Die Kunden-AVV regelt die Auftragsverarbeitung zwischen dir als Auftraggeber und der VIICO GmbH (Marke Robopult) als Auftragnehmerin. Du kannst sie jederzeit als PDF herunterladen; der verbindliche Abschluss erfolgt im Robopult-Portal.
AVV als PDF (v1.0)Vereinbarung zur Auftragsverarbeitung
Kunden-AVV gem. Art. 28 DSGVO — Robopult
| Auftragnehmer | VIICO GmbH, An der Oberpforte 18a, 55128 Mainz, vertreten durch den Geschäftsführer Jonas Czwalina |
| Produkt / Dienst | Robopult — digitaler Empfang, KI-Telefonie, Voicemail, Transkription, Ticket- und Tenant-Verwaltung |
| Auftraggeber | Der im Robopult-Portal angelegte Kunde / Tenant gemäß Bestell- oder Vertragsdaten |
| Elektronischer Abschluss | Diese AVV ist für den Abschluss im Portal durch den Tenant-Admin vorgesehen. Version, Zeitpunkt, bestätigende Person und PDF-Hash sind zu protokollieren. |
| Version / Stand | Version 1.0 — Stand 02.05.2026 |
Hinweis zum Produktivstart
Die Live-Nutzung mit echten personenbezogenen Daten darf erst freigeschaltet werden, nachdem diese AVV durch eine vertretungsberechtigte oder berechtigte Person des Kunden bestätigt wurde. Vorher ist nur ein Setup-Modus ohne echte personenbezogene Daten vorgesehen.
1. Parteien und Rollen
(1) Diese Vereinbarung wird geschlossen zwischen dem Kunden als Verantwortlichem im Sinne von Art. 4 Nr. 7 DSGVO („Auftraggeber”) und der VIICO GmbH, An der Oberpforte 18a, 55128 Mainz, vertreten durch den Geschäftsführer Jonas Czwalina, als Auftragsverarbeiterin im Sinne von Art. 4 Nr. 8 DSGVO („Auftragnehmerin” oder „VIICO”).
(2) VIICO betreibt die unter der Marke Robopult angebotene Plattform. Soweit VIICO personenbezogene Daten von Anrufern, Mitarbeitern, Ansprechpartnern oder sonstigen betroffenen Personen des Kunden im Rahmen der Robopult-Leistung verarbeitet, erfolgt dies nach Weisung des Auftraggebers.
(3) Diese AVV ergänzt den Hauptvertrag, die Bestellung, das Angebot, den SaaS-Vertrag oder die im Portal dokumentierten Leistungsdaten. Bei Widersprüchen gehen Datenschutzregelungen dieser AVV vor, soweit sie zwingende Anforderungen aus Art. 28 DSGVO betreffen.
2. Gegenstand, Dauer und Zweck der Verarbeitung
- Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung, Einrichtung, Administration, Wartung, Sicherung und Support-Erbringung für Robopult.
- Die Verarbeitung beginnt frühestens mit Bestätigung dieser AVV bzw. mit Freischaltung der Verarbeitung echter personenbezogener Daten und endet mit Beendigung des Hauptvertrags, soweit nicht gesetzliche Aufbewahrungspflichten oder berechtigte Nachweiszwecke entgegenstehen.
- Zwecke sind insbesondere die Annahme, Verarbeitung und Weiterleitung von Anrufen, Voicemails, Transkripten, KI-gestützten Gesprächszusammenfassungen, Tickets, Benachrichtigungen, Nutzerkonten, Integrationen und Sicherheitsprotokollen für den Auftraggeber.
- VIICO verarbeitet die Daten nicht zu eigenen Werbe-, Profiling- oder Trainingszwecken. Eine anderweitige Nutzung ist nur zulässig, wenn sie gesetzlich vorgeschrieben ist oder vom Auftraggeber dokumentiert angewiesen wurde.
3. Art der Daten und Kategorien betroffener Personen
| Kategorie | Beispiele |
|---|---|
| Betroffene Personen | Anrufer, Kunden/Gäste/Patienten/Interessenten des Auftraggebers, Mitarbeiter und Nutzer des Auftraggebers, Ansprechpartner bei Partnern oder Dienstleistern. |
| Stammdaten / Kontaktdaten | Name, Telefonnummer, E-Mail-Adresse, Unternehmenszuordnung, Rolle, Benutzerkonto, Kommunikationsdaten. |
| Kommunikationsdaten | Anruf-Audio, Voicemails, Gesprächsinhalte, Transkripte, KI-Zusammenfassungen, Tickets, Nachrichten, Notizen, Termin- oder Reservierungswünsche. |
| Metadaten | Zeitpunkt, Dauer, Caller-ID, Status, Bearbeitungsstatus, Weiterleitungsinformationen, technische IDs. |
| Nutzungs- und Sicherheitsdaten | Login-Zeitpunkte, IP-Adresse, User-Agent, Rollenänderungen, Audit-Logs, Fehler- und Sicherheitsereignisse. |
| Besondere Kategorien personenbezogener Daten | Nicht gezielt vorgesehen. Je nach Branche und Inhalt eines Anrufs können Anrufer freiwillig besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten oder religiöse/sonstige sensible Angaben, mitteilen. Der Auftraggeber ist für rechtmäßige Konfiguration und Information verantwortlich. |
4. Weisungen des Auftraggebers
- VIICO verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht zur Verarbeitung besteht.
- Weisungen ergeben sich aus Hauptvertrag, Produktkonfiguration, Tenant-Einstellungen, Rollen- und Berechtigungskonzept, Supportanfragen, dokumentierten E-Mails oder sonstigen elektronisch dokumentierten Anweisungen.
- Mündliche Weisungen sind vom Auftraggeber unverzüglich in Textform oder in einem dokumentierten elektronischen Format zu bestätigen.
- VIICO informiert den Auftraggeber unverzüglich, wenn VIICO der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt. Die Ausführung der Weisung darf bis zur Klärung ausgesetzt werden, soweit dies erforderlich und rechtlich zulässig ist.
5. Pflichten von VIICO
- Verarbeitung nur im vereinbarten Umfang und nach dokumentierten Weisungen.
- Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit oder entsprechende gesetzliche Verschwiegenheitspflichten.
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO nach Maßgabe der TOM-Anlage.
- Unterstützung des Auftraggebers bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden und Nachweisführung, soweit sich dies auf die Robopult-Verarbeitung bezieht.
- Unverzügliche Information bei Datenschutzverletzungen, soweit personenbezogene Daten des Auftraggebers betroffen sind.
- Nach Vertragsende Löschung oder Rückgabe personenbezogener Daten nach Wahl des Auftraggebers, soweit keine gesetzlichen Pflichten oder berechtigten Nachweiszwecke entgegenstehen.
- Bereitstellung erforderlicher Informationen zum Nachweis der Einhaltung dieser AVV und Ermöglichung angemessener Audits nach Ziffer 12.
6. Pflichten des Auftraggebers
- Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung, die Rechtsgrundlagen, Informationspflichten gegenüber Anrufern und Nutzern sowie die zulässige Konfiguration von Robopult verantwortlich.
- Der Auftraggeber stellt sicher, dass Anrufer vor oder zu Beginn des Gesprächs angemessen über KI-Einsatz, Aufzeichnung/Voicemail, Transkription und etwaige Weiterleitungen informiert werden, soweit dies gesetzlich erforderlich ist.
- Der Auftraggeber darf Robopult nicht für Zwecke einsetzen, für die keine ausreichende Rechtsgrundlage besteht, insbesondere nicht zur verdeckten Überwachung, unzulässigen Gesprächsaufzeichnung oder rechtswidrigen Verarbeitung besonderer Kategorien personenbezogener Daten.
- Der Auftraggeber verwaltet Nutzer, Rollen, Integrationen, Datenaufbewahrung, Löschfristen und Live-Schaltungen in eigener Verantwortung und hält die Daten in seinem Tenant aktuell.
- Der Auftraggeber informiert VIICO unverzüglich über Fehler, Sicherheitsverdachtsfälle oder unrechtmäßige Weisungen, die ihm bekannt werden.
7. Technische und organisatorische Maßnahmen
Die zum Zeitpunkt des Vertragsschlusses vereinbarten technischen und organisatorischen Maßnahmen ergeben sich aus der TOM-Anlage in ihrer jeweils dokumentierten Version. VIICO darf Maßnahmen weiterentwickeln, sofern das Schutzniveau insgesamt nicht unterschritten wird.
Wesentliche Verschlechterungen oder sicherheitsrelevante Änderungen, die den Schutz der Daten des Auftraggebers erheblich betreffen, werden dem Auftraggeber in geeigneter Weise mitgeteilt.
8. Subprozessoren
Der Auftraggeber erteilt VIICO eine allgemeine Genehmigung zum Einsatz der in Anlage B genannten Subprozessoren. VIICO verpflichtet diese Subprozessoren vertraglich auf Datenschutzpflichten, die den Pflichten dieser AVV im Wesentlichen entsprechen.
Neue oder ersetzende Subprozessoren werden dem Auftraggeber vorab über das Portal, per E-Mail oder über eine dauerhaft verfügbare Subprozessorenliste mitgeteilt. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Tagen widersprechen. Wird kein angemessener Ausweichweg gefunden, können die Parteien den betroffenen Leistungsbestandteil kündigen.
9. Drittlandübermittlungen
- Eine Übermittlung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums erfolgt nur, soweit dies zur Leistungserbringung erforderlich ist, ein angemessenes Datenschutzniveau besteht oder geeignete Garantien nach Art. 44 ff. DSGVO vorliegen.
- Bei US- oder sonstigen Drittlandbezügen kommen insbesondere Angemessenheitsbeschlüsse, EU-Standardvertragsklauseln und ergänzende Schutzmaßnahmen in Betracht.
- Der Auftraggeber kann je nach Produktstand und Konfiguration bestimmte Drittlandbezüge reduzieren, etwa durch Deaktivierung einzelner KI-Funktionen oder durch Auswahl verfügbarer EU-/lokaler Verarbeitungsoptionen. Eine vollständige Drittlandfreiheit ist nur zugesichert, wenn sie im Hauptvertrag ausdrücklich vereinbart wurde.
10. Vertraulichkeit und Supportzugriffe
Support- und Plattformzugriffe erfolgen nur, soweit dies zur Bereitstellung, Fehlerbehebung, Sicherheit, Wartung oder zur Umsetzung dokumentierter Weisungen erforderlich ist. Privilegierte Zugriffe werden protokolliert und auf berechtigte Personen beschränkt.
VIICO stellt durch Rollen, Berechtigungen, Logging und interne Vorgaben sicher, dass Supportzugriffe dem Need-to-know-Prinzip folgen.
11. Datenschutzverletzungen
VIICO informiert den Auftraggeber unverzüglich, nachdem VIICO eine Verletzung des Schutzes personenbezogener Daten festgestellt hat, die Daten des Auftraggebers betrifft. Die Information enthält, soweit verfügbar, Art des Vorfalls, betroffene Datenkategorien, betroffene Systeme, wahrscheinliche Folgen und ergriffene oder vorgeschlagene Maßnahmen.
VIICO unterstützt den Auftraggeber angemessen bei dessen Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.
12. Nachweise und Audits
- VIICO stellt dem Auftraggeber auf Anfrage angemessene Informationen zur Verfügung, die zur Prüfung der Einhaltung dieser AVV erforderlich sind, etwa TOM-Dokumentation, Subprozessorenliste, Sicherheitsnachweise oder geeignete Selbstauskünfte.
- Vor-Ort-Audits sind nur nach angemessener Vorankündigung, während üblicher Geschäftszeiten, unter Wahrung von Geschäftsgeheimnissen, Sicherheitsinteressen und Rechten anderer Kunden zulässig.
- Der Auftraggeber trägt eigene Auditkosten. VIICO kann angemessenen Aufwand berechnen, sofern das Audit nicht durch einen von VIICO zu vertretenden erheblichen Datenschutzvorfall veranlasst wurde.
13. Löschung, Rückgabe und Backups
- Nach Ende des Hauptvertrags löscht oder gibt VIICO personenbezogene Daten des Auftraggebers nach dessen Wahl zurück, soweit technisch möglich und rechtlich zulässig.
- Produktive Daten werden nach Vertragsende innerhalb eines angemessenen Zeitraums gelöscht oder anonymisiert. Backup-Daten werden nach Ablauf der regulären Backup-Zyklen überschrieben, sofern keine Wiederherstellung erforderlich ist.
- Audit-, Abrechnungs- und Sicherheitsnachweise können auf gesetzlicher Grundlage oder wegen berechtigter Nachweisinteressen länger aufbewahrt werden, soweit sie nicht mehr operativ genutzt und angemessen geschützt werden.
14. Elektronischer Abschluss und Portalbestätigung
Diese AVV kann elektronisch im Robopult-Portal abgeschlossen werden. Eine qualifizierte elektronische Signatur oder handschriftliche Unterschrift ist für die Wirksamkeit des elektronischen Abschlusses nicht vorgesehen, sofern der Abschluss nachvollziehbar dokumentiert wird.
Bei Portalbestätigung protokolliert VIICO mindestens Tenant-ID, Unternehmen, bestätigende Person, E-Mail-Adresse, Zeitstempel, AVV-Version, IP-Adresse und Hash oder unveränderbaren Link der bestätigten PDF.
Empfohlener Checkbox-Text im Portal
Ich bestätige, dass ich berechtigt bin, für das oben genannte Unternehmen zu handeln, und schließe die Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO mit der VIICO GmbH in der Version vom 02.05.2026 verbindlich ab. Ich habe die AVV einschließlich Anlagen zur Kenntnis genommen und kann sie dauerhaft herunterladen.
15. Schlussbestimmungen
Änderungen dieser AVV bedürfen der Textform oder eines dokumentierten elektronischen Formats. Zwingende gesetzliche Anforderungen bleiben unberührt.
Es gilt deutsches Recht. Gerichtsstand ist, soweit zulässig, der Sitz der VIICO GmbH.
Anlage A — Beschreibung der Verarbeitung
| Merkmal | Beschreibung |
|---|---|
| Gegenstand | Bereitstellung der Robopult-Plattform einschließlich KI-Telefonie, Voicemail, Transkription, Ticket-/Nachrichtenfunktionen, Benutzer-/Tenantverwaltung, Integrationen, Monitoring, Support und Sicherheit. |
| Zweck | Digitaler Empfang, Bearbeitung eingehender Anrufe und Nachrichten, Unterstützung des Auftraggebers bei Kommunikation, Terminierung, Nachbearbeitung und Dokumentation. |
| Dauer | Für die Laufzeit des Hauptvertrags zuzüglich Lösch-, Export-, Backup- und Nachweisfristen. |
| Datenarten | Kontaktdaten, Kommunikationsinhalte, Audio, Transkripte, Metadaten, Nutzer- und Rolleninformationen, Audit- und Sicherheitsdaten. |
| Betroffene | Anrufer, Kunden/Gäste/Patienten/Interessenten des Auftraggebers, Mitarbeiter und Nutzer des Auftraggebers, sonstige Ansprechpartner. |
| Verarbeitungsvorgänge | Erheben, Erfassen, Speichern, Ordnen, Übermitteln, Auslesen, Abfragen, Abgleichen, Strukturieren, Einschränken, Löschen, Anonymisieren, Supportzugriff. |
Anlage B — Genehmigte Subprozessoren
| Subprozessor | Zweck | Sitz / Region | Hinweis |
|---|---|---|---|
| Hetzner Online GmbH | Hosting, Server-/Cloud-Infrastruktur, Netzwerk, Speicher | Deutschland / EU | Einsatz als Hosting- und Infrastrukturprovider. |
| OpenAI Ireland Ltd. / verbundene OpenAI-Unternehmen | KI-Verarbeitung, Sprache/Text, ggf. Realtime- und Transkriptionsfunktionen je nach Konfiguration | Irland / ggf. Drittlandbezug | Einsatz nur für konfigurierte KI-Funktionen; Drittlandtransfer nach geeigneten Garantien. |
| ElevenLabs bzw. verbundene Anbieter | Text-to-Speech, Stimmen, ggf. sprachbezogene Zusatzfunktionen je nach Konfiguration | EU/USA je nach Leistung | Einsatz nur bei aktivierter Funktion; Drittlandtransfer nach geeigneten Garantien. |
| E-Mail-/Kommunikationsdienstleister | System-E-Mails, Benachrichtigungen, Supportkommunikation | EU oder angemessenes Schutzniveau | Nur soweit im jeweiligen Setup eingesetzt. |
Zahlungsdienstleister, die VIICO zur eigenen Abrechnung gegenüber dem Kunden einsetzt, sind grundsätzlich nicht Bestandteil dieser Kunden-AVV, soweit sie nicht personenbezogene Daten im Auftrag des Kunden verarbeiten.
Anlage C — TOM und Ansprechpartner
Die technischen und organisatorischen Maßnahmen ergeben sich aus der jeweils beigefügten TOM-Anlage Robopult in der zum Vertragsschluss bereitgestellten Version.
| Datenschutzkontakt | support@robopult.de |
| Sicherheits-/Supportkontakt | support@robopult.de |
| Verantwortliche Gesellschaft | VIICO GmbH, An der Oberpforte 18a, 55128 Mainz, vertreten durch den Geschäftsführer Jonas Czwalina |