Zum Inhalt springen

Auftragsverarbeitungsvertrag (AVV)

Vertragsfassung · Stand: 13. Juli 2026 · gemäß Art. 28 DSGVO

Dieser AVV wird gemäß § 7 der AGB mit Vertragsschluss Bestandteil des Hauptvertrags.

§ 1 Gegenstand und Dauer

(1) Dieser AVV regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden (Verantwortlicher) durch n3tz (Auftragsverarbeiter) im Rahmen der SaaS-Dienste „Empfang“ und „Zentrale“.

(2) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrags (AGB).

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Dienste:

  • Empfang (KI-Chat): Verarbeitung von Chat-Nachrichten, Kontaktdaten und Gesprächsverläufen der Website-Besucher des Kunden zum Zweck der Lead-Qualifizierung, Terminbuchung und Angebotserstellung. Die KI-Textinferenz und Datenresidenz sind über die Gemini-Modelle auf Google Vertex AI für die EU-Region konfiguriert; vertragliche Unterstützungs-, Sicherheits- und Unterauftragnehmerzugriffe richten sich nach dem Google-DPA und den dort vereinbarten Transfermechanismen (vgl. § 8).
  • Empfang (KI-Telefon): Verarbeitung von Telefongesprächen (KI-gestützte Echtzeit-Sprachverarbeitung, Gesprächsführung, Terminbuchung) der Anrufer des Kunden. Das Live-Gespräch wird durch das Sprachmodell Gemini Live von Google in Echtzeit in den USA verarbeitet (vgl. § 8). n3tz fertigt keine eigene Audioaufnahme an und speichert kein Audio in seinen Systemen. Die Produktionskonfiguration fordert keine Session-Wiederaufnahme an und damit auch nicht die damit verbundene Speicherung des Gesprächszustands für bis zu 24 Stunden. Unabhängig davon kann Google eingereichte oder daraus abgeleitete Inhalte für die verpflichtende Missbrauchserkennung bis zu 55 Tage vorhalten; die Anbieterunterlagen schließen Roh-Audio des Live-Telefonats hiervon nicht ausdrücklich aus.
  • Zentrale: Speicherung und Darstellung der aus Empfang gewonnenen Daten zur Verwaltung, Analyse und Benachrichtigung. Die KI-Textinferenz und Datenresidenz für Gesprächszusammenfassungen, Lead-Extraktion und Website-Analyse sind über die Gemini-Modelle auf Google Vertex AI für die EU-Region konfiguriert; die in § 8 beschriebenen vertraglichen Transfermechanismen bleiben unberührt.
  • Empfang (E-Mail-Assistent): Verarbeitung eingehender Kunden-E-Mails, die der Kunde per Weiterleitung an eine n3tz-Eingangsadresse überträgt. Die E-Mails werden gespeichert, durch die KI vorsortiert (Kategorisierung, Dringlichkeit, Spam-Erkennung) und es wird ein Antwort-Entwurf im Namen des Kunden erstellt. Es findet kein automatischer Versand statt: Der Kunde prüft, bearbeitet und gibt jede Antwort manuell frei (Human-in-the-Loop); der Versand erfolgt erst nach ausdrücklicher Bestätigung durch den Kunden über den bestehenden E-Mail-Versandweg (vgl. § 6). Die KI-Textinferenz und Datenresidenz für Triage und Entwurf sind über die Gemini-Modelle auf Google Vertex AI für die EU-Region konfiguriert; die in § 8 beschriebenen vertraglichen Transfermechanismen bleiben unberührt.

Die Verarbeitung mit Google-Gemini-Diensten ist auf an volljährige Personen gerichtete administrative Kommunikation, Empfangs- und Terminprozesse beschränkt. Mandanten, die an Minderjährige unter 18 Jahren gerichtet sind oder voraussichtlich von ihnen genutzt werden, sowie eine Nutzung in der klinischen Praxis, für medizinische Beratung, Diagnose oder Behandlung werden erst eingerichtet, wenn n3tz schriftlich eine tragfähige Anbieterfreigabe oder einen geeigneten alternativen Verarbeiter bestätigt hat.

§ 3 Art der personenbezogenen Daten

  • Kontaktdaten der Website-Besucher und Anrufer (Name, E-Mail, Telefonnummer – soweit angegeben)
  • Nachrichteninhalte (Chat-Verläufe, Gesprächstranskripte)
  • Audio- und Sprachdaten des KI-Live-Telefonats während der Echtzeitverarbeitung sowie im Umfang der in § 2 und § 8 offengelegten begrenzten Anbieteraufbewahrung
  • E-Mail-Inhalte und Betreffzeilen eingehender Kunden-E-Mails sowie der vom Kunden freigegebenen Antworten (E-Mail-Assistent)
  • Absenderadressen (E-Mail) sowie ggf. im E-Mail-Text genannte Kontaktdaten der Absender (Name, Telefonnummer – soweit angegeben)
  • Metadaten (Zeitstempel, Seite, Sprache, Gerätetyp, Anrufernummer)
  • Terminbuchungsdaten (sofern Terminbuchungsfunktion genutzt wird)

§ 4 Kategorien betroffener Personen

  • Website-Besucher und Interessenten des Kunden
  • Telefonische Anrufer und Interessenten des Kunden
  • Kommunikationspartner des Kunden, die dem Kunden E-Mails senden (E-Mail-Assistent)
  • Mitarbeiter des Kunden (als Nutzer von Zentrale)

§ 5 Pflichten des Auftragsverarbeiters

n3tz verpflichtet sich:

  • Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
  • Sicherzustellen, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind
  • Geeignete technische und organisatorische Maßnahmen gem. Art. 32 DSGVO umzusetzen (vgl. § 7)
  • Unterauftragnehmer nur mit vorheriger Genehmigung einzusetzen (vgl. § 6)
  • Den Kunden bei der Erfüllung von Betroffenenrechten zu unterstützen
  • Den Kunden unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 DSGVO)
  • Den Kunden unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen bei den Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen, einschließlich einer gegebenenfalls erforderlichen Datenschutz-Folgenabschätzung
  • Den Kunden unverzüglich zu informieren, wenn eine Weisung nach Auffassung von n3tz gegen die DSGVO oder andere Datenschutzvorschriften verstößt
  • Nach Beendigung des Auftrags alle Daten zu löschen oder zurückzugeben (Wahlrecht des Kunden), sofern keine gesetzliche Aufbewahrungspflicht besteht
  • Gesprächstranskripte (KI-Telefon) automatisch nach 90 Tagen zu löschen; n3tz fertigt und speichert keine eigene Audioaufnahme, wobei die begrenzte Anbieteraufbewahrung nach § 2, § 6 und § 8 unberührt bleibt
  • Persistierte Chat-Nachrichten und Chat-Gesprächsinhalte automatisch nach 90 Tagen zu löschen
  • E-Mails des E-Mail-Assistenten (Inhalte eingehender E-Mails und freigegebener Antworten) automatisch nach 90 Tagen zu löschen
  • bei Anrufernummern transparent abzubilden, dass die vom Telefonieanbieter übermittelte Nummer – sofern nicht unterdrückt – im derzeitigen technischen Stand vollständig im Anrufdatensatz verarbeitet und gespeichert werden kann und keine automatische Kürzung oder Pseudonymisierung auf die letzten vier Ziffern erfolgt; die Verarbeitung ist auf die dokumentierten Zwecke des Kunden (insbesondere gewünschte Interaktion, Zuordnung wiederkehrender Anrufer, Terminbuchung oder gewünschte Rückrufbearbeitung) zu begrenzen, wobei die Nummer bei Anlage solcher Vorgänge auch in zugehörigen Termin-, Lead- oder Rückrufdaten enthalten sein kann
  • Dem Kunden Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Audits zu ermöglichen

§ 6 Unterauftragnehmer

(1) Der Kunde erteilt n3tz eine allgemeine Genehmigung zum Einsatz von Unterauftragnehmern. n3tz informiert den Kunden über Änderungen mindestens 14 Tage im Voraus per E-Mail. Der Kunde kann innerhalb von 14 Tagen Einspruch erheben.

(2) Aktuelle Unterauftragnehmer:

Unternehmen Zweck Standort
Hetzner Online GmbH Server-Hosting und Anwendungsdatenspeicherung der SaaS- und Backend-Dienste Empfang und Zentrale Deutschland (Nürnberg)
Cloudflare, Inc. DNS, CDN, DDoS-Schutz, TLS-Terminierung und Edge-Caching (Website, Empfang, Zentrale); Hosting der statischen Website (Cloudflare Pages); Objektspeicher (Cloudflare R2) EU-Rechenzentren / USA (DPF-zertifiziert)
Google (Vertex AI, EU-Region) KI-Textverarbeitung: Live-Chat (Empfang), E-Mail-Assistent (Kategorisierung eingehender E-Mails und Erstellung von Antwortentwürfen) sowie serverseitige Gesprächszusammenfassungen, Lead-Extraktion und Website-Analyse (Zentrale) EU-Region für Textinferenz und Datenresidenz; vertragliche Unterstützungs-, Sicherheits- und Unterauftragnehmerzugriffe nach Google-DPA und SCCs
Google LLC (Gemini API) KI-Sprachmodell für das KI-Live-Telefonat (Gemini Live: Echtzeit-Sprachverarbeitung und Gesprächsführung) sowie Begrüßungs-Sprachausgabe (TTS; verarbeitet den vom Kunden konfigurierten oder vom Dienst für den jeweiligen Telefoniepfad erzeugten Begrüßungstext. Dieser Text kann personenbezogene Daten enthalten, insbesondere Firmen- und Personaangaben sowie bei aktivierten Rückruf- oder Outbound-Funktionen Anrufername und Anliegen- oder Fortsetzungskontext) USA (DPF-zertifiziert, ergänzende SCCs); keine Nutzung zur Produktverbesserung; keine angeforderte Session-Wiederaufnahme; Missbrauchserkennung bis zu 55 Tage
Sendinblue SAS (Brevo) Versand transaktionaler E-Mails (Terminbestätigungen, Stornierungen, Bewertungsanfragen, Konto-E-Mails) sowie der vom Kunden freigegebenen Antworten des E-Mail-Assistenten; verarbeitet Empfänger-E-Mail, Name und Nachrichten-/Termindaten Frankreich (EU)
Twilio Inc. (SendGrid) sowie Google LLC (Gmail SMTP) — Fallback Ausfall-Fallbacks für den transaktionalen E-Mail-Versand (gleiche Datenkategorien wie vorstehend); kommen nur zum Einsatz, wenn der primäre Versandweg nicht verfügbar ist USA (DPF-zertifiziert)
Stripe Payments Europe, Ltd. Zahlungsabwicklung Irland
Twilio Ireland Ltd. SMS-Versand für Terminbestätigungen Irland / USA (DPF-zertifiziert, BCRs)
sipgate GmbH SIP-Telefonie (Anrufzustellung und -weiterleitung) Deutschland

§ 7 Technische und organisatorische Maßnahmen (TOMs)

n3tz implementiert insbesondere folgende Maßnahmen:

  • Verschlüsselung: TLS-gesicherte externe Datenübertragung; sensible persistierte Anwendungsfelder werden mit AES-256-GCM verschlüsselt
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle
  • Verfügbarkeit: Dienst-Healthchecks sowie tägliche verschlüsselte lokale und externe Datenbanksicherungen mit Integritätsprüfung und Wiederherstellungstest; konfigurierte Aufbewahrungsfenster von 7 Tagen (lokal) und 30 Tagen (extern) mit Entfernung beim nächsten erfolgreichen täglichen Prune-Lauf
  • Trennungsgebot: Logische Mandantentrennung der Kundendaten anhand der Mandantenkennung und rollenbasierter Berechtigungen
  • Auftragskontrolle: Weisungsgebundene Verarbeitung, keine Nutzung zu eigenen Zwecken

§ 8 Drittlandtransfer

Für die KI-Textverarbeitung (Live-Chat, E-Mail-Assistent sowie serverseitige Gesprächszusammenfassungen, Lead-Extraktion und Website-Analyse) sind Textinferenz und Datenresidenz auf Google Vertex AI in der EU-Region konfiguriert. Dies ist keine pauschale Zusage, dass unter allen Umständen keinerlei Drittlandbezug entsteht: Vertragliche Unterstützungs-, Sicherheits- und Unterauftragnehmerzugriffe richten sich nach dem Google-DPA und den dort vereinbarten Standardvertragsklauseln und weiteren Transfermechanismen.

Das KI-Live-Telefonat (Gemini Live) und die Begrüßungs-Sprachausgabe werden in den USA verarbeitet. Die Übermittlung erfolgt auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss gem. Art. 45 DSGVO); Google LLC ist DPF-zertifiziert. Ergänzend gelten die im DPA mit Google vereinbarten Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO). Der für die Begrüßung übermittelte Text ist der vom Kunden konfigurierte oder vom Dienst für den jeweiligen Telefoniepfad erzeugte Begrüßungstext. Er kann neben Firmen- und Personaangaben auch personenbezogene Daten enthalten, insbesondere bei aktivierten Rückruf- oder Outbound-Funktionen den Anrufernamen sowie Anliegen- oder Fortsetzungskontext; diese Inhalte werden dabei ebenfalls in den USA verarbeitet.

n3tz fertigt keine eigene Audioaufnahme an. Die Produktionskonfiguration fordert bei Gemini Live keine Session-Wiederaufnahme an; deshalb wird die optionale Aufbewahrung des Gesprächszustands einschließlich Text, Audio und Video für bis zu 24 Stunden nicht angefordert. Google kann bei bezahlten Gemini-Diensten dennoch eingereichte Prompts, Kontextinformationen und erzeugte Ausgaben für Missbrauchserkennung und erforderliche rechtliche oder regulatorische Offenlegungen bis zu 55 Tage vorhalten. Die Anbieterunterlagen benennen Roh-Audio des Live-Telefonats in dieser Aufzählung nicht ausdrücklich, schließen es aber auch nicht vertraglich aus; n3tz sagt daher keinen Ausschluss zu. Google nutzt Prompts und Antworten bezahlter Dienste nicht zur Verbesserung seiner Produkte; gesonderte Entwicklerprotokolle oder Datensatzfreigaben werden von n3tz nicht aktiviert.

Daneben kann der Versand transaktionaler E-Mails (§ 6) über die dort genannten Fallback-Dienstleister Twilio Inc. (SendGrid) und Google LLC (Gmail SMTP) eine Übermittlung von E-Mail-Inhalten und Empfängerdaten in die USA umfassen; beide Anbieter sind DPF-zertifiziert, ergänzend gelten SCCs. Der primäre Versandweg (Sendinblue SAS/Brevo) verarbeitet in der EU.

Für sonstige Anbieter ohne DPF-Zertifizierung werden Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

§ 9 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags hält n3tz die aktiven Kundendaten 30 Tage zum Export bereit.

(2) Nach Ablauf dieser Frist werden die Daten aus den aktiven Primärsystemen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Verbleibende verschlüsselte Sicherungskopien sind für die gewöhnliche Verarbeitung nicht zugänglich und laufen innerhalb der konfigurierten Aufbewahrungsfenster von 7 Tagen (lokal) bzw. 30 Tagen (extern) aus; die technische Entfernung erfolgt mit dem nächsten erfolgreichen täglichen Prune-Lauf.

(3) Vor einer Bereitstellung aus einer Sicherung werden aktuelle Migrationen und die jeweils geltenden Aufbewahrungs- und Löschregeln ausgeführt, damit bereits abgelaufene Inhalte nicht erneut zur gewöhnlichen Verarbeitung bereitgestellt werden.

(4) Die Löschung wird dem Kunden auf Anfrage schriftlich bestätigt.

§ 10 Rechte des Kunden

(1) Der Kunde hat das Recht, Audits durchzuführen oder durch einen unabhängigen Prüfer durchführen zu lassen — nach angemessener Vorankündigung und unter Wahrung von Geschäftsgeheimnissen.

(2) n3tz stellt vorhandene, für die Auftragsverarbeitung relevante Zertifikate, Prüfberichte oder sonstige Nachweise auf Anfrage zur Verfügung.

§ 11 Berufsgeheimnisträger (§ 203 StGB)

(1) Diese Bestimmung gilt ergänzend, sofern der Kunde einer beruflichen Schweigepflicht im Sinne des § 203 StGB unterliegt (insbesondere Ärzte, Zahnärzte und sonstige Heilberufe, Rechtsanwälte, Notare, Steuerberater, Wirtschaftsprüfer sowie deren Berufsausübungsgesellschaften).

(2) n3tz wird im Rahmen der Leistungserbringung als „sonstige mitwirkende Person“ im Sinne des § 203 Abs. 3 Satz 2 StGB tätig. Soweit n3tz dabei fremde Geheimnisse offenbart werden, die dem Schutz des § 203 StGB unterliegen, verpflichtet sich n3tz zur Verschwiegenheit über diese Geheimnisse — auch über das Ende dieses Vertrags hinaus. n3tz ist bekannt, dass es nach § 203 Abs. 4 StGB strafbar ist, ein solches Geheimnis unbefugt zu offenbaren.

(3) n3tz verpflichtet alle Mitarbeitenden und sonstigen Personen, die im Rahmen der Auftragsverarbeitung Zugang zu nach § 203 StGB geschützten Geheimnissen erhalten können, vor Aufnahme ihrer Tätigkeit gesondert zur Geheimhaltung und weist sie auf die strafrechtlichen Folgen einer Verletzung (§ 203 Abs. 4 StGB) hin.

(4) n3tz greift auf geschützte Geheimnisse nur insoweit zu, als dies zur ordnungsgemäßen Erbringung der vereinbarten Dienste erforderlich ist. Eine Nutzung zu eigenen Zwecken findet nicht statt (vgl. § 5, § 7).

(5) Werden Unterauftragnehmer (§ 6) eingesetzt, die auf geschützte Geheimnisse zugreifen können, verpflichtet n3tz diese in gleichem Umfang zur Verschwiegenheit nach § 203 StGB. Der Kunde wird darauf hingewiesen, dass die KI-Sprach- und -Textverarbeitung über die in § 6 genannten Unterauftragnehmer erfolgt; die Verarbeitungsorte und Drittlandtransfers ergeben sich aus § 2, § 6 und § 8.

(6) Für besondere Kategorien personenbezogener Daten (Art. 9 DSGVO, etwa Gesundheitsdaten) gilt zusätzlich der Grundsatz der Datenminimierung: Der KI-Empfang ist so zu konfigurieren, dass nur organisatorisch erforderliche Daten erhoben werden (z. B. Terminart, Rückrufwunsch), nicht jedoch nicht benötigte sensible Inhalte. Die Verantwortung für die zweckmäßige Konfiguration und die Einholung etwaiger erforderlicher Einwilligungen verbleibt beim Kunden als Verantwortlichem.

(7) Auf Wunsch stellt n3tz dem Kunden eine gesonderte Verpflichtungserklärung nach § 203 StGB zur Verfügung; ist eine solche zwingend erforderlich, ist sie diesem AVV als Anlage beizufügen.

Kontakt für Datenschutzanfragen

Tarik Ermis / n3tz
E-Mail: mail@n3tz.ai