Stand: Juli 2026
Auftragsverarbeitungsvertrag (AVV)
Dieser Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten, die die COLDX NETWORK LLC (nachfolgend „Auftragsverarbeiter“ oder „ColdX“) im Auftrag des jeweiligen Auftraggebers (nachfolgend „Verantwortlicher“) im Rahmen der Nutzung der ColdX-Plattform durchführt.
Er ist Bestandteil der AGB für Auftraggeber (/agb-auftraggeber) und gilt mit deren Anerkennung als vereinbart.
1. Gegenstand und Dauer der Verarbeitung
Gegenstand der Verarbeitung ist der Betrieb der ColdX-Plattform für Cold-Calling-Projekte des Verantwortlichen, insbesondere: Verwaltung von Lead- und Kontaktdaten, Durchführung und Protokollierung von Telefonanrufen, automatisierte Transkription/Zusammenfassung von Gesprächen (Call-Dokumentation), Terminverwaltung sowie der Versand von E-Mails an Leads im Namen des Verantwortlichen.
Datenminimierung bei Gesprächen: Dauerhaft aufgezeichnet wird ausschließlich die Gesprächsseite des Agenten. Die Gesprächsseite des Angerufenen wird ausschließlich als Text-Transkript gespeichert; die zugehörige Tonspur wird nach erfolgreicher Transkription automatisch gelöscht.
Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsverhältnisses gemäß den AGB für Auftraggeber.
2. Art der Daten und Kreis der betroffenen Personen
Betroffene Personen sind die von dem Verantwortlichen eingebrachten oder über die Plattform freigeschalteten Kontakte (Leads) sowie deren Ansprechpartner.
- Kontakt- und Stammdaten von Leads (Name, Firma, Telefonnummer, E-Mail-Adresse, Adresse, Positions- und Firmenangaben)
- Kommunikationsdaten (Anrufprotokolle, Gesprächs-Transkripte der Angerufenen-Seite, E-Mail-Verläufe, Termindaten)
- Vertriebliche Vermerke und Statusinformationen zu Leads
3. Weisungsgebundenheit
ColdX verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen — im Regelfall vermittelt über die Konfiguration und Nutzung der Plattformfunktionen — es sei denn, ColdX ist rechtlich zu einer anderen Verarbeitung verpflichtet.
Hält ColdX eine Weisung für datenschutzrechtlich unzulässig, informiert es den Verantwortlichen unverzüglich.
Die rechtliche Zulässigkeit der Datenerhebung und der telefonischen Ansprache der Leads liegt in der Verantwortung des Verantwortlichen (vgl. § 3 der AGB für Auftraggeber).
4. Vertraulichkeit
ColdX gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5. Technische und organisatorische Maßnahmen (TOMs)
ColdX trifft geeignete technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, insbesondere:
- Verschlüsselte Übertragung sämtlicher Daten (TLS)
- Zugriffskontrolle über rollen- und mandantenbasierte Berechtigungen (strikte Trennung der Auftraggeber-Konten)
- Passwort-Hashing, Zugriffsprotokollierung und Audit-Logs für sicherheitsrelevante Vorgänge
- Hosting in gesicherten Rechenzentren mit Zutritts- und Zugangskontrollen
- Regelmäßige Datensicherungen und Wiederherstellungskonzept
- Grundsätze der Datenminimierung und Zweckbindung in der Anwendungsarchitektur
6. Subunternehmer (weitere Auftragsverarbeiter)
Der Verantwortliche erteilt die allgemeine Genehmigung zur Einschaltung der nachfolgenden Kategorien von Subunternehmern. ColdX informiert über beabsichtigte Änderungen (Hinzuziehung oder Ersetzung), sodass der Verantwortliche widersprechen kann:
- Twilio Inc. (USA) — Telefonie-Infrastruktur (Anrufe, Rufnummern, SMS)
- Amazon Web Services (USA/EU) — Datei- und Objektspeicher (Aufzeichnungen, Dokumente, Belege)
- OpenAI (USA) — automatisierte Transkript-Auswertung und Gesprächszusammenfassungen (Call-Dokumentation)
- Vapi / Microsoft Azure (USA/EU) — sprachbasierte KI-Funktionen, soweit im Projekt aktiviert
- E-Mail-Versanddienstleister — Versand transaktionaler und projektbezogener E-Mails
- Hosting-/Infrastruktur-Anbieter — Betrieb der Plattform und Datenbanken
7. Drittlandübermittlung
Soweit Daten in Drittländern (insbesondere den USA) verarbeitet werden, erfolgt dies auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO, insbesondere EU-Standardvertragsklauseln (SCC) bzw. — soweit einschlägig — einer Zertifizierung nach dem EU-U.S. Data Privacy Framework.
8. Unterstützungspflichten
ColdX unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) sowie bei den Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
ColdX meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten, die dessen Daten betreffen, unverzüglich.
9. Löschung und Rückgabe
Nach Beendigung des Nutzungsverhältnisses löscht ColdX die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie auf Wunsch in einem gängigen Format heraus, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Verantwortliche kann Lead-Daten während der Laufzeit über die Plattformfunktionen exportieren und löschen.
10. Nachweise und Kontrollrechte
ColdX stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht angemessene Überprüfungen, in der Regel durch Beantwortung schriftlicher Anfragen oder Vorlage geeigneter Nachweise.
11. Schlussbestimmungen
Bei Widersprüchen zwischen diesem AVV und den AGB für Auftraggeber geht dieser AVV hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag vor.
Im Übrigen gelten die Schlussbestimmungen der AGB für Auftraggeber.
