Hinweis auf der Webseite des Verantwortlichen
- Hinweis in der Datenschutzerklärung des Verantwortlichen
4.3 Weisungen
Der Verantwortliche erteilt Weisungen in schriftlicher Form (E-Mail genügt). Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
§ 5 DATENPANNEN UND MELDEPFLICHTEN
5.1 Meldung durch den Auftragsverarbeiter
Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.
5.2 Inhalt der Meldung
Die Meldung enthält mindestens:
- Art der Verletzung
- Kategorien und ungefähre Anzahl betroffener Personen
- Kategorien und ungefähre Anzahl betroffener Datensätze
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen
§ 6 HAFTUNG
Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO. Jede Partei haftet für Schäden, die durch eine Verarbeitung entstehen, die nicht den Bestimmungen der DSGVO entspricht und ihr zurechenbar ist.
§ 7 SCHLUSSBESTIMMUNGEN
7.1 Vorrang
Dieser Vertrag hat Vorrang vor etwaigen abweichenden Bestimmungen im Hauptvertrag, soweit diese den Datenschutz betreffen.
7.2 Anwendbares Recht
Es gilt das Recht der Bundesrepublik Deutschland.
7.3 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
ANLAGE 1: TECHNISCH-ORGANISATORISCHE MASSNAHMEN (AUSZUG)
Die vollständigen TOMs sind im Dokument 05_TOMs_HLT_v1.0.md dokumentiert. Nachfolgend ein Auszug der wichtigsten Maßnahmen:
| Kategorie | Maßnahme |
|---|---|
| Verschlüsselung | HTTPS/TLS 1.3 für alle Übertragungen; Verschlüsselung at rest |
| Zugriffskontrolle | MFA für alle Admin-Zugänge; Least-Privilege-Prinzip |
| Verfügbarkeit | Redundante Cloud-Infrastruktur; automatische Backups |
| Vertraulichkeit | Mitarbeiterverpflichtung auf Vertraulichkeit; Schulungen |
| Transparenz | Automatische Ansage zu Beginn jedes Gesprächs (Art. 50 EU AI Act) |
| Löschung | Automatische Löschung von Transkripten nach 90 Tagen |
| Serverstandort | Deutschland (Hetzner-Rechenzentrum) |
UNTERSCHRIFTEN
Verantwortlicher:
Ort, Datum: ___________________________
Unterschrift: ___________________________
Name, Funktion: ___________________________
Auftragsverarbeiter:
Hey Listen Technologies UG (haftungsbeschränkt) Regensburger Straße 2, 28844 Weyhe
Ort, Datum: ___________________________
Unterschrift: ___________________________
Name, Funktion: Daniel Wittig / Christian Kirsch, Geschäftsführer
ANHANG A: VOLLSTÄNDIGE LISTE DER UNTERAUFTRAGSVERARBEITER
> Dieser Anhang ist Bestandteil des AVV und wird bei Änderungen aktualisiert. Der Verantwortliche wird über Änderungen mindestens 30 Tage im Voraus informiert.
A.1 Direkte Unterauftragsverarbeiter von Hey Listen Technologies
| Nr. | Unterauftragsverarbeiter | Sitz | Verarbeitungszweck | Drittlandtransfer | Schutzmaßnahmen |
|---|---|---|---|---|---|
| 1 | Fonio GmbH | Joanelligasse 5/16, 1060 Wien, Österreich | KI-Sprachverarbeitung (Voice Engine, Transkription, Sprachausgabe) | Nein (Server: Deutschland) | AVV, Hetzner-Rechenzentrum DE |
| 2 | Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Deutschland | Cloud-Hosting eigene Infrastruktur | Nein | ISO 27001, AVV in Vorbereitung |
| 3 | Twilio Ireland Ltd. | 25–28 North Wall Quay, Dublin 1, Irland | SMS-Versand, Telefonie-Infrastruktur | Nein (EU) | AVV, SCCs für US-Muttergesellschaft |
| 4 | Make.com / Celonis SE | EU | Workflow-Automatisierung | Nein (EU-Server) | AVV, EU-Datenspeicherung |
| 5 | HubSpot, Inc. | 2nd Floor, 30 B Rue de Verdun, 92800 Puteaux, Frankreich (EU-Niederlassung) | CRM, Lead-Management, Kommunikation mit Kunden | USA (Mutter) | AVV, SCCs |
| 6 | Microsoft Ireland Operations Ltd. | One Microsoft Place, Dublin, Irland | Interne Kommunikation (Microsoft 365) | USA (SCCs) | Microsoft DPA, SCCs |
A.2 Sub-Auftragsverarbeiter von Fonio GmbH (indirekte Kette)
Fonio GmbH setzt zur Erbringung der KI-Telefonieleistungen ihrerseits Unterauftragsverarbeiter ein. Hey Listen Technologies hat mit Fonio vertraglich sichergestellt, dass Fonio nur genehmigte Sub-Auftragsverarbeiter einsetzt und Änderungen rechtzeitig mitteilt. Die vollständige und aktuelle Liste der Fonio-Sub-Auftragsverarbeiter ist im Fonio-AVV und unter https://www.fonio.ai/datenschutz einsehbar.
> Hinweis für den Verantwortlichen: Die Sprachverarbeitung durch Fonio umfasst Spracherkennung (Speech-to-Text), KI-Sprachmodell-Verarbeitung und Sprachausgabe (Text-to-Speech). Diese Verarbeitungsschritte können Drittlandtransfers in die USA beinhalten. Die Absicherung erfolgt durch Fonios AVV und die dort enthaltenen Standardvertragsklauseln (SCCs). Hey Listen Technologies hat keinen direkten Einfluss auf Fonios Sub-Auftragsverarbeiter-Kette und verlegt sich insoweit auf die vertraglichen Zusicherungen von Fonio.
ANHANG B: BESONDERE DATENKATEGORIEN (ART. 9 DSGVO) — OPTIONALER ANHANG
> Dieser Anhang ist nur relevant, wenn der Verantwortliche Produkte der Pflegeheim-Linie (P401–P404) einsetzt. Für alle anderen Produkte (Gastro, PIA) ist dieser Anhang nicht anwendbar.
B.1 Anwendungsbereich
Bei Einsatz der Pflegeheim-Produkte (P401–P404) können über den Voice Agent Krankmeldungen von Pflegepersonal entgegengenommen werden. Krankmeldungen können Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO darstellen und unterliegen damit dem erhöhten Schutz nach Art. 9 DSGVO.
B.2 Verantwortung des Kunden (Verantwortlicher)
Der Verantwortliche (Pflegeheim-Betreiber) trägt die alleinige Verantwortung dafür, dass:
1. Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO für die Verarbeitung von Gesundheitsdaten vorliegt. Als Rechtsgrundlage kommt insbesondere in Betracht:
- Art. 9 Abs. 2 lit. b) DSGVO: Verarbeitung im Rahmen des Beschäftigungsverhältnisses (Krankmeldung als arbeitsrechtliche Pflicht)
- Art. 9 Abs. 2 lit. a) DSGVO: Ausdrückliche Einwilligung des Betroffenen
2. Mitarbeiter informiert wurden, dass Krankmeldungen über einen KI-Voice-Agent entgegengenommen werden (Art. 13/14 DSGVO) 3. Interne Datenschutzrichtlinien des Verantwortlichen die Nutzung von KI-Systemen für die Entgegennahme von Krankmeldungen abdecken
B.3 Technische Ausgestaltung
Hey Listen Technologies stellt sicher, dass:
- Keine Audio-Dateien der Krankmeldungsgespräche gespeichert werden
- Nur die vom Sprachmodell extrahierten Textdaten (Datum, Dauer, ggf. Symptome soweit vom Mitarbeiter genannt) per E-Mail an den Verantwortlichen weitergeleitet werden
- Die extrahierten Daten nach 90 Tagen aus den Fonio-Systemen gelöscht werden
- Der Verantwortliche die E-Mail-Zusammenfassungen vor der Weiterverarbeitung prüft (gemäß AGB § 2 Abs. 4)
B.4 Empfehlung
Pflegeheim-Betreibern wird empfohlen, die Nutzung des hey-listen.ai Voice Agents für Krankmeldungen in ihrer eigenen Datenschutz-Folgenabschätzung (Art. 35 DSGVO) zu berücksichtigen, da die Verarbeitung von Gesundheitsdaten grundsätzlich eine DSFA erfordert.
ÄNDERUNGSHISTORIE
| Version | Datum | Änderungen | Autor |
|---|---|---|---|
| 1.0 | 07.04.2026 | Erstversion für Hey Listen Technologies UG inkl. Hetzner als eigener Sub-Prozessor, Twilio als Sub-Processor von Fonio, Anhang A (vollständige Sub-Auftragsverarbeiter-Liste) und Anhang B (Art. 9 DSGVO Gesundheitsdaten für Pflegeheim-Produkte) | Daniel Wittig, Christian Kirsch |
| 1.1 | 28.05.2026 | HubSpot, Inc. als Unterauftragsverarbeiter in §3.4 und Anhang A.1 ergänzt (CRM und Lead-Management). Veröffentlichung unter hey-listen.ai/avv. | Daniel Wittig, Christian Kirsch |
Gültig ab: 28. Mai 2026 Nächste Überprüfung: 28. Mai 2027 Verantwortlich: Daniel Wittig und Christian Kirsch
> Hinweis: Diese Vorlage dient als Ausgangspunkt. Vor Unterzeichnung wird eine rechtliche Prüfung durch einen Fachanwalt für Datenschutzrecht empfohlen. Für Kunden im Gesundheitsbereich (Arztpraxen, Pflegeeinrichtungen) ist ein gesonderter Anhang für besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) erforderlich.