AVV
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
zwischen dem jeweiligen Kunden der Global Trade Dynamics GmbH, nachfolgend „Verantwortlicher“,
und
Global Trade Dynamics GmbH
Durlacher Allee 75
76131 Karlsruhe
Deutschland
Handelsregister: HRB 108329
Registergericht: Amtsgericht Mannheim
Vertreten durch: Frank Meier
Telefon: +49 721 98899588
E-Mail: info@global-trade-dynamics.com
Umsatzsteuer-Identifikationsnummer gemäß § 27a Umsatzsteuergesetz: DE 196964661
nachfolgend „Auftragsverarbeiter“.
Präambel
Dieser Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
Der AVV gilt nur, soweit die Global Trade Dynamics GmbH im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies betrifft insbesondere Leistungen im Zusammenhang mit Webseiten, Landingpages, Kontaktformularen, Lead-Erfassung, Lead-Weiterleitung, CRM-Anbindungen, Automationen, technischem Support, KI-Beratung, KI-gestützten Systemen und vergleichbaren digitalen Prozessen.
Eine reine Beratung, Strategieentwicklung oder einmalige technische Einrichtung ohne Zugriff auf personenbezogene Daten des Verantwortlichen unterliegt diesem AVV nur, soweit tatsächlich personenbezogene Daten im Auftrag verarbeitet werden.
Im Fall von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen gehen die Regelungen dieses AVV hinsichtlich der Auftragsverarbeitung vor.
§ 1 Gegenstand und Dauer der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Verantwortlichen im Rahmen der vereinbarten Leistungen.
Gegenstand der Verarbeitung ist insbesondere die technische Erfassung, Verarbeitung, Speicherung, Strukturierung, Vorqualifizierung, Weiterleitung oder Übergabe von Kontakt-, Anfrage-, Lead-, Kommunikations- und CRM-Daten, die über vom Verantwortlichen beauftragte Webseiten, Landingpages, Formulare, Funnel, CRM-Anbindungen, Automationen, KI-gestützte Systeme oder vergleichbare digitale Prozesse erhoben oder verarbeitet werden.
Die Dauer der Verarbeitung richtet sich nach der Laufzeit des jeweiligen Vertragsverhältnisses sowie nach den dokumentierten Weisungen des Verantwortlichen.
Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten nach Weisung des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen und soweit die Daten dem Auftragsverarbeiter technisch zugänglich sind.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung der vereinbarten digitalen Dienstleistungen.
Die Verarbeitung umfasst insbesondere:
a) Einrichtung und Betrieb von Webseiten, Landingpages, Kontaktformularen, Anfrageformularen und Funnel-Systemen,
b) Erfassung von Kontakt-, Anfrage- und Lead-Daten,
c) technische Weiterleitung von Anfragen an den Verantwortlichen,
d) Übergabe von Daten an vom Verantwortlichen bestimmte E-Mail-Adressen, CRM-Systeme, Kalender, Automationssysteme oder sonstige Zielsysteme,
e) technische Betreuung, Wartung, Fehleranalyse und Support,
f) Einrichtung oder Betreuung von Automationen, soweit diese durch den Auftragsverarbeiter betrieben oder technisch verwaltet werden,
g) Dokumentation und technische Sicherstellung der Funktionsfähigkeit der vereinbarten Systeme,
h) Vorqualifizierung und strukturierte Übergabe von Leads,
i) Betrieb oder technische Betreuung von Consent-Management-Funktionen,
j) Verarbeitung im Rahmen von KI-gestützten Tools, Chatbots, Voicebots, digitalen Assistenten oder LLM-Anwendungen, soweit dies ausdrücklich vereinbart wurde.
Eine Verarbeitung durch KI-Sprachmodelle, LLM-Anwendungen, Coding-Agenten oder sonstige KI-Systeme erfolgt nur, wenn dies im Einzelfall ausdrücklich vereinbart wurde oder für die vereinbarte KI-gestützte Leistung technisch erforderlich ist.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht zu eigenen Zwecken, insbesondere nicht zu eigener Werbung, eigenem Profiling, eigenem Scoring oder zum Training eigener oder fremder KI-Modelle, sofern hierfür keine ausdrückliche dokumentierte Weisung des Verantwortlichen vorliegt.
§ 3 Kategorien personenbezogener Daten
Verarbeitet werden können insbesondere:
a) Name und Vorname,
b) E-Mail-Adresse,
c) Telefonnummer,
d) Unternehmensname,
e) Anschrift oder Einsatzort, soweit angegeben,
f) Anfrageinhalte,
g) Formularangaben,
h) Terminwünsche,
i) Kommunikationsdaten,
j) technische Metadaten wie Zeitstempel, IP-Adresse, Formularquelle, Übermittlungsstatus, Logdaten, Browserdaten und Geräteinformationen,
k) CRM-Daten und Lead-Statusdaten,
l) Webhook-Payloads und Schnittstellendaten,
m) Consent- und Einwilligungsdaten,
n) Chatverläufe, Eingaben, Prompts, Antwortentwürfe und Systemausgaben, soweit KI-gestützte Systeme vereinbart sind,
o) Audiodaten, Gesprächstranskripte, Gesprächszusammenfassungen und Kommunikationsinhalte, soweit Voicebot-, Telefonie- oder Audioverarbeitung ausdrücklich vereinbart ist,
p) Bewerber-, Beschäftigten-, Patienten-, Pflege-, Gesundheits-, Finanz-, Immobilien-, Investment-, M&A-, E-Commerce- oder sonstige branchenspezifische Daten, soweit der Verantwortliche solche Daten in beauftragte Systeme einbringt oder deren Verarbeitung ausdrücklich beauftragt,
q) sonstige personenbezogene Daten, die betroffene Personen freiwillig übermitteln oder die der Verantwortliche in die Systeme einbringt.
Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO werden nur verarbeitet, wenn der Verantwortliche solche Daten ausdrücklich bereitstellt, deren Verarbeitung beauftragt oder die Verarbeitung aufgrund des konkreten Branchen- oder Projektkontextes erforderlich ist. Dies kann insbesondere Gesundheitsdaten, Pflegedaten, Patientendaten oder vergleichbar sensible Angaben betreffen.
Der Verantwortliche ist verpflichtet, den Auftragsverarbeiter vor Beginn der Verarbeitung ausdrücklich in Textform zu informieren, wenn besondere Kategorien personenbezogener Daten, Berufsgeheimnisse, Patientendaten, Mandantendaten, Beschäftigtendaten, Bewerberdaten, Finanzdaten, Investmentdaten oder sonstige besonders schutzbedürftige Daten verarbeitet werden sollen.
§ 4 Kategorien betroffener Personen
Betroffene Personen sind insbesondere:
Kunden des Verantwortlichen,
Interessenten des Verantwortlichen,
Website-Besucher,
Nutzer von Landingpages, Formularen, Funnels, Chatbots, Voicebots oder sonstigen digitalen Prozessen,
Ansprechpartner bei Unternehmen,
Bewerber, Beschäftigte oder freie Mitarbeitende, soweit entsprechende Prozesse beauftragt sind,
Patienten, Pflegebedürftige, Angehörige oder Gesundheitsinteressenten, soweit entsprechende Branchen- oder Gesundheitsprozesse beauftragt sind,
Verkäufer, Käufer, Tippgeber, Investoren, M&A-Interessenten oder sonstige Personen in Immobilien-, Investment-, Beratungs- oder Finanzkontexten, soweit entsprechende Prozesse beauftragt sind,
sonstige Personen, die über eine Webseite, Landingpage, ein Formular, ein CRM-System, einen Kommunikationskanal oder einen digitalen Prozess Kontakt mit dem Verantwortlichen aufnehmen.
§ 5 Rechte und Pflichten des Verantwortlichen
Der Verantwortliche bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
Der Verantwortliche stellt insbesondere sicher, dass:
a) für die Erhebung und Verarbeitung der Daten eine ausreichende Rechtsgrundlage besteht,
b) die betroffenen Personen ordnungsgemäß über die Datenverarbeitung informiert werden,
c) notwendige Einwilligungen, Datenschutzhinweise, Cookie-Hinweise, Consent-Banner, KI-Hinweise oder sonstige rechtliche Texte auf der jeweiligen Webseite, Landingpage oder im jeweiligen digitalen Prozess eingebunden werden,
d) die vom Verantwortlichen vorgegebenen Empfänger, E-Mail-Adressen, CRM-Systeme, Kalender, Automationskonten, Hosting-Konten oder sonstigen Zielsysteme datenschutzkonform genutzt werden,
e) der Auftragsverarbeiter nur rechtmäßige, eindeutige und umsetzbare Weisungen erhält,
f) besondere Kategorien personenbezogener Daten nur verarbeitet werden, wenn hierfür eine ausreichende Rechtsgrundlage und geeignete Schutzmaßnahmen bestehen,
g) automatisierte Entscheidungen, Profiling, Scoring oder KI-gestützte Interaktionen nur rechtmäßig eingesetzt werden.
Soweit der Verantwortliche eigene Systeme, E-Mail-Adressen, CRM-Systeme, Automationskonten, Hosting-Konten, Kalender, Analyse-Tools oder sonstige Dienste vorgibt, ist der Verantwortliche für deren datenschutzkonforme Nutzung selbst verantwortlich.
Der Verantwortliche hat den Auftragsverarbeiter unverzüglich zu informieren, wenn eine Weisung nach seiner Einschätzung gegen Datenschutzrecht verstößt oder eine besondere Risikolage besteht.
§ 6 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere:
a) personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten,
b) die Vertraulichkeit der Daten zu wahren und alle mit der Verarbeitung betrauten Personen entsprechend zu verpflichten,
c) geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen,
d) den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten angemessen zu unterstützen,
e) den Verantwortlichen bei der Erfüllung datenschutzrechtlicher Pflichten angemessen zu unterstützen, soweit dies die Verarbeitung durch den Auftragsverarbeiter betrifft,
f) den Verantwortlichen über relevante Datenschutzverletzungen unverzüglich zu informieren,
g) personenbezogene Daten nach Beendigung des Auftrags nach Weisung des Verantwortlichen zu löschen oder zurückzugeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen,
h) keine personenbezogenen Daten für eigene Zwecke zu verwenden,
i) Kundendaten nicht zum Training, Fine-Tuning oder zur Verbesserung eigener oder fremder KI-Modelle zu verwenden, sofern keine ausdrückliche dokumentierte Weisung des Verantwortlichen vorliegt,
j) Unterauftragsverarbeiter nur nach Maßgabe dieses AVV einzusetzen.
Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.
Der Auftragsverarbeiter gewährleistet, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 7 Weisungsbindung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet ist.
Weisungen können sich aus dem Hauptvertrag, diesem AVV, dem Angebot, der Leistungsbeschreibung, dem Projektplan, einer dokumentierten E-Mail, einem Ticket, einer Freigabe oder sonstigen dokumentierten Kommunikation ergeben.
Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
Der Auftragsverarbeiter darf die Umsetzung rechtswidriger, unklarer oder technisch nicht umsetzbarer Weisungen aussetzen, bis eine rechtmäßige und eindeutige Weisung vorliegt.
§ 8 Vertraulichkeit
Der Auftragsverarbeiter behandelt alle personenbezogenen Daten und sonstigen vertraulichen Informationen des Verantwortlichen vertraulich.
Zugriff auf personenbezogene Daten erhalten nur Personen, die diesen Zugriff zur Erfüllung ihrer Aufgaben benötigen.
Die Vertraulichkeitsverpflichtung gilt auch nach Beendigung des Vertragsverhältnisses fort.
§ 9 Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um.
Die technischen und organisatorischen Maßnahmen sind in Anlage 3 beschrieben.
Die Maßnahmen werden regelmäßig überprüft und bei Bedarf dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und Zwecken der Verarbeitung sowie dem Risiko für die Rechte und Freiheiten natürlicher Personen angepasst.
Zu den Maßnahmen gehören insbesondere Zugriffskontrolle, Zugangskontrolle, Weitergabekontrolle, Eingabekontrolle, Verfügbarkeitskontrolle, Trennungsgebot, TLS-Verschlüsselung, rollenbasierte Rechtevergabe, Protokollierung, sichere Passwörter, Zwei-Faktor-Authentifizierung, Pseudonymisierung soweit zweckmäßig, Minimierung lokaler Speicherung, kundenspezifische Projekttrennung sowie getrennte Verarbeitung von Inhaltsdaten und Metadaten, soweit technisch möglich und erforderlich.
§ 10 KI-spezifische Datenschutzregelungen
Personenbezogene Daten des Verantwortlichen dürfen nicht für das Training, Fine-Tuning, Reinforcement Learning, Modellverbesserung, Produktverbesserung oder sonstige dauerhafte Optimierung eigener oder fremder KI-Modelle verwendet werden, sofern der Verantwortliche hierzu keine ausdrückliche dokumentierte Weisung erteilt hat.
Soweit technisch und vertraglich verfügbar, sind KI-API-Anbieter, LLM-Systeme oder sonstige KI-Dienste so zu konfigurieren, dass keine dauerhafte Speicherung von Kundendaten zu Trainingszwecken erfolgt.
Zero-Data-Retention oder vergleichbare datensparsame Konfigurationen sind einzusetzen, soweit sie technisch verfügbar, vertraglich vereinbart und mit der jeweiligen Leistung kompatibel sind.
Prompts, Eingaben, Dateien, Gesprächsinhalte, Audiodaten, Transkripte, Chatverläufe und KI-Ausgaben dürfen nur so lange gespeichert werden, wie dies für die vereinbarte Leistung, Fehlersuche, Nachvollziehbarkeit, Support, Sicherheit oder gesetzliche Pflichten erforderlich ist.
Eine dauerhafte Speicherung durch KI-API-Anbieter erfolgt nicht, soweit dies vertraglich ausgeschlossen, technisch verfügbar und im jeweiligen Dienst konfigurierbar ist.
Der Auftragsverarbeiter wird personenbezogene Daten nicht in frei zugängliche öffentliche KI-Dienste eingeben, wenn dadurch eine unkontrollierte Nutzung, Speicherung oder Weiterverarbeitung durch Dritte erfolgen kann.
Soweit der Verantwortliche die Nutzung bestimmter KI-Systeme, KI-Modelle, APIs oder Automationsdienste anweist oder eigene Accounts bereitstellt, ist der Verantwortliche für die Auswahl, Vertragsgrundlage, Datenschutzprüfung und Rechtmäßigkeit dieser Dienste verantwortlich.
§ 11 Löschung und Rückgabe von Daten
Nach Beendigung des Vertragsverhältnisses oder auf dokumentierte Weisung des Verantwortlichen löscht der Auftragsverarbeiter personenbezogene Daten oder gibt diese an den Verantwortlichen zurück, soweit dies technisch möglich und rechtlich zulässig ist.
Die Löschung oder Rückgabe erfolgt innerhalb von 30 Tagen nach Vertragsende oder nach entsprechender dokumentierter Weisung, soweit keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweisinteressen oder technische Einschränkungen entgegenstehen.
Daten, die sich in Systemen befinden, die der Verantwortliche selbst betreibt oder vorgibt, sind vom Verantwortlichen selbst zu löschen, zu exportieren oder zu verwalten.
Backups und Protokolldaten werden im Rahmen regulärer Sicherungs- und Löschzyklen gelöscht, soweit keine gesetzlichen oder sicherheitsbezogenen Gründe entgegenstehen.
Gesetzliche Aufbewahrungspflichten bleiben unberührt.
§ 12 Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren und Erforderlichen bei der Erfüllung von Anfragen betroffener Personen.
Dies betrifft insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und automatisierte Entscheidungen.
Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, wird der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiterleiten, sofern eine Zuordnung möglich ist.
Der Auftragsverarbeiter beantwortet Betroffenenanfragen nicht eigenständig, sofern er hierzu nicht vom Verantwortlichen angewiesen wurde oder gesetzlich verpflichtet ist.
§ 13 Unterstützung bei Datenschutzpflichten und Datenschutzverletzungen
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren und Erforderlichen bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO, soweit die Verarbeitung durch den Auftragsverarbeiter betroffen ist.
Der Auftragsverarbeiter informiert den Verantwortlichen über relevante Datenschutzverletzungen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, soweit personenbezogene Daten aus dem Auftragsverhältnis betroffen sind.
Die Meldung enthält, soweit verfügbar:
a) Art der Datenschutzverletzung,
b) betroffene Datenkategorien,
c) betroffene Personengruppen,
d) voraussichtliche Folgen,
e) bereits ergriffene oder vorgeschlagene Maßnahmen,
f) Ansprechpartner für Rückfragen.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Untersuchung, Eindämmung, Dokumentation und Behebung des Vorfalls.
§ 14 Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Unterauftragsverarbeiter einzusetzen, soweit dies zur Erbringung der vereinbarten Leistungen erforderlich ist.
Die genehmigten Unterauftragsverarbeiter sind in Anlage 4 aufgeführt.
Der Auftragsverarbeiter stellt sicher, dass mit eingesetzten Unterauftragsverarbeitern Vereinbarungen gemäß Art. 28 DSGVO bestehen, soweit diese als Auftragsverarbeiter im Sinne der DSGVO tätig werden.
Soweit der Auftragsverarbeiter die MeinAssistent Digital GmbH als Unterauftragsverarbeiter einsetzt und die MeinAssistent Digital GmbH ihrerseits weitere Unterauftragsverarbeiter zur Erbringung der vereinbarten Leistungen einsetzt, gelten die in Anlage 4 Abschnitt B aufgeführten Unterauftragsverarbeiter der MeinAssistent Digital GmbH ebenfalls als genehmigte weitere Unterauftragsverarbeiter beziehungsweise Unter-Unterauftragsverarbeiter im Rahmen dieses AVV, soweit deren Einsatz für die vereinbarte Leistung erforderlich ist.
Die in Anlage 4 Abschnitt B aufgeführten Anbieter werden ausschließlich dann eingebunden, wenn der Verantwortliche Leistungen der MeinAssistent Digital GmbH über GTD bezieht oder wenn eine entsprechende Voice-AI-, Chatbot-, Telefonie-, KI-Kommunikations- oder MeinAssistent-Komponente ausdrücklich vereinbart wurde.
Bei reinen Webdesign-, Beratungs-, Strategie-, KI-Trainings-, Landingpage-, Funnel- oder technischen Einrichtungsleistungen ohne MeinAssistent-Voice-AI-Komponente gelten die in Anlage 4 Abschnitt B aufgeführten Anbieter nicht als eingesetzte Unterauftragsverarbeiter für den jeweiligen Auftrag.
Änderungen oder Ergänzungen der Unterauftragsverarbeiter werden dem Verantwortlichen rechtzeitig in Textform mitgeteilt oder über eine aktualisierte Fassung dieses AVV bereitgestellt.
Der Verantwortliche kann gegen neue Unterauftragsverarbeiter aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen nach Mitteilung widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt der Einsatz als genehmigt.
Vom Verantwortlichen selbst vorgegebene Systeme, insbesondere eigene E-Mail-Postfächer, CRM-Systeme, Automationskonten, Hosting-Konten, Kalender, Analytics-Systeme oder sonstige Dienste, gelten nicht als Unterauftragsverarbeiter des Auftragsverarbeiters, soweit der Auftragsverarbeiter sie nicht selbst betreibt oder im eigenen Namen beauftragt.
§ 15 Datenübermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in Drittländer erfolgt durch den Auftragsverarbeiter nur, soweit dies zur Leistungserbringung erforderlich ist oder durch den Verantwortlichen veranlasst wird und die Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden.
Geeignete Garantien können insbesondere sein:
a) Angemessenheitsbeschlüsse der Europäischen Kommission,
b) EU-Standardvertragsklauseln,
c) Binding Corporate Rules,
d) anerkannte Datenschutzrahmen wie das EU-U.S. Data Privacy Framework,
e) sonstige nach der DSGVO zulässige Garantien.
Nach aktueller Standardkonfiguration erfolgt die Erfassung und technische Verarbeitung von Lead-Daten über europäische beziehungsweise in der EU betriebene Systeme.
Eine Weiterleitung an vom Verantwortlichen benannte Empfänger oder Systeme erfolgt nach dessen Weisung.
Soweit der Verantwortliche selbst Systeme mit Drittlandbezug vorgibt, trägt der Verantwortliche die Verantwortung für die Rechtmäßigkeit der Drittlandübermittlung, sofern GTD diese Systeme nicht im eigenen Namen beauftragt.
§ 16 Kontrollrechte und Audits
Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV im angemessenen Umfang zu überprüfen oder durch einen zur Verschwiegenheit verpflichteten Dritten überprüfen zu lassen.
Die Prüfung ist vorher in Textform anzukündigen und so durchzuführen, dass der Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigt wird.
Regelmäßige Vor-Ort-Prüfungen sind grundsätzlich einmal jährlich zulässig, sofern kein konkreter Anlass für eine zusätzliche Prüfung besteht.
Der Auftragsverarbeiter kann geeignete Nachweise, Dokumentationen, Zertifizierungen, Sicherheitskonzepte oder Bestätigungen eingesetzter Dienstleister bereitstellen, soweit dies zur Erfüllung der Kontrollrechte angemessen und erforderlich ist.
Kosten, die durch eine Prüfung entstehen, trägt jede Partei selbst, sofern nicht die Prüfung einen wesentlichen Verstoß des Auftragsverarbeiters gegen diesen AVV ergibt.
§ 17 Schlussbestimmungen
Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Es gilt deutsches Recht.
Soweit dieser AVV keine abweichenden Regelungen enthält, gelten die Hauptvereinbarung und die AGB ergänzend.
Anlage 1 – Gegenstand, Zweck und Art der Verarbeitung
Gegenstand der Verarbeitung ist die Erbringung digitaler Dienstleistungen durch die Global Trade Dynamics GmbH für den Verantwortlichen, insbesondere im Zusammenhang mit Webseiten, Landingpages, Formularen, Funnel-Systemen, Lead-Erfassung, Lead-Weiterleitung, CRM-Anbindungen, Automationen, technischem Support, KI-gestützten Leistungen und vergleichbaren digitalen Prozessen.
Zweck der Verarbeitung ist:
a) Aufbau und Betrieb digitaler Vertriebs- und Anfrageprozesse,
b) Erfassung und Weiterleitung von Leads,
c) technische Bereitstellung von Webseiten, Landingpages und Formularsystemen,
d) Vorqualifizierung von Anfragen,
e) Anbindung an E-Mail-, CRM-, Kalender- und Automationssysteme,
f) technische Wartung, Fehleranalyse und Support,
g) Umsetzung von KI-gestützten Prozessen, soweit vereinbart,
h) Gewährleistung von Sicherheit, Verfügbarkeit und Funktionsfähigkeit der beauftragten Systeme.
Art der Verarbeitung ist insbesondere:
a) Erheben,
b) Erfassen,
c) Speichern,
d) Strukturieren,
e) Übermitteln,
f) Auslesen,
g) Abgleichen,
h) Weiterleiten,
i) Löschen,
j) Einschränken,
k) Pseudonymisieren, soweit zweckmäßig,
l) Protokollieren,
m) technische Analyse,
n) KI-gestützte Verarbeitung, soweit vereinbart.
Anlage 2 – Kategorien personenbezogener Daten und betroffener Personen
1. Kategorien personenbezogener Daten
Verarbeitet werden können insbesondere:
Name und Vorname,
E-Mail-Adresse,
Telefonnummer,
Unternehmensname,
Anschrift oder Einsatzort, soweit angegeben,
Anfrageinhalte,
Formularangaben,
Terminwünsche,
Kommunikationsdaten,
technische Metadaten wie Zeitstempel, IP-Adresse, Formularquelle oder Übermittlungsstatus,
CRM-Daten, Lead-Statusdaten und Übergabedaten,
Webhook-Payloads und Schnittstellendaten,
Consent- und Einwilligungsdaten,
Chatverläufe, Prompts, Eingaben und KI-Ausgaben, soweit vereinbart,
Audiodaten, Gesprächstranskripte und Gesprächszusammenfassungen, soweit vereinbart,
besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, insbesondere Gesundheits- oder Pflegedaten, soweit der Verantwortliche deren Verarbeitung ausdrücklich beauftragt oder solche Daten in die Systeme einbringt,
sonstige personenbezogene Daten, die der Interessent freiwillig übermittelt.
2. Kategorien betroffener Personen
Betroffene Personen sind insbesondere:
Kunden des Verantwortlichen,
Interessenten des Verantwortlichen,
Website-Besucher,
Ansprechpartner bei Unternehmen,
Nutzer von Formularen, Landingpages, Funnel-Systemen, Chatbots, Voicebots oder digitalen Assistenten,
Bewerber und Beschäftigte, soweit entsprechende Prozesse beauftragt sind,
Patienten, Pflegebedürftige, Angehörige oder Gesundheitsinteressenten, soweit entsprechende Prozesse beauftragt sind,
Käufer, Verkäufer, Tippgeber, Investoren, Geschäftspartner oder sonstige branchenspezifische Kontakte, soweit entsprechende Prozesse beauftragt sind,
sonstige Personen, die über eine Webseite, Landingpage, ein Formular oder einen digitalen Prozess Kontakt mit dem Verantwortlichen aufnehmen.
Anlage 3 – Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um. Diese umfassen insbesondere folgende Maßnahmen:
1. Zutrittskontrolle
Büroräume sind gegen unbefugten Zutritt geschützt.
Besucher erhalten nur begleiteten Zugang zu Arbeitsbereichen.
Es werden keine eigenen physischen Serverräume durch den Auftragsverarbeiter betrieben.
2. Zugangskontrolle
Zugriff auf Systeme erfolgt nur durch autorisierte Personen.
Zugänge werden personenbezogen vergeben.
Starke Passwörter und Passwortmanager werden eingesetzt.
Zwei-Faktor-Authentifizierung wird eingesetzt, soweit technisch verfügbar und für produktive Systeme erforderlich.
3. Zugriffskontrolle
Zugriff auf personenbezogene Daten erfolgt nur nach dem Need-to-know-Prinzip.
Berechtigungen werden auf das notwendige Maß beschränkt.
Administratorrechte werden restriktiv vergeben.
Rollen- und Rechtekonzepte werden projektbezogen eingesetzt, soweit die jeweiligen Systeme dies unterstützen.
Zugangsdaten und API-Schlüssel werden nicht offen oder unverschlüsselt per E-Mail weitergegeben.
4. Weitergabekontrolle
Datenübertragungen erfolgen grundsätzlich verschlüsselt, insbesondere über HTTPS/TLS.
Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur auf Weisung des Verantwortlichen oder im Rahmen genehmigter Unterauftragsverhältnisse.
Lead-Daten werden nur an die vom Verantwortlichen bestimmten Empfänger oder Systeme weitergeleitet.
Schnittstellen und Webhook-Payloads werden so konfiguriert, dass nur die für den jeweiligen Zweck erforderlichen Daten übertragen werden, soweit technisch möglich.
5. Eingabekontrolle und Nachvollziehbarkeit
Änderungen an Formularen, Weiterleitungen, Automationen oder technischen Einstellungen werden projektbezogen dokumentiert.
Soweit Systeme entsprechende Funktionen bereitstellen, werden technische Ereignisse oder Änderungen über Protokolle nachvollziehbar gemacht.
Zugriffe und Änderungen werden im Rahmen der verfügbaren Systemfunktionen nachvollziehbar gehalten.
6. Verfügbarkeitskontrolle
Die Verfügbarkeit der eingesetzten Systeme wird primär durch die jeweiligen Plattform- und Hosting-Dienstleister gewährleistet.
Konfigurationen und technische Einstellungen werden so dokumentiert, dass eine Wiederherstellung oder Neueinrichtung möglich ist.
Störungen werden nach Kenntnisnahme geprüft und im Rahmen der vertraglich vereinbarten Leistungen bearbeitet.
Sicherheitsfunktionen wie SSL, DDoS-Schutz, Monitoring oder Backups werden eingesetzt, soweit diese Bestandteil der jeweiligen Plattform- oder Hosting-Leistungen sind.
7. Trennungsgebot
Kundendaten werden organisatorisch und technisch getrennt verarbeitet.
Projekte, Webseiten, Formulare oder Workspaces werden kundenspezifisch eingerichtet.
Eine Vermischung von Daten verschiedener Kunden wird durch organisatorische und technische Maßnahmen vermieden.
Inhaltsdaten und Metadaten werden, soweit technisch möglich und zweckmäßig, getrennt verarbeitet oder getrennt ausgewertet.
8. Speicher- und Datenträgerkontrolle
Arbeitsgeräte sind passwortgeschützt.
Lokale Speicherung personenbezogener Kundendaten wird auf das notwendige Minimum beschränkt.
Mobile Datenträger werden nicht zur dauerhaften Speicherung personenbezogener Kundendaten genutzt.
Datenexporte werden nur erstellt, soweit dies für Support, Migration, Dokumentation oder Weisungen des Verantwortlichen erforderlich ist.
9. Datenschutzfreundliche Voreinstellungen
Es werden nur solche personenbezogenen Daten verarbeitet, die für den jeweiligen Zweck erforderlich sind.
Formularfelder werden auf das notwendige Maß beschränkt, soweit der Verantwortliche keine abweichenden Anforderungen stellt.
Weiterleitungen erfolgen nur an vom Verantwortlichen benannte Empfänger oder Systeme.
Tracking-Skripte und vergleichbare Technologien werden, soweit beauftragt und technisch möglich, über Consent-Management-Funktionen gesteuert.
10. Vertraulichkeit
Alle mit der Verarbeitung betrauten Personen werden zur Vertraulichkeit verpflichtet.
Eine Sensibilisierung für Datenschutz und IT-Sicherheit erfolgt anlassbezogen, insbesondere bei neuen Projekten oder neuen Mitarbeitenden.
11. Auftragskontrolle
Unterauftragsverarbeiter werden nur eingesetzt, soweit sie zur Leistungserbringung erforderlich sind.
Mit Unterauftragsverarbeitern bestehen, soweit erforderlich, Vereinbarungen gemäß Art. 28 DSGVO.
Änderungen bei Unterauftragsverarbeitern werden nach Maßgabe dieses AVV kommuniziert.
12. Umgang mit Datenschutzvorfällen
Es besteht ein internes Verfahren zur Erkennung, Bewertung und Behandlung von Datenschutz- oder Sicherheitsvorfällen.
Der Verantwortliche wird über relevante Datenschutzverletzungen unverzüglich informiert, soweit personenbezogene Daten aus dem Auftragsverhältnis betroffen sind.
13. KI-spezifische TOMs
Kundendaten werden nicht zum Training, Fine-Tuning oder zur Verbesserung eigener oder fremder KI-Modelle verwendet, sofern keine ausdrückliche dokumentierte Weisung des Verantwortlichen vorliegt.
Zero-Data-Retention oder vergleichbare datensparsame Einstellungen werden eingesetzt, soweit technisch und vertraglich verfügbar.
Prompts, Chatverläufe, Transkripte, Audiodaten und KI-Ausgaben werden nur verarbeitet, soweit dies für die vereinbarte Leistung erforderlich ist.
Öffentliche KI-Dienste ohne kontrollierbare Vertraulichkeits- und Datenschutzbedingungen werden nicht für personenbezogene Kundendaten eingesetzt.
KI-bezogene Zugriffe erfolgen nur durch berechtigte Personen und im Rahmen des jeweiligen Projekts.
Anlage 4 – Unterauftragsverarbeiter
Stand der letzten Prüfung: 6. Mai 2026
Der Verantwortliche stimmt der Beauftragung der nachfolgend aufgeführten Unterauftragsverarbeiter zu, soweit deren Einsatz zur Erbringung der vereinbarten Leistungen erforderlich ist.
Die Anlage unterscheidet zwischen direkten Unterauftragsverarbeitern der Global Trade Dynamics GmbH und weiteren Unterauftragsverarbeitern, die ausschließlich über die MeinAssistent Digital GmbH eingebunden werden, wenn der Verantwortliche entsprechende MeinAssistent-, Voice-AI-, Telefonie-, Chatbot- oder KI-Kommunikationsleistungen über GTD beauftragt.
Einzelne Anbieter können sowohl als direkte Unterauftragsverarbeiter der Global Trade Dynamics GmbH als auch mittelbar über die MeinAssistent Digital GmbH eingebunden sein. Maßgeblich ist jeweils der konkret beauftragte Leistungsumfang. Eine Verarbeitung über die in Abschnitt B genannten Anbieter erfolgt nur, wenn der Verantwortliche entsprechende MeinAssistent-, Voice-AI-, Telefonie-, Chatbot- oder KI-Kommunikationsleistungen über GTD beauftragt.
Abschnitt A – Direkte Unterauftragsverarbeiter der Global Trade Dynamics GmbH
Onepage GmbH
Sitz: Frankfurt am Main, Deutschland
Leistung:
Bereitstellung, Hosting und Betrieb von Webseiten, Landingpages, Formularen, Funnel-Seiten und damit verbundenen Funktionen zur Erfassung und technischen Verarbeitung von Anfragen und Lead-Daten.
Datenarten:
Kontaktdaten, Formulardaten, Anfrageinhalte, technische Metadaten.
Datentransfer:
Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union beziehungsweise nach Maßgabe der von Onepage bereitgestellten Datenschutz- und Auftragsverarbeitungsbedingungen. Soweit eine Übermittlung in Drittländer erfolgt, erfolgt diese nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.
IONOS SE
Sitz: Montabaur, Rheinland-Pfalz, Deutschland
Leistung:
Domainverwaltung, DNS-Hosting, technische Bereitstellung von Web-, Domain-, Speicher-, Sicherheits- oder Infrastrukturleistungen, soweit IONOS im Rahmen der Dienstleistungen durch GTD eingebunden wird.
Datenarten:
technische Metadaten, IP-Adressen, Logdaten, Domain- und DNS-Daten, gegebenenfalls Formular- oder Lead-Daten, soweit diese im jeweiligen Projekt über IONOS-Infrastruktur verarbeitet werden.
Datentransfer:
Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit eine Übermittlung in Drittländer erfolgt, erfolgt diese nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.
Google Ireland Limited
Sitz: Dublin, Irland
Leistung:
Bereitstellung von E-Mail-, Kommunikations-, Kollaborations-, Kalender-, Dokumenten- und Cloud-Speicherfunktionen, soweit Google-Dienste durch GTD im eigenen Namen im Rahmen der Leistungserbringung eingesetzt werden.
Datenarten:
Kontaktdaten, Kommunikationsdaten, Anfrageinhalte, Projektinformationen, Termin- und Kalenderdaten, Dokumenteninhalte, technische Metadaten.
Datentransfer:
Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln.
n8n GmbH
Sitz: Berlin, Deutschland
Leistung:
API-Management, Workflow-Orchestrierung, Automatisierung von Schnittstellen, technische Verbindung von Formularen, Webseiten, CRM-Systemen, Kalendern, E-Mail-Systemen oder sonstigen digitalen Anwendungen, soweit n8n durch GTD im eigenen Namen betrieben oder verwaltet wird.
Datenarten:
Kontaktdaten, Formulardaten, Anfrageinhalte, technische Metadaten, Übermittlungsstatus, Webhook-Payloads und Schnittstellendaten.
Datentransfer:
Die Verarbeitung erfolgt innerhalb der Europäischen Union oder eines sicheren Drittlandes gemäß Art. 45 DSGVO. Soweit eine Drittlandübermittlung erfolgt, werden geeignete Garantien gemäß Art. 44 ff. DSGVO eingesetzt.
Make S.R.O.
Sitz: Prag, Tschechische Republik
Konzernzugehörigkeit: Celonis-Gruppe
Leistung:
Bereitstellung von Plattformen zur Prozessautomatisierung und Datenintegration, technische Verbindung von Formularen, Webseiten, CRM-Systemen, Kalendern, E-Mail-Systemen oder sonstigen digitalen Anwendungen, soweit Make durch GTD im eigenen Namen betrieben oder verwaltet wird.
Datenarten:
Kontaktdaten, Formulardaten, Anfrageinhalte, technische Metadaten, Übermittlungsstatus, Webhook-Payloads und Schnittstellendaten.
Datentransfer:
Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit Daten an Konzernunternehmen oder Dienstleister außerhalb der Europäischen Union übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln.
Zapier Inc.
Sitz: San Francisco, Kalifornien, USA
Leistung:
Automatisierte Datenübertragung zwischen webbasierten Anwendungen, technische Verbindung von Formularen, Webseiten, CRM-Systemen, Kalendern, E-Mail-Systemen oder sonstigen digitalen Anwendungen, soweit Zapier durch GTD im eigenen Namen betrieben oder verwaltet wird.
Datenarten:
Kontaktdaten, Formulardaten, Anfrageinhalte, technische Metadaten, Übermittlungsstatus, Webhook-Payloads und Schnittstellendaten.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln.
Hinweis zu vom Verantwortlichen vorgegebenen Systemen
Vom Verantwortlichen selbst vorgegebene E-Mail-Adressen, CRM-Systeme, Automationskonten, Hosting-Konten, Kalender, Analytics-Systeme, Zahlungsdienste oder sonstige Zielsysteme gelten nicht als Unterauftragsverarbeiter von GTD, soweit GTD diese Systeme nicht im eigenen Namen beauftragt oder betreibt.
Diese Systeme werden vom Verantwortlichen ausgewählt. Der Verantwortliche bleibt für deren Rechtmäßigkeit, Vertragsgrundlage, Datenschutzprüfung, Drittlandübermittlung und Sicherheit verantwortlich.
Abschnitt B – Weitere Unterauftragsverarbeiter über MeinAssistent Digital GmbH
Die folgenden Anbieter werden ausschließlich dann eingebunden, wenn der Verantwortliche Leistungen der MeinAssistent Digital GmbH über GTD bezieht oder wenn eine Voice-AI-, Telefonie-, Chatbot-, KI-Kommunikations-, Terminbuchungs-, Gesprächstranskriptions- oder MeinAssistent-Komponente ausdrücklich vereinbart wurde.
Bei reinen Webdesign-, Beratungs-, Strategie-, KI-Trainings-, Landingpage-, Funnel- oder technischen Einrichtungsleistungen ohne MeinAssistent-Voice-AI-Komponente gelten die nachfolgenden Anbieter nicht als eingesetzte Unterauftragsverarbeiter für den jeweiligen Auftrag.
MeinAssistent Digital GmbH
Durlacher Allee 75
76131 Karlsruhe
Deutschland
Handelsregister: Amtsgericht Mannheim, HRB 707561
Geschäftsführer: Frank Meier
E-Mail: info@meinassistent.ai
Telefon: +49 721 95279593
Website: www.meinassistent.ai
Leistung:
Erbringung von Leistungen im Bereich KI-gestützter Telefonie, Voice-AI, Chatbot-Funktionen, automatisierter Kundenkommunikation, Terminbuchung, Transkription, Gesprächszusammenfassung, CRM-, Kalender-, API-, Webhook- und Integrationsleistungen, soweit diese Leistungen im Rahmen des jeweiligen Projekts durch Global Trade Dynamics GmbH beauftragt oder eingebunden werden.
Datenarten:
Audiodaten, Sprachdaten, Gesprächsinhalte, Transkripte, Gesprächszusammenfassungen, Kommunikationsdaten, Telefonnummern, E-Mail-Adressen, Namen, Unternehmenszugehörigkeit, Funktionsbezeichnungen, Kontaktdaten, Termindaten, Kalenderdaten, CRM-Daten, ERP-Daten, Helpdesk-Daten, Nachrichteninhalte aus E-Mail oder SMS, Metadaten wie Zeitpunkt, Dauer, Rufnummer, Verbindungsdaten und technische Kennungen, IP-Adressen, Browser- und Geräteinformationen, Log-Daten, Cookies und lokale Speicherinformationen, Formulardaten, Chatverläufe, Bewertungsdaten, Aufgabeninformationen, technische Integrationsdaten, API- und Webhook-Daten sowie sonstige personenbezogene Daten, die im Gespräch, Chat, Formular oder integrierten Kundensystem genannt oder übermittelt werden.
Datentransfer:
Die Verarbeitung erfolgt nach Maßgabe des zwischen Global Trade Dynamics GmbH und MeinAssistent Digital GmbH bestehenden Auftragsverarbeitungsverhältnisses. Soweit Unterauftragsverarbeiter der MeinAssistent Digital GmbH mit Drittlandbezug eingesetzt werden, erfolgt eine Übermittlung nur nach Maßgabe geeigneter Garantien gemäß Art. 44 ff. DSGVO.
Amazon Web Services EMEA SARL (AWS Europe)
Sitz: Luxemburg
Leistung:
Bereitstellung von Cloud-Infrastruktur einschließlich Hosting, Server-, Speicher- und Netzwerkinfrastruktur für den Betrieb der Voice-AI-Plattform sowie die Verarbeitung und Speicherung von Gesprächsdaten.
Datentransfer:
Die Verarbeitung erfolgt innerhalb der Europäischen Union. Eine Übermittlung in Drittländer findet grundsätzlich nicht statt, sofern keine zusätzlichen Garantien gemäß DSGVO vereinbart wurden.
Aufbewahrung und Löschung:
Gesprächsdaten und Transkripte werden, soweit keine abweichende Weisung besteht, automatisiert nach spätestens 7 Kalendertagen gelöscht.
Anthropic Limited
Sitz: London, Vereinigtes Königreich
Mutterkonzern: Anthropic, PBC, USA
Leistung:
Bereitstellung generativer KI-Modelle zur Verarbeitung und Analyse von Texteingaben sowie zur dialogbasierten Interaktion.
Datentransfer:
Soweit eine Übermittlung an die US-Muttergesellschaft erfolgt, basiert diese auf geeigneten Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln. Das Vereinigte Königreich gilt als Drittland mit angemessenem Datenschutzniveau.
Bland AI Inc.
Sitz: San Francisco, Kalifornien, USA
Leistung:
Bereitstellung technischer Infrastruktur für automatisierte Telefonieprozesse.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht.
Cartesia AI, Inc.
Sitz: San Francisco, Kalifornien, USA
Leistung:
Technische Generierung von Audiodaten mit niedriger Latenz.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht.
Make S.R.O.
Sitz: Prag, Tschechische Republik
Konzernzugehörigkeit: Celonis-Gruppe
Leistung:
Bereitstellung von Plattformen zur Prozessautomatisierung und Datenintegration.
Datentransfer:
Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit Daten an Konzernunternehmen oder Dienstleister außerhalb der Europäischen Union übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln.
Deepgram Inc.
Sitz: San Francisco, Kalifornien, USA
Leistung:
Verarbeitung von Audiosignalen und Umwandlung in Textformate (Speech-to-Text).
Datentransfer:
Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht.
ElevenLabs Inc.
Sitz: New York, New York, USA
Leistung:
Generierung synthetischer Audiodaten aus Text (Text-to-Speech).
Datentransfer:
Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht.
Google Ireland Limited
Sitz: Dublin, Irland
Leistung:
Bereitstellung von Kommunikations- und Kollaborationsdiensten sowie Cloud-Speicher.
Datentransfer:
Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln.
Groq Inc.
Sitz: Mountain View, Kalifornien, USA
Leistung:
Bereitstellung technischer Inferenz-Infrastruktur.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht.
Microsoft Ireland Operations Ltd.
Sitz: Dublin, Irland
Leistung:
Bereitstellung von Cloud-Hosting-Diensten und kognitiven technischen Services.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln.
Mistral AI SAS
Sitz: Paris, Frankreich
Leistung:
Bereitstellung großer Sprachmodelle zur textbasierten Informationsverarbeitung.
Datentransfer:
Die Verarbeitung erfolgt innerhalb der Europäischen Union.
n8n GmbH
Sitz: Berlin, Deutschland
Leistung:
API-Management und Workflow-Orchestrierung.
Datentransfer:
Die Verarbeitung erfolgt innerhalb der Europäischen Union oder eines sicheren Drittlandes gemäß Art. 45 DSGVO. Soweit eine Drittlandübermittlung erfolgt, werden geeignete Garantien gemäß Art. 44 ff. DSGVO eingesetzt.
OpenAI OpCo, LLC
Sitz: San Francisco, Kalifornien, USA
Leistung:
Verarbeitung von Texteingaben durch generative KI-Modelle.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln.
Retell AI Inc.
Sitz: San Francisco, Kalifornien, USA
Leistung:
Koordination von Conversational-Voice-Schnittstellen und Audio-Streaming.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht.
AgentFlow AI GmbH
Sitz: Berlin, Deutschland
Produkt: Synthflow
Leistung:
Automatisierung von Sprachkommunikation.
Datentransfer:
Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit eine Übermittlung in Drittländer erfolgt, erfolgt diese nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.
Telnyx LLC
Sitz: Chicago, Illinois, USA
Leistung:
Bereitstellung von Netzwerkinfrastruktur für IP-basierte Kommunikation.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht.
Twilio Inc.
Sitz: San Francisco, Kalifornien, USA
Leistung:
Programmierschnittstellen für Kommunikationsdienste.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks, genehmigter Binding Corporate Rules sowie ergänzend auf Grundlage von EU-Standardvertragsklauseln, soweit jeweils anwendbar.
Vapi Inc.
Sitz: San Francisco, Kalifornien, USA
Leistung:
Koordination und Steuerung von Audio-Streaming-Prozessen.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln, soweit kein anderer geeigneter Übermittlungsmechanismus besteht.
Zapier Inc.
Sitz: San Francisco, Kalifornien, USA
Leistung:
Automatisierte Datenübertragung zwischen webbasierten Anwendungen.
Datentransfer:
Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln.
Calendly LLC
Sitz: Atlanta, Georgia, USA
Leistung:
Bereitstellung von Online-Terminvereinbarungsfunktionen und Verarbeitung von Terminbuchungen, Kalenderdaten, Kontaktdaten und Kommunikationsdaten, soweit Calendly im Rahmen der Dienstleistungen eingebunden wird.
Datentransfer:
Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-U.S. Data Privacy Frameworks oder ergänzend auf Grundlage von EU-Standardvertragsklauseln.
IONOS SE
Sitz: Montabaur, Rheinland-Pfalz, Deutschland
Leistung:
Domainverwaltung, DNS-Hosting, technische Bereitstellung von Web-, Domain- oder Infrastrukturleistungen, soweit IONOS im Rahmen der Dienstleistungen eingebunden wird.
Datentransfer:
Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit eine Übermittlung in Drittländer erfolgt, erfolgt diese nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.
Onepage GmbH
Sitz: Frankfurt am Main, Deutschland
Leistung:
Bereitstellung von Webseiten-, Landingpage-, Formular-, Quiz-, Hosting- und Webseitenerstellungsfunktionen, insbesondere für die Webseite, Testanruf-Formulare, Kontaktformulare und Angebots- oder Einrichtungsprozesse.
Datentransfer:
Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. Soweit eine Übermittlung in Drittländer erfolgt, erfolgt diese nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.
Stand: 6. Mai 2026
