Kontakt
+49 841 95914996
Folge uns auf:
Jetzt starten
KI Telefon: +49 841 95914996
Folge uns auf:
Jetzt starten
Jetzt starten

AGB

Allgemeine Geschäftsbedingungen
Auftragsverarbeitungsvertrag
AVV Anlage 1 – Subunternehmer
AVV Anlage 2 – TOM
AVV Anlage 3 – Versions- und Änderungsprotokoll

Allgemeine Geschäftsbedingungen

§ 1 Geltungsbereich

(1) Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für sämtliche gegenwärtigen und zukünftigen Dienstleistungen, Funktionen und Angebote der novofon®-Plattform (nachfolgend „novofon“), betrieben durch die Novo AI Solutions UG (haftungsbeschränkt), Ingolstadt, Deutschland.

(2) Sie bilden die rechtlich verbindliche Grundlage für sämtliche Vertragsverhältnisse zwischen novofon und seinen Kunden.

(3) Kunde im Sinne dieser AGB ist ausschließlich der Unternehmer im Sinne des § 14 BGB (nachfolgend „Kunde“). Eine Anwendung dieser AGB gegenüber Verbrauchern gemäß § 13 BGB ist ausgeschlossen.

§ 2 Vertragsgegenstand

(1) novofon stellt dem Kunden eine cloudbasierte Softwareplattform zur KI-gestützten Sprachautomatisierung sowie zur Verwaltung und Automatisierung telefoniebasierter Geschäftsprozesse kostenpflichtig zur Verfügung. Die Bereitstellung erfolgt im Wege des Software-as-a-Service („SaaS“) und wird nachfolgend als „Service“ bezeichnet.

(2) Der SaaS-Vertrag wird abgeschlossen mit der Novo AI Solutions UG (haftungsbeschränkt), Levelingstraße 106, 85049 Ingolstadt, Deutschland.

(3) Der Service umfasst insbesondere folgende Kernfunktionen (nicht abschließend):

  • automatisierte Anrufannahme und Gesprächsführung
  • Anrufverwaltung und Gesprächssteuerung
  • KI-gestützte Sprachverarbeitung, insbesondere Speech-to-Text-Transkription und Natural Language Understanding
  • Call-Routing-, Eskalations- und Rückruf-Workflows
  • API-Schnittstellen zur Anbindung externer Systeme (z. B. CRM-, Ticket- und Kalender-Systeme)
  • Zugriff auf Wissensdatenbanken sowie auf freigegebene externe Informationsquellen (Websuche über definierte Whitelists)
  • Gesprächsnachverarbeitung, insbesondere durch Versand von E-Mails oder SMS
  • Auswertungen, Reportings und Analyse-Dashboards in Echtzeit

(4) Detaillierte Informationen zum Funktionsumfang ergeben sich aus der jeweils aktuellen Online-Dokumentation sowie aus individuellen Leistungsbeschreibungen oder Auftragsbestätigungen.

(5) novofon ist berechtigt, den Service fortlaufend weiterzuentwickeln, anzupassen oder zu erweitern, sofern dadurch der vertraglich vereinbarte Gesamtnutzen für den Kunden nicht wesentlich beeinträchtigt wird. Wesentliche Einschränkungen oder grundlegende Änderungen des Leistungsumfangs bedürfen einer vorherigen Vereinbarung.

(6) Der konkrete Leistungsumfang ergibt sich aus den schriftlich festgehaltenen Spezifikationen der jeweiligen Leistungsbeschreibung oder Auftragsbestätigung.

§ 3 Voraussetzungen für die Nutzung

(1) Der Kunde benennt mindestens einen administrativ verantwortlichen Ansprechpartner („Administrator“), der berechtigt ist, den Service im Namen des Kunden zu verwalten, zu konfigurieren und zu nutzen. Der Kunde stellt sicher, dass die benannten Administratoren entsprechend geschult sind und die Nutzung des Services rechtmäßig erfolgt.

(2) Der Kunde ist allein verantwortlich für die Verwaltung des Endkundenportals sowie für sämtliche über den Service abgewickelten Inhalte, Prozesse und Kommunikationsvorgänge. Dies umfasst insbesondere die Verantwortung für die Einhaltung aller einschlägigen gesetzlichen Vorschriften, insbesondere des Telekommunikations-, Datenschutz- und Wettbewerbsrechts.

(3) Der Kunde verpflichtet sich, interne organisatorische und technische Richtlinien zum sicheren Umgang mit transkribierten Sprachdaten, Gesprächszusammenfassungen und sonstigen KI-generierten Inhalten zu etablieren und einzuhalten.

(4) Der Zugang zum Service erfolgt über persönliche Zugangsdaten. Der Kunde ist verpflichtet, diese vor dem Zugriff durch unbefugte Dritte zu schützen und novofon unverzüglich über jeden Verdacht einer missbräuchlichen Nutzung zu informieren.

(5) Die Nutzung des Services setzt die Erfüllung bestimmter technischer Mindestanforderungen voraus. Dazu zählen insbesondere:

  • eine stabile Internet- oder Mobilfunkverbindung mit einer empfohlenen Mindestbandbreite von 5 Mbit/s im Down- und Upload,
  • ein aktueller, von novofon unterstützter Webbrowser (z. B. Chrome, Firefox, Edge oder Safari),
  • ein Endgerät mit mindestens 4 GB Arbeitsspeicher und Dual-Core-CPU oder höher für den Browserzugriff,
  • bei Nutzung von Telefonie-Integrationen: ein SIP-fähiges Endgerät (z. B. Softphone oder VoIP-Telefon) sowie optional ein Headset mit Geräuschunterdrückung.

(6) Abweichungen von den technischen Mindestanforderungen können zu Einschränkungen oder Funktionsstörungen des Services führen. Eine Gewährleistung für die Funktionsfähigkeit bei nicht erfüllten Voraussetzungen besteht nicht.

§ 4 Pflichten des Kunden

(1) Der Kunde ist verpflichtet, den Service ausschließlich im Einklang mit den geltenden gesetzlichen Vorschriften zu nutzen. Dies umfasst insbesondere die Einhaltung des Telekommunikationsrechts, des Datenschutzrechts (DSGVO), des Wettbewerbsrechts sowie sonstiger einschlägiger Vorschriften.

(2) Der Kunde ist allein verantwortlich für die rechtliche Zulässigkeit sämtlicher über den Service geführter Gespräche, übermittelter Inhalte, konfigurierter KI-Instanzen, Prompts, Weiterleitungen und automatisierter Abläufe.

(3) Der Kunde stellt sicher, dass alle erforderlichen Einwilligungen der Gesprächspartner, insbesondere zur Nutzung KI-gestützter Systeme sowie zur Verarbeitung personenbezogener Daten, rechtzeitig und wirksam eingeholt werden.

(4) Der Kunde verpflichtet sich, Gesprächspartner nicht über die Identität, Funktion oder den Zweck des eingesetzten KI-Systems zu täuschen.

(5) Der Kunde trägt die Verantwortung für die Inhalte, die über angebundene Wissensdatenbanken, externe Systeme oder über die Websuche verarbeitet oder ausgegeben werden. novofon überprüft diese Inhalte nicht inhaltlich.

(6) Der Kunde ist verpflichtet, seine Zugangsdaten geheim zu halten und eine Nutzung des Services durch unbefugte Dritte zu verhindern.

(7) Der Kunde stellt novofon von sämtlichen Ansprüchen Dritter frei, die aus einer rechtswidrigen oder vertragswidrigen Nutzung des Services durch den Kunden resultieren.

§ 5 Registrierung und Vertragsabschluss

§ 5.1 Registrierung

(1) Die Registrierung erfolgt durch die Angabe einer gültigen geschäftlichen E-Mail-Adresse sowie weiterer erforderlicher Unternehmensangaben, insbesondere des Firmennamens sowie des Namens eines vertretungsberechtigten oder administrativen Ansprechpartners.

(2) Voraussetzung für die Nutzung des Services ist die Zustimmung zu diesen AGB, zu den Datenschutzbestimmungen sowie der Abschluss eines Auftragsverarbeitungsvertrags (AVV). Die Zustimmung erfolgt elektronisch im Rahmen der Erstellung eines Nutzerkontos.

(3) Mit der Festlegung eines Passworts, der Bestätigung der E-Mail-Adresse sowie der erstmaligen Aufladung des Kundenkontos mit dem festgelegten Mindestguthaben ist die Registrierung abgeschlossen. Der Kunde erhält anschließend eine automatische Empfangsbestätigung per E-Mail, in der die Bestellung nochmals zusammengefasst wird.

(4) Der Kunde ist für die Richtigkeit der bei der Registrierung angegebenen Daten sowie für die Vertraulichkeit seiner Zugangsdaten verantwortlich. Bei Verdacht auf eine unbefugte Nutzung des Kundenkontos ist novofon unverzüglich zu informieren.

§ 5.2 Vertragsabschluss

(1) Der Kunde gibt ein verbindliches Vertragsangebot ab, indem er das Online-Bestellformular ausfüllt und absendet oder eine schriftliche Bestellung übermittelt. Dabei wählt er den gewünschten Tarif sowie optional buchbare Zusatzleistungen aus. Individuelle Tarife bedürfen einer gesonderten Vereinbarung mit dem Support von novofon.

(2) Der Vertrag kommt erst mit der Annahme des Vertragsangebots durch novofon zustande. Die Annahme erfolgt in der Regel durch Freischaltung des Kundenkontos oder durch ausdrückliche Auftragsbestätigung.

(3) Mit der Freischaltung der Benutzerkonten und nach erfolgreicher Aufladung des Kundenkontos kann der Kunde den Service nutzen. Der Kunde bestätigt mit seiner Anmeldung, über Umfang, Inhalt und Funktionalität des jeweils gebuchten Leistungspakets informiert zu sein.

(4) Sofern nicht ausdrücklich eine Mindestvertragslaufzeit vereinbart wurde, wird der Vertrag auf unbestimmte Zeit geschlossen. Der Kunde hat die Möglichkeit sein Kundenkonto jederzeit mit sofortiger Wirkung zu schließen.

(5) Änderungen und Ergänzungen des Vertrages bedürfen der Textform (§ 126b BGB).

§ 6 Zahlungsbedingungen und Abrechnung

(1) Die Nutzung der Services von novofon erfolgt entgeltlich gemäß der jeweils gültigen Preisliste. Die Abrechnung richtet sich nach dem tatsächlich in Anspruch genommenen Leistungsumfang sowie den gebuchten Zusatzleistungen.

(2) Die Leistungserbringung erfolgt grundsätzlich nur nach vollständiger Vorauszahlung. Die Nutzung der Services erfolgt auf Guthabenbasis (Prepaid).

(3) Für optionale Erweiterungen, Einrichtungsleistungen oder Premium-Module können zusätzliche Entgelte anfallen. Individuelle Sonderkonditionen, insbesondere für Minutenpreise, bedürfen einer gesonderten vertraglichen oder schriftlichen Bestätigung und ersetzen die Standardpreise.

(4) Die Abrechnung der telefonischen Nutzung erfolgt minutengenau auf Sekundenbasis. Die ersten 20 Sekunden eines Anrufs werden pauschal mit 0,05 EUR berechnet, anschließend erfolgt eine sekundengenaue Abrechnung ausschließlich der tatsächlich genutzten Zeit.

(5) Eine monatliche Abrechnungsübersicht wird im Kundenkonto bereitgestellt. Diese dient der Transparenz und der steuerlichen Dokumentation.

(6) Alle Preise verstehen sich zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer.

§ 6.1 Prepaid-Guthabenmodell

(1) Der Kunde lädt vor Nutzung der Services ein Guthaben auf sein Kundenkonto, welches zur Abrechnung der telefonischen Nutzung sowie der Bereitstellung von Rufnummern verwendet wird.

(2) Die automatische Guthabenaufladung ist standardmäßig aktiviert. Dabei wird ein Betrag in Höhe von 150,00 EUR automatisch über die vom Kunden hinterlegte Zahlungsmethode aufgeladen, sobald das verfügbare Guthaben einen Betrag von 20,00 EUR unterschreitet. Der Kunde kann die automatische Guthabenaufladung sowie deren Parameter jederzeit im Kundenkonto anpassen oder deaktivieren.

§ 6.2 Gültigkeit und Verfall des Guthabens

(1) Aufgeladenes Guthaben bleibt zeitlich unbegrenzt nutzbar. Eine Auszahlung oder Erstattung von Restguthaben ist im Regelfall nicht vorgesehen, sofern nicht ausdrücklich eine abweichende Regelung getroffen wurde.

(2) Besteht der Kunde nach Ablauf der Frist von „risikofrei testen“ ausdrücklich auf die Auszahlung des verbleibenden Restguthabens, wird hierfür eine pauschale Bearbeitungsgebühr in Höhe von 100,00 EUR erhoben. Die Bearbeitungsgebühr wird mit dem auszuzahlenden Restguthaben verrechnet. Eine Auszahlung erfolgt nur, sofern das verbleibende Guthaben die Bearbeitungsgebühr übersteigt.

(3) Hiervon unberührt bleiben ausdrücklich vereinbarte Sonderaktionen, insbesondere die Aktion „risikofrei testen“. Nach Ablauf oder Inanspruchnahme der Aktion „risikofrei testen“ ist eine Auszahlung oder Erstattung von Guthaben grundsätzlich ausgeschlossen. Dies gilt insbesondere auch für den Fall der Kündigung des Vertrages oder der Schließung des Kundenkontos. Ein verbleibendes Guthaben wird nicht ausgezahlt. Auf Antrag des Kunden kann ein Restguthaben bis zu 14 Tage nach Vertragsbeendigung für interne Abrechnungszwecke gutgeschrieben oder auf ein anderes Kundenkonto übertragen werden, sofern keine gesetzlichen oder vertraglichen Gründe entgegenstehen.

(4) Wird der KI-Telefonassistent im Kundenkonto deaktiviert, bleibt das monatliche Entgelt für die Bereitstellung der gebuchten Rufnummern weiterhin geschuldet, sofern diese nicht gelöscht wurden.

§ 6.3 Zahlungsmethoden

Akzeptierte Zahlungsmethoden sind Kreditkarte, Apple Pay, Google Pay und AmazonPay. Guthabenaufladungen sind jeweils sofort fällig.

§ 6.4 Fehlgeschlagene Abbuchungen

(1) Ist die automatische Guthabenaufladung deaktiviert und das Guthaben aufgebraucht, wird der Service automatisch pausiert.

(2) Reicht das vorhandene Guthaben nicht mehr zur Deckung des monatlichen Entgelts für die Bereitstellung einer Rufnummer aus, ist novofon berechtigt, diese Rufnummer zu löschen.

§ 6.5 Monatliches Entgelt für die Bereitstellung der Rufnummer

(1) Für jede bereitgestellte Rufnummer fällt ein monatliches Entgelt an.

(2) Das Entgelt wird zu Beginn der jeweiligen Abrechnungsperiode pro Rufnummer automatisch vom verfügbaren Guthaben abgebucht.

(3) Eine Erstattung des monatlichen Entgelts ist ausgeschlossen, auch im Rahmen der Aktion „risikofrei testen“.

§ 6.6 Aktion „risikofrei testen“

(1) Sofern vertraglich vereinbart, kann der Kunde innerhalb von 30 Kalendertagen ab erstmaliger Freischaltung eine Erstattung des nicht genutzten Guthabens verlangen.

(2) Voraussetzungen:

  • Die Aktion wurde ausdrücklich vereinbart.
  • Die Aktion kann nur einmal pro Kunde und Vertrag in Anspruch genommen werden.
  • Es handelt sich um die erste Guthabenaufladung.
  • Es wurden keine kostenpflichtigen Zusatzmodule oder Dienste genutzt.

(3) Der Antrag ist innerhalb von 30 Kalendertagen per E-Mail an support@novofon.ai zu stellen.

(4) Erstattet wird ausschließlich das ungenutzte Restguthaben der Basisplattform. Nicht erstattet werden Einrichtungsgebühren, Zusatzmodule, Transaktionskosten sowie Entgelte für Rufnummern.

(5) Die Auszahlung erfolgt innerhalb von 14 Tagen nach positiver Prüfung.

§ 6.7 Drittanbieter-Leistungen

Kosten für Drittanbieterleistungen sind nicht Bestandteil des Leistungsumfangs von novofon und werden grundsätzlich direkt zwischen dem Kunden und dem jeweiligen Drittanbieter abgerechnet.

§ 6.8 Testphase

Eine kostenfreie Testphase wird nicht angeboten. Eine Nutzung des Services ist ausschließlich nach vorheriger Guthabenaufladung möglich. Die Aktion „risikofrei testen“ stellt keine Testphase dar, sondern eine freiwillige Sonderaktion mit den in § 6.6 genannten Voraussetzungen und Einschränkungen.

§ 7 Zulässige Nutzung der KI-Services

(1) Die Nutzung der KI-Services von novofon, einschließlich aller durch den Kunden konfigurierten KI-Instanzen, ist ausschließlich zu rechtmäßigen Zwecken zulässig.

(2) Insbesondere sind folgende Nutzungen untersagt:

  • die Verbreitung irreführender, belästigender, bedrohlicher oder anderweitig unangemessener Inhalte,
  • die vorsätzliche Täuschung von Gesprächspartnern über den Einsatz eines KI-basierten Systems oder Agenten,
  • Spam-Anrufe, automatisierte Serienanrufe oder Nutzung zu Zwecken der Kaltakquise,
  • jede Form der rechtswidrigen Kontaktaufnahme mit Dritten,
  • die Nutzung der Systeme durch nicht autorisierte Dritte,
  • der Einsatz der KI-Services in Bereichen mit besonders sensiblen personenbezogenen Daten (z. B. Gesundheitswesen, Rechtsberatung), sofern die gesetzlichen Anforderungen hierfür nicht vollständig erfüllt werden,
  • die Nutzung zur Erschleichung oder Umgehung erforderlicher Einwilligungen,
  • das Übermitteln von Daten oder Inhalten, die Schadsoftware, Viren oder sonstige schädliche Komponenten enthalten.

(3) Ausgehende Anrufe (Outbound-Calls) über von novofon bereitgestellte Rufnummern sind nur zulässig, sofern sämtliche hierfür erforderlichen Angaben vollständig und korrekt hinterlegt wurden und die jeweilige Rufnummer ordnungsgemäß registriert ist.

(4) novofon ist berechtigt, bei begründetem Verdacht auf eine missbräuchliche, rechtswidrige oder vertragswidrige Nutzung den Service ganz oder teilweise mit sofortiger Wirkung auszusetzen oder den Zugang vorübergehend zu sperren.

(5) novofon ist berechtigt, die vertragsgemäße Nutzung der KI-Services durch geeignete technische Maßnahmen zu überwachen, soweit dies zur Sicherstellung des ordnungsgemäßen Betriebs oder zur Missbrauchsprävention erforderlich ist.

§ 8 Informationspflichten

Der Kunde ist verpflichtet, Gesprächspartner vor und während der Kontaktaufnahme transparent, vollständig und nachvollziehbar über alle gesetzlich erforderlichen Informationen zu informieren. Insbesondere stellt der Kunde sicher, dass er:

  • die Identität des verantwortlichen Unternehmens eindeutig benennt,
  • den Zweck der Kontaktaufnahme klar und verständlich darlegt,
  • transparent macht, wenn KI-basierte Sprachassistenten eingesetzt werden,
  • geeignete Kontaktmöglichkeiten für Rückfragen, Beschwerden und die Wahrnehmung von Betroffenenrechten bereitstellt,
  • Gesprächspartner vorab über Art und Umfang der Datenverarbeitung (z. B. Transkription, Analyse, Gesprächszusammenfassung) informiert und hierfür erforderliche Einwilligungen oder sonstige Rechtsgrundlagen sicherstellt,
  • sofern Anrufaufzeichnungen durch den Kunden aktiviert oder über Drittanbieter vorgenommen werden, die hierfür erforderlichen Hinweise erteilt und erforderliche Einwilligungen bzw. Rechtsgrundlagen einholt,
  • auf Anforderung eine aktuelle Datenschutzerklärung sowie alle sonstigen gesetzlich vorgeschriebenen Informationen zur Verfügung stellt.

novofon ist nicht verantwortlich für Inhalte, die im Rahmen der KI-Telefonie übermittelt oder verarbeitet werden.

§ 9 Laufzeit und Kündigung

(1) Der Vertrag wird auf unbestimmte Zeit geschlossen, sofern nicht ausdrücklich eine Mindestvertragslaufzeit vereinbart wurde. Etwaige Mindestlaufzeiten ergeben sich aus dem jeweils gewählten Tarif oder aus einer gesonderten vertraglichen Vereinbarung.

(2) Verträge ohne Mindestlaufzeit können von beiden Parteien jederzeit mit einer Frist von 30 Tagen zum Monatsende gekündigt werden. Der Kunde hat die Möglichkeit sein Kundenkonto innerhalb der novofon Plattform sofort und unwiderruflich zu schließen bzw. zu löschen.

(3) Verträge mit vereinbarter Mindestlaufzeit können erstmals zum Ende der Mindestlaufzeit mit einer Frist von 30 Tagen zum Monatsende gekündigt werden. Erfolgt keine fristgerechte Kündigung, verlängert sich der Vertrag automatisch auf unbestimmte Zeit und kann anschließend gemäß Absatz 2 gekündigt werden.

(4) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn:

  • der Kunde gegen wesentliche Bestimmungen dieser AGB verstößt,
  • der Kunde den Service rechtswidrig oder missbräuchlich nutzt,
  • der Kunde mit fälligen Zahlungen trotz Mahnung in Verzug gerät,
  • gesetzliche oder regulatorische Vorgaben einer weiteren Leistungserbringung entgegenstehen.

(5) Kündigungen bedürfen der Textform (§ 126b BGB). Kündigungen können insbesondere per E-Mail oder über die im Kundenkonto vorgesehenen Funktionen erfolgen.

(6) Das monatliche Entgelt für die Bereitstellung von Rufnummern bleibt bis zum Wirksamwerden der Kündigung geschuldet. Eine anteilige Erstattung erfolgt nicht.

(7) Die Kündigung des Vertrags führt nicht automatisch zur sofortigen Löschung gespeicherter Daten. Die Datenverarbeitung und -löschung richtet sich nach den Regelungen dieser AGB sowie dem jeweils gültigen Auftragsverarbeitungsvertrag (AVV).

(8) Eine Erstattung von Guthaben richtet sich nach § 6.2 und § 6.6.

§ 10 Geistiges Eigentum

(1) Sämtliche Rechte an der novofon-Plattform, einschließlich aller Softwarebestandteile, Konzepte, Funktionen, Benutzeroberflächen, KI-Modelle, Algorithmen, Dokumentationen sowie sonstiger geschützter Inhalte, liegen ausschließlich bei novofon oder den jeweiligen Rechteinhabern.

(2) Dem Kunden wird für die Dauer des Vertrags ein einfaches, nicht übertragbares, nicht unterlizenzierbares Nutzungsrecht an der Plattform eingeräumt, soweit dies zur vertragsgemäßen Nutzung erforderlich ist. Eine Weitergabe, Unterlizenzierung, Vervielfältigung oder Bearbeitung über den vertragsgemäßen Zweck hinaus ist unzulässig.

(3) Das Entfernen, Verändern oder Unterdrücken von Lizenz-, Copyright- oder Schutzvermerken ist untersagt.

(4) Es werden keinerlei Rechte an KI-Modellen, Trainingsdaten, Modellgewichten oder sonstigen KI-Systemkomponenten auf den Kunden übertragen. Vom Kunden bereitgestellte Inhalte werden nicht zum Training allgemeiner oder fremder KI-Modelle verwendet.

(5) Sämtliche vom Kunden hochgeladenen, eingegebenen oder erzeugten Inhalte und Materialien verbleiben uneingeschränkt im Eigentum des Kunden.

(6) Der Kunde räumt novofon für die Dauer des Vertrags sowie für eine angemessene Abwicklungszeit danach eine weltweite, nicht exklusive und auf den Vertragszweck beschränkte Lizenz ein, die Inhalte des Kunden zu vervielfältigen, zu speichern, zu verarbeiten und anzuzeigen, soweit dies technisch erforderlich ist, um die vertraglich geschuldeten Leistungen zu erbringen.

(7) novofon verpflichtet sich, sämtliche Daten des Kunden vertraulich zu behandeln und ausschließlich im Rahmen der vertraglich vereinbarten Zwecke zu verarbeiten.

(8) Der Kunde gestattet novofon, die Geschäftsbeziehung als Referenz zu benennen, sofern dem keine berechtigten Interessen des Kunden entgegenstehen. Der Kunde kann dieser Nutzung jederzeit widersprechen.

§ 11 Haftung

§ 11.1 Allgemeine Haftung

(1) novofon haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für Schäden, die auf vorsätzlicher oder grob fahrlässiger Pflichtverletzung von novofon, seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen.

(2) Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) haftet novofon nur für den vertragstypischen, vorhersehbaren Schaden. Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.

(3) In Fällen einfacher Fahrlässigkeit ist die Haftung von novofon der Höhe nach auf die vom Kunden in den letzten zwölf Monaten vor Eintritt des Schadens gezahlten Entgelte begrenzt.

(4) Im Übrigen ist die Haftung von novofon für leicht fahrlässig verursachte Schäden ausgeschlossen, soweit gesetzlich zulässig.

(5) Für Mängel der SaaS-Leistungen gelten die gesetzlichen Vorschriften, soweit in diesen AGB nichts Abweichendes geregelt ist. Ansprüche auf Ersatz von Mangelfolgeschäden, entgangenem Gewinn, mittelbaren Schäden oder Datenverlust sind ausgeschlossen, soweit gesetzlich zulässig.

(6) novofon haftet nicht für Ausfälle oder Beeinträchtigungen, die auf höhere Gewalt, auf technische Störungen außerhalb des Einflussbereichs von novofon oder auf notwendige Wartungs- und Optimierungsmaßnahmen zurückzuführen sind.

(7) Für als solche gekennzeichnete Beta-Funktionen oder Testfeatures ist die Haftung ausgeschlossen, soweit gesetzlich zulässig; hiervon unberührt bleibt die Haftung für Vorsatz und grobe Fahrlässigkeit.

§ 11.2 Haftung für Inhalte & Freistellung

(1) novofon übernimmt keine Haftung für Schäden, die aus fehlerhaften, unvollständigen, irreführenden oder rechtswidrigen Inhalten resultieren, die vom Kunden oder durch diesen bereitgestellte Daten, Systeme oder Konfigurationen verarbeitet oder ausgegeben werden.

(2) Der Kunde stellt novofon von sämtlichen Ansprüchen Dritter frei, die aus einer rechtswidrigen Nutzung des Services oder aus vom Kunden bereitgestellten Inhalten resultieren.

§ 11.3 KI-spezifische Haftungsbestimmungen

(1) novofon übernimmt keine Gewähr für die Richtigkeit, Vollständigkeit, Aktualität oder Eignung der durch KI-basierte Systeme erzeugten Inhalte. Die Nutzung der KI-Services erfolgt auf eigenes Risiko des Kunden.

(2) Der Kunde bleibt für sämtliche Entscheidungen, Maßnahmen und Geschäftsprozesse verantwortlich, die auf Grundlage von KI-generierten Ausgaben getroffen werden. novofon ersetzt keine menschliche Prüfung oder Entscheidungsfindung.

(3) Trotz technischer und organisatorischer Maßnahmen kann nicht ausgeschlossen werden, dass KI-Systeme fehlerhafte, missverständliche, diskriminierende oder unerwartete Ergebnisse liefern. Der Kunde ist verpflichtet, KI-Ausgaben regelmäßig zu überprüfen und auf Übereinstimmung mit rechtlichen, fachlichen, ethischen und unternehmensinternen Vorgaben zu kontrollieren.

(4) novofon haftet nicht für Schäden, die aus unzutreffenden Aussagen, Tonalitäten, Fehlinterpretationen oder automatisierten Reaktionen der KI entstehen, insbesondere nicht für rechtliche, wirtschaftliche oder gesellschaftliche Folgen.

(5) Der Kunde ist verpflichtet, sensible oder regulierte Daten angemessen zu schützen und KI-Ergebnisse vor ihrer geschäftlichen Nutzung eigenverantwortlich zu validieren.

§ 11.4 Verjährung

Soweit gesetzlich zulässig und sofern keine vorsätzliche oder grob fahrlässige Pflichtverletzung vorliegt, verjähren Ansprüche des Kunden innerhalb eines Jahres ab dem gesetzlichen Verjährungsbeginn. Ansprüche wegen Verletzung von Leben, Körper oder Gesundheit unterliegen den gesetzlichen Verjährungsfristen.

§ 12 Verfügbarkeit, Wartung und Service Levels

(1) novofon stellt den Service im Rahmen der technischen und betrieblichen Möglichkeiten grundsätzlich mit einer Verfügbarkeit von 99,0 % im Jahresmittel.

(2) Nicht als Ausfallzeiten gelten insbesondere:

  • geplante Wartungsarbeiten,
  • kurzfristige Unterbrechungen im Rahmen von Sicherheits-, Optimierungs- oder Update-Maßnahmen,
  • Störungen oder Ausfälle von Telekommunikationsnetzen, Internetverbindungen oder sonstiger Drittanbieter-Infrastruktur (z. B. Telefonie-Carrier, Cloud-Provider, Zahlungsdienstleister),
  • Ausfälle aufgrund höherer Gewalt oder sonstiger nicht von novofon zu vertretender Umstände.

(3) novofon ist berechtigt, Wartungsarbeiten durchzuführen, sofern dies für den sicheren, stabilen oder funktionsfähigen Betrieb des Services erforderlich ist. Geplante Wartungsarbeiten werden nach Möglichkeit außerhalb üblicher Geschäftszeiten durchgeführt und rechtzeitig angekündigt. Ein Anspruch auf permanente Verfügbarkeit besteht nicht.

(4) Ein gesondertes Service Level Agreement (SLA) mit Reaktions-, Wiederherstellungs- oder Entschädigungszusagen besteht nicht, sofern nicht ausdrücklich schriftlich etwas anderes vereinbart wurde. Insbesondere bestehen bei Ausfallzeiten keine Ansprüche auf Minderung, Schadensersatz oder Gutschriften, soweit gesetzlich zulässig.

(5) Temporäre Einschränkungen der Erreichbarkeit einzelner Funktionen oder Module gelten nicht als Ausfall des gesamten Services, sofern die Kernfunktionen im Wesentlichen nutzbar bleiben.

(6) Der Kunde hat erkannte Störungen unverzüglich über die von novofon vorgesehenen Support-Kanäle zu melden und bei der Fehleranalyse in zumutbarem Umfang mitzuwirken.

(7) novofon ist berechtigt, den Service aus wichtigen Gründen vorübergehend ganz oder teilweise zu sperren, insbesondere bei Sicherheitsrisiken, drohendem Missbrauch, Verstößen gegen diese AGB oder zur Abwehr technischer Gefahren.

§ 13 Datenschutz

(1) Im Rahmen der Erbringung der vertraglich vereinbarten Leistungen verarbeitet novofon personenbezogene Daten ausschließlich im Auftrag des Kunden. Der Kunde ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, novofon handelt als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

(2) Gemäß Art. 28 DSGVO ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich. Der AVV ist integraler Bestandteil dieses Vertragsverhältnisses. Mit Zustimmung zu diesen AGB schließt der Kunde zugleich den jeweils aktuellen AVV in elektronischer Form ab.

(3) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der vertraglich vereinbarten Zwecke sowie gemäß den Bestimmungen des AVV und der Datenschutzerklärung von novofon in ihrer jeweils aktuellen Fassung.

(4) novofon setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff oder unbefugter Offenlegung zu schützen. Die konkreten Maßnahmen ergeben sich aus dem AVV.

(5) Der Kunde ist verpflichtet, sämtliche datenschutzrechtlichen Anforderungen einzuhalten. Dies umfasst insbesondere:

  • die ordnungsgemäße Information betroffener Personen,
  • das Einholen erforderlicher Einwilligungen,
  • die rechtmäßige Gestaltung von Kommunikations- und Verarbeitungsprozessen.

(6) Sofern im Verantwortungsbereich des Kunden besondere oder branchenspezifische Datenschutzvorschriften gelten, etwa im Gesundheitswesen, im Rechtsbereich oder bei grenzüberschreitenden Datenübermittlungen, ist der Kunde allein für deren Einhaltung verantwortlich.

(7) novofon ist berechtigt, zur Erbringung der Leistungen Unterauftragsverarbeiter (Subprozessoren) einzusetzen. Einzelheiten zu Art, Umfang und Ort der Datenverarbeitung sowie zu eingesetzten Subprozessoren ergeben sich aus dem AVV und der Datenschutzerklärung.

§ 14 Datenlöschung und Aufbewahrung

(1) novofon verarbeitet personenbezogene Daten ausschließlich im Auftrag des Kunden und nur so lange, wie dies für die Erbringung der vertraglich vereinbarten Leistungen erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

(2) Gesprächsbezogene Daten, insbesondere Transkriptionen, Gesprächszusammenfassungen, Metadaten sowie sonstige KI-generierte Inhalte, werden grundsätzlich spätestens nach 180 Kalendertagen automatisch gelöscht, sofern keine längeren gesetzlichen Aufbewahrungsfristen entgegenstehen oder der Kunde eine frühere Löschung veranlasst.

(3) Der Kunde ist berechtigt, im Rahmen der technischen Möglichkeiten eine manuelle Löschung einzelner oder sämtlicher Gesprächsdaten vor Ablauf der Aufbewahrungsfrist zu veranlassen. In diesem Fall erfolgt die Löschung unwiderruflich.

(4) Bei Beendigung des Vertragsverhältnisses werden sämtliche personenbezogenen Daten des Kunden nach Ablauf der Aufbewahrungsfrist gemäß Absatz 2 gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Eine Herausgabe oder Wiederherstellung gelöschter Daten ist ausgeschlossen.

(5) Abweichend von den vorstehenden Regelungen können solche Daten, die ausschließlich der Nachvollziehbarkeit, Abrechnung und Dokumentation der Inanspruchnahme der Services dienen (insbesondere Gesprächsdauer, Zeitpunkte von Anrufen, verwendete Rufnummern, technische Abrechnungsparameter), über die in Absatz 2 genannte Frist hinaus gespeichert werden, soweit dies zur Erfüllung gesetzlicher Aufbewahrungspflichten, zur Abrechnung, zur Missbrauchsprävention oder zur Durchsetzung oder Abwehr von Rechtsansprüchen erforderlich ist.

(6) Daten gemäß Absatz 5 enthalten keine Gesprächsinhalte, Transkriptionen oder KI-generierten Texte und werden getrennt von produktiven Nutzungs- und Inhaltsdaten gespeichert.

(7) Weitergehende Regelungen zur Datenlöschung, Rückgabe oder Anonymisierung ergeben sich aus dem jeweils gültigen Auftragsverarbeitungsvertrag (AVV).

§ 15 Widerrufsrecht

(1) Ein Widerrufsrecht besteht nicht.

(2) Die Leistungen von novofon richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB. Verbraucher im Sinne des § 13 BGB sind von der Nutzung des Services ausgeschlossen. Ein gesetzliches Widerrufsrecht findet daher keine Anwendung.

§ 16 Weitere Bestimmungen

(1) Änderungen des Leistungsumfangs oder der Preisgestaltung werden dem Kunden mindestens 30 Tage vor Inkrafttreten in Textform mitgeteilt. Widerspricht der Kunde nicht und setzt die Nutzung des Services nach Inkrafttreten der Änderungen fort, gelten die Änderungen als angenommen. Der Kunde ist berechtigt, den Vertrag bis zum Inkrafttreten der Änderungen außerordentlich zu kündigen.

(2) Zusatzvereinbarungen bedürfen zu ihrer Wirksamkeit der Textform (§ 126b BGB).

(3) novofon ist berechtigt, diese AGB mit Wirkung für die Zukunft zu ändern. Wesentliche Änderungen werden dem Kunden mindestens 30 Tage vor Inkrafttreten in Textform mitgeteilt. Setzt der Kunde die Nutzung nach Inkrafttreten fort, gelten die Änderungen als akzeptiert. Das Recht zur Kündigung bleibt unberührt.

(4) Die Abtretung von Rechten oder Pflichten aus diesem Vertrag bedarf der vorherigen Zustimmung der jeweils anderen Partei in Textform.

(5) Der Kunde ist lediglich berechtigt, mit Forderungen von novofon aufzurechnen oder ein Zurückbehaltungsrecht geltend zu machen, wenn seine Gegenansprüche unbestritten oder rechtskräftig festgestellt sind. Ein weitergehendes Aufrechnungs- oder Zurückbehaltungsrecht ist ausgeschlossen.

§ 17 Anwendbares Recht und Gerichtsstand

Für sämtliche Rechtsverhältnisse der Parteien gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Ingolstadt. Erfüllungsort ist der Sitz der Novo AI Solutions UG (haftungsbeschränkt).

§ 18 Keine Rechts-, Steuer- oder Fachberatung

(1) Die über den Service von novofon bereitgestellten Inhalte, Ausgaben und automatisierten Antworten stellen keine Rechts-, Steuer-, Unternehmens-, Medizin- oder sonstige Fachberatung dar.

(2) novofon übernimmt keine Gewähr dafür, dass KI-generierte Inhalte rechtlichen, steuerlichen oder branchenspezifischen Anforderungen genügen oder für einen bestimmten Zweck geeignet sind.

(3) Der Kunde ist verpflichtet, KI-basierte Ausgaben vor ihrer geschäftlichen oder rechtlichen Verwendung eigenständig zu prüfen oder durch qualifizierte Fachpersonen prüfen zu lassen.

§ 19 Keine Erfolgs- oder Erreichbarkeitsgarantie

(1) novofon schuldet die Bereitstellung der technischen Plattform, nicht jedoch einen bestimmten wirtschaftlichen, organisatorischen oder geschäftlichen Erfolg.

(2) Insbesondere übernimmt novofon keine Garantie für:

  • die Erreichbarkeit bestimmter Zielgruppen,
  • die Erfolgsquote von Gesprächen,
  • Terminabschlüsse, Umsätze oder Conversion-Raten,
  • die tatsächliche Annahme oder Akzeptanz von Anrufen durch Dritte.

(3) Aussagen zur Leistungsfähigkeit dienen ausschließlich der allgemeinen Beschreibung und stellen keine Zusicherung dar.

§ 20 Drittanbieter-Abhängigkeiten und Weiterleitung

(1) Der Service von novofon basiert teilweise auf Leistungen externer Drittanbieter (z. B. Cloud-Infrastruktur, Telefonie-Carrier, Zahlungsdienstleister, KI-Modelle).

(2) novofon haftet nicht für Ausfälle, Einschränkungen, Preisänderungen oder Leistungsänderungen dieser Drittanbieter, sofern diese außerhalb des Einflussbereichs von novofon liegen.

(3) Bei Anrufweiterleitungen an externe Rufnummern oder Systeme endet die Verantwortung von novofon mit der erfolgreichen Übergabe des Anrufs an den jeweiligen Drittanbieter.

§ 21 Sicherheitsmaßnahmen und Missbrauchsprävention

(1) novofon ist berechtigt, technische und organisatorische Maßnahmen zur Sicherstellung der Systemsicherheit, zur Missbrauchserkennung sowie zur Einhaltung gesetzlicher Vorgaben einzusetzen.

(2) Hierzu zählen insbesondere:

  • Raten- und Volumenbegrenzungen,
  • automatisierte Erkennung auffälliger Nutzungsmuster,
  • temporäre Sperrungen einzelner Funktionen oder Konten.

(3) Der Kunde hat keinen Anspruch auf Offenlegung der eingesetzten Sicherheits- oder Prüfmechanismen.

§ 22 Schlussbestimmungen

§ 22.1 Integrationsklausel

Dieser Vertrag einschließlich aller Anlagen enthält sämtliche Vereinbarungen der Parteien. Änderungen und Ergänzungen bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

§ 22.2 Anpassungsmechanismus bei Unwirksamkeit und Lücken

Sollte eine Bestimmung dieses Vertrags ganz oder teilweise unwirksam, undurchführbar oder lückenhaft sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen oder ergänzungsbedürftigen Regelung tritt eine solche wirksame Bestimmung, die dem wirtschaftlichen Zweck der ursprünglichen Regelung möglichst nahekommt. Entsprechendes gilt für Vertragslücken, die durch Auslegung zu schließen wären.

Stand Dezember 2025

Auftragsverarbeitungsvertrag

(Art. 28 DSGVO)

1. Gegenstand und Dauer der Vereinbarung

1.1 Gegenstand des Auftrags ist:

Gegenstand dieses Auftragsverarbeitungsvertrags ist die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durch die Novo AI Solutions UG (haftungsbeschränkt) im Rahmen der Nutzung der Kommunikations- und KI-Plattform novofon.ai.

Der Zweck der Auftragsverarbeitung besteht in der Bereitstellung, Durchführung und technischen Abwicklung von Sprach- und Textkommunikation über KI-gestützte Telefon- und Chat-Systeme.

Hierzu zählen insbesondere:

  • der Betrieb der novofon.ai-Cloudplattform zur Verwaltung, Konfiguration und Nutzung von KI-Telefonagenten,
  • die Verarbeitung und Übertragung von Sprach- und Kommunikationsdaten
  • die Echtzeit-Spracherkennung (Speech-to-Text), Text-to-Speech-Ausgabe und Inhaltsanalyse durch KI-Modelle,
  • die Protokollierung und Bereitstellung von Gesprächs- und Sitzungsdaten zur Nachvollziehbarkeit und internen Auswertung,
  • die technische Bereitstellung, Wartung, Sicherung und Fehleranalyse der Systeme,
  • sowie die Abrechnung und Verwaltung der erbrachten Leistungen.

Eine Verarbeitung der Daten zu eigenen Zwecken der Novo AI Solutions UG findet nicht statt.

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers gemäß Art. 28 DSGVO.

Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.  Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

1.2 Dauer des Auftrages

Der Vertrag wird auf unbestimmte Zeit geschlossen. Die Kündigungsfrist beträgt 1 Monat. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

2. Zweck, Umfang und Art der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Daten

2.1 Die Verarbeitung personenbezogener Daten im Auftrag erfolgt ausschließlich zweckgebunden.

Der Zweck der Verarbeitung ist wie folgt (gemäß der Definition von Art. 4 Nr. 2 DS-GVO):

Die Novo AI Solutions UG (haftungsbeschränkt) verarbeitet personenbezogene Daten im Auftrag ihrer Unternehmenskunden zur Bereitstellung der Kommunikationsplattform novofon.ai, einem cloudbasierten System für KI-gestützte Sprach- und Telefoninteraktionen.

2.2 Kategorien betroffener Daten (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):

  • Interessenten- / Kundendaten
  • Dienstleister- / Lieferantendaten
  • Beschäftigtendaten
  • Anrufer, Gesprächspartner und Endkunden der Auftraggeber (z. B. Interessenten, Bestandskunden, Support-Anfragende) Ansprechpartner der Auftraggeber (z. B. Mitarbeitende in Vertrieb, Service, IT)

2.3 Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-GVO):

  • Name, Vorname
  • Telefonnummer
  • Vertragsstammdaten
  • E-Mail-Adresse
  • Kommunikationsdaten (z.B. zu E-Mail, Internet, Telefon)
  • Vertragsbewegungsdaten (z.B. Abrechnungsdaten und Zahlungsdaten)
  • KI-generierte Antworttexte (z. B. Gesprächszusammenfassungen), Transkripte (Speech-to-Text-Ergebnisse), Gesprächsmetadaten (Zeitstempel, Session-IDs, Dauer, Routinginformationen), Benutzeridentifikatoren (z. B. User-IDs, Kundennummern)

2.4 Besondere Kategorien von personenbezogenen Daten (entsprechend der Definition von Art. 9 und 10 DS-GVO):

  • Gesundheitsdaten
  • Gesundheitsdaten, die sich aus der Kommunikation zwischen Patienten und medizinischem Personal ergeben können (z. B. Terminvereinbarungen, Beschwerden, Symptome, Behandlungsinformationen). Eine Verarbeitung erfolgt ausschließlich im Auftrag und nach Weisung des Verantwortlichen (z. B. Arztpraxis, Klinik, Heilberufler) gemäß Art. 28 DSGVO. Die Daten werden nur temporär verarbeitet, verschlüsselt übertragen und nach Abschluss der Kommunikation gelöscht, sofern keine gesetzliche oder vertragliche Aufbewahrungspflicht besteht.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragsverarbeiter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. Der Auftraggeber ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen. Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragsverarbeiters

4.1 Weisungsberechtigte Funktionen des Auftraggebers sind:
Inhaber / Geschäftsführer

4.2 Weisungsempfänger beim Auftragsverarbeiter sind:
Stefan Hoßmann, Geschäftsführer Novo AI Solutions UG (haftungsbeschränkt)

4.3 Für Weisung zu nutzende Kommunikationskanäle: 

  • per E-Mail an folgende Adresse: hello@novofon.ai
  • postalisch an folgende Anschrift: Levelingstraße 106, 85049 Ingolstadt

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

5. Pflichten des Auftragsverarbeiters

5.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen/Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. – Der Auftragsverarbeiter hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen:

  • Verfügbarkeitskontrolle der Daten durch mindestens tägliche Datensicherung
  • Plausibilitätskontrolle der Verarbeitungsergebnisse
  • Integritätskontrolle der System- und Protokolldaten (regelmäßige Prüfung auf Manipulation oder Datenverlust)
  • Monitoring von Systemverfügbarkeit und Sicherheitsereignissen (24/7-Überwachung mit Alarmierung bei Ausfällen)
  • Regelmäßige Überprüfung der Zugriffsrechte (z. B. Rollen- und Berechtigungsmanagement)
  • Überwachung der Datenübertragungen an Subprozessoren (Siehe Anlage) zur Sicherstellung der DSGVO-Konformität
  • Protokollierung und Nachvollziehbarkeit aller Systemzugriffe

5.2 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die in Ziffer 4 genannte weisungsberechtigte Funktion des Auftraggebers weiterzuleiten. 

Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Der Auftragsverarbeiter sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit/Home Office von Beschäftigten des Auftragsverarbeiters) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen. Der Auftragsverarbeiter bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen:

  • Berufsgeheimnis nach § 203 StGB
  • Fernmeldegeheimnis
  • Sonstiges: Der Auftragsverarbeiter verarbeitet im Auftrag von medizinischen und sonstigen Berufsgeheimnisträgern Kommunikationsdaten und verpflichtet sich, die jeweiligen Geheimhaltungspflichten nach § 203 StGB und § 88 TKG (Fernmeldegeheimnis) vollumfänglich einzuhalten. Alle Mitarbeitenden und Subunternehmer sind entsprechend zu verpflichten.

5.3 Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS- GVO). Der Auftragsverarbeiter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

5.4 Ein betrieblicher Datenschutzbeauftragter ist beim Auftragsverarbeiter nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

5.5 Der Auftraggeber ist berechtigt, sich nach vorheriger Terminvereinbarung und während der üblichen Geschäftszeiten von der Einhaltung der datenschutzrechtlichen Pflichten des Auftragsverarbeiters zu überzeugen. Der Auftragsverarbeiter kann den Nachweis der Einhaltung seiner Verpflichtungen durch geeignete Unterlagen, insbesondere durch Auditberichte, Zertifikate, Sicherheitskonzepte oder sonstige Nachweise erbringen. Eine Vor-Ort-Inspektion darf nur erfolgen, wenn die bereitgestellten Nachweise nicht ausreichen oder konkrete Hinweise auf Verstöße bestehen. Unangekündigte oder unangemessene Audits sind ausgeschlossen. Der Auftraggeber trägt die Kosten einer durch ihn veranlassten Vor-Ort-Prüfung.

6. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragsverarbeiter sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

7. Unterauftragsverhältnisse mit Subunternehmern für Kerndienstleistungen (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

7.1 Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragsverarbeiter nur mit Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 Satz 1 DS-GVO, welche auf einem der o. g. Kommunikationswege (Ziff. 4) mit Ausnahme der mündlichen Gestattung erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragsverarbeiter dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragsverarbeiter dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von Diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.

7.2 Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln). 

Der Auftragsverarbeiter hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragsverarbeiter auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragsverarbeiters und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO). Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat. Der Auftragsverarbeiter hat die Einhaltung der Pflichten des/der Subunternehmer(s) wie folgt zu überprüfen:

  • Regelmäßige Prüfung der beim Subunternehmer eingerichteten technischen und organisatorischen Maßnahmen (mindestens alle 2 Jahre) mittels eines Fragenkataloges
  • Regelmäßige Prüfung der beim Subunternehmer eingerichteten Datenschutzkonzeptes (mindestens alle 2 Jahre)
  • Regelmäßige Einholung von Zertifikaten über eine gültige Zertifizierung nach der DS-GVO.

Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zugänglich zu machen. Der Auftragsverarbeiter haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragsverarbeiter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

7.3 Derzeit sind die in der Anlage 1 dokumentierten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. 

Mit der Beauftragung der in Anlage 1 genannten Subunternehmer erklärt sich der Auftraggeber einverstanden.

7.4 Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer. Der Auftraggeber erhält die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben, sofern die bisher vereinbarten und von Auftragsverarbeiter zugesicherten technischen und organisatorischen Maßnahmen nicht vollständig gewährleistet werden können (§ 28 Abs. 2 Satz 2 DS-GVO). In diesem Fall darf die beabsichtigte Änderung nicht vollzogen werden.

8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

8.1 Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Für die auftragsgemäße Verarbeitung personenbezogener Daten wird eine angemessene und nachvollziehbare Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen berücksichtigt.

Das in Anlage 2 beschriebene Datenschutzkonzept stellt die Mindestanforderungen der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragsverarbeiter dar. Hierbei ist auch das Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung beschrieben.

8.2 Der Auftragsverarbeiter hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis samt vollständigem Auditbericht ist dem Auftraggeber mitzuteilen. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragsverarbeiter und Auftraggeber abzustimmen. Soweit die beim Auftragsverarbeiter getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Die Maßnahmen beim Auftragsverarbeiter können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten. Wesentliche Änderungen muss der Auftragsverarbeiter mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

9. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

Nach Abschluss der vertraglichen Arbeiten hat der Auftragsverarbeiter sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder datenschutzgerecht zu löschen, bzw. zu vernichten.

Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren. Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich. Als Gerichtsstand wird das für den Auftraggeber örtlich zuständige Gericht vereinbart. Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu verständigen. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

10. Vertragseinbindung / Bestandteil der AGB

Dieser Auftragsverarbeitungsvertrag (AVV) ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) der Novo AI Solutions UG (haftungsbeschränkt) für die Nutzung des Dienstes novofon.ai.

Mit der Registrierung eines Benutzerkontos, dem Abschluss eines SaaS-Vertrags oder der Nutzung des Dienstes novofon.ai erkennt der Auftraggeber diesen Auftragsverarbeitungsvertrag als verbindlichen Vertragsbestandteil an.

Der AVV wird damit automatisch wirksam, ohne dass es einer gesonderten Unterschrift bedarf.

Die jeweils aktuelle Fassung des AVV ist unter https://novofon.ai/allgemeine-geschaeftsbedingungen-agb/ und gilt als Bestandteil des Vertragsverhältnisses zwischen dem Auftraggeber und der Novo AI Solutions UG (haftungsbeschränkt).

Im Falle von Widersprüchen zwischen den Bestimmungen dieses AVV und den AGB gehen die Regelungen dieses Auftragsverarbeitungsvertrags vor.

Anlage 1 : Unterauftragsverarbeiter (Subunternehmerliste)

Übersicht der eingesetzten Unterauftragsverarbeiter
Nr. Unterauftragnehmer Sitz Zweck der Verarbeitung Kategorien verarbeiteter Daten Rechtsgrundlage / Vertragliche Absicherung
1 Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Deutschland Hosting von Servern, Webdiensten, Mailservern und Logs (primäre Infrastruktur für novofon.ai) Kommunikations-, Nutzungs-, Kunden- und Systemdaten AVV nach Art. 28 DSGVO; Rechenzentrum in Deutschland; ISO 27001-zertifiziert
2 Microsoft Ireland Operations Limited One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland Cloud-Infrastruktur (Azure), Speech-to-Text, Text-to-Speech, Azure OpenAI-Integration Sprach-, Text-, Kommunikations-, Log- und Metadaten Microsoft Data Protection Addendum; EU-Region (West Europe/Sweden Central); ISO 27001, SOC 2
3 OpenAI Ireland Limited 1st Floor, The Barracks Building, Ballymore Eustace Road, Naas, Co. Kildare, Irland Fallback/Backup für MS Azure Cloud; Verarbeitung von Sprach- und Textdaten durch KI-Modelle im Rahmen der OpenAI-Services Sprach-, Text-, Kommunikations-, Log- und Metadaten AVV gemäß Data Processing Addendum (Art. 28 DSGVO); EU-Datenverarbeitung über OpenAI EU-Region
4 Functional Software, Inc. (d/b/a Sentry) 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA Fehler-, Performance- und Ereignisüberwachung der Applikationen (Application Monitoring & Logging) Verarbeitung innerhalb der EU über Rechenzentrum Frankfurt (Deutschland); technische Log-, Nutzungs- und pseudonymisierte Identifikationsdaten DPA (Mai 2024) unterzeichnet; Standardvertragsklauseln (SCCs); EU-US Data Privacy Framework; Aufsicht: Irish DPC
5 Twilio Ireland Limited 25-28 North Wall Quay, Dublin 1, D01 H104, Irland Bereitstellung von Sprach-, SMS- und Kommunikations-APIs (Telefon-Routing, Voice, SMS) Telefonnummern, Verbindungs- und Kommunikationsdaten Twilio DPA; EU-Verarbeitung in Irland; SCCs implementiert
6 Stripe Payments Europe, Limited Stripe Technology Company Limited (STC) – One Wilton Park, Wilton Place, Dublin 2, D02 FX04, Irland Abwicklung von Zahlungs- und Abrechnungsprozessen für das SaaS-System, Verwaltung von Kundenzahlungen, Rechnungen, Rückerstattungen, Betrugserkennung, Compliance-Prüfungen, technische Transaktionsverarbeitung über die Stripe-Plattform Identifikations- und Kontaktdaten, Zahlungs- und Transaktionsdaten, Vertrags- und Abonnementdaten, technische Metadaten VV nach Art. 28 DSGVO; Datenverarbeitung durch Stripe Payments Europe Ltd., Irland; Unterauftragsverarbeiter nach Standardvertragsklauseln (SCCs); Rechenzentren in der EU; ISO 27001-zertifizierte Infrastruktur; Datensicherheit gemäß Stripe Data Security Exhibit (2023)
7 Google Cloud EMEA Limited 70 Sir John Rogerson’s Quay, Dublin 2, Irland Nutzung der Google-Suchdienste (Search API / Web Search) zur Durchführung automatisierter Internetrecherchen durch den KI-Telefonagenten; ausschließlich Zugriff auf öffentlich verfügbare Webinhalte. keine Speicherung oder Übermittlung personenbezogener Kundendaten durch den Auftraggeber. Nutzung auf Grundlage berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO (Informationsbeschaffung / Recherche); Google agiert als eigenständig Verantwortlicher; Verarbeitung nach Google-Datenschutzbestimmungen (https://policies.google.com/privacy); keine Auftragsverarbeitung im Sinne von Art. 28 DSGVO erforderlich.
  1. Ergänzende Hinweise Die Verarbeitung erfolgt grundsätzlich innerhalb des Europäischen Wirtschaftsraums (EWR). Eine Übermittlung in Drittländer (z. B. USA) erfolgt nur auf Grundlage von Standardvertragsklauseln (SCCs) oder bei Anbietern, die dem EU-US Data Privacy Framework beigetreten sind. Sentry betreibt die Datenverarbeitung für EU-Kunden in der Region Frankfurt (Deutschland). Alle genannten Unterauftragnehmer verfügen über aktuelle Zertifizierungen und Datenverarbeitungsverträge (DPA). Novo AI Solutions UG überprüft diese Nachweise mindestens alle zwei Jahre auf Aktualität.

Anlage 2: Technische und organisatorische Maßnahmen (TOMs)

gemäß Art. 28 Abs. 3 Satz 2 lit. c und Art. 32 DSGVO

  1. Ziel der Maßnahmen

Die nachfolgenden technischen und organisatorischen Maßnahmen dienen dem Schutz personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff.

Sie erfüllen die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit gemäß Art. 32 DSGVO.

  1. Beschreibung der Maßnahmen

Schutzziel / Bereich

Beschreibung der Maßnahmen

1. Zutrittskontrolle (physisch)

• Hosting ausschließlich in zertifizierten Rechenzentren (Hetzner – Deutschland, Azure – EU West/Sweden Central)

2. Zugangskontrolle (IT-Systeme)

• Passwort- und 2-Faktor-Authentifizierung • Rollen- und Berechtigungsmodell („least privilege“) • Automatische Sperrung inaktiver Konten • Zentralisiertes Identity & Access Management

3. Zugriffskontrolle (Berechtigungen)

• Granulare Rollenverwaltung innerhalb novofon.ai • Protokollierung aller Administrationszugriffe • Regelmäßige (jährliche) Überprüfung der Berechtigungen

4. Weitergabekontrolle (Übertragung)

• TLS 1.3 / HTTPS für alle Verbindungen • Ende-zu-Ende-verschlüsselte Übertragung sensibler Kommunikationsdaten • Keine unverschlüsselten Schnittstellen

5. Eingabekontrolle (Protokollierung)

• Unveränderbare Protokolldateien (Log Retention nach Art. 5 Abs. 1 lit. e DSGVO) • Automatisierte Integritätsprüfungen (Hash-Validierung)

6. Auftragskontrolle (Weisungsgebundenheit)

• Datenverarbeitung ausschließlich auf dokumentierte Weisung • Vertragliche AVV mit allen Subprozessoren • Jährliche Überprüfung der DPA / SCC-Nachweise

7. Verfügbarkeitskontrolle (Backup & Recovery)

• Tägliche automatische Backups (verschlüsselt, getrennt gespeichert) • Georedundante Systeme bei Hetzner • Regelmäßige Wiederherstellungstests • 24/7 Monitoring mit Alerting

8. Trennungskontrolle (Mandantentrennung)

• Logische Mandantentrennung auf Applikationsebene (Tenant IDs) • Kein Cross-Access zwischen Mandanten

9. Pseudonymisierung / Datenminimierung

• Verwendung von Session-IDs statt Klarname wo möglich • KI-Transkripte werden temporär verarbeitet und nicht dauerhaft gespeichert sofern der Anrufer widerspricht

10. Verschlüsselung (Speicherung)

• AES-256 bei Speicherung von Konfigurations- und Benutzerdaten • Schlüsselverwaltung • Kein Zugriff ohne Mehrfaktor-Authentifizierung

11. Belastbarkeit und Verfügbarkeit

• Lastverteilung und Autoscaling Load Balancer • Failover-Mechanismen und Health-Checks • Monitoring von CPU, RAM, Latenz in Echtzeit

12. Datenschutz-Management & Schulung

• Verpflichtung aller Mitarbeiter auf Vertraulichkeit und § 203 StGB / § 88 TKG • Regelmäßige Schulungen zu Datenschutz und Informationssicherheit • Fester interner Datenschutzverantwortlicher (Benennung erfolgt bei Erreichen der gesetzlichen Pflicht)

13. Kontrolle von Subprozessoren

• Dokumentierte Prüfung aller Subunternehmer (alle 2 Jahre) • Nachweis von Zertifikaten und DPA / SCCs • Fortlaufendes Monitoring der Dienstleister

14. Datenschutzverletzungen / Incident Response

• Definiertes Meldeverfahren an hello@novofon.ai innerhalb von 24 Stunden • Erstellung eines internen Vorfalls-Logs • Unterstützung des Auftraggebers bei Art. 33 / 34 DSGVO-Meldungen

15. Löschung und Datenrückgabe

• Automatische Löschung temporärer Sprachdaten nach Sessionende • Verschlüsselte Rückgabe auf Weisung des Kunden möglich • Dokumentierte Löschbestätigung

  1. Überprüfung, Bewertung und Evaluierung
  • Jährliche interne TOM-Evaluation durch Novo AI Solutions UG
  • Dokumentation der Ergebnisse im Compliance-Verzeichnis
  • Nachweis der Wirksamkeit mittels interner Audits und Sicherheitsberichte
  • Anpassung an den Stand der Technik bei technischen oder rechtlichen Änderungen
  1. Zusammenfassung

Die implementierten Maßnahmen gewährleisten ein dem Risiko der verarbeiteten Daten angemessenes Schutzniveau.

Alle Systeme und Kommunikationskanäle werden fortlaufend überwacht und entsprechend dem aktuellen Stand der Technik abgesichert.

Anlage 3: Versions- und Änderungsprotokoll

gemäß Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht)

  1. Zweck der Anlage

Diese Anlage dokumentiert alle Änderungen, Ergänzungen oder Aktualisierungen des Auftragsverarbeitungsvertrags (AVV) sowie seiner Anlagen.

Sie dient als Nachweis der fortlaufenden Pflege, Anpassung an gesetzliche Anforderungen und technische Entwicklungen.

  1. Versionshistorie

Version

Datum

Änderungsbeschreibung

Verantwortlich

Bemerkungen

1.0

01.11.2025

Ersterstellung des AVV novofon.ai inklusive Anlagen 1 (Subunternehmer), Anlage 2 (TOMs) und Anlage 3 (Versions- und Änderungsprotokoll)

Stefan Hoßmann

Initiale Fassung

  1. Verfahren bei Änderungen
  • Änderungen des AVV oder seiner Anlagen werden dokumentiert, versioniert und datiert.
  • Jede neue Version ersetzt die vorherige und wird mit Versionsnummer und Änderungsdatum versehen.
  • Die jeweils aktuelle Fassung ist auf der Website https://novofon.ai/allgemeine-geschaeftsbedingungen-agb/ abrufbar.
  • Frühere Versionen werden mindestens 3 Jahre archiviert.
  1. Inkrafttreten

Diese Anlage 3 tritt mit Version 1.0 des Auftragsverarbeitungsvertrags am 01. November 2025 in Kraft.