Stand: 20. Mai 2026
Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien aus der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG), die sich aus der Nutzung der Keyvero-Webanwendung durch den Verantwortlichen ergeben.
Verantwortlicher ist der Kunde, der die Keyvero-Webanwendung auf Grundlage eines Nutzungsvertrags (im Folgenden „Hauptvertrag“) nutzt — im Folgenden „der Verantwortliche“.
Auftragsverarbeiter ist:
Keyvero FlexKapG
Bernardgasse 12/3, 1070 Wien, Österreich
Firmenbuchnummer FN 677912 f, Handelsgericht Wien
vertreten durch die Geschäftsführer Alexander Ortner und Nikolaus Weber
— im Folgenden „Keyvero“ oder „der Auftragsverarbeiter“.
Verantwortlicher und Keyvero werden einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.
1.1 Keyvero stellt dem Verantwortlichen einen KI-basierten Telefon-Assistenten als Software-as-a-Service zur Verfügung. Im Zuge der Erbringung dieser Leistung verarbeitet Keyvero personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen im Sinne von Art. 28 DSGVO.
1.2 Dieser AVV regelt die Pflichten der Parteien im Rahmen dieser Auftragsverarbeitung. Soweit dieser AVV mit dem Hauptvertrag inhaltlich kollidiert, gehen die Regelungen dieses AVV in datenschutzrechtlichen Belangen vor.
1.3 Die Annahme der Allgemeinen Geschäftsbedingungen von Keyvero durch den Verantwortlichen bei Abschluss des Hauptvertrags beinhaltet zugleich die Annahme dieses AVV in der zum Zeitpunkt des Vertragsschlusses geltenden Fassung.
2.1 Beschreibung der Verarbeitung. Die Keyvero-Webanwendung nimmt eingehende Telefonanrufe für vom Verantwortlichen konfigurierte Telefonnummern entgegen. Das Audio-Signal wird in Echtzeit transkribiert, durch ein Sprachmodell beantwortet, mittels Sprachsynthese in eine gesprochene Antwort umgewandelt und an die Anruferin oder den Anrufer zurückgesendet. Transkripte, automatisch erzeugte Zusammenfassungen sowie technische Metadaten der Anrufe werden in der Webanwendung gespeichert und dem Verantwortlichen über ein Dashboard zugänglich gemacht.
2.2 Art und Zweck der Verarbeitung. Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten Dienste, insbesondere:
2.3 Dauer. Der AVV beginnt mit Wirksamwerden des Hauptvertrags und endet mit dessen Beendigung. Die Pflichten zur Löschung oder Rückgabe der Daten nach Beendigung gemäß Abschnitt 5.7 bleiben hiervon unberührt.
3.1 Kategorien personenbezogener Daten. Im Rahmen der Auftragsverarbeitung können folgende Datenkategorien verarbeitet werden:
Audio-Aufzeichnungen der Gespräche werden nicht persistent gespeichert.
3.2 Kategorien betroffener Personen. Betroffen sind die Anruferinnen und Anrufer, die eine vom Verantwortlichen verwaltete Telefonnummer anrufen. Mittelbar betroffen können auch Dritte sein, deren personenbezogene Daten von der Anruferin oder dem Anrufer im Gespräch genannt werden (z.B. Name eines Familienmitglieds).
3.3 Keine besonderen Datenkategorien. Eine gezielte Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO ist nicht vorgesehen. Der Verantwortliche verpflichtet sich, die Anwendung nicht so zu konfigurieren, dass eine systematische Verarbeitung solcher Daten erfolgt; er informiert Keyvero, falls aufgrund branchenspezifischer Anforderungen (z.B. Heilbehandlung) entsprechende Daten beiläufig anfallen können, damit zusätzliche Schutzmaßnahmen vereinbart werden können.
4.1 Der Verantwortliche ist im Verhältnis zu den Betroffenen für die Rechtmäßigkeit der Verarbeitung allein verantwortlich. Insbesondere stellt er sicher, dass für die im Rahmen dieses AVV durch Keyvero verarbeiteten Daten eine taugliche Rechtsgrundlage besteht.
4.2 Der Verantwortliche erfüllt seine Informationspflichten gegenüber den Betroffenen nach Art. 13 und Art. 14 DSGVO. Er weist insbesondere Anruferinnen und Anrufer in geeigneter Weise auf den Einsatz eines KI-Sprachassistenten und die Verarbeitung ihrer Daten hin. Die hörbare Information am Anrufanfang durch die Keyvero-Anwendung selbst ergänzt diese Pflicht, ersetzt sie aber nicht in jedem Fall.
4.3 Weisungen an Keyvero erteilt der Verantwortliche grundsätzlich über die Konfigurationsoberfläche der Webanwendung (Systemprompt, Tools, Agent-Einstellungen). Darüber hinausgehende Weisungen erfolgen in Textform an info@keyvero.ai.
4.4 Der Verantwortliche ist für die Inhalte der vom Agenten ausgegebenen Antworten sowie für die Konfiguration angeschlossener Tools (z.B. SMS- und E-Mail-Versand, Webhooks) allein verantwortlich.
5.1 Weisungsgebundenheit. Keyvero verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Eine Weisung, die nach Auffassung von Keyvero gegen geltendes Datenschutzrecht verstößt, wird Keyvero dem Verantwortlichen unverzüglich anzeigen.
5.2 Vertraulichkeit. Keyvero verpflichtet die zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit, soweit sie nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Technische und organisatorische Maßnahmen. Keyvero trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen Maßnahmen sind in Anlage 1 dieses AVV beschrieben. Keyvero darf die Maßnahmen unter Wahrung des Schutzniveaus weiterentwickeln; wesentliche Verschlechterungen werden dem Verantwortlichen mitgeteilt.
5.4 Unterstützung bei Betroffenenrechten. Keyvero unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der in Art. 12 bis 23 DSGVO genannten Pflichten zur Beantwortung von Betroffenenanträgen. Anfragen, die Keyvero direkt von Betroffenen erreichen, leitet Keyvero unverzüglich an den Verantwortlichen weiter und beantwortet sie nicht ohne dessen Einbindung selbst.
5.5 Unterstützung bei Datenschutz-Folgenabschätzung und Meldepflichten. Keyvero unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, bei einer vorherigen Konsultation nach Art. 36 DSGVO sowie bei der Erfüllung der Meldepflichten nach Art. 33 und Art. 34 DSGVO.
5.6 Datenschutzverletzungen. Keyvero meldet Verletzungen des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betreffen, ohne unangemessene Verzögerung — in der Regel innerhalb von 48 Stunden ab Kenntniserlangung — an die hinterlegte Kontaktadresse des Verantwortlichen. Die Meldung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, der Kategorien und ungefähren Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen.
5.7 Löschung oder Rückgabe nach Auftragsende. Nach Beendigung des Hauptvertrags löscht Keyvero alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern der Verantwortliche nicht innerhalb dieser Frist eine Rückgabe in einem strukturierten, gängigen und maschinenlesbaren Format verlangt. Gesetzliche Aufbewahrungspflichten — insbesondere nach § 132 BAO und § 212 UGB für Abrechnungsdaten — bleiben unberührt; die hiervon erfassten Daten werden gesondert gespeichert und nach Ablauf der jeweiligen Aufbewahrungsfrist gelöscht.
6.1 Der Verantwortliche erteilt Keyvero die allgemeine Genehmigung, Sub-Auftragsverarbeiter für die Erbringung der vereinbarten Dienste heranzuziehen. Die zum Stichtag dieses AVV eingesetzten Sub-Auftragsverarbeiter sind in Anlage 2 aufgeführt.
6.2 Keyvero verpflichtet jeden Sub-Auftragsverarbeiter vertraglich zu mindestens denselben Datenschutzpflichten, wie sie zwischen Keyvero und dem Verantwortlichen vereinbart sind. Soweit Sub-Auftragsverarbeiter in einem Drittland sitzen, schließt Keyvero ergänzend die Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO oder vergleichbare geeignete Garantien ab.
6.3 Keyvero informiert den Verantwortlichen über beabsichtigte Änderungen an der Sub-Auftragsverarbeiter-Liste mit angemessenem Vorlauf, in der Regel mindestens 30 Tage vor Wirksamwerden, über die Webanwendung oder per E-Mail. Der Verantwortliche kann der Beauftragung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Im Fall eines berechtigten Widerspruchs werden die Parteien einvernehmlich eine Lösung suchen; gelingt dies nicht, ist der Verantwortliche berechtigt, den betroffenen Teil des Hauptvertrags außerordentlich zu kündigen.
7.1 Die Verarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Sub-Auftragsverarbeiter mit Sitz außerhalb der EU/des EWR sind so konfiguriert, dass die Datenverarbeitung in EU-Regionen oder über europäische Endpunkte erfolgt.
7.2 Soweit eine Übermittlung personenbezogener Daten in Drittländer dennoch erforderlich ist, stützt Keyvero diese auf:
Eine Kopie der jeweils anwendbaren Standardvertragsklauseln stellt Keyvero dem Verantwortlichen auf Anfrage zur Verfügung.
8.1 Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV festgelegten Pflichten durch Keyvero zu überprüfen. Die Prüfung erfolgt in zumutbarem Umfang, in der Regel einmal pro Kalenderjahr, mit einer Voranmeldefrist von mindestens 30 Tagen und während der üblichen Geschäftszeiten von Keyvero.
8.2 Keyvero kann seiner Auskunftspflicht insbesondere durch Vorlage aktueller Zertifizierungen und Audit-Berichte unabhängiger Dritter (z.B. SOC 2 Type 2, ISO 27001) seiner Sub-Auftragsverarbeiter sowie eigener Compliance-Dokumentation nachkommen.
8.3 Der Verantwortliche darf einen externen, zur Berufsverschwiegenheit verpflichteten Auditor beauftragen, sofern dieser kein Wettbewerber von Keyvero ist. Der Auditor verpflichtet sich vor Beginn der Prüfung schriftlich zur Vertraulichkeit gegenüber Keyvero.
8.4 Die Kosten einer im Rahmen von 8.1 durchgeführten Prüfung trägt der Verantwortliche. Den notwendigen Mitwirkungsaufwand von Keyvero im Rahmen einer Prüfung pro Kalenderjahr trägt Keyvero; darüber hinausgehender Aufwand wird nach den jeweils gültigen Stundensätzen von Keyvero in Rechnung gestellt.
9.1 Für die Haftung der Parteien gilt Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei nur für den von ihr zu vertretenden Anteil eines etwaigen Schadens. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags.
10.1 Dieser AVV läuft so lange wie der Hauptvertrag. Eine separate Kündigung des AVV unter Aufrechterhaltung des Hauptvertrags ist nicht möglich.
10.2 Mit Beendigung des Hauptvertrags gelten die Regelungen in 5.7 zur Löschung oder Rückgabe der Daten.
11.1 Änderungen. Änderungen dieses AVV bedürfen der Textform. Anlagen 1 und 2 darf Keyvero einseitig anpassen, sofern dies aus organisatorischen Gründen erforderlich ist und das Schutzniveau dadurch nicht herabgesetzt wird; der Verantwortliche wird über wesentliche Änderungen vorab informiert.
11.2 Salvatorische Klausel. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die dem wirtschaftlichen und rechtlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
11.3 Anwendbares Recht und Gerichtsstand. Für diesen AVV gilt österreichisches Recht unter Ausschluss seiner Verweisungsnormen. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Wien.
Keyvero setzt zum Schutz der im Auftrag verarbeiteten Daten folgende Maßnahmen ein:
Stand: 20. Mai 2026.
| Sub-Auftragsverarbeiter | Sitz | Zweck | Verarbeitungsregion | Übermittlungs-Grundlage |
|---|---|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Deutschland | Hosting des Voice-Backends und der Orchestration-Schicht | Falkenstein, Deutschland | innerhalb EU/EWR |
| Vercel Inc. | Covina, CA, USA | Frontend-Hosting der Webanwendung | EU-Region Frankfurt | SCCs (Modul 2) + EU-US Data Privacy Framework |
| Supabase Inc. | San Francisco, CA, USA | Datenbank, Authentifizierung, Versand von Authentifizierungs-E-Mails | Frankfurt, EU | SCCs (Modul 2) + EU-US Data Privacy Framework |
| Twilio Ireland Limited | Dublin, Irland | eingehende Telefonie, SIP-Trunking, SMS-Versand durch Agent-Tools | global; SIP-Routing über EU-Edge | EU-Vertragspartner; SCCs für Routing außerhalb der EU |
| Deepgram, Inc. | San Francisco, CA, USA | Spracherkennung (Speech-to-Text) | EU-Endpunkt api.eu.deepgram.com | SCCs (Modul 2) |
| Microsoft Ireland Operations Limited (Azure OpenAI) | One Microsoft Place, Leopardstown, Dublin 18, Irland | Sprachmodell (Large Language Model) | West Europe | innerhalb EU/EWR (Microsoft Products and Services DPA) |
| Cartesia AI, Inc. | San Francisco, CA, USA | Sprachsynthese (Text-to-Speech) | Routing-Endpunkte; aus dem EWR aufgerufene Requests werden über europäische Endpunkte ausgeliefert | SCCs (Modul 2) |
| Stripe Payments Europe Limited | Dublin, Irland | Zahlungsabwicklung und Abrechnung | innerhalb EU | innerhalb EU/EWR |
| Mailjet SAS (Teil der Sinch-Gruppe) | Paris, Frankreich | Versand transaktionaler E-Mails durch Agent-Tools | Rechenzentren in Deutschland und Belgien | innerhalb EU/EWR |
Eine aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter stellt Keyvero Kunden auf Anfrage zur Verfügung und informiert über wesentliche Änderungen gemäß Abschnitt 6 dieses AVV.