Auftragsverarbeitungsvertrag (AVV)

gem. Art. 28 DSGVO

Stand: Maerz 2026

Praeambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") wird geschlossen zwischen dem Kunden (nachfolgend "Auftraggeber") und:

AIxion Systems UG (haftungsbeschraenkt)

Christoph Bauermeister

Grossenhainer Str. 98

01127 Dresden, Deutschland

E-Mail: info@aixion.eu
Telefon: +49 151 41664346

(nachfolgend "Auftragnehmer"). Dieser AVV ergaenzt den Hauptvertrag ueber die Nutzung der AIxion-Plattform (WhatsApp-Bots, Call-Agents, Terminbuchungssysteme) und regelt die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers gemaess Art. 28 DSGVO.

1. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Bereitstellung der AIxion-Plattform, insbesondere:

  • Betrieb von KI-gestuetzten WhatsApp-Kommunikationsassistenten
  • Betrieb von KI-Telefonassistenten (Call-Agents)
  • Verwaltung von Terminbuchungen und Kundenkommunikation
  • Speicherung und Verarbeitung von Geschaeftsdaten des Auftraggebers

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Vertragsende werden die Daten gemaess Abschnitt 7 geloescht.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Taetigkeiten:

WhatsApp-Nachrichten

Empfang, Verarbeitung und Beantwortung von WhatsApp-Nachrichten der Endkunden des Auftraggebers durch KI-gestuetzte Assistenten. Zweck: Automatisierte Kundenkommunikation, Terminvereinbarung, Informationsbereitstellung.

Terminbuchungen

Erfassung, Speicherung und Verwaltung von Terminbuchungen inkl. Kundenname, Kontaktdaten und gebuchter Dienstleistung. Zweck: Terminmanagement fuer den Auftraggeber.

Kundendaten

Speicherung von Kontaktdaten und Kommunikationsverlaeufen der Endkunden. Zweck: Bereitstellung eines CRM-aehnlichen Ueberblicks fuer den Auftraggeber.

Telefongespraeche

Entgegennahme und KI-gestuetzte Verarbeitung eingehender Anrufe. Zweck: Automatisierte Anrufbearbeitung und Terminvergabe.

3. Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

  • Kontaktdaten: Name, Telefonnummer, E-Mail-Adresse
  • Kommunikationsdaten: WhatsApp-Nachrichteninhalte, Anrufprotokolle
  • Termindaten: Datum, Uhrzeit, gebuchte Dienstleistung, Terminnotizen
  • Technische Daten: IP-Adressen, Zeitstempel, Geraeteinformationen

Besondere Kategorien (Art. 9 DSGVO): Bei Auftraggebern im Gesundheitsbereich (z.B. Zahnarztpraxen, Physiotherapeuten) koennen Gesundheitsdaten verarbeitet werden, etwa bei der Terminbuchung fuer bestimmte Behandlungen. Der Auftraggeber ist verpflichtet, eine geeignete Rechtsgrundlage (z.B. Einwilligung gemaess Art. 9 Abs. 2 lit. a DSGVO) fuer die Verarbeitung dieser Daten sicherzustellen.

4. Kategorien betroffener Personen

  • Endkunden des Auftraggebers: Personen, die ueber WhatsApp, Telefon oder andere Kanaele mit dem Auftraggeber kommunizieren
  • Patienten / Klienten: Bei Auftraggebern im Gesundheits- oder Dienstleistungsbereich
  • Mitarbeiter des Auftraggebers: Sofern deren Daten im Rahmen der Teamverwaltung verarbeitet werden (z.B. Dienstplaene, Terminzuordnung)

5. Technische und organisatorische Massnahmen (TOMs)

Der Auftragnehmer trifft folgende Massnahmen zum Schutz personenbezogener Daten:

Serverstandort und Hosting

  • Alle Server befinden sich in Rechenzentren in Deutschland (Hetzner Online GmbH)
  • Kein Datentransfer in Drittlaender ausserhalb der EU/des EWR fuer gespeicherte Daten
  • ISO 27001-zertifizierte Rechenzentren

Verschluesselung

  • TLS 1.2/1.3-Verschluesselung fuer alle Daten in Transit
  • Verschluesselte Datenbanken und Backups
  • SSH-Key-basierter Serverzugang (kein Passwort-Login)

Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle (RBAC) fuer alle Systeme
  • JWT-basierte Authentifizierung fuer API-Zugriffe
  • Strikte Mandantentrennung (Multi-Tenant-Architektur)
  • Firewall-Regeln (UFW) auf allen Servern

Verfuegbarkeit und Wiederherstellung

  • Taegliche automatisierte Datenbank-Backups
  • Redundante Serverinfrastruktur (Primary + Backup)
  • PostgreSQL-Replikation fuer Datenbankausfallsicherheit
  • Monitoring via Prometheus und Grafana

Protokollierung

  • Zugriffsprotokollierung auf allen Servern
  • Audit-Logs fuer administrative Aktionen
  • Automatische Log-Rotation (7 Tage)

6. Unterauftragnehmer

Der Auftragnehmer setzt folgende Unterauftragnehmer ein. Der Auftraggeber stimmt dem Einsatz dieser Unterauftragnehmer zu:

Unterauftragnehmer Zweck Standort
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen 		Server-Hosting, Rechenleistung, Datenspeicherung Deutschland (Nuernberg, Falkenstein)
Meta Platforms Ireland Ltd.
4 Grand Canal Square, Dublin 2, Irland 		WhatsApp Business API: Zustellung und Empfang von WhatsApp-Nachrichten EU (Irland) / Datentransfer gem. Meta-DPA
Stripe Payments Europe Ltd.
1 Grand Canal Street Lower, Dublin 2, Irland 		Zahlungsabwicklung (Kreditkarte, SEPA) EU (Irland)

Der Auftragnehmer informiert den Auftraggeber vor dem Einsatz neuer Unterauftragnehmer oder dem Wechsel bestehender Unterauftragnehmer. Der Auftraggeber hat das Recht, gegen den Einsatz eines neuen Unterauftragnehmers Einspruch zu erheben.

7. Pflichten des Auftragnehmers

7.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich auf Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO). Eine darueber hinausgehende Verarbeitung findet nicht statt, es sei denn, der Auftragnehmer ist durch Unionsrecht oder nationales Recht dazu verpflichtet.

7.2 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass sich alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

7.3 Unterstuetzung des Auftraggebers

Der Auftragnehmer unterstuetzt den Auftraggeber bei der Erfuellung seiner Pflichten nach Art. 32-36 DSGVO, insbesondere bei:

  • Sicherheit der Verarbeitung (Art. 32 DSGVO)
  • Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO)
  • Datenschutz-Folgenabschaetzungen (Art. 35 DSGVO)
  • Beantwortung von Betroffenenanfragen (Art. 15-22 DSGVO)

7.4 Loeschung und Rueckgabe

Nach Beendigung des Hauptvertrags loescht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch stellt der Auftragnehmer die Daten vorher in einem gaengigen Format (JSON/CSV) zur Verfuegung.

7.5 Meldepflicht bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzueglich (innerhalb von 24 Stunden) ueber jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO) per E-Mail an die vom Auftraggeber hinterlegte Kontaktadresse.

7.6 Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der in diesem AVV festgelegten Pflichten zu ueberpruefen. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfuegung und ermoeglicht Audits sowie Inspektionen.

8. Pflichten des Auftraggebers

Der Auftraggeber ist verantwortlich fuer die Rechtmaessigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen. Insbesondere:

  • Sicherstellung einer geeigneten Rechtsgrundlage fuer die Datenverarbeitung (z.B. Einwilligung, Vertrag)
  • Information der betroffenen Personen gemaess Art. 13/14 DSGVO
  • Bei Gesundheitsdaten: Einholung einer ausdruecklichen Einwilligung gemaess Art. 9 Abs. 2 lit. a DSGVO
  • Erteilung von Weisungen in Textform

9. Kontakt und Schlussbestimmungen

Ansprechpartner beim Auftragnehmer:

Christoph Bauermeister (Geschaeftsfuehrer)

AIxion Systems UG (haftungsbeschraenkt)

Grossenhainer Str. 98, 01127 Dresden

E-Mail: info@aixion.eu
Telefon: +49 151 41664346

Aenderungen und Ergaenzungen dieses AVV beduerfen der Schriftform. Es gilt deutsches Recht. Gerichtsstand ist Dresden, soweit gesetzlich zulaessig.

Dieser AVV tritt mit Abschluss des Hauptvertrags in Kraft und endet automatisch mit dessen Beendigung.