Zum Hauptinhalt springen
Legal Center

Legal Documents & Policies

Transparency and trust are at the core of everything we do. Review our policies to understand how we protect your data and ensure compliance.

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO · Stand: 18. April 2026

Dieser Auftragsverarbeitungsvertrag ("AVV") ergänzt den zwischen Ihnen ("Verantwortlicher") und der Upforged LLC, d/b/a Akol ("Auftragsverarbeiter"), bestehenden Hauptvertrag über die Bereitstellung der Akol-KI-Sprachdienste. Er regelt die Verarbeitung personenbezogener Daten im Auftrag nach Maßgabe der DSGVO und des BDSG.

1

Präambel

Der Verantwortliche setzt die von Akol bereitgestellten KI-Sprachdienste zur Bearbeitung eingehender Anrufe, Terminvereinbarung, Transkription und vergleichbarer Zwecke ein. Dabei verarbeitet Akol personenbezogene Daten im Auftrag des Verantwortlichen gemäß Art. 4 Nr. 8 und Art. 28 DSGVO.

Ziel dieses AVV ist es, die Rechte und Pflichten der Parteien im Rahmen dieser Auftragsverarbeitung vertraglich festzulegen, um den Anforderungen der DSGVO sowie ergänzend des BDSG zu genügen.

2

Definitionen

Begriffe in diesem AVV haben die Bedeutung, die ihnen in Art. 4 DSGVO zugewiesen wird. Insbesondere:

"Personenbezogene Daten"Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
"Verarbeitung"Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO).
"Verantwortlicher"Der Kunde als natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet.
"Auftragsverarbeiter"Die Upforged LLC, d/b/a Akol, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
"Unterauftragsverarbeiter"Ein vom Auftragsverarbeiter eingesetzter weiterer Dienstleister, der personenbezogene Daten im Rahmen dieses AVV verarbeitet.
3

Gegenstand, Dauer und Art der Verarbeitung

Gegenstand der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der folgenden Leistungen:

  • KI-gestützte Entgegennahme und Bearbeitung eingehender Anrufe
  • Anrufaufzeichnung, Transkription und Auswertung (sofern vom Verantwortlichen aktiviert)
  • Terminvereinbarung und Integration mit Kalender- und CRM-Systemen
  • Bereitstellung von Analyse- und Berichtsfunktionen

Dauer

Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Er endet automatisch mit der Beendigung des Hauptvertrags; §12 (Löschung) bleibt davon unberührt.

Art der Daten

Kontaktdaten, Anrufinhalte (Audio, Transkripte), Termindaten sowie vom Verantwortlichen konfigurierte weitere Angaben. Kategorien Betroffener: Anrufer, Endkunden, Mitarbeiter des Verantwortlichen.

4

Weisungsbefugnis des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Weisungen sind grundsätzlich in Textform (E-Mail genügt) zu erteilen; in dringenden Fällen können sie mündlich erteilt werden und sind unverzüglich schriftlich zu bestätigen.

Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen Datenschutzrecht verstößt, informiert er den Verantwortlichen unverzüglich (Art. 28 Abs. 3 Satz 3 DSGVO).

5

Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, insbesondere:

  • personenbezogene Daten ausschließlich weisungsgebunden zu verarbeiten;
  • zur Vertraulichkeit verpflichtete Personen einzusetzen (Art. 28 Abs. 3 lit. b DSGVO);
  • geeignete technische und organisatorische Maßnahmen zu treffen (Art. 32 DSGVO);
  • den Verantwortlichen bei der Erfüllung seiner Pflichten aus Art. 32–36 DSGVO zu unterstützen;
  • den Verantwortlichen bei Anfragen Betroffener unverzüglich zu informieren und zu unterstützen;
  • auf Wahl des Verantwortlichen nach Vertragsende alle Daten zu löschen oder zurückzugeben;
  • dem Verantwortlichen alle für den Nachweis der Einhaltung erforderlichen Informationen bereitzustellen.
6

Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Technisch

  • Verschlüsselung ruhender Daten (AES-256) und in Übertragung (TLS 1.3)
  • Zugangs- und Authentifizierungskontrolle (MFA, Rollenbasierung)
  • Trennung von Produktions-, Test- und Entwicklungsumgebungen
  • Laufende Schwachstellenscans und Penetrationstests
  • Sichere Software-Entwicklungspraktiken (Secure SDLC)
  • Regelmäßige Backups mit verschlüsselter Ablage

Organisatorisch

  • Vertraulichkeitsverpflichtung aller Mitarbeiter (Art. 28 Abs. 3 lit. b DSGVO)
  • Zuverlässigkeitsprüfung und regelmäßige Schulungen zum Datenschutz
  • Zugriff nach dem Need-to-know-Prinzip
  • Dokumentierte Sicherheits- und Incident-Response-Richtlinien
  • Regelmäßige Datenschutz-Folgenabschätzungen für kritische Prozesse
7

Unterauftragsverarbeiter

Allgemeine Genehmigung

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung (Art. 28 Abs. 2 DSGVO), die unter akol.ai/de/rechtliches/subprocessors gelisteten Unterauftragsverarbeiter einzusetzen. Änderungen werden mindestens 30 Tage im Voraus angekündigt.

Widerspruchsrecht

Der Verantwortliche kann einem neuen Unterauftragsverarbeiter aus wichtigem Datenschutzgrund innerhalb der Ankündigungsfrist widersprechen. Ist eine einvernehmliche Lösung nicht möglich, steht dem Verantwortlichen ein Sonderkündigungsrecht für die betroffene Leistung zu.

8

Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte der betroffenen Personen (Art. 12–22 DSGVO):

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)

Anfragen Betroffener werden innerhalb von 10 Werktagen beantwortet bzw. der Verantwortliche erhält die für seine Beantwortung notwendigen Daten.

9

Meldung von Datenpannen (Art. 33 DSGVO)

Meldefrist

Unverzüglich, spätestens innerhalb von 24 Stunden

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich und spätestens binnen 24 Stunden nach Kenntniserlangung über jede Verletzung des Schutzes personenbezogener Daten, damit dieser seinen Meldepflichten nach Art. 33 DSGVO nachkommen kann.

Inhalt der Meldung

Art der Verletzung und Kategorien betroffener Personen
Ungefähre Zahl der betroffenen Personen und Datensätze
Wahrscheinliche Folgen der Verletzung
Ergriffene oder vorgeschlagene Abhilfemaßnahmen
Kontaktstelle für weitere Rückfragen
10

Drittlandsübermittlungen (Kap. V DSGVO)

Übermittlungsgrundlagen

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt ausschließlich auf Grundlage:

EU-U.S. Data Privacy Framework (soweit anwendbar)
EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914)
Zusätzliche technische Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung)

Hinweis: Eine aktuelle Liste der eingesetzten Drittlanddienste und der jeweiligen Transfer-Mechanismen ist unter Unterauftragsverarbeiter abrufbar.

11

Kontroll- und Auditrechte

Nachweise

Der Auftragsverarbeiter stellt auf Anfrage die zur Nachweisführung erforderlichen Informationen zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO), insbesondere aktuelle Zertifikate und Prüfberichte.

Vor-Ort-Kontrollen

Der Verantwortliche kann die Einhaltung dieses AVV nach angemessener Vorankündigung (i. d. R. 30 Tage) während üblicher Geschäftszeiten prüfen oder durch einen qualifizierten Dritten prüfen lassen.

12

Löschung und Rückgabe nach Vertragsende

Speicherdauer

Personenbezogene Daten werden nur für die Dauer der Leistungserbringung und entsprechend den vom Verantwortlichen konfigurierten Aufbewahrungseinstellungen gespeichert.

Löschung

Nach Beendigung des Vertrags werden alle personenbezogenen Daten innerhalb von 30 Tagen nach Wahl des Verantwortlichen zurückgegeben oder gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

13

Haftung

Haftungsregelung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den Regelungen des Hauptvertrags; Haftungsbeschränkungen des Hauptvertrags gelten entsprechend.

Laufzeit

Dieser AVV läuft für die Dauer der Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrags.

Rangfolge

Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht dieser AVV in datenschutzrechtlichen Fragen vor.

14

Kontakt

Für Fragen zu diesem AVV oder zur Anforderung einer unterzeichneten Fassung wenden Sie sich bitte an:

Rechtsteam

legal@akol.ai

Datenschutzbeauftragter

dpo@akol.ai