Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Stand: April 2026

Geltung: Dieser AVV ist integraler Bestandteil aller Kundenverträge mit Sailly UG und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden.

1. Definitionen und Geltungsbereich

Auftraggeber (Controller): Der Kunde der Sailly UG, der personenbezogene Daten verarbeitet und Sailly mit der Verarbeitung beauftragt.
Auftragsverarbeiter (Processor): Die Sailly UG, die personenbezogene Daten im Auftrag des Kunden verarbeitet.
Personenbezogene Daten: Alle Informationen, die sich auf einen identifizierten oder identifizierbaren Betroffenen beziehen (z.B. Namen, Telefonnummern, Anruftranskripte, Terminbuchungsdaten).
Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang mit personenbezogenen Daten (z.B. Erhebung, Speicherung, Organisierung, Übermittlung).

2. Gegenstand und Dauer der Verarbeitung

Gegenstand: Sailly verarbeitet personenbezogene Daten ausschließlich zur Erbringung des KI-Sprachagenten-Service (Anrufannahme, Transkription, Zusammenfassung, Terminbuchung).
Dauer: Die Verarbeitung erfolgt für die Dauer des Kundenvertrags plus 30 Tage nach Vertragsende (Löschfrist).

3. Art und Kategorien der Daten

Sailly verarbeitet folgende Kategorien personenbezogener Daten:

  • Telefonnummern der Anrufer
  • Namen und ggf. Anschriften (falls bei Anruf übermittelt)
  • Anruftranskripte und Sprachaufzeichnungen
  • Terminbuchungsdaten und Kalendereinträge
  • E-Mail-Adressen (sofern vom Anrufer genannt)
  • Betroffene Personen: Endanrufer des Kunden (z.B. Patienten, Gäste, Kunden)

4. Technische und organisatorische Maßnahmen (TOM)

Sailly implementiert folgende Sicherheitsmaßnahmen:

  • Verschlüsselung: End-to-End-Verschlüsselung aller Übertragungen (HTTPS/TLS)
  • Datenspeicherung: Verschlüsselte Speicherung in europäischen Rechenzentren (Google Cloud europe-west3/4)
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC), nur autorisierte Mitarbeiter haben Zugriff
  • Authentifizierung: Multi-Faktor-Authentifizierung für Admin-Zugriff
  • Audit-Logs: Alle Zugriffe werden protokolliert und können vom Kunden angefordert werden
  • Datenlöschung: Automatische Löschung nach 30 Tagen nach Vertragsende
  • Backup: Tägliche Backups mit Verschlüsselung
  • Schwachstellenmanagement: Regelmäßige Sicherheitsupdates und Penetration-Tests

5. Unterauftragsverarbeiter (Subprocessors)

Sailly nutzt folgende Unterauftragsverarbeiter:

  • Google Cloud Platform (GCP): Speicherung, Compute, Datenbanken (europe-west3/4)
  • Twilio: Telefonie-Plattform (Voice Media Streams)
  • ElevenLabs: Text-to-Speech und KI-Sprachagenten
  • Deepgram (optional): Speech-to-Text-Transcription
  • Gemini / Anthropic Claude: LLM-Verarbeitung für Gesprächszusammenfassungen

Der Kunde erklär sich mit der Nutzung dieser Unterauftragsverarbeiter einverstanden. Sailly wird den Kunden über Änderungen der Unterauftragsverarbeiter mindestens 4 Wochen im Voraus informieren und dem Kunden das Recht zur Kündigung gewähren.

6. Rechte und Pflichten des Auftragsgebers

Der Auftraggeber (Kunde) hat folgende Rechte und Pflichten:

  • Recht auf Zugriff auf alle Verarbeitungstätigkeiten und Audit-Logs
  • Recht, Verarbeitungsanweisungen zu erteilen (nur gemäß den Funktionen des Service)
  • Pflicht, die Betroffenen über die Datenverarbeitung zu informieren (per Anrufbeantworter-Hinweis oder Datenschutzerklärung)
  • Recht auf Anfrage von Betroffenen auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Pflicht, Sailly bei der Erfüllung seiner Pflichten gegenüber Betroffenen zu unterstützen

7. Internationale Datenübermittlungen

Alle personenbezogenen Daten werden innerhalb der Europäischen Union verarbeitet und gespeichert (Google Cloud europe-west3/4). Es gibt keine Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), die nicht das gleiche Datenschutzniveau haben.

8. Löschung und Rückgabe der Daten

  • Nach Vertragsende werden alle Kundendaten nach einer Aufbewahrungsfrist von 30 Tagen automatisch gelöscht.
  • Der Kunde kann die Löschung auch früher anfordern.
  • Daten können vor Löschung exportiert werden (auf Anfrage).
  • Backups werden nach 90 Tagen gelöscht.

9. Audit und Kontrolle

  • Der Kunde hat das Recht, Sailly auf Compliance mit diesem AVV zu prüfen oder eine unabhängige Audit durchführen zu lassen.
  • Sailly stellt auf Anfrage Nachweise über Sicherheitsmaßnahmen zur Verfügung (SOC 2 Reports, ISO 27001 Zertifikate, etc.).
  • Der Kunde kann Audit-Logs jederzeit über das Dashboard herunterladen.

10. Haftung

Sailly haftet für Verletzungen dieses AVV und des Datenschutzrechts gemäß den AGB. Die Haftung ist auf das in diesem Monat gezahlte Entgelt begrenzt, ausgenommen Vorsatz und grobe Fahrlässigkeit sowie Verletzungen der DSGVO.

11. Änderungen dieses AVV

Sailly behält sich das Recht vor, diesen AVV zu ändern. Änderungen werden dem Kunden 6 Wochen im Voraus mitgeteilt. Der Kunde kann den Vertrag kündigen, wenn er mit den Änderungen nicht einverstanden ist.

12. Datenschutzbeauftragter und Kontakt

  • Bei Fragen zum AVV: datenschutz@sailly.de
  • Datenschutz-Beschwerden: https://www.bfdi.bund.de (Bundesbeauftragter für Datenschutz)

Akzeptanz: Mit der Registrierung bei Sailly akzeptiert der Kunde diesen AVV automatisch und willigt in die Datenverarbeitung ein.

Sailly – We Handle the Calls. You Run Your Business.