Talura
Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Download (.md)
Hinweis: Dieser Mustervertrag wird bei Abschluss eines kostenpflichtigen Talura-Vertrags elektronisch mit dem Verantwortlichen vereinbart (Häkchen im Upgrade-Formular). Bis dahin dient er als Grundlage für eine Prüfung durch deinen Datenschutz-Juristen. Individuelle Anpassungen oder unterzeichnete PDF: info@talura.app.
# Auftragsverarbeitungsvertrag (AVV) — nach Art. 28 DSGVO

**zwischen** dem Kunden (Verantwortlicher), vertreten durch das im Talura-Dashboard hinterlegte Unternehmen

**und**

**Andreas Reis, Einzelunternehmer**
Marstallstraße 47/1, 73033 Göppingen
E-Mail: info@talura.app
Website: https://talura.app
(Auftragsverarbeiter / „Talura")

## § 1 Gegenstand und Dauer
Verarbeitung personenbezogener Daten durch Talura im Rahmen der Talura-Plattform (KI-Sprachagent für Telefonie, Chat, WhatsApp). Dauer = Laufzeit des Hauptvertrags.

## § 2 Umfang der Datenverarbeitung
**Datenarten:** Stammdaten der Anrufer (Telefonnummer, ggf. Name), Audio-Transkripte, Kommunikations-Metadaten (Datum, Dauer, Gesprächsverlauf), technische Metadaten (IP-Hashes, Agenten-ID, Sentiment), Kontakt-Kategorisierung (Lead-Qualifizierung, Termine).

**Betroffene:** Anrufer / End-Kunden des Verantwortlichen, Dashboard-Nutzer (Mitarbeiter des Verantwortlichen).

**Zweck:** Durchführung KI-gestützter Telefongespräche, Lead-Qualifizierung, Terminbuchung, Nachbereitung, Dashboard-Funktionen.

## § 3 Weisungsrecht
Talura verarbeitet ausschließlich auf dokumentierte Weisung des Verantwortlichen (Konfiguration im Dashboard gilt als dokumentiert: Agent-Prompt, Kontaktliste, Reminder-Einstellungen, Transkript-Aufbewahrungszeit). Mündliche Weisungen werden schriftlich bestätigt.

## § 4 Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)
- Zugangskontrolle: SSH-Schlüssel only, DB nur intern, Row-Level-Security pro Mandant
- Übertragung: TLS 1.2+, HSTS-Preload (.app-TLD)
- Eingabe: Audit-Log aller sensiblen Admin-Aktionen
- Auftrag: Signatur-geprüfte Webhooks, Rate-Limits auf Auth/public Endpunkte
- Verfügbarkeit: Tägliches Backup (Code + DB + Volumes + Nginx + Systemd), 7 daily + 4 weekly + 3 monthly Rotation
- Trennung: Multi-Tenant mit company_id-Scope auf DB + Redis + Logs
- Privacy-by-Design: keine Audio-Dauerspeicherung, IPs nur als Hash, Aufzeichnungshinweis (§201 StGB) vor Stream-Start

Vollständige TOM-Liste auf Anfrage.

## § 5 Unterauftragsverarbeiter

Allgemein zugestimmt:

| Dienst | Anbieter | Sitz | Drittland-Rechtsgrundlage |
|---|---|---|---|
| Cloud-Hosting, DB, E-Mail | IONOS SE | DE | — |
| Telefonie | Twilio Inc. | USA | EU-US DPF + SCC |
| LLM | OpenAI / Anthropic / Groq / Google | USA | EU-US DPF + SCC |
| STT | Deepgram / AssemblyAI / OpenAI Whisper | USA | EU-US DPF + SCC |
| TTS | ElevenLabs / Cartesia / OpenAI | USA | EU-US DPF + SCC |
| E-Mail | Resend Inc. | USA | EU-US DPF |
| Wissensdatenbank-Vektoren | Pinecone Systems | USA | SCC |
| Zahlungsabwicklung | Stripe Payments Europe Ltd. | IE | innerhalb EU |

Änderungen werden mindestens 14 Tage vorher per E-Mail angekündigt. Liste aktuell unter https://talura.app/legal/unterauftragsverarbeiter.

## § 6 Speicherort und Aufbewahrung
- Talura-DB: IONOS Rechenzentrum Karlsruhe, DE
- Transkripte: Standard 30 Tage, konfigurierbar 7-365 Tage im Dashboard
- Audio-Rohdaten: nicht persistent, nur Live-Stream
- Call-Metadaten: bis 10 Jahre nach §147 AO (nach Ablauf der Transkript-Frist anonymisiert)
- Backups: max. 90 Tage Rotation, Löschung wird spätestens nach 90 Tagen auch aus Backups wirksam

## § 7 Betroffenenrechte
Export + Löschung via Dashboard (/settings/compliance). Nachweise auf Anfrage.

## § 8 Meldepflichten
Data Breach / weisungswidrige Verarbeitung / behördliche Auskunftsersuchen: Meldung innerhalb 48h an den Verantwortlichen.
Meldekanal: **info@talura.app** Betreff „SECURITY INCIDENT".

## § 9 Löschung nach Vertragsende
Nach Wahl des Verantwortlichen Löschung oder Rückgabe aller pb Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten (HGB/AO). Löschung binnen 30 Tagen; Backups spätestens 90 Tage.

## § 10 Kontrollrechte
Stichprobenkontrollen durch Verantwortlichen. Aktuelle Sicherheits-Doku auf Anfrage binnen 14 Tagen.

## § 11 Haftung
Nach Hauptvertrag. Haftung gegenüber Betroffenen nach Art. 82 DSGVO bleibt unberührt.

## § 12 Schlussbestimmungen
- Elektronische Bestätigung im Signup-Formular genügt (unterzeichnete PDF auf Wunsch).
- Änderungen bedürfen der Schriftform.
- Salvatorische Klausel.
- Deutsches Recht, Gerichtsstand Göppingen.

---

**Stand:** 17. April 2026 — **Version:** 1.0 — **Abrufbar:** https://talura.app/avv

> **Hinweis:** Mustervertrag auf Basis branchenüblicher AVV-Vorlagen (BITKOM-Muster). Vor produktiver Nutzung durch qualifizierten Datenschutz-Juristen prüfen lassen, insbesondere bei besonderen Kategorien pb Daten (Art. 9 DSGVO).