Datenschutz & AGBs

Alles Wichtige zur Nutzung von PhoneLabs.

Die folgenden Texte beziehen sich ausschließlich auf PhoneLabs und die Angebote unter phonelabs.io sowie app.phonelabs.io. Nur die deutsche Fassung ist rechtsverbindlich; Übersetzungen dienen ausschließlich der Information.

Auftragsverarbeitungsvertrag (AVV)

Datum der Veröffentlichung der aktuellen Version: 03.06.2026

Einordnung und Vertragsparteien

Diese Vereinbarung zur Auftragsverarbeitung ("AVV") gilt, soweit PhoneLabs personenbezogene Daten im Auftrag eines Kunden verarbeitet. Sie ergänzt die AGB, den SaaS-Vertrag, individuelle Angebote und sonstige Leistungsvereinbarungen zwischen dem Kunden und PhoneLabs.

Auftraggeber ist der jeweilige Kunde, der PhoneLabs einsetzt und über Zwecke und Mittel der Verarbeitung entscheidet. Auftragnehmer ist PhoneLabs. UG (haftungsbeschränkt), Kurfürstenstraße 1, 80801 München, Deutschland ("PhoneLabs"). Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO; PhoneLabs ist insoweit Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Soweit PhoneLabs eigene Vertrags-, Abrechnungs-, Sicherheits-, Support-, Produktanalyse- oder Unternehmensdaten verarbeitet, handelt PhoneLabs nicht als Auftragsverarbeiter, sondern als eigener Verantwortlicher. Diese Verarbeitungen sind in den Datenschutzhinweisen beschrieben.

Gegenstand, Dauer, Art und Zweck der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung der PhoneLabs Plattform für KI-gestützte Telefonassistenten. Dazu gehören je nach gebuchtem und konfiguriertem Funktionsumfang insbesondere Telefonie, Echtzeit-Sprachverarbeitung, Transkription, KI-Antworterzeugung, Text-to-Speech, Anrufhistorie, Datenextraktion, Kalenderbuchung, Weiterleitung, Webhooks, Integrationen, Wissensbasis, SMS- oder E-Mail-Folgeaktionen, Fehleranalyse und technische Bereitstellung der Webapp.

Die Verarbeitung beginnt mit der Einrichtung oder Nutzung des Services und dauert bis zur Beendigung des Vertragsverhältnisses oder bis zur vollständigen Löschung beziehungsweise Rückgabe der im Auftrag verarbeiteten Daten, soweit keine gesetzlichen, vertraglichen oder technischen Aufbewahrungspflichten entgegenstehen.

Verarbeitungsvorgänge

  • Erheben, Empfangen, Erfassen und technisches Weiterleiten von Anruf-, Audio-, Text-, Kalender-, Kontakt- und Integrationsdaten.
  • Speichern, Ordnen, Strukturieren, Anzeigen, Abfragen, Analysieren, Verknüpfen und Aktualisieren von Daten in der PhoneLabs Plattform.
  • Transkribieren von Sprache, Erzeugen von KI-Antworten, Umwandeln von Text in Sprache und Bereitstellen von Gesprächsergebnissen.
  • Übermitteln an vom Auftraggeber konfigurierte oder zur Leistungserbringung notwendige Sub-Auftragsverarbeiter und Zielsysteme.
  • Protokollieren, Einschränken, Sperren, Löschen, Exportieren oder Anonymisieren, soweit dies zur Vertragserfüllung, Sicherheit oder Fehlerbehebung erforderlich ist.

Kategorien personenbezogener Daten

Der konkrete Datenumfang hängt von der Konfiguration des Auftraggebers, den hinterlegten Prompts, eingebundenen Tools, Telefonie- und Kalenderfunktionen sowie vom Inhalt der Anrufe ab. Insbesondere können folgende Daten verarbeitet werden:

  • Audio- und Sprachdaten sowie daraus abgeleitete Transkripte.
  • Telefonnummern, Namen, E-Mail-Adressen, Adressen, Unternehmensdaten und sonstige Kontaktdaten.
  • Anrufmetadaten wie Zeitpunkt, Dauer, Richtung, Status, Rufnummern, Call-IDs, SIP- und Routing-Metadaten.
  • Gesprächsinhalte, Anliegen, Zusammenfassungen, extrahierte Variablen, Notizen und vom Auftraggeber definierte Felder.
  • Prompts, Wissensbasis-Inhalte, Konfigurationen, Öffnungszeiten, Weiterleitungsregeln und Tool-Mappings.
  • Kalenderdaten, Verfügbarkeiten, Termine, Teilnehmerdaten, Buchungsreferenzen und Terminnotizen.
  • Webhook-, API-, CRM-, SMS-, E-Mail- und Integrationsdaten einschließlich Request- und Response-Inhalten.
  • Nutzungs-, Qualitäts-, Fehler-, Sicherheits-, Log- und technische Betriebsdaten.
  • Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, sofern diese durch Anrufer, Nutzer oder kundenseitige Inhalte in den Service eingebracht werden.

Kategorien betroffener Personen

  • bestehende, ehemalige oder potenzielle Kunden des Auftraggebers.
  • Anrufer, angerufene Personen, Gesprächspartner und Kontaktpersonen des Auftraggebers.
  • Mitarbeiter, Teammitglieder, Dienstleister, Bewerber oder sonstige Ansprechpartner des Auftraggebers.
  • Teilnehmer an Terminen, Buchungen, Rückrufen, Weiterleitungen oder Folgeaktionen.
  • sonstige Personen, deren Daten durch den Auftraggeber oder durch Gesprächsinhalte in PhoneLabs verarbeitet werden.

Weisungen und Verantwortlichkeit des Auftraggebers

PhoneLabs verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers, soweit nicht Unionsrecht oder nationales Recht eine Verarbeitung verlangt. Der Vertrag, die gebuchten Leistungen, die Plattformkonfiguration, die durch den Auftraggeber eingerichteten Agenten, Tools, Webhooks, Kalender, Rufnummern, Prompts und sonstigen Einstellungen gelten als dokumentierte Weisungen.

Der Auftraggeber ist verantwortlich für die Rechtmäßigkeit der Verarbeitung, die Rechtsgrundlagen, Informationspflichten, Einwilligungen, Aufzeichnungs- und KI-Hinweise, Löschkonzepte, Datenminimierung, branchenspezifische Vorgaben und die Zulässigkeit der von ihm konfigurierten Gesprächsflüsse, Inhalte und Integrationen.

Der Auftraggeber darf besondere Kategorien personenbezogener Daten, Zugangsdaten, Zahlungsdaten, Gesundheitsdaten oder sonstige sensible Informationen nur verarbeiten lassen, wenn er hierfür eine tragfähige Rechtsgrundlage, angemessene Schutzmaßnahmen und klare Anweisungen bereitstellt. PhoneLabs ist nicht verpflichtet, vom Auftraggeber eingebrachte Inhalte allgemein rechtlich zu prüfen.

Pflichten von PhoneLabs

PhoneLabs verpflichtet sich, personenbezogene Daten im Auftrag nach Maßgabe dieser AVV, der DSGVO und der dokumentierten Weisungen zu verarbeiten. PhoneLabs informiert den Auftraggeber, wenn eine Weisung nach Auffassung von PhoneLabs gegen Datenschutzrecht verstößt, soweit dies rechtlich zulässig ist.

  • PhoneLabs beschränkt Zugriffe auf Personen, die diese zur Leistungserbringung, Sicherheit, Wartung oder Supportbearbeitung benötigen.
  • Personen mit Zugriff auf personenbezogene Daten werden zur Vertraulichkeit verpflichtet.
  • PhoneLabs verarbeitet Daten nach dem Grundsatz der Datenminimierung nur, soweit dies für die vereinbarten Leistungen erforderlich ist.
  • PhoneLabs trifft angemessene technische und organisatorische Maßnahmen zum Schutz von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.
  • PhoneLabs unterstützt den Auftraggeber nach angemessener Möglichkeit bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden und Nachweisen nach Art. 28 DSGVO.
  • PhoneLabs informiert den Auftraggeber unverzüglich, möglichst binnen 24 Stunden nach ausreichender Kenntnis, über relevante Datenschutzvorfälle, die Daten des Auftraggebers betreffen.
  • PhoneLabs stellt dem Auftraggeber die zur Erfüllung gesetzlicher Melde- oder Informationspflichten erforderlichen verfügbaren Informationen bereit.

Technische und organisatorische Maßnahmen

PhoneLabs setzt angemessene technische und organisatorische Maßnahmen ein. Die konkrete Ausgestaltung kann sich durch technische Weiterentwicklung, Providerwechsel, neue Sicherheitsanforderungen oder Änderungen der Plattform verändern, ohne das vereinbarte Schutzniveau zu unterschreiten.

Schutzmaßnahmen

  • Transportverschlüsselung für Webapp, API-Kommunikation und technische Verbindungen, soweit technisch möglich.
  • Rollen- und organisationsbasierte Zugriffskontrollen für die PhoneLabs Plattform.
  • Verschlüsselte oder geschützte Speicherung sensibler Zugangsdaten, Secrets und Tokens, soweit technisch vorgesehen.
  • Protokollierung sicherheitsrelevanter Vorgänge und technische Überwachung zentraler Systeme.
  • Trennung von Mandanten- und Organisationsdaten innerhalb der Plattformlogik.
  • Backup-, Wiederherstellungs-, Monitoring- und Patch-Prozesse nach Maßgabe der technischen Infrastruktur.
  • Beschränkung von Support- und Administrationszugriffen auf erforderliche Fälle.
  • Verfahren zur Erkennung, Bewertung und Bearbeitung technischer Sicherheits- und Datenschutzvorfälle.

Sub-Auftragsverarbeiter

Der Auftraggeber genehmigt den Einsatz der nachfolgend genannten Sub-Auftragsverarbeiter, soweit diese für die jeweils gebuchten, aktivierten oder technisch erforderlichen Funktionen eingesetzt werden. Nicht jeder Anbieter wird in jedem Kundenkonto oder bei jedem Agenten verwendet.

Anhang 1: genehmigte Sub-Auftragsverarbeiter

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland - Hosting, Server, Datenbank-, Cache- und Infrastrukturleistungen; Serverstandort primär Deutschland oder EU; Drittlandtransfer grundsätzlich nicht erforderlich.
  • LiveKit Inc., 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, United States - Echtzeitkommunikation, virtuelle Räume, WebRTC/SIP-Komponenten; geeignete Garantien insbesondere EU-Standardvertragsklauseln und, soweit anwendbar, Data Privacy Framework; EU-Regionen werden soweit verfügbar bevorzugt.
  • Twilio Ireland Limited, 25-28 North Wall Quay, D01 H104 Dublin, Ireland - Telefonie, SMS, Rufnummern-, SIP- und Kommunikationsdienste; geeignete Garantien insbesondere Binding Corporate Rules, EU-Standardvertragsklauseln und, soweit anwendbar, Data Privacy Framework.
  • Soniox Inc., United States - Speech-to-Text und gegebenenfalls Speech-Funktionen; geeignete Garantien insbesondere EU-Standardvertragsklauseln und, soweit anwendbar, Data Privacy Framework; EU-Verarbeitung oder Zero-Retention-Einstellungen werden genutzt, soweit vertraglich und technisch verfügbar.
  • Eleven Labs Inc., 169 Madison Ave #2484, New York, NY 10016, United States - Text-to-Speech und gegebenenfalls Speech-Funktionen; geeignete Garantien insbesondere EU-Standardvertragsklauseln und, soweit anwendbar, Data Privacy Framework; EU-Verarbeitung und Zero-Retention werden genutzt, soweit vertraglich und technisch verfügbar.
  • Microsoft Ireland Operations Limited, One Microsoft Place, D18 P521 Dublin, Ireland - Azure OpenAI, Speech-to-Text, Text-to-Speech, LLM- und Cloud-Komponenten, soweit eingesetzt; EU-Regionen werden bevorzugt; geeignete Garantien bei Drittlandbezug.
  • Mistral AI, Frankreich - optionale LLM-Funktionen; Verarbeitung grundsätzlich in der EU, soweit der Dienst entsprechend genutzt wird.
  • Nylas, Inc., United States - Kalenderintegration, OAuth-Verbindungen, Verfügbarkeitsprüfung, Terminbuchung und Kalendersynchronisierung; geeignete Garantien insbesondere EU-Standardvertragsklauseln und, soweit anwendbar, Data Privacy Framework; EU-Regionen werden soweit verfügbar bevorzugt.
  • PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, United States - Produktanalyse, Funnel-Analyse und Business Intelligence, soweit aktiviert; EU-Cloud wird genutzt, soweit konfiguriert; geeignete Garantien insbesondere EU-Standardvertragsklauseln und, soweit anwendbar, Data Privacy Framework.
  • Functional Software, Inc. d/b/a Sentry, United States - Fehleranalyse und Performance-Monitoring, soweit aktiviert; geeignete Garantien insbesondere EU-Standardvertragsklauseln und, soweit anwendbar, Data Privacy Framework.
  • New Relic, Inc., 188 Spear Street, Suite 1000, San Francisco, CA 94105, United States - Application Logging, Monitoring und technische Telemetrie, soweit aktiviert; EU-Region wird soweit verfügbar bevorzugt; geeignete Garantien insbesondere EU-Standardvertragsklauseln und, soweit anwendbar, Data Privacy Framework.
  • Mailjet SAS, Paris, Frankreich - Versand transaktionaler E-Mails, Verifizierungen, Einladungen, Passwort- und Service-Mitteilungen; Verarbeitung in der EU soweit verfügbar.

PhoneLabs schließt mit Sub-Auftragsverarbeitern Vereinbarungen nach Art. 28 Abs. 4 DSGVO oder gleichwertige Datenschutzvereinbarungen ab, soweit diese als Auftragsverarbeiter eingesetzt werden. PhoneLabs bleibt gegenüber dem Auftraggeber für die Einhaltung der Pflichten der Sub-Auftragsverarbeiter verantwortlich, soweit gesetzlich vorgesehen.

PhoneLabs informiert den Auftraggeber über wesentliche Änderungen der eingesetzten Sub-Auftragsverarbeiter per E-Mail, Plattformhinweis oder durch Aktualisierung dieser AVV. Widerspricht der Auftraggeber nicht binnen 14 Kalendertagen in Textform, gilt der neue Sub-Auftragsverarbeiter als genehmigt. Können die Parteien einen Widerspruch nicht lösen, steht beiden Seiten ein außerordentliches Kündigungsrecht bezüglich der betroffenen Leistung zu.

Drittlandübermittlungen

Eine Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen erfolgt nur, soweit dies für die Leistungserbringung erforderlich ist und eine zulässige Grundlage nach Art. 44 ff. DSGVO besteht. Dazu gehören insbesondere Angemessenheitsbeschlüsse der EU-Kommission, das EU-US Data Privacy Framework für zertifizierte Empfänger, EU-Standardvertragsklauseln, Binding Corporate Rules oder sonstige gesetzlich zulässige Übermittlungsinstrumente.

PhoneLabs wählt, soweit technisch und wirtschaftlich möglich, datenschutzfreundliche Einstellungen, EU-Regionen, Zero-Retention-Optionen, Region-Pinning oder vergleichbare Schutzmaßnahmen. Der Auftraggeber bleibt dafür verantwortlich, ob der konkrete Einsatz, insbesondere bei sensiblen Daten oder besonderen Branchen, zusätzliche Anforderungen auslöst.

Kontrolle, Nachweise und Audits

PhoneLabs stellt dem Auftraggeber auf Anfrage die erforderlichen verfügbaren Informationen zur Verfügung, um die Einhaltung dieser AVV und von Art. 28 DSGVO nachzuweisen. Dazu können insbesondere Beschreibungen technischer und organisatorischer Maßnahmen, Anbieterinformationen, Zertifikate, Prüfberichte oder Datenschutzinformationen gehören, soweit sie PhoneLabs vorliegen und keine Geheimhaltungs-, Sicherheits- oder Rechte Dritter entgegenstehen.

Audits oder Inspektionen sind mit angemessener Vorankündigung, während der üblichen Geschäftszeiten, unter Wahrung der Vertraulichkeit, Sicherheitsanforderungen und Betriebsabläufe von PhoneLabs durchzuführen. Der Auftraggeber trägt seine eigenen Kosten sowie den angemessenen Aufwand von PhoneLabs, soweit gesetzlich zulässig. Audits bei Sub-Auftragsverarbeitern sind mit diesen direkt abzustimmen, soweit deren Bedingungen dies verlangen.

Betroffenenrechte und Behördenanfragen

Erhält PhoneLabs eine Anfrage einer betroffenen Person, Behörde oder eines Dritten, die erkennbar Daten des Auftraggebers betrifft, informiert PhoneLabs den Auftraggeber, soweit dies rechtlich zulässig ist. PhoneLabs beantwortet solche Anfragen grundsätzlich nicht eigenständig inhaltlich, soweit der Auftraggeber hierfür verantwortlich ist, sondern unterstützt den Auftraggeber angemessen.

Der Auftraggeber ist verantwortlich für die Prüfung und Erfüllung von Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs- und Datenübertragbarkeitsrechten. PhoneLabs unterstützt den Auftraggeber im Rahmen der technischen Möglichkeiten der Plattform und gegen angemessene Vergütung, soweit der Aufwand über die reguläre Leistungserbringung hinausgeht und gesetzlich zulässig ist.

Löschung und Rückgabe nach Vertragsende

Nach Beendigung der Auftragsverarbeitung löscht PhoneLabs die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Auftraggebers zurück, soweit dem keine gesetzlichen Aufbewahrungspflichten, berechtigten Interessen, offene Zahlungsansprüche, Missbrauchsprüfung, Sicherungsfristen oder technische Backup-Zyklen entgegenstehen.

Äußert sich der Auftraggeber nicht innerhalb angemessener Frist zur gewünschten Rückgabe oder Löschung, darf PhoneLabs die Daten nach Ablauf von sechs Monaten löschen oder anonymisieren. Backups können bis zum Ablauf regulärer Backup-Zyklen weiterbestehen und werden währenddessen nur zur Wiederherstellung, Sicherheit oder Erfüllung rechtlicher Pflichten verwendet.

Schlussbestimmungen

Bei Widersprüchen zwischen dieser AVV und sonstigen Vertragsbestandteilen gehen die spezielleren Datenschutzregelungen dieser AVV vor, soweit es um Auftragsverarbeitung nach Art. 28 DSGVO geht. Im Übrigen gelten die AGB und individuellen Vereinbarungen.

Sollten einzelne Bestimmungen dieser AVV unwirksam sein, bleibt die AVV im Übrigen wirksam. Die Parteien werden die unwirksame Regelung durch eine wirksame Regelung ersetzen, die dem datenschutzrechtlichen und wirtschaftlichen Zweck möglichst nahekommt.