← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Stand: 20. Mai 2026

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien aus der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG), die sich aus der Nutzung der Keyvero-Webanwendung durch den Verantwortlichen ergeben.

Vertragsparteien

Verantwortlicher ist der Kunde, der die Keyvero-Webanwendung auf Grundlage eines Nutzungsvertrags (im Folgenden „Hauptvertrag“) nutzt — im Folgenden „der Verantwortliche“.

Auftragsverarbeiter ist:

Keyvero FlexKapG
Bernardgasse 12/3, 1070 Wien, Österreich
Firmenbuchnummer FN 677912 f, Handelsgericht Wien
vertreten durch die Geschäftsführer Alexander Ortner und Nikolaus Weber
— im Folgenden „Keyvero“ oder „der Auftragsverarbeiter“.

Verantwortlicher und Keyvero werden einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

1. Gegenstand und Geltung

1.1 Keyvero stellt dem Verantwortlichen einen KI-basierten Telefon-Assistenten als Software-as-a-Service zur Verfügung. Im Zuge der Erbringung dieser Leistung verarbeitet Keyvero personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen im Sinne von Art. 28 DSGVO.

1.2 Dieser AVV regelt die Pflichten der Parteien im Rahmen dieser Auftragsverarbeitung. Soweit dieser AVV mit dem Hauptvertrag inhaltlich kollidiert, gehen die Regelungen dieses AVV in datenschutzrechtlichen Belangen vor.

1.3 Die Annahme der Allgemeinen Geschäftsbedingungen von Keyvero durch den Verantwortlichen bei Abschluss des Hauptvertrags beinhaltet zugleich die Annahme dieses AVV in der zum Zeitpunkt des Vertragsschlusses geltenden Fassung.

2. Gegenstand, Art, Zweck und Dauer der Verarbeitung

2.1 Beschreibung der Verarbeitung. Die Keyvero-Webanwendung nimmt eingehende Telefonanrufe für vom Verantwortlichen konfigurierte Telefonnummern entgegen. Das Audio-Signal wird in Echtzeit transkribiert, durch ein Sprachmodell beantwortet, mittels Sprachsynthese in eine gesprochene Antwort umgewandelt und an die Anruferin oder den Anrufer zurückgesendet. Transkripte, automatisch erzeugte Zusammenfassungen sowie technische Metadaten der Anrufe werden in der Webanwendung gespeichert und dem Verantwortlichen über ein Dashboard zugänglich gemacht.

2.2 Art und Zweck der Verarbeitung. Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten Dienste, insbesondere:

  • der Annahme eingehender Anrufe für die vom Verantwortlichen verwalteten Telefonnummern,
  • der Spracherkennung und Sprachsynthese,
  • der KI-gestützten Beantwortung der Anrufe nach den vom Verantwortlichen konfigurierten Vorgaben,
  • der Erstellung, Speicherung und Bereitstellung von Transkripten und Zusammenfassungen,
  • dem Versand transaktionaler E-Mails und SMS durch vom Verantwortlichen konfigurierte Agent-Tools,
  • der Bereitstellung des Dashboards einschließlich Auswertungen und Konfigurationsoberfläche.

2.3 Dauer. Der AVV beginnt mit Wirksamwerden des Hauptvertrags und endet mit dessen Beendigung. Die Pflichten zur Löschung oder Rückgabe der Daten nach Beendigung gemäß Abschnitt 5.7 bleiben hiervon unberührt.

3. Art der personenbezogenen Daten und Kategorien betroffener Personen

3.1 Kategorien personenbezogener Daten. Im Rahmen der Auftragsverarbeitung können folgende Datenkategorien verarbeitet werden:

  • Telefonnummer der Anruferin oder des Anrufers (Caller ID);
  • Inhalt des Gesprächs in Form eines automatisch erstellten Transkripts, einschließlich aller im Gespräch von der Anruferin oder dem Anrufer freiwillig genannten personenbezogenen Angaben (z.B. Name, Termin-Wünsche, Anliegen);
  • Zeitstempel, Dauer und Status des Anrufs;
  • automatisch erzeugte Zusammenfassung des Gesprächs;
  • technische Metadaten (Twilio Call-SID, Transfer-Ziel, sofern aktiviert).

Audio-Aufzeichnungen der Gespräche werden nicht persistent gespeichert.

3.2 Kategorien betroffener Personen. Betroffen sind die Anruferinnen und Anrufer, die eine vom Verantwortlichen verwaltete Telefonnummer anrufen. Mittelbar betroffen können auch Dritte sein, deren personenbezogene Daten von der Anruferin oder dem Anrufer im Gespräch genannt werden (z.B. Name eines Familienmitglieds).

3.3 Keine besonderen Datenkategorien. Eine gezielte Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO ist nicht vorgesehen. Der Verantwortliche verpflichtet sich, die Anwendung nicht so zu konfigurieren, dass eine systematische Verarbeitung solcher Daten erfolgt; er informiert Keyvero, falls aufgrund branchen­spezifischer Anforderungen (z.B. Heilbehandlung) entsprechende Daten beiläufig anfallen können, damit zusätzliche Schutzmaßnahmen vereinbart werden können.

4. Pflichten des Verantwortlichen

4.1 Der Verantwortliche ist im Verhältnis zu den Betroffenen für die Rechtmäßigkeit der Verarbeitung allein verantwortlich. Insbesondere stellt er sicher, dass für die im Rahmen dieses AVV durch Keyvero verarbeiteten Daten eine taugliche Rechtsgrundlage besteht.

4.2 Der Verantwortliche erfüllt seine Informationspflichten gegenüber den Betroffenen nach Art. 13 und Art. 14 DSGVO. Er weist insbesondere Anruferinnen und Anrufer in geeigneter Weise auf den Einsatz eines KI-Sprachassistenten und die Verarbeitung ihrer Daten hin. Die hörbare Information am Anrufanfang durch die Keyvero-Anwendung selbst ergänzt diese Pflicht, ersetzt sie aber nicht in jedem Fall.

4.3 Weisungen an Keyvero erteilt der Verantwortliche grundsätzlich über die Konfigurationsoberfläche der Webanwendung (Systemprompt, Tools, Agent-Einstellungen). Darüber hinausgehende Weisungen erfolgen in Textform an info@keyvero.ai.

4.4 Der Verantwortliche ist für die Inhalte der vom Agenten ausgegebenen Antworten sowie für die Konfiguration angeschlossener Tools (z.B. SMS- und E-Mail-Versand, Webhooks) allein verantwortlich.

5. Pflichten von Keyvero

5.1 Weisungsgebundenheit. Keyvero verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Eine Weisung, die nach Auffassung von Keyvero gegen geltendes Datenschutzrecht verstößt, wird Keyvero dem Verantwortlichen unverzüglich anzeigen.

5.2 Vertraulichkeit. Keyvero verpflichtet die zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Technische und organisatorische Maßnahmen. Keyvero trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen Maßnahmen sind in Anlage 1 dieses AVV beschrieben. Keyvero darf die Maßnahmen unter Wahrung des Schutzniveaus weiterentwickeln; wesentliche Verschlechterungen werden dem Verantwortlichen mitgeteilt.

5.4 Unterstützung bei Betroffenenrechten. Keyvero unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der in Art. 12 bis 23 DSGVO genannten Pflichten zur Beantwortung von Betroffenenanträgen. Anfragen, die Keyvero direkt von Betroffenen erreichen, leitet Keyvero unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht ohne dessen Einbindung selbst.

5.5 Unterstützung bei Datenschutz-Folgenabschätzung und Meldepflichten. Keyvero unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, bei einer vorherigen Konsultation nach Art. 36 DSGVO sowie bei der Erfüllung der Meldepflichten nach Art. 33 und Art. 34 DSGVO.

5.6 Datenschutzverletzungen. Keyvero meldet Verletzungen des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betreffen, ohne unangemessene Verzögerung — in der Regel innerhalb von 48 Stunden ab Kenntniserlangung — an die hinterlegte Kontaktadresse des Verantwortlichen. Die Meldung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, der Kategorien und ungefähren Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen.

5.7 Löschung oder Rückgabe nach Auftragsende. Nach Beendigung des Hauptvertrags löscht Keyvero alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern der Verantwortliche nicht innerhalb dieser Frist eine Rückgabe in einem strukturierten, gängigen und maschinenlesbaren Format verlangt. Gesetzliche Aufbewahrungspflichten — insbesondere nach § 132 BAO und § 212 UGB für Abrechnungsdaten — bleiben unberührt; die hiervon erfassten Daten werden gesondert gespeichert und nach Ablauf der jeweiligen Aufbewahrungsfrist gelöscht.

6. Sub-Auftragsverarbeiter

6.1 Der Verantwortliche erteilt Keyvero die allgemeine Genehmigung, Sub-Auftragsverarbeiter für die Erbringung der vereinbarten Dienste heranzuziehen. Die zum Stichtag dieses AVV eingesetzten Sub-Auftragsverarbeiter sind in Anlage 2 aufgeführt.

6.2 Keyvero verpflichtet jeden Sub-Auftragsverarbeiter vertraglich zu mindestens denselben Datenschutzpflichten, wie sie zwischen Keyvero und dem Verantwortlichen vereinbart sind. Soweit Sub-Auftragsverarbeiter in einem Drittland sitzen, schließt Keyvero ergänzend die Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO oder vergleichbare geeignete Garantien ab.

6.3 Keyvero informiert den Verantwortlichen über beabsichtigte Änderungen an der Sub-Auftragsverarbeiter-Liste mit angemessenem Vorlauf, in der Regel mindestens 30 Tage vor Wirksamwerden, über die Webanwendung oder per E-Mail. Der Verantwortliche kann der Beauftragung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Fall eines berechtigten Widerspruchs werden die Parteien einvernehmlich eine Lösung suchen; gelingt dies nicht, ist der Verantwortliche berechtigt, den betroffenen Teil des Hauptvertrags außerordentlich zu kündigen.

7. Übermittlung in Drittländer

7.1 Die Verarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Sub-Auftragsverarbeiter mit Sitz außerhalb der EU/des EWR sind so konfiguriert, dass die Datenverarbeitung in EU-Regionen oder über europäische Endpunkte erfolgt.

7.2 Soweit eine Übermittlung personenbezogener Daten in Drittländer dennoch erforderlich ist, stützt Keyvero diese auf:

  • das EU-US Data Privacy Framework für nach diesem Rahmen zertifizierte US-Unternehmen,
  • die Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO oder
  • andere geeignete Garantien gemäß Art. 46 DSGVO.

Eine Kopie der jeweils anwendbaren Standardvertragsklauseln stellt Keyvero dem Verantwortlichen auf Anfrage zur Verfügung.

8. Prüf- und Auditrechte

8.1 Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV festgelegten Pflichten durch Keyvero zu überprüfen. Die Prüfung erfolgt in zumutbarem Umfang, in der Regel einmal pro Kalenderjahr, mit einer Voranmeldefrist von mindestens 30 Tagen und während der üblichen Geschäftszeiten von Keyvero.

8.2 Keyvero kann seiner Auskunftspflicht insbesondere durch Vorlage aktueller Zertifizierungen und Audit-Berichte unabhängiger Dritter (z.B. SOC 2 Type 2, ISO 27001) seiner Sub-Auftragsverarbeiter sowie eigener Compliance-Dokumentation nachkommen.

8.3 Der Verantwortliche darf einen externen, zur Berufsverschwiegenheit verpflichteten Auditor beauftragen, sofern dieser kein Wettbewerber von Keyvero ist. Der Auditor verpflichtet sich vor Beginn der Prüfung schriftlich zur Vertraulichkeit gegenüber Keyvero.

8.4 Die Kosten einer im Rahmen von 8.1 durchgeführten Prüfung trägt der Verantwortliche. Den notwendigen Mitwirkungsaufwand von Keyvero im Rahmen einer Prüfung pro Kalenderjahr trägt Keyvero; darüber hinausgehender Aufwand wird nach den jeweils gültigen Stundensätzen von Keyvero in Rechnung gestellt.

9. Haftung

9.1 Für die Haftung der Parteien gilt Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei nur für den von ihr zu vertretenden Anteil eines etwaigen Schadens. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags.

10. Vertragsdauer und Beendigung

10.1 Dieser AVV läuft so lange wie der Hauptvertrag. Eine separate Kündigung des AVV unter Aufrechterhaltung des Hauptvertrags ist nicht möglich.

10.2 Mit Beendigung des Hauptvertrags gelten die Regelungen in 5.7 zur Löschung oder Rückgabe der Daten.

11. Schlussbestimmungen

11.1 Änderungen. Änderungen dieses AVV bedürfen der Textform. Anlagen 1 und 2 darf Keyvero einseitig anpassen, sofern dies aus organisatorischen Gründen erforderlich ist und das Schutzniveau dadurch nicht herabgesetzt wird; der Verantwortliche wird über wesentliche Änderungen vorab informiert.

11.2 Salvatorische Klausel. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen und rechtlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

11.3 Anwendbares Recht und Gerichtsstand. Für diesen AVV gilt österreichisches Recht unter Ausschluss seiner Verweisungsnormen. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Wien.

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Keyvero setzt zum Schutz der im Auftrag verarbeiteten Daten folgende Maßnahmen ein:

A. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle. Die produktive Infrastruktur wird auf den Rechenzentrumsflächen der eingesetzten Sub-Auftragsverarbeiter (Hetzner in Falkenstein, Microsoft in West Europe, Supabase / AWS-Rechenzentren in Frankfurt) betrieben. Diese verfügen über etablierte physische Sicherheitsmaßnahmen (Vereinzelungsanlagen, Videoüberwachung, Zutrittsprotokoll). Keyvero selbst betreibt keine eigenen Rechenzentrumsflächen.
  • Zugangskontrolle (Authentifizierung der Mitarbeiter). Zugriff auf produktive Systeme erfolgt ausschließlich mit personalisierten Konten und Zwei-Faktor-Authentifizierung über die Verwaltungsoberflächen der eingesetzten Plattformen.
  • Zugriffskontrolle (Berechtigungsmodell). Endkunden-Zugriff auf Anwendungs-Daten erfolgt über Row-Level-Security in der Datenbank; jedes Kundenkonto sieht ausschließlich die Daten der eigenen Organisation. Innerhalb eines Kundenkontos haben die durch den Kontoinhaber eingeladenen Mitglieder Zugriff auf sämtliche Anrufdaten dieses Kontos.
  • Mitarbeiter-Zugriff. Lesender Zugriff auf produktive Kundendaten durch Keyvero-Personal ist auf die Geschäftsführung beschränkt und erfolgt ausschließlich zu Betriebs-, Support- oder Fehlerbehebungszwecken.
  • Schlüsselverwaltung. Geheime Zugangsdaten zu Sub-Auftragsverarbeitern sind verschlüsselt abgelegt und ausschließlich den dafür berechtigten Anwendungs-Prozessen zugänglich.
  • Trennungskontrolle. Daten unterschiedlicher Mandanten werden in logisch getrennten Datensätzen mit Mandanten-Schlüssel gespeichert; der Zugriff erfolgt ausschließlich über mandanten-gefilterte Datenbankabfragen.

B. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Transportverschlüsselung. Sämtliche Verbindungen zur Webanwendung sowie zwischen den Backend-Komponenten erfolgen über TLS 1.2 oder höher. Die Zertifikate werden über Let's Encrypt ausgestellt und automatisch rotiert.
  • Verschlüsselung im Ruhezustand. Datenbankinhalte und Disk-Speicher der eingesetzten Sub-Auftragsverarbeiter sind auf Plattform-Ebene verschlüsselt.
  • Eingabekontrolle. Sicherheitsrelevante Ereignisse (Anmeldeversuche, Änderungen an der Agent-Konfiguration) werden protokolliert. Anrufdaten enthalten technische Metadaten, die eine Zuordnung von Aktionen zu Anrufen ermöglichen.

C. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

  • Backups. Die produktive Datenbank wird durch Point-in-Time Recovery des eingesetzten Datenbank-Subprozessors mit einer rotierenden Aufbewahrungsfrist von bis zu 7 Tagen abgesichert.
  • Geografische Verteilung. Frontend-Hosting und Datenbank werden in EU-Regionen mit mehrfacher Verfügbarkeits-Zone betrieben.
  • Wiederherstellung. Wiederherstellungsabläufe sind dokumentiert und werden bedarfsorientiert geübt.

D. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Subprozessor-Bewertung. Vor Beauftragung neuer Sub-Auftragsverarbeiter erfolgt eine datenschutz- und sicherheitsbezogene Bewertung. Bestehende Sub-Auftragsverarbeiter werden anlassbezogen sowie mindestens jährlich neu bewertet.
  • Berücksichtigung anerkannter Standards. Soweit eingesetzte Sub-Auftragsverarbeiter über anerkannte Zertifizierungen verfügen (z.B. SOC 2 Type 2, ISO 27001, HIPAA, PCI DSS), zieht Keyvero die entsprechenden Berichte zur Überprüfung heran.
  • Vorfallsmanagement. Verfahren zur Erkennung, Eindämmung, Untersuchung und Behebung von Sicherheits- und Datenschutzvorfällen sind etabliert; die Meldepflichten aus Abschnitt 5.6 dieses AVV werden eingehalten.

Anlage 2 — Sub-Auftragsverarbeiter

Stand: 20. Mai 2026.

Sub-AuftragsverarbeiterSitzZweckVerarbeitungsregionÜbermittlungs-Grundlage
Hetzner Online GmbHGunzenhausen, DeutschlandHosting des Voice-Backends und der Orchestration-SchichtFalkenstein, Deutschlandinnerhalb EU/EWR
Vercel Inc.Covina, CA, USAFrontend-Hosting der WebanwendungEU-Region FrankfurtSCCs (Modul 2) + EU-US Data Privacy Framework
Supabase Inc.San Francisco, CA, USADatenbank, Authentifizierung, Versand von Authentifizierungs-E-MailsFrankfurt, EUSCCs (Modul 2) + EU-US Data Privacy Framework
Twilio Ireland LimitedDublin, Irlandeingehende Telefonie, SIP-Trunking, SMS-Versand durch Agent-Toolsglobal; SIP-Routing über EU-EdgeEU-Vertragspartner; SCCs für Routing außerhalb der EU
Deepgram, Inc.San Francisco, CA, USASpracherkennung (Speech-to-Text)EU-Endpunkt api.eu.deepgram.comSCCs (Modul 2)
Microsoft Ireland Operations Limited (Azure OpenAI)One Microsoft Place, Leopardstown, Dublin 18, IrlandSprachmodell (Large Language Model)West Europeinnerhalb EU/EWR (Microsoft Products and Services DPA)
Cartesia AI, Inc.San Francisco, CA, USASprachsynthese (Text-to-Speech)Routing-Endpunkte; aus dem EWR aufgerufene Requests werden über europäische Endpunkte ausgeliefertSCCs (Modul 2)
Stripe Payments Europe LimitedDublin, IrlandZahlungsabwicklung und Abrechnunginnerhalb EUinnerhalb EU/EWR
Mailjet SAS (Teil der Sinch-Gruppe)Paris, FrankreichVersand transaktionaler E-Mails durch Agent-ToolsRechenzentren in Deutschland und Belgieninnerhalb EU/EWR

Eine aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter stellt Keyvero Kunden auf Anfrage zur Verfügung und informiert über wesentliche Änderungen gemäß Abschnitt 6 dieses AVV.