# Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO --- **zwischen** **dem Kunden** (nachfolgend „Verantwortlicher") vertreten durch das im Talura-Dashboard hinterlegte Unternehmen **und** **Andreas Reis, Einzelunternehmer** Marstallstraße 47/1, 73033 Göppingen E-Mail: info@talura.app Website: https://talura.app (nachfolgend „Auftragsverarbeiter" oder „Talura") --- ## § 1 Gegenstand und Dauer des Auftrags 1.1 Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch Talura im Rahmen der Nutzung der Talura-Plattform (KI-Sprachagent für Telefonie, Chat und WhatsApp). 1.2 Die Dauer des Auftrags entspricht der Laufzeit des zugrundeliegenden Hauptvertrags (Nutzung der Talura-Plattform). ## § 2 Umfang und Zweck der Datenverarbeitung **Art der Daten:** - Stammdaten der Anrufer (Telefonnummer, ggf. Name wenn genannt) - Audio-Transkripte der Gespräche - Kommunikationsdaten (Datum, Uhrzeit, Dauer, Gesprächsverlauf) - Technische Metadaten (IP-Hashes, Agenten-ID, Sentiment-Auswertung) - Ggf. Kontakt-Kategorisierungsdaten (Lead-Qualifizierung, Terminbuchung) **Kategorien betroffener Personen:** - Anrufer / End-Kunden des Verantwortlichen - Nutzer des Dashboards (Mitarbeiter des Verantwortlichen) **Zweck:** Durchführung KI-gestützter Telefongespräche, Lead-Qualifizierung, Terminbuchung, Nachbereitung (Transkript, Zusammenfassung, Follow-up) sowie Bereitstellung der zugehörigen Dashboard-Funktionen. ## § 3 Weisungsrecht des Verantwortlichen 3.1 Talura verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — es sei denn, Talura wird durch das Recht der Europäischen Union oder das Recht eines Mitgliedstaates zu einer anderen Verarbeitung verpflichtet. 3.2 Weisungen gelten als dokumentiert, wenn sie im Dashboard über Konfiguration (z.B. Agent-Prompt, Kontaktliste, Reminder-Einstellungen, Transkript-Aufbewahrungszeit) hinterlegt werden. 3.3 Mündliche Weisungen werden auf Verlangen schriftlich bestätigt. ## § 4 Technisch-organisatorische Maßnahmen (TOM) Talura verpflichtet sich zu folgenden Schutzmaßnahmen nach Art. 32 DSGVO: - **Zugriffskontrolle:** Zugang zum Produktionssystem nur über SSH-Schlüssel; Datenbank nur intern erreichbar; Row-Level-Security pro Mandant. - **Übertragungskontrolle:** TLS 1.2+ auf allen öffentlichen Endpunkten; HSTS-Preload durch `.app`-TLD erzwungen. - **Eingabekontrolle:** Audit-Log aller sensiblen Admin-Aktionen in `audit_log`. - **Auftragskontrolle:** Signatur-geprüfte Webhooks (Twilio, Stripe); Rate-Limits auf Auth- und öffentlichen Endpunkten. - **Verfügbarkeitskontrolle:** Tägliches Backup (Code + DB + Volumes + Nginx + Systemd) mit 7 täglichen, 4 wöchentlichen, 3 monatlichen Rotationspunkten. - **Trennungsgebot:** Multi-Tenant-Architektur mit `company_id`-Scope auf Datenbankebene (RLS); separate Redis-Keys pro Mandant; Logs mit `company_id` gelabelt. - **Datenschutz durch Technikgestaltung:** Keine Audio-Dauerspeicherung (nur Live-Streaming + Text-Transkript); IP-Adressen ausschließlich als Hash gespeichert; Aufzeichnungshinweis DE-rechtskonform (§201 StGB) vor Stream-Start. Vollständige TOM-Liste auf Anfrage an info@talura.app. ## § 5 Unterauftragsverarbeiter 5.1 Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter allgemein zu: | Dienst | Anbieter | Sitz | Zweck | Rechtsgrundlage Drittland | |---|---|---|---|---| | Cloud-Hosting & Datenbank | IONOS SE | DE | VPS-Hosting, E-Mail-Versand, Domain | Kein Drittland-Transfer | | Telefonie | Twilio Inc. | USA | Sprach- und Messaging-Infrastruktur | EU-US DPF + SCC | | LLM-Verarbeitung | OpenAI / Anthropic / Groq / Google | USA | KI-Sprachmodell für Gesprächslogik | EU-US DPF + SCC (je Anbieter) | | Sprache-zu-Text (STT) | Deepgram / AssemblyAI / OpenAI Whisper | USA | Spracherkennung | EU-US DPF + SCC | | Text-zu-Sprache (TTS) | ElevenLabs / Cartesia / OpenAI | USA | Sprachausgabe | EU-US DPF + SCC | | E-Mail-Versand | Resend Inc. | USA | Transaktions-E-Mails | EU-US DPF | | Wissensdatenbank-Embeddings | Pinecone Systems Inc. | USA | Vektor-Index für Wissensdatenbanken | SCC | | Zahlungsabwicklung | Stripe Payments Europe Ltd. | IE | Rechnungsabwicklung (sobald aktiviert) | Innerhalb EU | 5.2 Talura informiert den Verantwortlichen schriftlich (E-Mail) über geplante Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter mindestens **14 Tage** im Voraus. Der Verantwortliche kann der Änderung innerhalb dieser Frist widersprechen. 5.3 Die jeweils aktuelle Liste ist unter **https://talura.app/legal/unterauftragsverarbeiter** abrufbar. ## § 6 Speicherort und Aufbewahrung - **Talura-Datenbank (Supabase/Postgres):** Rechenzentrum IONOS, Karlsruhe (Deutschland). - **Transkripte:** Standardmäßig 30 Tage, durch Verantwortlichen im Dashboard konfigurierbar zwischen 7 und 365 Tagen. - **Audio-Rohdaten:** Nicht persistent gespeichert (Live-Stream zu STT-Anbieter, dann verworfen). - **Call-Metadaten:** Bis zu 10 Jahre gemäß § 147 AO (Aufbewahrungspflicht für steuerlich relevante Daten), personenbezogene Inhalte werden nach Ablauf der konfigurierten Transkript-Aufbewahrung anonymisiert. - **Backups:** Maximal 90 Tage Rotation. Eine Löschung wird spätestens nach 90 Tagen auch aus Backups wirksam. ## § 7 Betroffenenrechte Talura unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit) durch: - Export-Funktion im Dashboard (`/settings/compliance` → „Daten exportieren") - Löschfunktion im Dashboard (`/settings/compliance` → „Alle Daten löschen") - Nachweise von Auftragsverarbeitungsaktivitäten auf Anfrage ## § 8 Meldepflichten Talura meldet dem Verantwortlichen **innerhalb von 48 Stunden** nach Kenntniserlangung: - Verletzungen des Schutzes personenbezogener Daten (Data Breach) - Weisungswidrige Verarbeitungen durch eigene Mitarbeiter oder Unterauftragsverarbeiter - Beschlagnahmungen oder Auskunftsersuchen staatlicher Stellen, soweit rechtlich zulässig Meldekanal: **info@talura.app** mit Betreff „SECURITY INCIDENT". ## § 9 Löschung und Rückgabe nach Vertragsende 9.1 Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten des Verantwortlichen nach Wahl des Verantwortlichen gelöscht oder an ihn zurückgegeben, sofern nicht eine Pflicht zur Speicherung der personenbezogenen Daten nach dem Recht der Union oder des Mitgliedstaats besteht (z.B. HGB/AO-Aufbewahrung). 9.2 Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende, Backups werden spätestens nach 90 Tagen überschrieben. ## § 10 Kontrollrechte des Verantwortlichen 10.1 Der Verantwortliche kann sich durch Stichprobenkontrollen von der Einhaltung der TOM überzeugen. 10.2 Auf Anfrage stellt Talura aktuelle Sicherheits-Dokumentation (TOM-Liste, Audit-Log-Auszüge, Pentest-Ergebnisse sofern vorhanden) binnen 14 Tagen bereit. ## § 11 Haftung Die Haftung zwischen den Parteien richtet sich nach den Regelungen des Hauptvertrags. Eine Haftungsbeschränkung gegenüber Betroffenen nach Art. 82 DSGVO ist hiervon ausgeschlossen. ## § 12 Schlussbestimmungen 12.1 Dieser AVV gilt mit elektronischer Bestätigung bei Vertragsabschluss (Häkchen im Signup-Formular) als vereinbart. Auf Wunsch kann eine unterzeichnete PDF-Version angefordert werden. 12.2 Änderungen und Ergänzungen bedürfen der Schriftform. 12.3 Sollte eine Bestimmung dieses AVV unwirksam sein, bleiben die übrigen Bestimmungen wirksam. 12.4 Es gilt deutsches Recht. Gerichtsstand ist Göppingen. --- **Stand:** 17. April 2026 **Version:** 1.0 **Abrufbar unter:** https://talura.app/legal/avv --- > **Wichtiger Hinweis:** Dieser Mustervertrag basiert auf branchenüblichen AVV-Vorlagen (orientiert am BITKOM-Muster). **Vor produktiver Nutzung sollte er von einem qualifizierten Datenschutz-Juristen geprüft und ggf. an individuelle Besonderheiten angepasst werden.** Insbesondere bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO, z.B. Gesundheits- oder biometrische Daten) sind zusätzliche Schutzmaßnahmen vertraglich zu vereinbaren.