Callisi

Callisi

Datenverarbeitungsvereinbarung | DSGVO-Konformität | Callisi

Inkrafttretensdatum:
Aug 1, 2024
Zuletzt aktualisiert
Aug 28, 2025

Dieser Datenverarbeitungszusatz sowie die Standardvertragsklauseln („DPA“) ergänzen die zwischen Callisi, einem Produkt der Hyperdimensional LLC („Callisi“), und dem Kunden (die „Vereinbarung“) geschlossene Master-Subscription-Vereinbarung bzw. Nutzungsbedingungen, sofern die DSGVO auf die Nutzung der Callisi-Dienste durch den Kunden zur Verarbeitung von Kundendaten Anwendung findet. Sofern durch dieses DPA nicht geändert, bleibt die Vereinbarung in vollem Umfang wirksam und gültig.

Die in diesem Zusatz verwendeten Begriffe haben die in diesem Zusatz festgelegte Bedeutung. Großgeschriebene Begriffe, die hierin nicht anderweitig definiert sind, haben die ihnen in der Hauptvereinbarung zugewiesene Bedeutung. Sofern nachstehend nicht geändert, bleiben die Bestimmungen der Hauptvereinbarung in vollem Umfang wirksam und gültig.

Dieses DPA wurde zuletzt am 28. August 2025 aktualisiert. Callisi behält sich das Recht vor, dieses DPA nach schriftlicher Mitteilung an den Kunden regelmäßig zu ändern; eine solche Änderung tritt automatisch mit Beginn der nächsten Vertragslaufzeit in Kraft.

In Anbetracht der hierin festgelegten gegenseitigen Verpflichtungen vereinbaren die Parteien hiermit, dass die nachstehenden Bedingungen als Zusatz zur Vereinbarung hinzugefügt werden. Nichts in diesem Zusatz ist dazu bestimmt, die in Anlage A („Standardvertragsklauseln“) in diesen Zusatz aufgenommenen Standardvertragsklauseln zu ändern oder nachteilig zu beeinflussen. Sollte eine zuständige Behörde feststellen, dass ein Widerspruch zwischen diesem Zusatz und den Standardvertragsklauseln besteht, haben die Standardvertragsklauseln Vorrang. Im Falle eines Widerspruchs zwischen einer sonstigen Vereinbarung zwischen den Parteien, einschließlich der Vereinbarung, und diesem DPA, sind die Bestimmungen dieses DPA maßgeblich.

1. Definitionen

Für die in der Vereinbarung festgelegten Zwecke haben alle in diesem DPA verwendeten großgeschriebenen Begriffe die nachstehend angegebenen Bedeutungen.

1.1 „Vereinbarung“ bezeichnet jede Vereinbarung zwischen Callisi und einem bestimmten Kunden, aufgrund derer Callisi dem Kunden die Dienstleistungen bereitstellt. Eine solche Vereinbarung kann unterschiedliche Bezeichnungen haben, einschließlich, aber nicht beschränkt auf „Bestellformular“, „Auftragsbestätigung“ oder „Master-Subscription-Vereinbarung“.
1.2 „Kunde“ bezeichnet die juristische oder natürliche Person, die die Zwecke und Mittel der Verarbeitung von Kundendaten bestimmt. Der Kunde kann auch als „Datenverantwortlicher“ bezeichnet werden.
1.3 „Kundendaten“ bezeichnet alle „personenbezogenen Daten“ (wie in der DSGVO definiert), die vom Kunden oder in dessen Auftrag bereitgestellt und von Callisi gemäß der Vereinbarung verarbeitet werden.
1.4 „Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften, einschließlich der Gesetze und verbindlichen Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums („EWR“) und deren Mitgliedstaaten, der Schweiz und des Vereinigten Königreichs sowie etwaiger Änderungen oder Ersatzgesetze, die für die Verarbeitung von Kundendaten gemäß der Vereinbarung gelten.
1.5 „DSGVO“ bezeichnet die Datenschutz-Grundverordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, zur Aufhebung der Richtlinie 95/46/EG sowie die UK GDPR und das Data Protection Act 2018.
1.6 „Zulässiger Zweck“ bezeichnet die Nutzung der Kundendaten in dem Umfang, der für die Erbringung der Dienstleistungen durch Callisi an den Kunden erforderlich ist.
1.7 „Sicherheitsvorfall“ bezeichnet jeden unbefugten oder rechtswidrigen Zugriff auf oder Erwerb, Änderung, Nutzung, Offenlegung oder Zerstörung von Kundendaten.
1.8 „Dienstleistungen“ bezeichnet die Callisi Voice-AI-White-Label-Plattformdienste und die damit verbundenen Leistungen, die im Rahmen der Vereinbarung erbracht werden.
1.9 „Standardvertragsklauseln“ bezeichnet die Vereinbarung, die als Anlage A beigefügt ist, gemäß dem Beschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern.
1.10 „Unterauftragsverarbeiter“ bezeichnet jede von Callisi beauftragte Stelle, die Kundendaten im Zusammenhang mit den Dienstleistungen verarbeitet.
1.11 „Aufsichtsbehörde“ bezeichnet eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedstaat gemäß der DSGVO eingerichtet wurde, sowie den Information Commissioner als unabhängige Datenschutzbehörde des Vereinigten Königreichs.
1.12 Begriffe wie „Betroffene Person“, „Verarbeitung“, „Verantwortlicher“ und „Auftragsverarbeiter“ haben die Bedeutung, die ihnen in der DSGVO zugewiesen ist.
1.13 „Drittanbieterdienste“ bezeichnet Verbindungen und/oder Links zu Websites und/oder Diensten Dritter, die nicht zu den Kernleistungsangeboten gemäß der Vereinbarung gehören, einschließlich, aber nicht beschränkt auf programmatische Schnittstellen von Voice-AI-Anbietern.
1.14 „UK SCC Addendum“ bezeichnet, beigefügt als Anhang IV, den United Kingdom International Data Transfer Addendum zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübermittlungen, Version B1.0, herausgegeben vom UK Information Commissioner gemäß Abschnitt 119A des UK Data Protection Act 2018, in Kraft getreten am 21. März 2022, sowie alle Aktualisierungen, Änderungen oder Ersatzfassungen.

2. Datenverarbeitung

2.1 Verarbeitungstätigkeiten

2.1.1 Gegenstand. Die Bereitstellung der Dienstleistungen durch Callisi an den Kunden. 2.1.2 Art und Zweck. Callisi wird Kundendaten zum Zwecke der Erbringung der Dienstleistungen (einschließlich Verwaltung, Betrieb, technischer und kundenspezifischer Unterstützung) an den Kunden gemäß der Vereinbarung verarbeiten. 2.1.3 Rollen der Parteien. Die Parteien erkennen an, dass der Kunde hinsichtlich der Verarbeitung von Kundendaten der Verantwortliche der Kundendaten ist und Callisi der Auftragsverarbeiter dieser Kundendaten ist. Der Kunde versteht, dass er im Falle der Nutzung von Drittanbieterdiensten als Verantwortlicher agiert und sicherstellen muss, dass die Drittanbieterdienste keine Unterauftragsverarbeiter von Callisi sind. 2.1.4 Anweisungen des Kunden. Die Parteien stimmen zu, dass dieses DPA und die Vereinbarung die dokumentierten Anweisungen des Kunden hinsichtlich der Verarbeitung von Kundendaten durch Callisi darstellen und Callisi die Kundendaten gemäß diesen dokumentierten Anweisungen verarbeitet. 2.1.5 Einhaltung von Gesetzen. Jede Partei wird alle für sie geltenden und verbindlichen Gesetze, Vorschriften und Bestimmungen bei der Durchführung dieses DPA einhalten, einschließlich der DSGVO. Callisi ist verantwortlich dafür, die Anforderungen der für das Geschäft des Kunden geltenden Gesetze zu ermitteln oder sicherzustellen, dass die Bereitstellung der Dienstleistungen durch Callisi die Anforderungen dieser Gesetze erfüllt.

2.2 Kategorien von Daten und betroffenen Personen

2.2.1 Kategorien personenbezogener Daten:
  • Kontaktinformationen (Namen, E-Mail-Adressen, Telefonnummern)
  • Geschäftsinformationen (Firmenname, Geschäftsadresse)
  • Konto- und Abrechnungsinformationen
  • Metadaten und Analysen von Sprachanrufen
  • Links und Verweise zu Sprachaufnahmen
  • Nutzungs- und Analysedaten
  • Kundensupport-Kommunikationen
  • Daten zu Endnutzerinteraktionen (Telefonnummern, E-Mail-Adressen, personenbezogene Angaben, die während von Sprachanrufen gesammelt werden)
2.2.2 Kategorien betroffener Personen:
  • Mitarbeiter und autorisierte Nutzer des Kunden
  • Kunden und Endnutzer des Kunden
  • Personen, die mit den Voice-AI-Agenten des Kunden interagieren
  • Kundensupport-Kontakte

3. Pflichten des Kunden

Wir erheben automatisch bestimmte Informationen, wenn Sie unsere Dienstleistungen nutzen:

3.1 Anweisungen. Der Kunde stellt Callisi Anweisungen gemäß diesem DPA bereit, um die Einhaltung der Datenschutzgesetze sicherzustellen.

3.2 Anfragen von Betroffenen und Aufsichtsbehörden. Der Kunde ist verantwortlich für die Kommunikation und die Leitung aller Maßnahmen zur Erfüllung von Anfragen von Betroffenen gemäß den Datenschutzgesetzen sowie aller Mitteilungen von Aufsichtsbehörden, die sich auf Kundendaten beziehen, in Übereinstimmung mit den Datenschutzgesetzen. Soweit solche Anfragen oder Mitteilungen die Unterstützung von Callisi erfordern, wird der Kunde Callisi schriftlich benachrichtigen.

3.3 Hinweis, Einwilligung und andere Genehmigungen. Der Kunde ist dafür verantwortlich, den Betroffenen die erforderlichen Hinweise gemäß den Datenschutzgesetzen bereitzustellen. Der Kunde ist dafür verantwortlich, alle erforderlichen Einwilligungen, Genehmigungen und Berechtigungen gemäß den Datenschutzgesetzen auf gültige Weise einzuholen und nachzuweisen, damit Callisi die Dienstleistungen erbringen kann.

3.4 White-Label-Compliance. Wenn der Kunde die White-Label-Dienste von Callisi nutzt, erkennt der Kunde an und stimmt zu, dass er dafür verantwortlich ist, die Einhaltung aller geltenden Datenschutzgesetze in Bezug auf die Endnutzer des Kunden und deren personenbezogene Daten sicherzustellen.

4. Pflichten von Callisi

4.1 Umfang der Verarbeitung. Callisi wird Kundendaten gemäß den dokumentierten Anweisungen des Kunden verarbeiten und in der Weise, die für die Bereitstellung der Dienstleistungen erforderlich ist sowie zur Einhaltung der für Callisi geltenden gesetzlichen Vorschriften. Sollte Callisi der Ansicht sein, dass eine dokumentierte Anweisung oder zusätzliche Verarbeitungsanweisung des Kunden gegen die DSGVO oder andere Datenschutzgesetze verstößt, wird Callisi den Kunden unverzüglich informieren und die Erbringung der Dienstleistungen gegebenenfalls aussetzen, bis die Anweisung geändert oder die Rechtmäßigkeit der zusätzlichen Verarbeitungsanweisung schriftlich bestätigt wurde.

4.2 Anfragen von Betroffenen. Erhält Callisi eine Anfrage von einer betroffenen Person gemäß den Datenschutzgesetzen in Bezug auf Kundendaten, wird Callisi dem Kunden innerhalb von zwei (2) Werktagen nach Eingang eine Kopie der Anfrage zur Verfügung stellen. Callisi stellt dem Kunden Werkzeuge bereit, die es dem Kunden ermöglichen, auf die Anfragen von Betroffenen zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen zu reagieren.

4.3 Anfragen von Aufsichtsbehörden. Callisi wird den Kunden schriftlich innerhalb von zwei (2) Werktagen benachrichtigen, nachdem Callisi Mitteilungen bearbeitet und etwaige Anweisungen oder Empfehlungen von Aufsichtsbehörden in Bezug auf die Kundendaten befolgt hat.

4.4 Aufbewahrung. Callisi wird Kundendaten so lange aufbewahren, wie der Kunde sie für den zulässigen Zweck als notwendig erachtet oder wie es die geltenden Gesetze verlangen. Nach Beendigung dieses DPA oder auf schriftliche Anforderung des Kunden wird Callisi die Kundendaten entweder löschen oder an den Kunden zurückgeben, sofern keine verlängerte Speicherung durch geltende Gesetze erforderlich ist.

4.5 Offenlegung an Dritte und Vertraulichkeit. Callisi wird die Kundendaten nicht an Dritte weitergeben, außer wie in diesem DPA oder der Vereinbarung erlaubt, es sei denn, die Offenlegung ist gesetzlich vorgeschrieben. Callisi wird (soweit gesetzlich zulässig) den Kunden schriftlich benachrichtigen und mit dem Kunden zusammenarbeiten, bevor einer solchen Offenlegungsanfrage nachgekommen wird.

4.6 Sicherheitsmaßnahmen. Callisi wird geeignete technische und organisatorische Maßnahmen umsetzen, um Kundendaten vor Sicherheitsvorfällen zu schützen. Details zu den Sicherheitsmaßnahmen von Callisi sind in der Callisi-Sicherheitsrichtlinie auf der Callisi-Website enthalten und werden hier durch Verweis einbezogen.

4.7 Unterauftragsverarbeiter. Der Kunde erkennt an und stimmt zu, dass Callisi Unterauftragsverarbeiter zur Verarbeitung von Kundendaten einsetzen kann. Eine aktuelle Liste der Unterauftragsverarbeiter ist im Callisi-Dokument „Unterauftragsverarbeiter“ verfügbar. Callisi wird den Kunden mindestens dreißig (30) Tage im Voraus über Änderungen der Unterauftragsverarbeiter informieren. Der Kunde kann der Ernennung eines neuen Unterauftragsverarbeiters widersprechen, indem er Callisi innerhalb von dreißig (30) Tagen nach Erhalt der Mitteilung schriftlich benachrichtigt.

4.8 Datenschutz-Folgenabschätzung. Callisi wird den Kunden angemessen bei der Durchführung von Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden unterstützen, soweit dies gemäß der DSGVO erforderlich ist und Callisi Zugriff auf relevante Informationen hat.

4.9 Sicherheitsvorfallreaktion. Callisi wird den Kunden unverzüglich und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden nach Bekanntwerden eines Sicherheitsvorfalls benachrichtigen. Diese Benachrichtigung wird verfügbare Informationen über die Art des Sicherheitsvorfalls und die ergriffenen Maßnahmen enthalten.

4.10 Prüfungsrechte. Der Kunde kann Audits zur Einhaltung dieses DPA durch Callisi durchführen. Der Kunde kann Informationen über die Einhaltung dieses DPA durch Callisi anfordern, einschließlich der SOC 2 Typ II-Berichte von Callisi und anderer relevanter Sicherheitszertifikate.

5. Internationale Datenübermittlungen

5.1 Datenübertragungsmechanismen. Soweit Callisi Kundendaten in einem Land verarbeitet, das von der Europäischen Kommission nicht als Land mit angemessenem Schutz für personenbezogene Daten eingestuft wurde, werden die Parteien die als Anlage A beigefügten Standardvertragsklauseln ausführen.

5.2 Zusätzliche Schutzmaßnahmen. Callisi setzt zusätzliche technische und organisatorische Maßnahmen zum Schutz von Kundendaten bei internationalen Übertragungen ein, einschließlich Verschlüsselung, Zugriffskontrollen und sicheren Rechenzentren.

6. Haftung und Entschädigung

6.1 Haftung. Die Haftung jeder Partei im Rahmen dieses DPA unterliegt den in der Vereinbarung festgelegten Haftungsbeschränkungen und Haftungsausschlüssen.

6.2 Haftung für Unterauftragsverarbeiter. Callisi haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, als ob diese Handlungen und Unterlassungen direkt von Callisi gemäß den Bestimmungen dieses DPA ausgeführt worden wären.

7. Laufzeit und Beendigung

7.1 Laufzeit. Dieses DPA bleibt in Kraft, solange Callisi Kundendaten im Auftrag des Kunden verarbeitet.

7.2 Beendigung. Nach Beendigung dieses DPA wird Callisi jegliche Verarbeitung von Kundendaten einstellen und die Kundendaten gemäß der Vereinbarung und den geltenden gesetzlichen Bestimmungen löschen oder zurückgeben.

8. Anwendbares Recht und Gerichtsstand

Dieses DPA unterliegt den in der Vereinbarung festgelegten Bestimmungen zum anwendbaren Recht und ist in Übereinstimmung mit diesen auszulegen. Alle Streitigkeiten im Zusammenhang mit diesem DPA unterliegen den in der Vereinbarung festgelegten Bestimmungen zur ausschließlichen Gerichtsbarkeit.

ANLAGE A

STANDARDVERTRAGSKLAUSELN (Übermittlung vom Verantwortlichen an den Auftragsverarbeiter) Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates

Die Parteien haben die folgenden Standardvertragsklauseln (die „Klauseln“) vereinbart, um angemessene Garantien zum Schutz der Privatsphäre sowie der Grundrechte und -freiheiten von Personen für die Übermittlung der in Anhang I aufgeführten personenbezogenen Daten vom Datenverantwortlichen an den Auftragsverarbeiter zu gewährleisten.

ABSCHNITT I

Klausel 1 – Zweck und Umfang

(a) Zweck dieser Standardvertragsklauseln ist die Sicherstellung der Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) für die Übermittlung personenbezogener Daten in ein Drittland.
(b) Die Parteien: (i) die natürlichen oder juristischen Personen, öffentlichen Stellen, Behörden oder sonstigen Einrichtungen (im Folgenden „Stelle(n)“), die die personenbezogenen Daten gemäß Anhang I.A. übermitteln (im Folgenden jeweils „Datenverantwortlicher“); und (ii) die Stelle(n) in einem Drittland, die die personenbezogenen Daten vom Datenverantwortlichen erhalten, wie in Anhang I.A. aufgeführt (im Folgenden jeweils „Auftragsverarbeiter“), haben diese Standardvertragsklauseln vereinbart (im Folgenden: „Klauseln“).
(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten, wie in Anhang I.B. angegeben.
(d) Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist integraler Bestandteil dieser Klauseln.

Klausel 2 – Wirksamkeit und Unveränderlichkeit der Klauseln

(a) Diese Klauseln legen angemessene Garantien fest, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsmittel, gemäß Artikel 46 Abs. 1 und Artikel 46 Abs. 2 Buchstabe c der Verordnung (EU) 2016/679 und in Bezug auf Datenübermittlungen vom Verantwortlichen an den Auftragsverarbeiter gemäß Artikel 28 Abs. 4 der Verordnung (EU) 2016/679, indem sichergestellt wird, dass der Datenverantwortliche demselben Schutzniveau unterliegt wie die betroffene Person.

(b) Diese Klauseln lassen Verpflichtungen unberührt, denen der Datenverantwortliche kraft der Verordnung (EU) 2016/679 unterliegt.

Klausel 3 – Begünstigte Dritter

(a) Betroffene Personen können diese Klauseln als Begünstigte Dritter gegenüber dem Datenverantwortlichen und/oder Auftragsverarbeiter geltend machen und durchsetzen, mit folgenden Ausnahmen: (i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7; (ii) Klausel 8 – Modul Zwei: Klausel 8.5(e) und Klausel 8.9(b); (iii) Klausel 9 – Modul Zwei: Klausel 9(a), (c), (d) und (e); (iv) Klausel 12 – Modul Zwei: Klausel 12(a), (d) und (f); (v) Klausel 13; (vi) Klausel 15.1(c), (d) und (e); (vii) Klausel 16(e); (viii) Klausel 18 – Modul Zwei: Klausel 18(a) und (b).

(b) Absatz (a) lässt die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679 unberührt.

Klausel 4 – Auslegung

(a) Soweit in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht so ausgelegt werden, dass sie den Rechten und Pflichten widersprechen, die in der Verordnung (EU) 2016/679 vorgesehen sind.

Klausel 5 – Rangordnung

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen einschlägiger Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach geschlossen werden, haben diese Klauseln Vorrang.

Klausel 6 – Beschreibung der Übermittlung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und die Zwecke, zu denen sie übermittelt werden, sind in Anhang I.B. angegeben.

Klausel 7 – Anschlussklausel

(a) Eine Stelle, die keine Partei dieser Klauseln ist, kann mit Zustimmung der Parteien jederzeit diesen Klauseln beitreten, entweder als Datenverantwortlicher oder als Auftragsverarbeiter, indem sie den Anhang ausfüllt und Anhang I.A. unterzeichnet.

(b) Sobald die beitretende Stelle den Anhang ausgefüllt und Anhang I.A. unterzeichnet hat, wird sie Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenverantwortlichen oder Auftragsverarbeiters gemäß ihrer Bezeichnung in Anhang I.A.

(c) Die beitretende Stelle hat keine Rechte oder Pflichten aus diesen Klauseln für den Zeitraum vor ihrem Beitritt.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 8 – Datenschutzgarantien

Der Datenverantwortliche gewährleistet, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Auftragsverarbeiter durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, die Verpflichtungen aus diesen Klauseln zu erfüllen.

8.1 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich für den in Anhang I.B. festgelegten spezifischen Zweck/die spezifischen Zwecke der Übermittlung. Eine Verarbeitung der personenbezogenen Daten für einen anderen Zweck ist nur zulässig: (a) wenn die vorherige Einwilligung der betroffenen Person eingeholt wurde; (b) wenn dies zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Aufsichts- oder Gerichtsverfahren erforderlich ist; oder (c) wenn dies erforderlich ist, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

8.2 Transparenz

Auf Anfrage stellt der Datenverantwortliche der betroffenen Person kostenlos eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenverantwortliche Teile des Textes des Anhangs vor der Weitergabe schwärzen, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, damit die betroffene Person den Inhalt verstehen und ihre Rechte ausüben kann.

8.3 Richtigkeit und Datenminimierung

Jede Partei stellt sicher, dass die personenbezogenen Daten korrekt sind und, falls erforderlich, auf dem neuesten Stand gehalten werden. Der Datenverantwortliche ergreift alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zweckbestimmung der Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur in dem Umfang und so lange, wie es für die in Anhang I.B. angegebenen Zwecke erforderlich ist.

8.4 Speicherbegrenzung

Der Auftragsverarbeiter speichert die personenbezogenen Daten nicht länger als für die in Anhang I.B. angegebenen Zwecke erforderlich. Nach Ablauf der Aufbewahrungsfrist löscht der Auftragsverarbeiter die personenbezogenen Daten oder gibt sie an den Datenverantwortlichen zurück, es sei denn, die Aufbewahrung der personenbezogenen Daten ist nach dem Recht des Drittlands vorgeschrieben.

8.5 Sicherheit der Verarbeitung

(a) Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen um, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich während der Übertragung, und zum Schutz vor Sicherheitsverletzungen, die zu unbeabsichtigter oder rechtswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff führen (im Folgenden „Verletzung personenbezogener Daten“).

(b) Der Auftragsverarbeiter gewährt den Mitgliedern seines Personals nur insoweit Zugang zu den verarbeiteten personenbezogenen Daten, wie es für die Umsetzung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten autorisiert sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Verletzung personenbezogener Daten, die personenbezogene Daten betrifft, die vom Auftragsverarbeiter gemäß diesen Klauseln verarbeitet werden, ergreift der Auftragsverarbeiter geeignete Maßnahmen zur Behebung der Verletzung personenbezogener Daten, einschließlich Maßnahmen zur Minderung der nachteiligen Folgen.

(d) Der Auftragsverarbeiter arbeitet mit dem Datenverantwortlichen zusammen und unterstützt ihn, damit dieser seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere zur Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter verfügbaren Informationen.

8.6 Besondere Kategorien personenbezogener Daten

Soweit die Übermittlung personenbezogener Daten Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten betrifft (im Folgenden „besondere Kategorien personenbezogener Daten“), wendet der Auftragsverarbeiter besondere Einschränkungen und/oder zusätzliche Schutzmaßnahmen an.

8.7 Weitergehende Übermittlungen

Der Auftragsverarbeiter darf die personenbezogenen Daten ohne vorherige schriftliche Genehmigung des Datenverantwortlichen weder an eine in einem Drittland ansässige dritte Partei noch an eine internationale Organisation übermitteln. Wird der Auftragsverarbeiter vom Datenverantwortlichen zur weitergehenden Übermittlung autorisiert, stellt der Auftragsverarbeiter sicher, dass die dritte Partei einen Vertrag mit dem Auftragsverarbeiter abgeschlossen hat, der dasselbe Schutzniveau wie diese Klauseln gewährleistet.

8.8 Verarbeitung unter der Weisung des Datenverantwortlichen

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisungen des Datenverantwortlichen. Kann der Auftragsverarbeiter eine solche Verarbeitung nicht durchführen (z. B. aufgrund von Konflikten mit den gesetzlichen Anforderungen im Drittland), informiert er den Datenverantwortlichen unverzüglich und setzt die Verarbeitung aus, bis der Datenverantwortliche neue Anweisungen erteilt.

8.9 Dokumentation und Einhaltung

(a) Jede Partei muss in der Lage sein, die Einhaltung ihrer Verpflichtungen aus diesen Klauseln nachzuweisen. Insbesondere führt der Auftragsverarbeiter eine angemessene Dokumentation der unter der Verantwortung des Datenverantwortlichen durchgeführten Verarbeitungstätigkeiten.

(b) Der Auftragsverarbeiter stellt dem Datenverantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen, und ermöglicht sowie unterstützt Audits.

Klausel 9 – Einsatz von Unterauftragsverarbeitern

(a) Der Auftragsverarbeiter verfügt über eine allgemeine Genehmigung des Verantwortlichen zur Beauftragung von Unterauftragsverarbeiter(n) aus einer vereinbarten Liste. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern und gewährt dem Verantwortlichen damit ausreichend Zeit, um solchen Änderungen vor der Beauftragung des/der Unterauftragsverarbeiter(s) zu widersprechen. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
(b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung spezifischer Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so erfolgt dies auf Grundlage eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzpflichten vorsieht, wie sie den Auftragsverarbeiter nach diesen Klauseln binden.
(c) Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dessen Vertrag mit dem Auftragsverarbeiter haftbar.

Klausel 10 – Rechte der betroffenen Person

(a) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über jedes Ersuchen, das er von einer betroffenen Person erhalten hat. Er darf auf dieses Ersuchen nicht selbst antworten, es sei denn, er wurde vom Verantwortlichen hierzu ermächtigt. (b) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679.

Klausel 11 – Rechtsbehelfe

(a) Der Auftragsverarbeiter informiert betroffene Personen in transparenter und leicht zugänglicher Form, entweder durch individuelle Mitteilung oder auf seiner Website, über eine Kontaktstelle, die zur Bearbeitung von Beschwerden befugt ist. Er bearbeitet alle von einer betroffenen Person eingehenden Beschwerden unverzüglich.

(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien hinsichtlich der Einhaltung dieser Klauseln wird die betreffende Partei sich nach besten Kräften bemühen, die Angelegenheit zeitnah einvernehmlich zu lösen.

Klausel 12 – Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für sämtliche Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.

(b) Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadensersatz für alle materiellen oder immateriellen Schäden, die die Partei der betroffenen Person durch Verletzung der Drittbegünstigtenrechte aus diesen Klauseln zufügt.

(c) Ungeachtet Absatz (b) haftet der Verantwortliche nicht für Schäden, die durch einen Verstoß des Auftragsverarbeiters gegen diese Klauseln verursacht werden.

(d) Sind mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien Klage vor Gericht zu erheben.

Klausel 13 – Aufsicht

(a) Die Aufsichtsbehörde, die für die Überwachung der Einhaltung der Verordnung (EU) 2016/679 durch den Verantwortlichen in Bezug auf die Datenübermittlung zuständig ist, fungiert als zuständige Aufsichtsbehörde.

(b) Der Auftragsverarbeiter unterwirft sich der Zuständigkeit der zuständigen Aufsichtsbehörde und verpflichtet sich, deren Anordnungen in Bezug auf die Datenübermittlung einzuhalten.

ABSCHNITT III – LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH ÖFFENTLICHE BEHÖRDEN

Klausel 14 – Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinflussen

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken oder der geltenden Gesetze widerzuspiegeln. Über wesentliche Änderungen werden wir Sie informieren durch:

(a) Die Parteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die im Drittland des Bestimmungsortes geltenden Gesetze und Praktiken, die die Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter betreffen, den Auftragsverarbeiter daran hindern, die Verpflichtungen aus diesen Klauseln zu erfüllen.

(b) Die Parteien verpflichten sich, regelmäßig zu überwachen, ob die im Drittland des Bestimmungsortes geltenden Gesetze und Praktiken, die die Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter betreffen, weiterhin einen angemessenen Schutz der personenbezogenen Daten gewährleisten.

Klausel 15 – Verpflichtungen des Auftragsverarbeiters nach lokalen Gesetzen

(a) Der Auftragsverarbeiter informiert den Verantwortlichen und, soweit möglich, die betroffene Person unverzüglich (gegebenenfalls mit Unterstützung des Verantwortlichen) über gesetzliche Anforderungen nach den Gesetzen des Drittlands des Bestimmungsortes, die nicht mit den Anforderungen dieser Klauseln übereinstimmen.

(b) Der Auftragsverarbeiter stellt dem Verantwortlichen relevante Informationen über die gesetzlichen Anforderungen nach den Gesetzen des Drittlands des Bestimmungsortes zur Verfügung.

Klausel 16 – Nicht-Einhaltung der Klauseln und Beendigung

(a) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er diese Klauseln nicht einhalten kann.

(b) Für den Fall, dass der Auftragsverarbeiter gegen diese Klauseln verstößt oder diese Klauseln nicht einhalten kann, aussetzt der Verantwortliche die Übermittlung personenbezogener Daten an den Auftragsverarbeiter, bis die Einhaltung wieder gewährleistet ist oder der Vertrag beendet wird.

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 17 – Anwendbares Recht

Diese Klauseln unterliegen dem Recht des EU-Mitgliedstaates, in dem der Verantwortliche seinen Sitz hat.

Klausel 18 – Gerichtsstand und Zuständigkeit

(a) Alle Streitigkeiten aus diesen Klauseln werden von den Gerichten eines EU-Mitgliedstaates entschieden.

(b) Die betroffene Person kann auch vor den Gerichten des Mitgliedstaates Klage gegen den Verantwortlichen und/oder den Auftragsverarbeiter erheben, in dem sie ihren gewöhnlichen Aufenthalt hat.

ANHANG I

A. LISTE DER PARTEIEN

Datenexporteur(e): Kunde (wie am Ende des DPA-Dokuments definiert) Auftragsverarbeiter: Callisi (ein Produkt von Hyperdimensional LLC)
Relevante Tätigkeiten für die übermittelten Daten: Bereitstellung von White-Label-Voice-AI-Plattformdiensten

B. BESCHREIBUNG DER ÜBERMITTLUNG

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden:

  • Mitarbeiter und autorisierte Nutzer des Kunden
  • Kunden und Endnutzer des Kunden
  • Personen, die mit den Voice-AI-Agenten des Kunden interagieren
  • Kontaktpersonen des Kundensupports

Kategorien der übermittelten personenbezogenen Daten:

  • Kontaktinformationen (Namen, E-Mail-Adressen, Telefonnummern)
  • Geschäftsinformationen (Firmennamen, Geschäftsadressen)
  • Konto- und Abrechnungsinformationen
  • Metadaten und Analysen von Sprachanrufen
  • Links und Verweise zu Sprachaufzeichnungen
  • Nutzungs- und Analysedaten
  • Kundensupport-Kommunikationen
  • Daten zur Interaktion von Endnutzern

Übertragene sensible Daten (falls zutreffend): Keine, außer wenn vom Kunden ausdrücklich konfiguriert Häufigkeit der Übermittlung: Fortlaufend während der Laufzeit der Vereinbarung Art der Verarbeitung: Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Abruf, Konsultation, Nutzung, Weitergabe durch Übermittlung, Verbreitung, Angleichung, Kombination, Einschränkung, Löschung und Vernichtung Zweck(e) der Datenübermittlung und der weiteren Verarbeitung: Bereitstellung von White-Label-Voice-AI-Plattformdiensten Dauer der Speicherung der personenbezogenen Daten: Wie im DPA und in der Datenschutzerklärung angegeben

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Identifizieren Sie die zuständige Aufsichtsbehörde/n gemäß Klausel 13: Wenn die erste Option zutrifft, d. h. der Kunde in einem EU-Mitgliedstaat niedergelassen ist: Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde dieses EU-Mitgliedstaats, in dem der Kunde niedergelassen ist; oder Wenn die zweite Option zutrifft, d. h. der Kunde nicht in einem EU-Mitgliedstaat niedergelassen ist, Artikel 3 Absatz 2 der DSGVO gilt und der Kunde einen EU-Vertreter gemäß Artikel 27 der DSGVO benannt hat: Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde des EU-Mitgliedstaats, in dem der EU-Vertreter des Kunden, der für die Verarbeitung gemäß diesen Klauseln relevant ist, seinen Sitz hat (zeitweilig); oder Wenn die dritte Option zutrifft, d. h. der Kunde nicht in einem EU-Mitgliedstaat niedergelassen ist, Artikel 3 Absatz 2 der DSGVO gilt, der Kunde jedoch keinen EU-Vertreter gemäß Artikel 27 der DSGVO benannt hat, ist die zuständige Aufsichtsbehörde: die Aufsichtsbehörde des EU-Mitgliedstaats, der schriftlich an [team@callisi.com](mailto:team@callisi.com) mitgeteilt wurde. Dieser EU-Mitgliedstaat muss ein Mitgliedstaat sein, in dem die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, ihren Sitz haben.

ANHANG II – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Die vom Auftragsverarbeiter umgesetzten technischen und organisatorischen Maßnahmen sind im Detail in der Callisi-Sicherheitsrichtlinie beschrieben.

Diese Vereinbarung wird hiermit geschlossen zwischen:

Callisi

Hyperdimensional LLC

Kunde

Firmenname: _____________

Name: Lynn Schulte-Kellinghaus

Name: _______________________

Kontakt: team@callisi.com

Kontakt: _____________________

Titel: Datenschutzbeauftragter

Titel: ________________________

Datum: ____________________

Datum: ____________________

Wenn Sie eine unterzeichnete Version unserer Auftragsverarbeitungsvereinbarung benötigen, können Sie diese per E-Mail anfordern.