Auftragsverarbeitungs­vertrag (AVV)

§ 1 Hintergrund & Anwendungsbereich

1.1Lacop Studio erbringt für den Verantwortlichen Leistungen über vier Säulen: (a) Webauftritte & Hosting, (b) Voice-/Telefon-Assistent, (c) Website-Chatbot und (d) WhatsApp-Assistent. Welche Säulen aktiv sind, richtet sich nach dem gebuchten Paket.

1.2Bei der Erbringung dieser Leistungen verarbeitet Lacop Studio personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen und handelt insoweit als Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

§ 2 Gegenstand, Art, Zweck und Rechtsgrundlage

2.1Gegenstand ist die Erbringung der im Hauptvertrag vereinbarten Leistungen (Website/Hosting und/oder KI-Assistenten).

2.2Art der Verarbeitung umfasst Erheben, Erfassen, Organisieren, Speichern, Abfragen, Verwenden, Anpassen, Übermitteln, Verknüpfen, Einschränken und Löschen personenbezogener Daten in automatisierter Form.

2.3Zweck ist die vertragsgemäße Bereitstellung und der Betrieb der Leistungen (Auslieferung/Betrieb der Website, Bearbeitung von Anfragen, Terminvereinbarung, Weiterleitung von Anliegen, zugehörige Verwaltung).

2.4Die Rechtsgrundlage der zugrundeliegenden Verarbeitung stellt der Verantwortliche sicher. Lacop Studio ist nicht verpflichtet, die Rechtmäßigkeit der vom Verantwortlichen veranlassten Verarbeitung zu prüfen.

§ 3 Betroffene Daten und Kategorien betroffener Personen

3.1Kategorien personenbezogener Daten:

• Website/Hosting: Server-Logfiles, Formular-/Kontaktdaten (Name, E-Mail, ggf. Telefon, Nachricht), Inhalts-/Konfigurationsdaten der Website
• Kontakt- und Identifikationsdaten (Name, Telefonnummer, ggf. E-Mail)
• Konversationsinhalte (Chat-/Nachrichtentexte)
• Sprach-/Audiodaten (nur transient zur Transkription, keine dauerhafte Speicherung) sowie Transkripte (Voice-Assistent)
• Kommunikations- und Telefonie-Metadaten (Zeit, Dauer, Verbindungsdaten)
• vom Verantwortlichen bereitgestellte Wissens-/Konfigurationsdaten und Prompts
• technische Daten (IP-Adresse, Geräte-/Sitzungskennungen, Protokolldaten)
• terminbezogene Daten

3.2Besondere Kategorien (Art. 9 DSGVO) sind grundsätzlich nicht Gegenstand der Verarbeitung. Soweit branchenbedingt dennoch solche Daten anfallen können, weist der Verantwortliche darauf hin und stellt die zusätzlichen Voraussetzungen (Art. 9 Abs. 2 DSGVO) sicher.

3.3Kategorien betroffener Personen: Websitebesucher:innen, Endkund:innen, Interessent:innen und sonstige Dritte des Verantwortlichen sowie dessen Mitarbeiter:innen.

§ 4 Pflichten von Lacop Studio (Art. 28 Abs. 3 DSGVO)

4.1Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern nicht eine gesetzliche Verpflichtung besteht (in diesem Fall vorherige Mitteilung, soweit zulässig).

4.2Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO); Zugriff nur für Personen, die ihn zur Leistungserbringung benötigen (Need-to-Know).

4.3Verpflichtung der befugten Personen zur Vertraulichkeit, wirkt über das Beschäftigungsverhältnis hinaus.

4.4Technische und organisatorische Maßnahmen gemäß Anhang 1 (Art. 32 DSGVO).

4.5Unterstützung bei Betroffenenrechten (Art. 12–22 DSGVO).

4.6Unterstützung bei Art. 32–36 DSGVO (Sicherheit, Meldung, DSFA, vorherige Konsultation).

4.7Meldung von Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.

4.8Information des Verantwortlichen, wenn eine Weisung nach Auffassung von Lacop Studio gegen Datenschutzrecht verstößt.

4.9Drittlandübermittlungen nur unter Einhaltung der Art. 44–49 DSGVO (siehe Anlage 3).

§ 5 Unter-Auftragsverarbeiter

5.1Der Verantwortliche erteilt seine allgemeine Genehmigung zum Einsatz der in Anlage 3 genannten Unter-Auftragsverarbeiter.

5.2Lacop Studio schließt mit Unter-Auftragsverarbeitern Verträge mit im Wesentlichen gleichen Datenschutzpflichten ab (Art. 28 Abs. 4 DSGVO).

5.3Information über beabsichtigte Änderungen (Hinzufügung/Ersetzung) mit Vorankündigung von mindestens zwei Wochen. Widerspruch aus wichtigem datenschutzrechtlichem Grund vor der Datenübermittlung möglich.

5.4Drittlandübermittlungen durch Unter-Auftragsverarbeiter werden durch Angemessenheitsbeschluss (Art. 45) oder Standardvertragsklauseln (Art. 46 DSGVO) abgesichert.

§ 6 Kontrollrechte

6.1Der Verantwortliche darf die Einhaltung dieses AVV überprüfen; Kontrollen mit angemessener Vorankündigung und ohne unverhältnismäßige Betriebsbeeinträchtigung.

6.2Lacop Studio kann den Nachweis durch geeignete Dokumentation, Zertifikate oder Berichte erbringen.

§ 7 Laufzeit und Beendigung

7.1Dieser AVV gilt für die Dauer der Verarbeitung im Rahmen des Hauptvertrags.

7.2Transkriptions- und Konversationsdaten werden bereits während der Vertragslaufzeit laufend, spätestens 90 Tage nach dem jeweiligen Gespräch, gelöscht; eine dauerhafte Audiospeicherung erfolgt nicht. Bei Beendigung werden verbleibende im Auftrag verarbeitete Daten nach Wahl des Verantwortlichen zurückgegeben oder spätestens 90 Tage nach Vertragsende gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

7.3Gleiches gilt für eingesetzte Unter-Auftragsverarbeiter.

§ 8 Schlussbestimmungen

8.1Änderungen bedürfen der Schrift- oder Textform.

8.2Es gilt österreichisches Recht; Gerichtsstand ist Wels.

8.3Bei Widerspruch zwischen Hauptvertrag und diesem AVV gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.

Anhang 1 — Technische & organisatorische Maßnahmen (Art. 32 DSGVO)

Technische Maßnahmen

• Betrieb in einem zertifizierten Rechenzentrum innerhalb der EU (Hetzner, Deutschland)
• Strikte Trennung von Produktiv- und Testumgebung (keine echten personenbezogenen Daten in Testsystemen)
• Transportverschlüsselung (TLS/HTTPS) und Verschlüsselung gespeicherter Daten
• Zugriffs- und Berechtigungskonzept nach Need-to-Know und Least-Privilege
• Mehr-Faktor-Authentifizierung und Einmal-Code-Schutz für administrative Zugänge
• Abgesicherte API-/Webhook-Schnittstellen (Signatur-/Token-Prüfung, Ratenbegrenzung, Idempotenz)
• Protokollierung sicherheitsrelevanter Ereignisse
• Regelmäßige, gesicherte Backups sowie geprüfte Wiederherstellung
• Aktualisierungs-/Patch-Management

Organisatorische Maßnahmen

• Grundsätze Privacy by Design und Privacy by Default
• Datenminimierung und definierte Löschkonzepte
• Verpflichtung der Mitarbeiter:innen zur Vertraulichkeit und Datenschutz-Sensibilisierung
• Verfahren zur Bearbeitung von Betroffenenrechten
• Prozess zur Meldung von Datenschutzverletzungen (24-Stunden-Information an den Verantwortlichen)
• Regelmäßige Überprüfung der Datenschutz- und Sicherheitsmaßnahmen
• Die Eingangsansage zur Information über KI-Einsatz und Transkription (mit Hinweis auf die rollierende 90-Tage-Löschung und eine Opt-out-Möglichkeit) ist im Auslieferungszustand des Voice-Assistenten standardmäßig aktiviert; eine Deaktivierung ist nur durch ausdrückliche Konfiguration des Verantwortlichen möglich

Anhang 2 — Ergänzende Bestimmungen

• Kein KI-Training mit personenbezogenen Daten: Personenbezogene Daten aus den Verarbeitungen werden nicht zum Training, zur Weiterentwicklung oder Evaluierung von KI-Modellen verwendet – weder durch Lacop Studio noch durch die Unter-Auftragsverarbeiter. Mit den KI-Dienstleistern werden, soweit verfügbar, „Zero-Data-Retention"-/No-Training-Konditionen vereinbart.
• Erfolgt die Leistungserbringung über einen Partner/Reseller, handelt Lacop Studio diesem gegenüber als Unter-Auftragsverarbeiter.

Anlage 3 — Unter-Auftragsverarbeiter

Aktueller Stand; optionale Kanäle (WhatsApp, Voice) werden nur bei Buchung eingebunden. Je Kunde auf die tatsächlich aktiven Dienste reduzieren.

Stand: Juni 2026