Vocalis AI

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Dieser Auftragsverarbeitungsvertrag ergänzt die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung von Vocalis AI und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden.

Inhaltsverzeichnis

Vertragsparteien
Gegenstand und Dauer
Art und Zweck der Verarbeitung
Datenkategorien und Betroffene
Pflichten des Auftragsverarbeiters
Pflichten des Verantwortlichen
Unterauftragsverarbeiter
Betroffenenrechte
Kontroll- und Prüfrechte
Technische und organisatorische Maßnahmen
Meldepflichten bei Datenschutzverletzungen
Datenübermittlung in Drittländer
Partner- und Affiliate-Programm
Beendigung und Datenrückgabe
Haftung
Schlussbestimmungen
Anlage 3: Partner-/Affiliate-Datenschutzhinweise

§ 1 Vertragsparteien

Auftraggeber / Verantwortlicher

Der Kunde, der sich bei Vocalis AI registriert und die Plattform nutzt (nachfolgend „Verantwortlicher" oder „Auftraggeber").

Die Angaben des Verantwortlichen ergeben sich aus der Registrierung und dem Kundenkonto.

Auftragnehmer / Auftragsverarbeiter

Jonas Reichert LLC
(nachfolgend „Auftragsverarbeiter" oder „Vocalis AI")

E-Mail: info@vocalis-ai.de

Verantwortlicher und Auftragsverarbeiter werden nachfolgend einzeln auch als „Partei" und gemeinsam als „Parteien" bezeichnet.

§ 2 Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Vocalis AI Voice Agent Plattform. Die Einzelheiten der Datenverarbeitung, insbesondere die Art der Daten und der Kreis der Betroffenen, ergeben sich aus diesem Vertrag.

2.2 Dauer

Dieser AVV gilt für die gesamte Dauer des Hauptvertrags (Nutzung der Vocalis AI Plattform gemäß den AGB) und endet automatisch mit dessen Beendigung, sofern nicht einzelne Bestimmungen eine längere Geltung vorsehen.

§ 3 Art und Zweck der Verarbeitung

3.1 Art der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

Erheben und Speichern von Audiodaten (Sprachaufnahmen)
Umwandlung von Sprache in Text (Speech-to-Text)
Verarbeitung durch KI-Sprachmodelle (LLM)
Umwandlung von Text in Sprache (Text-to-Speech)
Speicherung von Gesprächstranskripten und Metadaten
Analyse und Auswertung von Gesprächsdaten
Übermittlung an Drittdienste (gemäß § 7)

3.2 Zweck der Verarbeitung

Die Datenverarbeitung erfolgt ausschließlich zu folgenden Zwecken:

Bereitstellung und Betrieb von KI-gestützten Voice Agents
Automatisierte Kundenkommunikation im Auftrag des Verantwortlichen
Qualitätssicherung und Verbesserung der Dienste
Erstellung von Analysen und Berichten für den Verantwortlichen
Erfüllung vertraglicher Pflichten gegenüber dem Verantwortlichen

Hinweis: Eine Verarbeitung zu anderen Zwecken, insbesondere zu eigenen Zwecken des Auftragsverarbeiters, findet nicht statt. Die Daten des Verantwortlichen werden nicht für das Training von KI-Modellen verwendet.

§ 4 Art der Daten und Kreis der Betroffenen

4.1 Kategorien personenbezogener Daten

Datenkategorie	Beispiele	Verarbeitung
Audiodaten	Sprachaufnahmen der Anrufe	Echtzeitverarbeitung, keine dauerhafte Speicherung
Transkriptionen	Textprotokolle der Gespräche	Speicherung gemäß Kundeneinstellung (Standard: 90 Tage)
Kontaktdaten	Telefonnummer, ggf. Name des Anrufers	Speicherung für Gesprächszuordnung
Metadaten	Anrufzeit, Dauer, Status	Speicherung für Analyse und Abrechnung
Gesprächsinhalte	Alle im Gespräch mitgeteilten Informationen	Je nach Konfiguration

4.2 Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten) ist grundsätzlich nicht vorgesehen. Sollte der Verantwortliche Voice Agents für Use Cases einsetzen, bei denen solche Daten verarbeitet werden könnten, ist er verpflichtet:

Vocalis AI vorab schriftlich zu informieren
Eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO sicherzustellen
Geeignete zusätzliche Schutzmaßnahmen zu implementieren

4.3 Kreis der betroffenen Personen

Endkunden/Anrufer des Verantwortlichen
Interessenten und Leads
Geschäftspartner und deren Mitarbeiter
Sonstige Personen, die mit dem Voice Agent kommunizieren

§ 5 Pflichten des Auftragsverarbeiters

5.1 Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Weisungen: Der Verantwortliche kann Weisungen schriftlich, per E-Mail oder über die Funktionen der Plattform erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

5.2 Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Sicherheit der Verarbeitung

Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die konkreten Maßnahmen sind in Anlage 1 (TOMs) beschrieben.

5.4 Unterauftragsverarbeitung

Der Auftragsverarbeiter nimmt keine weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Einzelheiten regelt § 7.

5.5 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen:

Bei der Erfüllung von Betroffenenrechten (Art. 12-23 DSGVO)
Bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung)
Bei Prüfungen durch Aufsichtsbehörden

5.6 Löschung und Rückgabe

Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie zurück, sofern nicht eine Verpflichtung zur Speicherung besteht. Einzelheiten regelt § 13.

5.7 Nachweispflicht

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen bei.

§ 6 Pflichten des Verantwortlichen

6.1 Rechtmäßigkeit

Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er stellt sicher, dass:

Eine gültige Rechtsgrundlage für die Verarbeitung vorliegt (z.B. Art. 6 Abs. 1 DSGVO)
Betroffene Personen ordnungsgemäß informiert werden (Art. 13, 14 DSGVO)
Erforderliche Einwilligungen eingeholt werden

6.2 Weisungsrecht

Der Verantwortliche hat das Recht, dem Auftragsverarbeiter Weisungen bezüglich der Art, des Umfangs und der Methode der Datenverarbeitung zu erteilen.

6.3 Informationspflicht

Wichtig: Der Verantwortliche ist verpflichtet, seine Endnutzer (Anrufer) über die Verwendung eines KI-Voice-Agents und die damit verbundene Datenverarbeitung zu informieren. Dies sollte idealerweise zu Beginn jedes Gesprächs erfolgen.

6.4 Kontaktperson

Der Verantwortliche benennt eine Kontaktperson für Datenschutzangelegenheiten, die für die Kommunikation mit dem Auftragsverarbeiter zuständig ist.

§ 7 Unterauftragsverarbeiter

7.1 Allgemeine Genehmigung

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß der Liste in Anlage 2.

7.2 Aktuelle Unterauftragsverarbeiter

Unterauftragnehmer	Leistung	Standort	Datenkategorien
Hostinger International Ltd.	Server-Hosting, Infrastruktur	EU (Litauen)	Alle Plattformdaten
Deepgram, Inc.	Speech-to-Text	USA	Audiodaten
OpenAI, LLC	Large Language Model (LLM)	USA	Textdaten, Transkripte
Cartesia AI, Inc.	Text-to-Speech	USA	Textdaten
Stripe, Inc.	Zahlungsabwicklung	USA/EU	Zahlungsdaten
Brevo (Sendinblue)	E-Mail-Versand (optional)	EU (Frankreich)	E-Mail-Adressen
Google LLC (Gmail)	E-Mail-Versand (Standard)	USA	E-Mail-Adressen
ElevenLabs, Inc.	Text-to-Speech (Alternative)	USA	Textdaten

7.3 Änderungen

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 14 Tage vor der Änderung. Der Verantwortliche kann der Änderung innerhalb dieser Frist widersprechen.

7.4 Vertragliche Absicherung

Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragsverarbeitern Verträge geschlossen werden, die mindestens die gleichen Datenschutzpflichten auferlegen wie dieser AVV.

§ 8 Unterstützung bei Betroffenenrechten

8.1 Anfragen von Betroffenen

Wendet sich eine betroffene Person mit Anträgen nach Art. 15-22 DSGVO direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.

8.2 Unterstützungsleistungen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung folgender Rechte:

Recht	DSGVO-Artikel	Unterstützung durch Vocalis AI
Auskunft	Art. 15	Bereitstellung von Datenexporten
Berichtigung	Art. 16	Korrektur von Daten auf Anweisung
Löschung	Art. 17	Löschfunktion im Dashboard / auf Anfrage
Einschränkung	Art. 18	Sperrung von Datensätzen
Datenübertragbarkeit	Art. 20	Export in maschinenlesbarem Format
Widerspruch	Art. 21	Umsetzung nach Weisung

8.3 Reaktionszeit

Der Auftragsverarbeiter unterstützt den Verantwortlichen innerhalb von 5 Werktagen nach Eingang einer entsprechenden Anfrage.

§ 9 Kontroll- und Prüfrechte

9.1 Prüfungsrecht

Der Verantwortliche hat das Recht, vor Beginn der Verarbeitung und sodann regelmäßig die Einhaltung der technischen und organisatorischen Maßnahmen sowie der Verpflichtungen aus diesem AVV zu überprüfen.

9.2 Durchführung

Prüfungen können durchgeführt werden durch:

Einsichtnahme in Bescheinigungen und Berichte unabhängiger Instanzen (z.B. ISO-Zertifizierungen, SOC-Reports)
Einholung von Auskünften und Dokumenten
Vor-Ort-Inspektionen (nach vorheriger Ankündigung von 14 Tagen)
Beauftragung eines unabhängigen Prüfers

9.3 Kosten

Vor-Ort-Inspektionen, die über das jährliche Maß von einer Prüfung hinausgehen, werden dem Verantwortlichen zu angemessenen Tagessätzen berechnet.

9.4 Verfügbare Nachweise

Vocalis AI stellt folgende Nachweise bereit:

Aktuelle Version dieses AVV inkl. Anlagen
Dokumentation der technischen und organisatorischen Maßnahmen
Liste der Unterauftragsverarbeiter
Sicherheitszertifikate (soweit vorhanden)

§ 10 Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um:

Anlage 1: Technische und Organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

Hosting in zertifizierten EU-Rechenzentren (ISO 27001)
Physische Zugangskontrolle durch Hostingprovider

Zugangskontrolle:

Passwortrichtlinien (Mindestlänge, Komplexität)
Zwei-Faktor-Authentifizierung (2FA) verfügbar
Automatische Sperrung nach Fehlversuchen
Session-Timeout

Zugriffskontrolle:

Rollenbasiertes Berechtigungssystem (RBAC)
Prinzip der minimalen Berechtigung
Protokollierung aller Zugriffe

Trennungskontrolle:

Mandantenfähige Architektur
Logische Trennung der Kundendaten
Separate Datenbanken je Kunde (Enterprise)

Pseudonymisierung:

Verwendung von IDs statt Klarnamen in Logs
Anonymisierung in Analysedaten

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

Verschlüsselung aller Datenübertragungen (TLS 1.3)
Ende-zu-Ende-Verschlüsselung für Audiodaten
Sichere API-Authentifizierung (API-Keys, JWT)

Eingabekontrolle:

Vollständige Protokollierung aller Änderungen
Audit-Logs mit Benutzer, Zeitstempel, Aktion
Unveränderlichkeit von Audit-Logs

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Verfügbarkeitskontrolle:

Tägliche automatisierte Backups
Verschlüsselte Backup-Speicherung
Geografisch redundante Datenhaltung
Disaster-Recovery-Plan
Ziel-SLA: 99,5% Verfügbarkeit

Belastbarkeit:

Skalierbare Cloud-Infrastruktur
Automatisches Load-Balancing
DDoS-Schutz

4. Verfahren zur Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Regelmäßige Sicherheitsüberprüfungen
Vulnerability Scanning
Security-Updates und Patch-Management
Dokumentation aller Sicherheitsmaßnahmen
Mitarbeiterschulungen zum Datenschutz

§ 11 Meldepflichten bei Datenschutzverletzungen

11.1 Meldung an den Verantwortlichen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, jede Verletzung des Schutzes personenbezogener Daten.

11.2 Inhalt der Meldung

Die Meldung enthält mindestens:

Beschreibung der Art der Verletzung
Kategorien und ungefähre Zahl der betroffenen Personen
Kategorien und ungefähre Zahl der betroffenen Datensätze
Name und Kontaktdaten des Datenschutzbeauftragten oder sonstiger Anlaufstellen
Beschreibung der wahrscheinlichen Folgen
Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

11.3 Unterstützung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und den betroffenen Personen (Art. 34 DSGVO).

11.4 Dokumentation

Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit zusammenhängenden Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen.

§ 12 Datenübermittlung in Drittländer

12.1 Übermittlung in die USA

Einige der in § 7 genannten Unterauftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage von:

Rechtsgrundlage	Beschreibung	Anbieter
EU-US Data Privacy Framework	Zertifizierung unter dem DPF-Abkommen	OpenAI, Stripe, Google
Standardvertragsklauseln (SCCs)	EU-Kommissionsbeschluss 2021/914	Deepgram, Cartesia AI, ElevenLabs

12.2 Ergänzende Maßnahmen

Zusätzlich zu den vertraglichen Garantien werden folgende technische Maßnahmen implementiert:

Verschlüsselung der Daten bei der Übertragung und im Ruhezustand
Minimierung der übertragenen Datenmenge
Keine dauerhafte Speicherung von Audiodaten bei US-Anbietern

12.3 Informationspflicht

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er Kenntnis von Umständen erlangt, die die Rechtmäßigkeit der Datenübermittlung in Drittländer in Frage stellen könnten.

§ 13 Partner- und Affiliate-Programm

13.1 Geltungsbereich

Dieser Abschnitt regelt die zusätzliche Datenverarbeitung im Rahmen des Vocalis AI Partner- und Affiliate-Programms. Er gilt für:

Affiliates: Personen oder Unternehmen, die Vocalis AI gegen Provision empfehlen
Partner: Reseller, Agenturen und Enterprise-Partner mit erweiterten Funktionen
Geworbene Kunden: Kunden, die über Affiliate-/Partner-Links registriert wurden

13.2 Partner-/Affiliate-Datenkategorien

Datenkategorie	Beispiele	Zweck	Speicherdauer
Partner-Stammdaten	Name, E-Mail, Firma, Steuernummer	Vertragsabwicklung, Provisionsauszahlung	10 Jahre nach Vertragsende (steuerrechtlich)
Zahlungsinformationen	IBAN, PayPal-E-Mail, Stripe Connect ID	Provisionsauszahlung	10 Jahre nach letzter Auszahlung
Tracking-Daten	Link-Clicks, Referrer-URLs, UTM-Parameter, IP-Adresse (gekürzt)	Attribution, Provisionsberechnung	90 Tage (Cookie-Laufzeit)
Attributions-Daten	Partner-ID, Kunde-ID, Registrierungsdatum	Provisionszuordnung	Dauer der Kundenbeziehung + 3 Monate
Provisions-/Umsatzdaten	MRR der geworbenen Kunden, Provisionsbeträge, Tier-Level	Provisionsberechnung, Reporting	10 Jahre (steuerrechtlich)
Kommunikationsdaten	E-Mail-Korrespondenz, Support-Tickets	Partner-Support	3 Jahre nach letztem Kontakt

13.3 Cookie-basierte Attribution

Für die Zuordnung von geworbenen Kunden zu Affiliates/Partnern verwendet Vocalis AI ein Cookie-basiertes Tracking:

Cookie-Details:

Name: vocalis_affiliate
Inhalt: Verschlüsselte Partner-ID, Link-ID, Timestamp
Laufzeit: 90 Tage (Last-Click-Attribution)
Typ: First-Party-Cookie
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Provisionszuordnung)

13.4 Verarbeitung von Daten geworbener Kunden

Im Rahmen der Provisionsberechnung verarbeitet Vocalis AI folgende Daten der durch Affiliates/Partner geworbenen Kunden:

Aggregierte Umsatzdaten: Monatlicher Umsatz (MRR) für Provisionsberechnung
Kündigungsstatus: Für Clawback-Berechnung bei früher Kündigung (innerhalb von 3 Monaten)
Tier-Zuordnung: Preisplan des Kunden für prozentuale Provisionsberechnung

Datenschutz-Hinweis: Affiliates/Partner erhalten keine detaillierten personenbezogenen Daten ihrer geworbenen Kunden. Sie sehen lediglich:

Anonymisierte Statistiken (z.B. „5 aktive Kunden")
Aggregierte Umsatz- und Provisionsdaten
Keine Namen, E-Mail-Adressen oder Nutzungsdetails der Endkunden

13.5 Provisionsberechnungs-Logik

Die Provisions-Tiers und deren Berechnung:

Tier	Typ	Revenue Share	Berechnungsgrundlage
affiliate_standard	Affiliate	10%	Kunden-MRR
affiliate_premium	Affiliate	15%	Kunden-MRR
partner_reseller	Partner	20%	70% Vocalis-Marge
partner_agency	Partner	25%	70% Vocalis-Marge
partner_enterprise	Partner	30%	70% Vocalis-Marge

13.6 Clawback (Provisionsrückforderung)

Bei Kündigung eines geworbenen Kunden innerhalb von 3 Monaten nach Registrierung erfolgt eine Rückforderung bereits ausgezahlter Provisionen. Hierfür werden verarbeitet:

Kündigungsdatum und -grund (anonymisiert: Refund, Chargeback, Early Cancellation)
Ursprünglicher Provisionsbetrag
Partner-ID für Saldoberechnung

13.7 Partner-Rechte und Auskunft

Partner und Affiliates haben das Recht auf:

Auskunft (Art. 15 DSGVO): Vollständige Übersicht aller gespeicherten Daten über das Partner-Dashboard
Berichtigung (Art. 16 DSGVO): Korrektur der Stammdaten im Dashboard oder per Support-Anfrage
Löschung (Art. 17 DSGVO): Nach Beendigung der Partnerschaft unter Beachtung gesetzlicher Aufbewahrungsfristen
Datenübertragbarkeit (Art. 20 DSGVO): Export der Provisions- und Statistikdaten im JSON/CSV-Format

13.8 Beendigung der Partnerschaft

Bei Beendigung einer Partner-/Affiliate-Vereinbarung:

Sofort: Deaktivierung aller Tracking-Links, keine neuen Attributionen
30 Tage: Möglichkeit zum Export aller Daten
Nach Auszahlung offener Provisionen: Löschung der Zahlungsinformationen
Nach 10 Jahren: Löschung der steuerrelevanten Abrechnungsdaten

Fortlaufende Provisionen: Bestehende Attributionen für bereits geworbene Kunden bleiben auch nach Beendigung der Partnerschaft bestehen. Provisionen werden weiterhin ausgezahlt, solange die geworbenen Kunden aktiv sind.

§ 14 Beendigung und Datenrückgabe/-löschung

14.1 Nach Vertragsende

Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter:

Dem Verantwortlichen die Möglichkeit geben, seine Daten innerhalb von 30 Tagen zu exportieren
Alle personenbezogenen Daten nach Ablauf dieser Frist löschen
Die Löschung auf Verlangen schriftlich bestätigen

14.2 Ausnahmen von der Löschung

Eine Löschung unterbleibt, soweit:

Eine gesetzliche Aufbewahrungspflicht besteht (z.B. steuerrechtlich: 10 Jahre)
Der Verantwortliche eine längere Speicherung angewiesen hat

14.3 Löschung bei Unterauftragsverarbeitern

Der Auftragsverarbeiter stellt sicher, dass auch alle Unterauftragsverarbeiter die Daten entsprechend löschen oder zurückgeben.

§ 15 Haftung

15.1 Haftungsverteilung

Die Haftung für Datenschutzverstöße richtet sich nach Art. 82 DSGVO:

Jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter haftet für den gesamten Schaden
Ein Auftragsverarbeiter haftet nur dann, wenn er seinen speziell auferlegten Pflichten nicht nachgekommen ist oder Anweisungen des Verantwortlichen missachtet hat

15.2 Freistellung

Soweit der Auftragsverarbeiter für einen Schaden haftet, der durch eine Verletzung der Pflichten des Verantwortlichen verursacht wurde, stellt der Verantwortliche den Auftragsverarbeiter von allen Ansprüchen frei.

15.3 Haftungsbeschränkung

Die Haftungsbeschränkungen des Hauptvertrags (AGB) gelten entsprechend, soweit dies mit Art. 82 DSGVO vereinbar ist.

§ 16 Schlussbestimmungen

16.1 Rangfolge

Im Falle von Widersprüchen zwischen diesem AVV und anderen vertraglichen Vereinbarungen hat dieser AVV in Bezug auf den Datenschutz Vorrang.

16.2 Änderungen

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Formerfordernisses.

16.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

16.4 Anwendbares Recht

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland.

16.5 Gerichtsstand

Ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem AVV ist – soweit gesetzlich zulässig – München, Deutschland.

Anlage 2: Liste der genehmigten Unterauftragsverarbeiter

Unternehmen	Adresse	Leistung	Garantie
Hostinger International Ltd.	Švitrigailos str. 34, Vilnius, Litauen	Cloud-Hosting	AVV, EU
Deepgram, Inc.	548 Market St, San Francisco, CA, USA	Speech-to-Text API	SCCs, DPA
OpenAI, LLC	3180 18th Street, San Francisco, CA, USA	Large Language Model	DPF, DPA
Cartesia AI, Inc.	San Francisco, CA, USA	Text-to-Speech API	SCCs, DPA
Stripe, Inc.	510 Townsend Street, San Francisco, CA, USA	Zahlungsabwicklung	DPF, DPA
Brevo (Sendinblue SAS)	106 boulevard Haussmann, 75008 Paris, Frankreich	E-Mail-Service (optional)	AVV, EU
Google LLC (Gmail SMTP)	1600 Amphitheatre Parkway, Mountain View, CA, USA	E-Mail-Versand (Standard)	DPF, DPA
ElevenLabs, Inc.	New York, NY, USA	Text-to-Speech API (Alternative)	SCCs, DPA

Stand: Februar 2026

Legende: AVV = Auftragsverarbeitungsvertrag, DPA = Data Processing Agreement, SCCs = Standard Contractual Clauses, DPF = EU-US Data Privacy Framework

Anlage 3: Partner- und Affiliate-Datenschutzhinweise

1. Verantwortlicher für Partner-/Affiliate-Daten

Verantwortlicher im Sinne der DSGVO für die Verarbeitung der Partner- und Affiliate-Daten ist:

Jonas Reichert LLC (Vocalis AI)
E-Mail: partner@vocalis-ai.de

2. Rechtsgrundlagen

Verarbeitungszweck	Rechtsgrundlage	DSGVO-Artikel
Partnervertrag, Provisionsberechnung	Vertragserfüllung	Art. 6 Abs. 1 lit. b
Steuerliche Aufbewahrung	Rechtliche Verpflichtung	Art. 6 Abs. 1 lit. c
Cookie-Tracking für Attribution	Berechtigtes Interesse	Art. 6 Abs. 1 lit. f
Partner-Newsletter (optional)	Einwilligung	Art. 6 Abs. 1 lit. a

3. Automatisierte Entscheidungsfindung

Im Partner-Programm finden folgende automatisierte Entscheidungen statt:

Auto-Upgrade: Automatischer Tier-Aufstieg von affiliate_standard zu affiliate_premium bei Erreichen von 25 aktiven Kunden oder €500/Monat Revenue
Clawback-Berechnung: Automatische Provisionsrückforderung bei Kundenkündigung innerhalb von 3 Monaten
Fraud Detection: Automatische Erkennung von verdächtigen Aktivitäten (z.B. ungewöhnlich hohe Klick-Zahlen ohne Conversions)

Partner haben das Recht, eine manuelle Überprüfung dieser Entscheidungen zu verlangen.

4. Datenübermittlung an Partner

Affiliates und Partner erhalten ausschließlich folgende Daten über ihre geworbenen Kunden:

Datenkategorie	Format	Beispiel
Anzahl aktiver Kunden	Aggregiert	„5 aktive Kunden"
Monatliche Provision	Betrag	„€127,50"
Conversion Rate	Prozent	„4,2%"
Link-Statistiken	Aggregiert	„152 Klicks, 6 Trials, 5 Conversions"

Keine Übermittlung von: Namen, E-Mail-Adressen, Telefonnummern, Nutzungsdetails, Transkripten oder sonstigen personenbezogenen Daten der Endkunden.

5. Speicherdauer Partner-Daten

Datenkategorie	Speicherdauer	Rechtsgrundlage
Partner-Stammdaten	Dauer der Partnerschaft + 10 Jahre	§ 147 AO (Steuerrecht)
Provisionsabrechnungen	10 Jahre	§ 147 AO (Steuerrecht)
Tracking-Cookies	90 Tage	Vertragserfüllung
Link-Statistiken	3 Jahre	Berechtigtes Interesse
Audit-Logs	10 Jahre	Berechtigtes Interesse, Compliance

6. Kontakt für Partner-Datenschutz

Für Fragen zum Datenschutz im Partner-/Affiliate-Programm:

E-Mail: partner@vocalis-ai.de
Betreff: „DSGVO – [Ihr Anliegen]"

Stand: Februar 2026

Vertragsschluss: Dieser AVV wird mit der Registrierung bei Vocalis AI und der Bestätigung der AGB wirksam geschlossen. Eine separate Unterschrift ist nicht erforderlich (Art. 28 Abs. 9 DSGVO – elektronische Form).

Kontakt für Datenschutzangelegenheiten:

Jonas Reichert LLC

E-Mail: info@vocalis-ai.de

Stand: 3. Februar 2026 | Version 1.2

Zurück zur Startseite