Jetzt starten
Bereit, Ihre
Telefone auf Autopilot zu setzen?
Sehen Sie, wie Elba Anrufe, WhatsApp und SMS für regulierte Teams bearbeitet. Buchen Sie ein 30-minütiges Walkthrough — unverbindlich.
Jetzt starten
Sehen Sie, wie Elba Anrufe, WhatsApp und SMS für regulierte Teams bearbeitet. Buchen Sie ein 30-minütiges Walkthrough — unverbindlich.
Gültig ab: 11. März 2026
Diese Vereinbarung zur Datenverarbeitung („AVD“) wird gemäß Art. 28 DSGVO zwischen Kolsetu GmbH („Auftragsverarbeiter“) und dem Kunden („Auftraggeber“) geschlossen und ist integraler Bestandteil des Vertrags über die Bereitstellung der Elba AI-Plattform und zugehöriger Dienstleistungen („Vereinbarung“). Diese AVD gilt sowohl für Unternehmenskunden als auch für Self-Service-Kunden der Elba-Plattform.
Hinweis zum Geltungsbereich: Diese AVD regelt die Verarbeitung von personenbezogenen Daten des Kunden durch Kolsetu in seiner Eigenschaft als Auftragsverarbeiter. Kolsetu verarbeitet auch personenbezogene Daten von Plattformnutzern (Administratoren und Betreibern) in seiner Eigenschaft als Verantwortlicher; diese Verarbeitung ist in der Kolsetu Produkt-Datenschutzrichtlinie auf der Homepage (www.kolsetu.com) beschrieben.
Der Auftraggeber bestimmt die Zwecke und Mittel der hier beschriebenen Verarbeitung. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers und zu keinem anderen Zweck.
In dieser AVD verwendete, aber nicht definierte großgeschriebene Begriffe haben die Bedeutungen, die in den Allgemeinen Geschäftsbedingungen, den geltenden Elba-Dienstleistungsbedingungen (Enterprise Service Terms oder Self-Serve Terms, je nach Anwendbarkeit) und, falls ein Bestellformular ausgeführt wurde, im Bestellformular festgelegt sind.
In dieser AVD haben die folgenden Begriffe die unten aufgeführten Bedeutungen. Hier nicht definierte Begriffe haben die in Art. 4 DSGVO oder der Vereinbarung festgelegten Bedeutungen.
Begriff | Definition |
Vereinbarung | Der Vertrag zwischen den Parteien über die Erbringung der Dienstleistungen, bestehend aus den AGB, den Elba Enterprise Service Terms und dem Bestellformular. |
Personenbezogene Daten des Kunden | Alle personenbezogenen Daten, die der Auftragsverarbeiter im Auftrag des Auftraggebers gemäß der Vereinbarung verarbeitet. |
Datenschutzgesetze | DSGVO; das deutsche Bundesdatenschutzgesetz (BDSG); UK GDPR und der Data Protection Act 2018; der Australian Privacy Act 1988; und geltende US-Bundes- und Landesdatenschutzgesetze (einschließlich CCPA), jeweils in der jeweils geltenden Fassung und nur insoweit anwendbar. |
DSGVO | Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016. |
Datenschutzverletzung | Eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten des Kunden führt, die vom Auftragsverarbeiter übermittelt, gespeichert oder anderweitig verarbeitet werden, wie in Art. 4 Abs. 12 DSGVO definiert. |
Dienstleistungen | Die Elba AI-Plattform und alle zugehörigen Dienstleistungen, die der Auftragsverarbeiter im Rahmen der Vereinbarung erbringt. |
Auftragsverarbeiter | Jeder Datenverarbeiter, der vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten des Kunden beauftragt wird. |
TOMs | Die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen. |
Datenschutzrahmen | Der EU-US-Datenschutzrahmen, der durch den Beschluss (EU) 2023/1795 der Kommission eingerichtet wurde. |
2.1 Rollen. Die Parteien erkennen an, dass der Auftraggeber im Sinne der geltenden Datenschutzgesetze als Datenverantwortlicher und der Auftragsverarbeiter als Datenverarbeiter handelt. Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Kunden ausschließlich im Auftrag des Auftraggebers.
2.2 Weisungen. Der Auftraggeber weist den Auftragsverarbeiter an, personenbezogene Daten des Kunden im erforderlichen Umfang für die Erbringung der Dienstleistungen und die Erfüllung seiner Rechte und Pflichten aus der Vereinbarung zu verarbeiten. Die Weisungen sind zunächst in dieser AVD festgelegt und können anschließend vom Auftraggeber schriftlich geändert werden.
2.3 CCPA. In Bezug auf personenbezogene Daten des Kunden, die für die Zwecke des California Consumer Privacy Act („CCPA“) „personenbezogene Informationen“ darstellen, wird der Auftragsverarbeiter Folgendes nicht tun: (a) die personenbezogenen Informationen verkaufen oder weitergeben; (b) die personenbezogenen Informationen für andere Zwecke als die in der Vereinbarung genannten Geschäftszwecke oder anderweitig nach dem CCPA zulässigen Zwecke aufbewahren, verwenden oder offenlegen; (c) die personenbezogenen Informationen außerhalb der direkten Geschäftsbeziehung zwischen dem Auftragsverarbeiter und dem Auftraggeber aufbewahren, verwenden oder offenlegen; oder (d) die vom Auftraggeber erhaltenen personenbezogenen Informationen mit personenbezogenen Informationen kombinieren, die von oder aus anderen Quellen stammen, es sei denn, dies ist nach dem CCPA zulässig. Der Auftragsverarbeiter bestätigt, dass er diese Beschränkungen versteht und einhalten wird.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Kunden für die Dauer der Vereinbarung oder bis der Auftraggeber eine andere Weisung erteilt, ausschließlich zum Zweck der Erbringung der Dienstleistungen.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Kunden im Zusammenhang mit:
Bereitstellung und Betrieb der Elba AI-Sprachautomatisierungsplattform
Verarbeitung von Sprachinteraktionen, Erstellung von Transkripten und Bereitstellung von Gesprächsanalysen
Omnichannel-Orchestrierung (Sprache, Chat, E-Mail, SMS, WhatsApp) im Auftrag des Auftraggebers
Integrationen mit den Unternehmenssystemen des Auftraggebers, einschließlich CRM, ERP, Telefonie und Kommunikationsplattformen, über native Konnektoren, REST-API und Webhook-Framework, wie vom Auftraggeber konfiguriert
Verwaltung von Benutzerkonten, Zugriffskontrolle und Authentifizierung
Sicherheitsüberwachung, Betrugsprävention und Incident Management
Kundensupport und technische Fehlerbehebung
Abhängig vom Anwendungsfall und der Konfiguration des Auftraggebers kann der Auftragsverarbeiter Folgendes verarbeiten:
Kontaktinformationen (Name, Telefonnummer, E-Mail-Adresse)
Sprachaufzeichnungen und abgeleitete Audiodaten
Gesprächstranskripte und Interaktionsprotokolle
Kundendienstaufzeichnungen und Falldaten
Kontozugangsdaten und Authentifizierungsdaten
Nutzungsdaten, Sitzungsprotokolle und Aktivitätsmetadaten
Daten aus integrierten Unternehmenssystemen, wie vom Auftraggeber konfiguriert
Betroffene Personen können sein:
Endkunden des Auftraggebers, die mit der Elba-Plattform interagieren
Mitarbeiter des Auftraggebers und autorisierte Nutzer der Plattform
Andere Personen, deren Daten über vom Auftraggeber konfigurierte Integrationen verarbeitet werden
Der Auftragsverarbeiter verarbeitet besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) ausschließlich auf dokumentierte Weisung des Auftraggebers. Der Auftraggeber ist allein dafür verantwortlich, sicherzustellen, dass jede Übermittlung von Daten besonderer Kategorien an die Plattform durch eine gültige Rechtsgrundlage gemäß Art. 9 DSGVO gedeckt ist, dass alle erforderlichen Bedingungen erfüllt sind und dass vor der Übermittlung geeignete Schutzmaßnahmen getroffen werden. Der Auftragsverarbeiter wendet für Daten besonderer Kategorien dieselben technischen und organisatorischen Maßnahmen an wie für alle anderen personenbezogenen Daten des Kunden.
Personenbezogene Daten des Kunden werden während der Laufzeit der Vereinbarung periodisch an den Auftragsverarbeiter übertragen, abhängig davon, wie der Auftraggeber die Dienstleistungen nutzt.
4.1.1 Verarbeitung von personenbezogenen Daten des Kunden nur auf dokumentierte Weisung des Auftraggebers, es sei denn, dies ist nach geltendem Recht erforderlich. In solchen Fällen informiert der Auftragsverarbeiter den Auftraggeber vor der Verarbeitung, es sei denn, dies ist gesetzlich untersagt.
4.1.2 Wenn der Auftragsverarbeiter der Ansicht ist, dass eine Weisung gegen Datenschutzgesetze verstößt, informiert er den Auftraggeber unverzüglich über seine rechtlichen Bedenken und kann die Weisung bis zur Klärung aussetzen.
4.2.1 Sicherstellen, dass alle zur Verarbeitung personenbezogener Daten des Kunden befugten Personen an entsprechende Vertraulichkeitsverpflichtungen (vertraglich oder gesetzlich) gebunden sind und eine einschlägige Schulung zum Datenschutz erhalten.
4.3.1 Implementierung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen (TOMs) gemäß Anhang 2, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der Anforderungen gemäß Art. 32 DSGVO. Der Auftragsverarbeiter kann die TOMs von Zeit zu Zeit aktualisieren, vorausgesetzt, dass solche Aktualisierungen nicht zu einer Verschlechterung des allgemeinen Sicherheitsniveaus führen.
4.4.1 Kein neuer Sub-Prozessor wird beauftragt oder die Rolle eines bestehenden Sub-Prozessors wird nicht wesentlich geändert, ohne dem Controller eine schriftliche Vorabmitteilung (mindestens 30 Werktage) zukommen zu lassen. Die Liste der Sub-Prozessoren in Abschnitt 6 dieses DPA stellt die maßgebliche und aktuelle Aufzeichnung der genehmigten Sub-Prozessoren dar.
4.4.2 Sicherstellen, dass jeder beauftragte Sub-Prozessor durch Datenschutzverpflichtungen gebunden ist, die nicht weniger schützend sind als die in diesem DPA, durch Vertrag oder einen anderen Rechtsakt. Der Auftragsverarbeiter bleibt voll verantwortlich für die Erfüllung der Datenschutzverpflichtungen seiner Sub-Prozessoren.
4.5.1 Ausschluss für KI-Training. Weder der Auftragsverarbeiter noch einer seiner Sub-Prozessoren darf Kundendaten – einschließlich Sprachaufzeichnungen, Transkripte, Konversationsdaten oder daraus abgeleitete Daten – zum Trainieren, Feinabstimmen oder Verbessern von KI- oder maschinellen Lernmodellen für allgemeine Zwecke verwenden. Diese Einschränkung gilt unabhängig davon, ob die Daten pseudonymisiert wurden. Der Auftragsverarbeiter stellt sicher, dass vergleichbare Einschränkungen vertraglich auf alle KI-Sub-Prozessoren auferlegt werden.
4.5.2 Datenminimierung für KI-Inferenz. Wenn Kundendaten zur Inferenzverarbeitung an KI-Sub-Prozessoren übermittelt werden, stellt der Auftragsverarbeiter sicher, dass nur die für die spezifische Inferenzanfrage erforderlichen Mindestdaten übermittelt werden. KI-Sub-Prozessoren dürfen Kundendaten nicht über die Dauer der Inferenzsitzung hinaus speichern, es sei denn, dies ist gesetzlich vorgeschrieben.
4.5.3 Biometrische Daten. Der Auftragsverarbeiter leitet keine biometrischen Identifikatoren oder Stimmenabdrücke aus Sprachaufzeichnungen ab, die über die Elba-Plattform verarbeitet werden, und verarbeitet keine Sprachaufzeichnungen als biometrische Daten im Sinne von Art. 9 DSGVO oder gleichwertigen Bestimmungen nach geltendem Datenschutzrecht. Sprachaufzeichnungen werden ausschließlich zu den in Anhang I-B beschriebenen Zwecken der Transkription, Intent-Analyse und Konversationsanalyse verarbeitet.
4.6.1 Unterstützung des Controllers bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen betroffener Personen gemäß Kapitel III DSGVO (Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch). Direkt vom Auftragsverarbeiter erhaltene Anfragen von betroffenen Personen werden unverzüglich und in jedem Fall innerhalb von fünf (5) Werktagen an den Controller weitergeleitet. Der Auftragsverarbeiter darf ohne vorherige Genehmigung des Controllers nicht direkt auf Anfragen betroffener Personen antworten, es sei denn, er ist gesetzlich dazu verpflichtet.
4.7.1 Unterstützung des Controllers bei der Sicherstellung der Einhaltung von Art. 32–36 DSGVO (Sicherheit, Meldung von Verstößen, Datenschutz-Folgenabschätzungen und vorherige Konsultation mit Aufsichtsbehörden) unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
4.7.2 Wenn der Controller verpflichtet ist, einer zuständigen Aufsichtsbehörde Informationen zur Verfügung zu stellen, leistet er dem Controller gegen Kostenerstattung angemessene Unterstützung, indem er solche Informationen bereitstellt, soweit diese dem Auftragsverarbeiter vorliegen.
4.8.1 Nach Wahl des Controllers werden alle Kundendaten nach Beendigung der Dienste gelöscht oder zurückgegeben und bestehende Kopien gelöscht, es sei denn, das Unions- oder Mitgliedstaatenrecht schreibt eine Aufbewahrung vor. Die Löschung erfolgt innerhalb von 30 Tagen nach Beendigung oder Anweisung des Controllers. Eine schriftliche Bestätigung der Löschung ist auf Anfrage erhältlich.
4.9.1 Dem Controller werden alle Informationen zur Verfügung gestellt, die vernünftigerweise erforderlich sind, um die Einhaltung von Art. 28 DSGVO nachzuweisen. Der Controller muss eine angemessene schriftliche Vorankündigung für jede angeforderte Prüfung (mindestens 30 Werktage, außer im Falle eines Verdachts auf einen Verstoß) geben. Prüfungen finden nicht öfter als einmal pro Jahr und auf eine der folgenden Arten statt: (a) der Auftragsverarbeiter stellt eine Kopie seiner aktuellen Prüfberichte zur Verfügung, die von unabhängigen externen Prüfern erstellt wurden (z. B. ISO 27001-Zertifizierung, SOC 2 Typ II); (b) der Auftragsverarbeiter stellt schriftliche Antworten auf Informationssicherheitsfragebögen zur Verfügung; oder (c) der Controller weist eine gerichtete Inspektion vereinbarter TOMs an, deren Ergebnisse der Auftragsverarbeiter in zusammengefasster Form teilt.
5.1 Einhaltung aller geltenden Datenschutzgesetze in Bezug auf Kundendaten. Der Controller darf die Dienste nicht in einer Weise nutzen, die gegen Datenschutzgesetze verstößt.
5.2 Zusicherung und Gewährleistung, dass er eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO (und Art. 9, falls zutreffend) für alle an den Auftragsverarbeiter übermittelten personenbezogenen Daten und für jede Übermittlung von Kundendaten an den Auftragsverarbeiter hat. Der Controller benachrichtigt den Auftragsverarbeiter unverzüglich, wenn sich Änderungen an den Rechtsgrundlagen für die Verarbeitung ergeben.
5.3 Sicherstellen, dass alle erforderlichen Mitteilungen an die betroffenen Personen erfolgt sind und, wo erforderlich, alle erforderlichen Einwilligungen von den betroffenen Personen im Zusammenhang mit der Verarbeitung gemäß diesem DPA eingeholt wurden.
5.4 Alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und die Mittel, mit denen der Controller sie erwirbt.
5.5 Den Auftragsverarbeiter unverzüglich über jede Anfrage oder Beschwerde informieren, die von einer betroffenen Person oder einer Aufsichtsbehörde in Bezug auf die Verarbeitung von Kundendaten gemäß diesem DPA eingeht.
5.6 Allgemeine Zustimmung zu Sub-Prozessoren. Der Controller erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Beauftragung von Sub-Prozessoren und verbundenen Unternehmen des Auftragsverarbeiters für die Verarbeitung von Kundendaten, vorbehaltlich des Benachrichtigungs- und Widerspruchsverfahrens in Abschnitt 6.
6.1 Die maßgebliche Liste der vom Auftragsverarbeiter am Stichtag dieses DPA beauftragten Sub-Prozessoren ist in Anhang I-C aufgeführt. Jede Änderung der Sub-Prozessoren unterliegt dem Benachrichtigungs- und Widerspruchsverfahren gemäß den Klauseln 6.2 und 6.3 und führt zur Ausstellung einer neuen Version von Anhang I-C an den Controller.
6.2 Der Auftragsverarbeiter wird mindestens 30 Werktage im Voraus schriftlich über jede beabsichtigte Hinzufügung oder Ersetzung von Sub-Prozessoren informieren. Der Controller kann innerhalb von 10 Werktagen nach Erhalt einer solchen Mitteilung aus begründeten Datenschutzgründen ("Legitime Gründe") einem neuen oder ersetzten Sub-Prozessor widersprechen. Wenn der Controller dem Auftragsverarbeiter nicht innerhalb dieser Frist einen Widerspruch mitteilt, gilt der Controller als Zustimmung zum neuen Sub-Prozessor.
6.3 Wenn der Controller einen Widerspruch erhebt, wird der Auftragsverarbeiter in gutem Glauben mit dem Controller zusammenarbeiten, um die legitimen Gründe zu adressieren. Wenn die Parteien sich nicht innerhalb von 20 Werktagen nach Erhalt des Widerspruchs durch den Auftragsverarbeiter einigen können, kann der Controller durch schriftliche Mitteilung die Dienstkomponenten kündigen, die die Nutzung des vorgeschlagenen Sub-Prozessors erfordern.
6.4 Der Auftragsverarbeiter bleibt dem Controller gegenüber voll verantwortlich für die datenschutzrechtliche Leistung aller Sub-Prozessoren.
6.5 Vom Kunden bereitgestellte KI-Anbieter. Wenn der Controller die Dienste so konfiguriert, dass er KI-Modellanbieter von Drittanbietern unter eigenen Konten und Vereinbarungen des Controllers nutzt (einschließlich, aber nicht beschränkt auf selbst bereitgestellte LLM-API-Schlüssel), ist der Controller allein verantwortlich für die Einhaltung der geltenden Datenschutzgesetze in Bezug auf diese Anbieter, einschließlich des Abschlusses aller erforderlichen Datenverarbeitungsverträge. Solche Anbieter sind keine Sub-Prozessoren des Auftragsverarbeiters und fallen nicht unter dieses DPA.
7.1 Die gesamte KI-Inferenzverarbeitung von Kundendaten erfolgt ausschließlich über Azure OpenAI Service innerhalb der Azure EU-Region. Der Auftragsverarbeiter stellt sicher, dass jede Übermittlung von Kundendaten in Drittländer (außerhalb des EWR) gemäß Kapitel V DSGVO erfolgt, indem er sich stützt auf: (a) eine Angemessenheitsentscheidung der EU-Kommission; (b) EU-Standardvertragsklauseln (Beschluss 2021/914); oder (c) in Bezug auf US-Anbieter, die sich unter dem Data Privacy Framework zertifiziert haben, das Data Privacy Framework gemäß Beschluss (EU) 2023/1795 der Kommission.
7.2 Vorrang von Übertragungsmechanismen. Wenn mehr als ein Übertragungsmechanismus anwendbar ist, unterliegen Übermittlungen den Mechanismen in der folgenden Reihenfolge: (a) das Data Privacy Framework; (b) EU-Standardvertragsklauseln; (c) andere alternative Übertragungsmechanismen, die nach geltendem Recht zulässig sind.
7.3 Transfer Impact Assessments (TIAs) werden vom Auftragsverarbeiter für alle Übermittlungen an Sub-Prozessoren in Drittländer durchgeführt. TIA-Dokumentation ist auf schriftliche Anfrage für den Controller verfügbar.
Der Auftragsverarbeiter implementiert und unterhält geeignete technische und organisatorische Maßnahmen zum Schutz von Kundendaten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff. Vollständige Details sind in Anhang 2 aufgeführt. Wichtige Maßnahmen umfassen:
Verschlüsselung von Kundendaten während der Übertragung und im Ruhezustand unter Verwendung von branchenüblichen Algorithmen
Rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung für alle privilegierten Zugriffe
Logische Mandantenisolierung – die Daten jedes Kunden werden in einer dedizierten, logisch isolierten Umgebung verarbeitet
Regelmäßige Penetrationstests und kontinuierliches Schwachstellenmanagement durch qualifizierte Anbieter
Dokumentierte Verfahren zur Erkennung, Reaktion und Eskalation von Vorfällen
Schulung zum Datenschutz für Mitarbeiter und entsprechende Hintergrundüberprüfungen
Geschäftskontinuitäts- und Notfallwiederherstellungspläne, die mindestens jährlich getestet werden
Überwachung von Sub-Prozessoren zur Gewährleistung gleichwertiger Datenschutzstandards in der gesamten Lieferkette
9.1 Im Falle einer Datenschutzverletzung benachrichtigt der Auftragsverarbeiter den Controller unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Bekanntwerden.
9.2 Die Benachrichtigung muss, soweit bekannt, Folgendes enthalten: die Art der Verletzung; die Kategorien und die ungefähre Anzahl der betroffenen Datenverarbeitungsbeteiligten; die Kategorien und die ungefähre Anzahl der betroffenen Datensätze; wahrscheinliche Folgen; und ergriffene oder vorgeschlagene Maßnahmen. Wenn vollständige Informationen bei der Erstbenachrichtigung nicht verfügbar sind, werden diese unverzüglich in Phasen bereitgestellt.
9.3 Der Auftragsverarbeiter dokumentiert alle Verletzungen und Abhilfemaßnahmen gemäß Art. 33 Abs. 5 DSGVO.
10.1 Der Auftragsverarbeiter hat Maßnahmen zur Regelung der Offenlegung von Kundendaten an staatliche Stellen implementiert. Diese Maßnahmen erfordern, dass der Auftragsverarbeiter seine Verpflichtungen zur Einhaltung behördlicher Anordnungen oder Aufforderungen und seine rechtlichen Verpflichtungen zum Schutz von Kundendaten berücksichtigt.
10.2 Soweit gesetzlich zulässig, benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich über jede rechtlich bindende Aufforderung zur Offenlegung von Kundendaten durch eine Strafverfolgungs- oder Regierungsbehörde, bevor er auf eine solche Aufforderung reagiert. Wenn der Auftragsverarbeiter keine Benachrichtigung an den Verantwortlichen übermitteln darf, wird er die Erlaubnis dazu einholen oder die ausstellende Behörde bitten, die Informationen direkt vom Verantwortlichen anzufordern.
10.3 Der Auftragsverarbeiter wird eine behördliche Anordnung oder Aufforderung anfechten, wenn dies angemessen und rechtlich zulässig ist. Wenn eine Offenlegung zur Erfüllung einer gültigen gerichtlichen Anordnung oder Aufforderung erforderlich ist, gibt der Auftragsverarbeiter nur die geringste Menge an Kundendaten preis, die zur Einhaltung erforderlich ist.
10.4 In Bezug auf personenbezogene Daten von EU-Bürgern hält der Auftragsverarbeiter die Verpflichtungen ein, die in den EU-Standardvertragsklauseln in Bezug auf Anfragen von Regierungsbehörden festgelegt sind.
Wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Datenverarbeitungsbeteiligten zur Folge hat, leistet der Auftragsverarbeiter dem Verantwortlichen angemessene Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO, unter anderem durch Bereitstellung von Informationen über seine Verarbeitungstätigkeiten und Sicherheitsmaßnahmen.
12.1 Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den in den AGB festgelegten Beschränkungen. Ansprüche, die im Rahmen dieser DPA geltend gemacht werden, unterliegen den Bedingungen der Vereinbarung, einschließlich der darin enthaltenen Ausschlüsse und Beschränkungen; vorausgesetzt, keine Partei hat ihre Haftung im Rahmen der Vereinbarung in Bezug auf die Rechte eines Datenverarbeitungsbeteiligten gemäß den Datenschutzgesetzen beschränkt, wo eine solche Beschränkung nach geltendem Recht verboten ist.
12.2 Im Falle eines Konflikts zwischen der Vereinbarung und dieser DPA haben die Bestimmungen dieser DPA Vorrang.
Diese DPA tritt mit der Unterzeichnung in Kraft (oder, wenn die Vereinbarung über ein Bestellformular abgeschlossen wird, mit der Unterzeichnung des Bestellformulars) und bleibt für die Dauer der Vereinbarung in Kraft. Mit der Beendigung der Vereinbarung endet diese DPA automatisch. Die Verpflichtungen in den Abschnitten 4.2 (Vertraulichkeit), 4.8 (Rückgabe und Löschung von Daten) und 9 (Meldung von Datenschutzverletzungen) bleiben nach der Beendigung bestehen.
14.1 Anwendbares Recht. Diese DPA unterliegt dem Recht der Bundesrepublik Deutschland. Streitigkeiten unterliegen den Bestimmungen zur Streitbeilegung der AGB.
14.2 Änderungen. Änderungen dieser DPA bedürfen der Schriftform. Im Falle eines Konflikts hat diese DPA Vorrang vor der Vereinbarung.
14.3 Mitteilungen. Alle Mitteilungen im Rahmen dieser DPA sind an die in der Vereinbarung angegebenen Adressen zu senden.
14.4 Salvatorische Klausel. Sollte eine Bestimmung dieser DPA für ungültig oder nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen in vollem Umfang in Kraft und wirksam.
14.5 EU-Standardvertragsklauseln. Soweit die EU-Standardvertragsklauseln im Widerspruch zu einer Bestimmung dieser DPA stehen, haben die EU-Standardvertragsklauseln im Umfang dieses Widerspruchs Vorrang. Es ist nicht die Absicht der Parteien, Bestimmungen der EU-Standardvertragsklauseln zu widersprechen oder diese einzuschränken.
14.6 Sprache und Übersetzungen. Diese DPA ist in englischer und deutscher Sprache verfügbar, beide wurden auf rechtliche Genauigkeit geprüft. Der englische Text ist die maßgebliche Fassung für alle Zwecke, einschließlich Auslegung, Streitbeilegung und Durchsetzung. Übersetzungen in andere Sprachen können nur zur einfacheren Referenz veröffentlicht werden und haben keine rechtliche Wirkung. Im Falle von Inkonsistenzen zwischen dem englischen Text und einer Übersetzung hat der englische Text Vorrang.
Datenschutzkontakt: privacy@kolsetu.com
Adresse: Kolsetu GmbH, Gaensemarkt 33, 20354 Hamburg, Deutschland
Name: Kunde, wie im Bestellformular oder bei der Registrierung des Kontos definiert (Elba Self-Serve)
Adresse: Wie im Bestellformular oder bei der Registrierung des Kontos definiert (Elba Self-Serve)
Kontakt: Wie im Bestellformular oder bei der Registrierung des Kontos definiert (Elba Self-Serve)
Unterschrift: Unternehmenskunden akzeptieren diese DPA durch Unterzeichnung des Bestellformulars. Self-Service-Kunden akzeptieren diese DPA durch Abschluss der Kontoerstellung und Annahme der Elba Self-Serve-Nutzungsbedingungen. In beiden Fällen beinhaltet die Annahme dieser DPA, wo zutreffend, die Annahme der EU-Standardvertragsklauseln.
Rolle: Verantwortlicher
Name: Kolsetu GmbH
Adresse: Gaensemarkt 33, 20354 Hamburg, Deutschland (HRB 191266)
Datenschutzkontakt: privacy@kolsetu.com
Rolle: Auftragsverarbeiter
Hinweis: Da die Kolsetu GmbH in Deutschland (EWR) ansässig ist, erfordert die primäre Beziehung zwischen Verantwortlichem und Auftragsverarbeiter keine EU-Standardvertragsklauseln. EU-Standardvertragsklauseln gelten nur für Weiterleitungen an Subauftragsverarbeiter in Drittländern, wie in der Subauftraggeber-Tabelle in Abschnitt 6 und Anhang I-B aufgeführt.
Punkt | Detail |
Gegenstand der Verarbeitung | Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Elba AI-Plattform und der Dienstleistungen. |
Dauer | Für die Laufzeit der Vereinbarung, es sei denn, der Verantwortliche weist eine frühere Löschung oder Rückgabe an. |
Art der Verarbeitung | Erhebung, Speicherung, Nutzung, Übermittlung und Löschung von Kundendaten auf automatisierte Weise, einschließlich Echtzeit-KI-Verarbeitung von Sprachinteraktionen und Konversationsdaten. |
Zwecke | Bereitstellung und Betrieb der Elba-Plattform; KI-Sprachautomatisierung und Omnichannel-Orchestrierung; Unternehmensintegrationen; Analysen und Berichterstattung; Sicherheit und Support. |
Kategorien von Daten | Wie in Abschnitt 3.3 dieser DPA aufgeführt. |
Kategorien von Betroffenen | Wie in Abschnitt 3.4 dieser DPA aufgeführt. |
Besondere Kategorien von Daten (Art. 9 DSGVO) | Der Auftragsverarbeiter verarbeitet besondere Kategorien personenbezogener Daten ausschließlich auf dokumentierte Anweisung des Verantwortlichen. Der Verantwortliche ist allein dafür verantwortlich, sicherzustellen, dass jede Übermittlung von Daten besonderer Kategorien an die Plattform durch eine gültige Rechtsgrundlage gemäß Art. 9 DSGVO (oder eine gleichwertige Bestimmung nach geltendem Datenschutzrecht) gestützt wird, dass alle erforderlichen Einwilligungen oder sonstigen Bedingungen erfüllt sind und dass vor der Übermittlung geeignete Schutzmaßnahmen getroffen werden. Der Auftragsverarbeiter wendet für Daten besonderer Kategorien dieselben technischen und organisatorischen Maßnahmen an wie für alle anderen Kundendaten gemäß dieser DPA. |
Subauftragsverarbeiter | Wie in Anhang I-C dieser DPA aufgeführt. |
Häufigkeit der Übermittlung | Periodisch während der Laufzeit der Vereinbarung, abhängig von der Nutzung der Dienstleistungen durch den Verantwortlichen. |
Aufbewahrung | Sprachaufzeichnungen: wie vom Verantwortlichen konfiguriert (standardmäßig maximal 90 Tage). Alle anderen Daten: für die Laufzeit der Vereinbarung, es sei denn, eine frühere Löschung wird angewiesen. |
Die zuständige Aufsichtsbehörde ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) gemäß Klausel 13 der EU-Standardvertragsklauseln, da die Kolsetu GmbH in Hamburg, Deutschland, ansässig ist.
Dieser Anhang listet alle von der Kolsetu GmbH zum Stichtag dieser DPA beauftragten Unterauftragsverarbeiter auf. Änderungen dieser Liste unterliegen dem Benachrichtigungs- und Widerspruchsverfahren gemäß Abschnitt 6. Eine neue Version dieses Anhangs wird dem Controller bei Änderungen der Unterauftragsverarbeitervereinbarungen ausgestellt.
Unterauftragsverarbeiter | Land | Dienstleistung | Datenspeicherort | Übertragungsbasis |
Amazon Web Services EMEA SARL | 38 Avenue John F. Kennedy, L-1855 Luxemburg | Cloud-Infrastruktur (Compute, Speicher, Netzwerk); EU-Rechenzentren (Frankfurt) | EWR | Keine Übertragung erforderlich |
Microsoft Ireland Operations Ltd. (Azure) | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland | Cloud-Hosting und -Infrastruktur; EU-Rechenzentren (Frankfurt / Westeuropa) | EWR | Keine Übertragung erforderlich |
Microsoft Ireland Operations Ltd. (Azure OpenAI) | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland | KI-Inferenz (Sprache, NLP, LLM) über Azure OpenAI Service; ausschließlich in der Azure EU-Region verarbeitet | EWR | Keine Übertragung erforderlich |
Anthropic (Claude) | Anthropic Ireland Ltd., 77 Sir John Rogerson's Quay, Dublin 2, Irland | KI-Sprachmodell für interne Sicherheits-, Compliance- und operative Anwendungsfälle; EU-Region | EWR | Keine Übertragung erforderlich |
Google Ireland Limited | Gordon House, Barrow Street, Dublin 4, Irland | Google Workspace – interne Zusammenarbeit, E-Mail, Kalender und Dokumentenverwaltung; kann versehentlich Kundensupport- und operative Daten enthalten | EWR | Keine Übertragung erforderlich |
LiveKit Inc. | 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, Vereinigte Staaten | Echtzeit-Audio/WebRTC für Live-KI-Interaktionen; Daten werden in EU-Rechenzentren (Deutschland) verarbeitet | EWR (EU-Endpunkt) | EU-Standardvertragsklauseln (Beschluss 2021/914 der Kommission) |
Meta Platforms Ireland Limited | Merrion Road, Ballsbridge, Dublin 4, Irland | WhatsApp Business API – Omnichannel-Kundenkommunikation über WhatsApp; EU-Region | EWR | Keine Übertragung erforderlich |
Twilio Ireland Limited | 25–28 North Wall Quay, Dublin 1, Irland | Cloud-Kommunikations-APIs (SMS, VoIP, WebRTC, Zwei-Faktor-Authentifizierung) | EWR | Keine Übertragung erforderlich |
Soniox | Cesta v Gorice 34B, 1000 Ljubljana, Slowenien | Spracherkennung zu Text | EWR | Keine Übertragung erforderlich |
Slack Technologies Limited | One Park Place, Hatch Street Upper, Dublin 2, Irland | Interne Kommunikation und Echtzeit-Routing von Kundensupportanfragen; kann versehentlich Kundeninteraktionsdaten enthalten, die in Support-Workflows geteilt werden | EWR | Keine Übertragung erforderlich |
Zoho Corporation GmbH | Trinkausstraße 7, 40213 Düsseldorf, Deutschland | CRM: Kundenakquise, Kontenverwaltung und Support | EWR | Keine Übertragung erforderlich |
Stripe Payments Europe Ltd. | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland | Zahlungsabwicklung (Unternehmensrechnungsstellung) | EWR | Keine Übertragung erforderlich |
UAB Revolut Business | Konstitucijos ave. 21B, Vilnius, LT-08130, Litauen | Zahlungsabwicklung (Unternehmensrechnungsstellung und Inkasso) | EWR | Keine Übertragung erforderlich |
PayPal (Europe) S.à.r.l. et Cie, S.C.A. | 22–24 Boulevard Royal, L-2449 Luxemburg | Zahlungsabwicklung (Kartenzahlungen und bargeldlose Transaktionen) | EWR | Keine Übertragung erforderlich |
Die Kolsetu GmbH unterhält ein ISMS, das an ISO 27001 ausgerichtet ist, und überprüft und aktualisiert diese Maßnahmen mindestens jährlich. Die folgenden Maßnahmen sind zum Stichtag dieser DPA in Kraft.
Domäne | Verpflichtung |
Organisation und Governance | Kolsetu hat einen CISO/DPO für Informationssicherheit benannt. Ein dokumentierter Richtlinienrahmen, der alle wesentlichen Sicherheitsbereiche abdeckt, wird gepflegt und mindestens jährlich überprüft. |
Risikomanagement | Formale Risikobewertungen werden vor der Einführung neuer Verarbeitungstätigkeiten durchgeführt und mindestens jährlich überprüft. |
Zugriffskontrolle | Der Zugriff auf Systeme, die Kundendaten verarbeiten, wird nach dem Prinzip der geringsten Rechte und des Bedarfs gewährt. Für privilegierte Zugriffe wird eine Multi-Faktor-Authentifizierung erzwungen. |
Verschlüsselung | Kundendaten werden im Ruhezustand und während der Übertragung mit branchenüblichen Algorithmen verschlüsselt. TLS wird für alle Daten erzwungen, die über öffentliche Netzwerke übertragen werden. |
Physische Sicherheit | Die Cloud-Infrastruktur wird in ISO 27001-zertifizierten Rechenzentren gehostet. Physische Zugangskontrollen werden vom Hosting-Anbieter (Microsoft Azure) aufrechterhalten. |
Sicherheitstests | Regelmäßige Penetrationstests und Schwachstellenbewertungen werden durchgeführt. Identifizierte Schwachstellen werden gemäß zeitbasierten Prioritäten behoben. |
Incident Management | Ein dokumentierter Notfallplan wird gepflegt. Der Controller wird innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten durch den Auftragsverarbeiter benachrichtigt. |
Business Continuity | Backup- und Wiederherstellungsverfahren werden aufrechterhalten und getestet. Redundante Infrastruktur ist auf Servicekontinuität ausgelegt. |
Vendor Management | Unterauftragsverarbeiter unterliegen vertraglichen Datenschutzverpflichtungen, die nicht weniger schützend sind als diese DPA. Vor der Aufnahme neuer Unterauftragsverarbeiter wird eine Due-Diligence-Prüfung durchgeführt. |
Government Access | Kolsetu implementiert technische, vertragliche und organisatorische Maßnahmen zum Schutz der personenbezogenen Kundendaten vor unrechtmäßigem Zugriff durch ausländische Behörden, wie in Abschnitt 10 näher beschrieben. |