gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) zwischen Auftraggeber (AG) und Auftragnehmer (AN) LXH Ventures – Luke Harney Liststraße 65 70180 Stuttgart Deutschland §1 Gegenstand der Auftragsverarbeitung (1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. (2) Die Verarbeitung erfolgt ausschließlich zur Bereitstellung, Konfiguration, Optimierung und Wartung folgender Leistungen: KI-gestützte Chatbots (Website, WhatsApp, Social Media, API) KI-gestützte Voice-AI / Telefonassistenten Texterkennung, Spracherkennung, Analysefunktionen Integration, Monitoring und technische Betreuung Support & Troubleshooting (3) Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers ist ausgeschlossen. §2 Art und Zweck der Verarbeitung Die Verarbeitung dient folgenden Zwecken: Beantwortung von Kundenanfragen über Chat oder Telefon Terminvereinbarungen, Lead-Erfassung und Weiterleitung Strukturierte Weitergabe von Gesprächsdaten an CRM oder interne Systeme Erstellung von Analytics, Logs und Performance-Auswertungen Speicherung und Verarbeitung zu Qualitätsverbesserungszwecken §3 Kategorien personenbezogener Daten Folgende Daten können verarbeitet werden: Kontaktdaten (Name, Telefonnummer, E-Mail-Adresse) Gesprächsinhalte & Chatnachrichten Technische Daten (Zeitpunkt, IP, Browserdaten, Sprachdaten) Buchungsinformationen (Termine, Präferenzen, Auswahloptionen) Interaktionsdaten (Nutzungsverhalten, Klickpfade) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nicht aktiv verarbeitet. Sollte der Endkunde solche Daten freiwillig äußern, erfolgt keine Weiterverarbeitung. §4 Kategorien betroffener Personen Webseitenbesucher Anrufer Kunden, Interessenten, Geschäftspartner Mitarbeitende des Auftraggebers §5 Rechte & Pflichten des Auftraggebers Der Auftraggeber: ist verantwortlich für die Rechtmäßigkeit der Datenerhebung, der Informationspflichten und der Einwilligungen. entscheidet allein über Zweck und Mittel der Verarbeitung. erteilt dem Auftragnehmer schriftliche Weisungen. prüft regelmäßig die Einhaltung der technischen und organisatorischen Maßnahmen. §6 Pflichten des Auftragnehmers Der Auftragnehmer verpflichtet sich: Daten ausschließlich nach Weisung des Auftraggebers zu verarbeiten. geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, insbesondere: Verschlüsselung (HTTPS/SSL) Zugriffskontrollen Rollen- & Rechtemanagement Löschkonzepte Protokollierungen Mitarbeiter auf Vertraulichkeit zu verpflichten. den Auftraggeber bei Betroffenenanfragen zu unterstützen. Datenschutzverletzungen unverzüglich (innerhalb von 24h) zu melden. §7 Unterauftragsverarbeiter („Sub-Processor“) Der Auftragnehmer darf zur Erfüllung seiner Leistungen Unterauftragsverarbeiter einsetzen. Aktuell eingesetzte Sub-Processor: Chatbase (USA/EU) – Chatbot Hosting & API OpenAI (USA/EU) – KI-Verarbeitung Retell AI (USA) – Voice AI Fonio (DE) – Telefoninfrastruktur Zapier/Make – Automatisierungsdienste Google Cloud / AWS / Azure – Hosting & Infrastruktur Der Auftragnehmer informiert den Auftraggeber über Änderungen. Der Auftraggeber kann binnen 14 Tagen widersprechen. §8 Übermittlung in Drittländer Bei Nutzung einzelner Tools kann eine Übermittlung in Drittländer (z. B. USA) erfolgen. Dies erfolgt ausschließlich auf Grundlage: EU-Standardvertragsklauseln (SCC) EU-US Data Privacy Framework Zusatzsicherungen (Verschlüsselung, Pseudonymisierung) §9 Löschung & Rückgabe der Daten Nach Vertragsende: werden alle personenbezogenen Daten auf Wunsch des Auftraggebers gelöscht oder zurückgegeben. Backups werden nach maximal 90 Tagen gelöscht. Eine gesetzliche Aufbewahrungspflicht bleibt unberührt. §10 Kontrollrechte des Auftraggebers Der Auftraggeber hat das Recht: Auskünfte einzuholen Prüfungen vorzunehmen (auch remote) Nachweise zu TOMs zu verlangen Der Auftragnehmer unterstützt den Auftraggeber dabei. §11 Haftung Haftung richtet sich nach dem Hauptvertrag. Bei schuldhaften Datenschutzverletzungen haftet der Auftragnehmer im Rahmen der gesetzlichen Bestimmungen. §12 Vertragsdauer Dieser AV-Vertrag tritt mit Unterzeichnung des Hauptvertrags in Kraft und gilt: für die gesamte Dauer der Zusammenarbeit Solange der Auftragnehmer personenbezogene Daten im Auftrag verarbeitet Eine gesonderte Kündigung ist nicht erforderlich. §13 Schlussbestimmungen Sollte eine Bestimmung dieses Anhangs unwirksam sein, berührt dies nicht die Wirksamkeit der übrigen Regelungen (salvatorische Klausel). Version 15.10.2025