Rechtliches

Auftragsverarbeitungs­vertrag (AVV)

Gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) zwischen Ruf-Wächter und seinen Kunden (Auftraggeber).

Aktive Version

Stand: 28. März 2026

Diese Vereinbarung gilt zwischen Ruf-Wächter und jedem Kunden, der ein Abonnement abschließt. Der Vertragsabschluss erfolgt elektronisch durch Bestätigung im Stripe-Checkout-Prozess. Auf Wunsch stellen wir den AVV zusätzlich als unterzeichnetes PDF zur Verfügung — bitte per E-Mail an office@ruf-waechter.at anfordern.

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Der Verantwortliche

Name / Firma: Der jeweilige Vertragspartner (Kunde) gemäß Stripe-Transaktion.

Anschrift: Die im Checkout-Prozess hinterlegte Anschrift.

(im Folgenden „Auftraggeber")

Der Auftragsverarbeiter

Ruf-Wächter / Mario Chesi

Ullreichstraße 9
A-6130 Schwaz, Österreich

(im Folgenden „Auftragnehmer")

§ 1 — Gegenstand der Vereinbarung

  1. Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben: KI-gestützte Telefonassistenz, Terminmanagement und Routenoptimierung für Außendienst.
  2. Folgende Datenkategorien werden verarbeitet: Stammdaten, Kontaktdaten, Inhaltsdaten. Gesprächsprotokolle werden zur Sicherstellung der Übermittlung für 7 Tage zwischengespeichert und danach automatisiert gelöscht; Standortdaten.
  3. Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: Kunden und Interessenten des Auftraggebers, Mitarbeiter des Auftraggebers.

§ 2 — Dauer der Vereinbarung

Unbefristete Laufzeit: Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von einem Monat zum Monatsende gekündigt werden.

§ 3 — Pflichten des Auftragnehmers

  1. Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er — sofern gesetzlich zulässig — den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
  2. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
  3. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen).
  4. Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
  5. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
  6. Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.
  7. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
  8. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben bzw. in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben.
  9. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

§ 4 — Ort der Durchführung der Datenverarbeitung

Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw. des EWR durchgeführt, und zwar in den USA. Das angemessene Datenschutzniveau ergibt sich aus:

  • einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO,
  • Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO.

§ 5 — Sub-Auftragsverarbeiter

Der Auftragnehmer kann Sub-Auftragsverarbeiter hinzuziehen. Derzeit werden folgende Sub-Auftragsverarbeiter für die Bereitstellung der Infrastruktur, KI-Logik und Zahlungsabwicklung eingesetzt:

  • Airtable PBC (USA / EU) — Datenbankverwaltung & CRM
  • n8n GmbH (EU / Deutschland) — Automatisierung & Workflow-Logik
  • Vapi.ai (USA) — KI-Sprachverarbeitung (Telefon-Assistenz)
  • Twilio Inc. (USA / EU) — Telefonie-Infrastruktur & SMS
  • OpenAI LLC (USA) — Künstliche Intelligenz (Sprachmodell)
  • Google LLC (USA) — Kalender-Synchronisation (Google Calendar) & Google Fonts (Website-Schriftarten)
  • Stripe Payments Europe Ltd. (EU / Irland) — Zahlungsabwicklung
  • World4You Internet Service GmbH (EU) — Hosting der Website, E-Mail-Kommunikation und Speicherung von Vertragsdokumenten
  • Perplexity AI, Inc. (USA) — KI-gestützte Datenanalyse & Recherche
  • Anthropic PBC (USA) — KI-Verarbeitung & Sprachmodell

Der Auftragnehmer hat den Auftraggeber von der beabsichtigten Heranziehung eines neuen Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass der Auftraggeber dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

Vertragsabschluss

Für den Auftraggeber

Der jeweilige Vertragspartner gemäß Stripe-Checkout. Zustimmung erfolgt elektronisch durch Abschluss des Abonnements (Stripe-Checkout).

Für den Auftragnehmer

Mario Chesi, Inhaber Ruf-Wächter
Schwaz, am 28. März 2026


Anlage ./1 — Technisch-organisatorische Maßnahmen

Vertraulichkeit

  • Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, Schloss und Schlüssel.
  • Zugangskontrolle: Schutz vor unbefugter Systembenutzung durch sichere Passwörter (einschließlich entsprechender Policy), Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.
  • Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems; nur Inhaber Mario Chesi hat Admin-Rechte.
  • Verschlüsselung von Datenträgern: Alle Daten werden von den Cloud-Anbietern verschlüsselt.

Integrität

  • Weitergabekontrolle: Sichere Übertragung über HTTPS/SSL.
  • Eingabekontrolle: Protokollierung sämtlicher Eingabe-, Änderungs- und Löschvorgänge durch die verwendeten Cloud-Systeme (Airtable, n8n) sowie ein detailliertes Berechtigungskonzept (Admin-Zugriff nur durch den Auftragnehmer).

Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Regelmäßige automatisierte Backups durch die Cloud-Provider (Airtable, Google, AWS via Vapi / n8n). Die Daten sind durch geographische Redundanz der Serverzentren gegen physischen Verlust geschützt.
  • Rasche Wiederherstellbarkeit: Wiederherstellung erfolgt über die integrierten Backup- und Rollback-Funktionen der genutzten SaaS-Plattformen. Ein Desaster-Recovery-Plan sieht im Ernstfall die Neuaufsetzung der Automatisierungs-Szenarien innerhalb von 24 Stunden vor.
  • Löschungsfristen: Personenbezogene Daten (Transkripte / Audio) werden spätestens 7 Tage nach der Verarbeitung automatisiert gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Regelmäßige interne Audits der Automatisierungs-Workflows (n8n / Airtable). Jährliche Überprüfung der Sicherheitszertifikate der eingesetzten Sub-Auftragsverarbeiter. Incident-Response-Management erfolgt durch sofortige Benachrichtigungskette bei Systemfehlern.
  • Datenschutzfreundliche Voreinstellungen: Minimale Datenerhebung (nur Telefonnummer und Name). Automatische Löschung von Gesprächsinhalten nach 7 Tagen als Standardvorgabe. Keine Nutzung der Kundendaten für KI-Training außerhalb des spezifischen Auftrags.
  • Auftragskontrolle: Strenge Auswahl der Sub-Auftragsverarbeiter (nur Marktführer mit ISO/Compliance-Zertifikaten). Eindeutige vertragliche Bindung aller Partner an die Weisungen des Auftragnehmers. Vorab-Überprüfung der Datenschutz-Einstellungen bei jeder Systemänderung.

AVV als PDF anfordern

Auf Wunsch senden wir Ihnen den Vertrag zusätzlich als unterzeichnetes PDF.

office@ruf-waechter.at  ·  Stichwort: „AVV-PDF-Anfrage"

Verwandte Dokumente

Datenschutz­erklärung (DSGVO-Information für Endkunden und Vertragspartner)
Impressum (Diensteanbieter-Angaben gemäß §5 ECG)