Auftragsbearbeitungsvertrag (ABV)
gemäss Art. 9 DSG und Art. 28 DSGVO
der WAVARIA AG
für den Service «KI-Telefonassistent restaurando»
über https://restaurando.pro/
Stand: 26.03.2026
Präambel
Dieser Standard-Auftragsbearbeitungsvertrag (nachfolgend «ABV») regelt die Bearbeitung personenbezogener Daten (nachfolgend auch «Personendaten») durch die
WAVARIA AG
Hörnliberg 9, 9527 Niederhelfenschwil, Schweiz
eingetragen im Handelsregister des Kantons St. Gallen
— im Folgenden «Auftragsbearbeiter» —
im Auftrag des jeweiligen Kunden des unter https://restaurando.pro/ angebotenen Service «KI-Telefonassistent restaurando»
— im Folgenden «Verantwortlicher» —
(Auftragsbearbeiter und Verantwortlicher nachfolgend einzeln oder gemeinsam auch «Vertragspartner» genannt).
Der Auftragsbearbeiter erbringt für den Verantwortlichen einen KI-gestützten Telefonassistenten zur automatisierten Entgegennahme eingehender Telefonanrufe (Inbound) als vollständig verwalteten Service (Fully Managed Service) gemäss den Allgemeinen Geschäftsbedingungen (AGB) des Auftragsbearbeiters für den Service «KI-Telefonassistent restaurando» (nachfolgend «Hauptvertrag»). Im Zuge dieser Leistungserbringung bearbeitet der Auftragsbearbeiter Personendaten im Auftrag des Verantwortlichen.
Die Vertragspartner schliessen daher die nachfolgende Vereinbarung, um den Anforderungen des Schweizer Bundesgesetzes über den Datenschutz (DSG) sowie – soweit anwendbar – der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, nachfolgend «DSGVO») zu genügen.
Dieser ABV wird gemäss § 8 Abs. 2 der AGB des Auftragsbearbeiters mit Abschluss des Hauptvertrags oder einer kostenfreien Testphase automatisch Bestandteil der Vertragsbeziehung zwischen den Vertragspartnern.
§ 1 Gegenstand und Dauer der Bearbeitung
(1) Gegenstand des Auftrags ist die Bearbeitung von Personendaten durch den Auftragsbearbeiter im Zusammenhang mit der automatisierten Entgegennahme eingehender Telefonanrufe mittels KI-Sprachassistent im Auftrag des Verantwortlichen. Der genaue Ablauf der Datenbearbeitung ergibt sich aus Anhang I dieses Vertrags.
(2) Die Dauer der Bearbeitung entspricht der Laufzeit des Hauptvertrags oder kostenfreien Testphase, sofern sich aus den Bestimmungen dieses ABV keine abweichende Regelung ergibt.
§ 2 Art und Zweck der Bearbeitung, Art der Personendaten, Kategorien betroffener Personen
(1) Der Verantwortliche nutzt den Service des Auftragsbearbeiters zur automatisierten Entgegennahme und Bearbeitung eingehender Telefonanrufe. Anrufer interagieren mit einem KI-gestützten Sprachassistenten, der Informationen entgegennimmt, Fragen beantwortet und Gesprächsergebnisse erfasst. Die Konfiguration des KI-Sprachassistenten erfolgt durch den Auftragsbearbeiter auf Grundlage der Vorgaben des Verantwortlichen.
(2) Die Bearbeitung umfasst insbesondere:
a) die Entgegennahme eingehender Telefonanrufe über die dem Verantwortlichen zugeteilte Telefonnummer,
b) die KI-gestützte Gesprächsführung mit den Anrufern auf Grundlage der vom Verantwortlichen festgelegten Konfiguration,
c) die Erfassung und vorübergehende Speicherung von Gesprächsdaten (insbesondere Transkriptionen, Zusammenfassungen und extrahierte Informationen) gemäss den in Anhang I Abschnitt 7 festgelegten Aufbewahrungsfristen,
d) die Übermittlung von Gesprächsergebnissen an den Verantwortlichen über die vereinbarten Kommunikationskanäle (z. B. E-Mail, Webhook, SMS),
e) die Speicherung von Gesprächsdaten zum Zweck des Reportings für den Verantwortlichen.
f) die Verarbeitung und Weiterleitung von Kommunikationsdaten über externe Telekommunikations-, KI- und Messaging-Dienstleister (insbesondere Twilio, ElevenLabs, Zapier und ClickSend)
(3) Die Bearbeitung betrifft folgende Arten von Personendaten:
• Telefonnummer des Anrufers (soweit übermittelt)
• Vor- und Nachname (soweit vom Anrufer mitgeteilt)
• Kontaktdaten (z. B. E-Mail-Adresse, Rückrufnummer, soweit vom Anrufer mitgeteilt)
• Sprachdaten (Echtzeitverarbeitung, keine dauerhafte Audioaufzeichnung)
• Transkription des Gesprächsinhalts
• Metadaten des Anrufs (Zeitpunkt, Dauer, Anrufnummer)
• Sonstige Personendaten, die der Anrufer im Gespräch mitteilt
(4) Kategorien betroffener Personen sind natürliche Personen, die den Verantwortlichen telefonisch kontaktieren (Anrufer), insbesondere Kunden, Interessenten, Geschäftspartner oder sonstige Dritte des Verantwortlichen.
(5) Der Verantwortliche nimmt zur Kenntnis, dass der Auftragsbearbeiter keinen Einfluss auf die Art und den Umfang der Personendaten hat, die Anrufer im Rahmen des Gesprächs mitteilen. Dies betrifft insbesondere die mögliche Übermittlung besonderer Kategorien von Personendaten (besonders schützenswerte Personendaten gemäss Art. 5 lit. c DSG bzw. Art. 9 DSGVO). Die Verantwortung für die Rechtmässigkeit der Bearbeitung derartiger Daten trägt der Verantwortliche.
(6) Die Verarbeitung von Sprachdaten im Rahmen des Service dient ausschliesslich der Echtzeitumwandlung von Sprache in Text (Speech-to-Text) sowie der Echtzeiterzeugung von Sprache aus Text (Text-to-Speech) zum Zweck der Gesprächsführung. Eine Verarbeitung von Sprachdaten zum Zweck der biometrischen Identifizierung oder Verifizierung natürlicher Personen findet nicht statt. Es werden keine Stimmprofile (Voiceprints) erstellt, keine Emotionserkennung durchgeführt und keine Sprachmerkmale zur Identifizierung einzelner Personen gespeichert oder ausgewertet. Die Verarbeitung der Audiodaten erfolgt ausschliesslich in Echtzeit; eine dauerhafte Speicherung von Audiodaten findet nicht statt (vgl. Anhang I Abschnitt 7 Abs. 1). Die im Rahmen des Service verarbeiteten Sprachdaten stellen daher keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO (biometrische Daten zur eindeutigen Identifizierung) bzw. keine besonders schützenswerten Personendaten im Sinne von Art. 5 lit. c Ziff. 4 DSG dar.
§ 3 Pflichten des Auftragsbearbeiters
(1) Der Auftragsbearbeiter bearbeitet Personendaten ausschliesslich auf Grundlage dokumentierter Weisungen des Verantwortlichen und so, wie es dem Verantwortlichen selbst gestattet wäre (Art. 9 Abs. 1 DSG). Soweit die DSGVO Anwendung findet, gilt dies entsprechend gemäss Art. 28 Abs. 3 S. 2 lit. a DSGVO. Ist der Auftragsbearbeiter nach dem Recht der Schweiz, der EU oder eines Mitgliedstaats zur Bearbeitung verpflichtet, teilt er dies dem Verantwortlichen vor der Bearbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die Konfiguration des KI-Telefonassistenten restaurando auf Grundlage der Vorgaben des Verantwortlichen gilt als dokumentierte Weisung.
(2) Der Auftragsbearbeiter stellt sicher, dass sich die zur Bearbeitung der Personendaten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 S. 2 lit. b DSGVO; Art. 8 DSG).
(3) Der Auftragsbearbeiter trifft die erforderlichen technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit gemäss Art. 8 DSG i.V.m. Art. 1–3 DSV sowie – soweit die DSGVO Anwendung findet – gemäss Art. 32 DSGVO. Die aktuell getroffenen Massnahmen sind in Anhang II (TOM) beschrieben. Der Auftragsbearbeiter ist berechtigt, die Massnahmen während der Vertragslaufzeit anzupassen, sofern das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(4) Der Auftragsbearbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Bearbeitung, des Umfangs der dem Auftragsbearbeiter vorliegenden Informationen und seiner technischen Möglichkeiten bei der Erfüllung folgender Pflichten:
a) Pflichten gegenüber betroffenen Personen gemäss Art. 25–29 DSG bzw. Art. 12–22 DSGVO;
b) Pflichten in Bezug auf die Datensicherheit gemäss Art. 8 DSG bzw. Art. 32 DSGVO;
c) Meldepflichten bei Verletzungen der Datensicherheit gemäss Art. 24 DSG bzw. Art. 33–34 DSGVO;
d) Datenschutz-Folgenabschätzungen gemäss Art. 22 DSG bzw. Art. 35–36 DSGVO.
Die Unterstützungspflicht beschränkt sich auf die Zurverfügungstellung der beim Auftragsbearbeiter vorhandenen Informationen und die Umsetzung angemessener, bereits bestehender technischer und organisatorischer Massnahmen. Eine darüber hinausgehende Mitwirkung bedarf einer gesonderten Vereinbarung.
(5) Der Auftragsbearbeiter teilt dem Verantwortlichen Verletzungen der Datensicherheit (Data Breaches) unverzüglich mit, sobald sie ihm bekannt werden (Art. 24 Abs. 3 DSG; Art. 33 Abs. 2 DSGVO). Die Meldung erfolgt an die vom Verantwortlichen bei Vertragsschluss mitgeteilte E-Mail-Adresse und enthält, soweit möglich, Angaben zur Art der Verletzung, den betroffenen Datenkategorien und den ergriffenen Abhilfemassnahmen.
(6) Der Auftragsbearbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung der datenschutzrechtlichen Pflichten erforderlichen Informationen zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO). Diese Nachweispflicht wird insbesondere durch die diesem ABV beigefügten Anlagen erfüllt (Anhang II: TOM; Anhang III: Liste der Unterauftragsbearbeiter). Der Auftragsbearbeiter ermöglicht darüber hinausgehende Überprüfungen einschliesslich Inspektionen, sofern der Verantwortliche dies schriftlich verlangt und die Überprüfung mit angemessener Vorankündigung (mindestens 30 Tage) und unter Berücksichtigung der betrieblichen Belange des Auftragsbearbeiters durchgeführt wird.
(7) Der Auftragsbearbeiter informiert den Verantwortlichen, wenn eine Weisung des Verantwortlichen nach Einschätzung des Auftragsbearbeiters offenkundig gegen das DSG, die DSGVO oder andere datenschutzrechtliche Bestimmungen verstösst. Eine eigenständige rechtliche Prüfung der Weisungen des Verantwortlichen ist der Auftragsbearbeiter nicht verpflichtet vorzunehmen.
(8) Der Auftragsbearbeiter stellt im Rahmen des KI-Telefonassistenten keine Bewertung oder Profilbildung (Scoring, Profiling) in Bezug auf Anrufer durch. Insbesondere erfolgt keine Emotionserkennung, keine Erstellung von Persönlichkeitsprofilen und keine automatisierte Bewertung der Kreditwürdigkeit, Zuverlässigkeit oder des Verhaltens von Anrufern.
(9) Der Auftragsbearbeiter führt ein Verzeichnis aller Kategorien von Bearbeitungstätigkeiten, die er im Auftrag des Verantwortlichen durchführt, gemäss Art. 12 DSG bzw. Art. 30 Abs. 2 DSGVO. Das Verzeichnis enthält insbesondere:
a) Name und Kontaktdaten des Auftragsbearbeiters und des Verantwortlichen;
b) die Kategorien der im Auftrag des Verantwortlichen durchgeführten Bearbeitungen;
c) gegebenenfalls Übermittlungen von Personendaten an Drittstaaten oder internationale Organisationen, einschliesslich der Angabe des Drittstaats und der getroffenen Garantien;
d) soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen gemäss Art. 32 Abs. 1 DSGVO bzw. Art. 8 DSG.
Der Auftragsbearbeiter stellt dem Verantwortlichen das Verzeichnis auf Anfrage zur Verfügung.
§ 4 Pflichten des Verantwortlichen
(1) Der Verantwortliche verpflichtet sich dazu, Anrufer zu Beginn des Gesprächs darüber zu informieren, dass Sie mit einem KI-Assistenten sprechen. Die Einstellungen hierfür nimmt er in seinem Dashboard vor. Der Auftragsbearbeiter ist nicht verpflichtet diese Einstellungen auf Richtigkeit zu überprüfen. Hierfür haftet der Verantwortliche vollumfänglich.
(2) Der Verantwortliche stellt darüber hinaus sicher, dass er seine eigenen Informationspflichten gegenüber den betroffenen Personen (Anrufern) erfüllt, insbesondere:
a) die Information über den Einsatz des KI-Telefonassistenten in seiner Datenschutzerklärung;
b) die Information der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten gemäss Art. 13 / 14 DSGVO bzw. Art. 19 DSG;
c) soweit erforderlich, die Bereitstellung einer Möglichkeit für Anrufer, auf Wunsch mit einem Menschen anstelle des KI-Systems verbunden zu werden oder den Verantwortlichen auf einem alternativen Kommunikationsweg zu erreichen.
(3) Der KI-Telefonassistent restaurando dient der Entgegennahme und Aufbereitung von Informationen aus eingehenden Telefonaten. Die vom KI-System generierten Gesprächsergebnisse (Transkriptionen, Zusammenfassungen, extrahierte Daten) werden dem Verantwortlichen zur weiteren Bearbeitung übermittelt. Die abschliessende Entscheidung über Massnahmen, die sich auf die betroffene Person auswirken (z. B. Bestätigung oder Ablehnung einer Reservierung, Annahme oder Ablehnung einer Bestellung), obliegt dem Verantwortlichen.
(4) Soweit der KI-Telefonassistent auf Grundlage der Konfiguration des Verantwortlichen Handlungen automatisiert ausführt, die eine rechtliche Wirkung gegenüber der betroffenen Person entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen können (z. B. automatische Reservierungsbestätigung), ist der Verantwortliche dafür verantwortlich, die Anforderungen von Art. 22 DSGVO einzuhalten. Dies umfasst insbesondere:
a) die Sicherstellung einer Rechtsgrundlage für die automatisierte Entscheidung (Art. 22 Abs. 2 DSGVO);
b) die Information der betroffenen Personen über das Bestehen einer automatisierten Entscheidungsfindung gemäss Art. 13 Abs. 2 lit. f DSGVO;
c) die Bereitstellung angemessener Massnahmen zur Wahrung der Rechte der betroffenen Personen, einschliesslich des Rechts auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung (Art. 22 Abs. 3 DSGVO).
(5) Der Verantwortliche verpflichtet sich, sämtliche Einstellungen in seinem Dashboard in Übereinstimmung mit den anwendbaren gesetzlichen Bestimmungen, insbesondere den datenschutzrechtlichen Vorschriften, vorzunehmen. Er haftet für die Richtigkeit und Rechtskonformität dieser Einstellungen.
§ 5 Weisungsrecht des Verantwortlichen
(1) Der Verantwortliche erteilt dem Auftragsbearbeiter Weisungen in Bezug auf Art, Umfang und Verfahren der Datenbearbeitung. Weisungen sind grundsätzlich in Textform zu erteilen (z. B. per E-Mail). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(2) Die im Rahmen des Setup-Termins gemeinsam festgelegte Konfiguration des KI-Telefonassistenten restaurando sowie spätere, in Textform mitgeteilte Änderungswünsche des Verantwortlichen gelten als dokumentierte Weisungen im Sinne dieses Vertrags.
§ 6 Unterauftragsbearbeitung
(1) Der Verantwortliche erteilt dem Auftragsbearbeiter hiermit die allgemeine Genehmigung, Unterauftragsbearbeiter (Sub-Processors) zur Erfüllung der vertraglichen Pflichten einzusetzen, sofern die Bedingungen dieses Paragraphen eingehalten werden (Art. 9 Abs. 3 DSG; Art. 28 Abs. 2 DSGVO).
(2) Der Auftragsbearbeiter setzt zum Zeitpunkt des Abschlusses dieses Vertrags die in Anhang III aufgeführten Unterauftragsbearbeiter ein.
(3) Der Auftragsbearbeiter hat mit den eingesetzten Unterauftragsbearbeitern Vereinbarungen geschlossen, die diesen im Wesentlichen gleichwertige Datenschutzpflichten auferlegen, wie sie in diesem ABV festgelegt sind (Art. 28 Abs. 4 DSGVO).
(4) Der Auftragsbearbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsbearbeitern. Die Information erfolgt in Textform (z. B. per E-Mail). Der Verantwortliche kann gegen derartige Änderungen innerhalb von 14 Kalendertagen nach Erhalt der Mitteilung aus wichtigem datenschutzrechtlichem Grund begründet Einspruch erheben. Erhebt der Verantwortliche keinen Einspruch innerhalb dieser Frist, gilt die Änderung als genehmigt.
(5) Kann bei einem begründeten Einspruch keine einvernehmliche Lösung gefunden werden, steht beiden Vertragspartnern ein ausserordentliches Kündigungsrecht des Hauptvertrags zu.
(6) Kommt ein Unterauftragsbearbeiter seinen datenschutzrechtlichen Pflichten nicht nach, so haftet der Auftragsbearbeiter gegenüber dem Verantwortlichen nach Massgabe von Art. 28 Abs. 4 S. 2 DSGVO, sofern er nicht nachweist, dass er bei der Auswahl des Unterauftragsbearbeiters die erforderliche Sorgfalt beachtet hat.
§ 7 Rechte der betroffenen Personen
(1) Der Verantwortliche ist für die Bearbeitung von Anfragen betroffener Personen bezüglich ihrer Rechte nach Art. 25–29 DSG bzw. Art. 12–22 DSGVO allein verantwortlich.
(2) Stellt eine betroffene Person ein Ersuchen unmittelbar an den Auftragsbearbeiter, so leitet dieser das Ersuchen unverzüglich an den Verantwortlichen weiter und weist die betroffene Person darauf hin, ihr Ersuchen an den Verantwortlichen zu richten.
(3) Der Auftragsbearbeiter unterstützt den Verantwortlichen im Rahmen seiner technischen Möglichkeiten bei der Erfüllung der Pflichten gegenüber betroffenen Personen, insbesondere bei der Auskunftserteilung, Berichtigung, Löschung und Einschränkung der Bearbeitung.
§ 8 Bekanntgabe von Personendaten ins Ausland
(1) Soweit im Rahmen der Auftragsbearbeitung Personendaten in Staaten ausserhalb der Schweiz oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden, stellt der Auftragsbearbeiter sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:
a) im Anwendungsbereich des DSG: durch einen Angemessenheitsbeschluss des Bundesrates gemäss Art. 16 Abs. 1 DSG, durch Standarddatenschutzklauseln gemäss Art. 16 Abs. 2 lit. d DSG oder durch andere gesetzlich zulässige Garantien;
b) im Anwendungsbereich der DSGVO: durch einen Angemessenheitsbeschluss der Europäischen Kommission gemäss Art. 45 DSGVO, durch Standardvertragsklauseln gemäss Art. 46 Abs. 2 lit. c DSGVO oder durch andere in Art. 46 DSGVO vorgesehene geeignete Garantien.
(2) Einzelheiten zu den eingesetzten Unterauftragsbearbeitern und deren Verarbeitungsorten ergeben sich aus Anhang III.
§ 9 Löschung und Rückgabe von Personendaten
(1) Nach Beendigung des Hauptvertrags löscht der Auftragsbearbeiter – nach Wahl des Verantwortlichen – alle Personendaten oder gibt sie an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht nach dem Recht der Schweiz, der EU oder eines Mitgliedstaats eine Verpflichtung zur Speicherung der Personendaten besteht (Art. 28 Abs. 3 S. 2 lit. g DSGVO).
(2) Der Verantwortliche hat innerhalb von 30 Tagen nach Vertragsende mitzuteilen, ob die Daten zurückgegeben oder gelöscht werden sollen. Äussert sich der Verantwortliche nicht innerhalb dieser Frist, werden die Daten gelöscht.
(3) Der Auftragsbearbeiter bestätigt dem Verantwortlichen die Löschung auf Verlangen in Textform.
(4) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemässen Datenbearbeitung dienen, dürfen auch nach Vertragsende durch den Auftragsbearbeiter aufbewahrt werden. Gesetzliche Aufbewahrungspflichten bleiben unberührt.
§ 10 Haftung
Die Haftung der Vertragspartner richtet sich nach den anwendbaren datenschutzrechtlichen Bestimmungen, insbesondere nach Art. 82 DSGVO (soweit die DSGVO Anwendung findet) sowie nach den allgemeinen Bestimmungen des Schweizer Obligationenrechts (OR). Im Übrigen gelten die Haftungsregelungen des Hauptvertrags (AGB des Auftragsbearbeiters).
§ 11 Laufzeit und Kündigung
(1) Dieser ABV tritt mit Abschluss des Hauptvertrags in Kraft und wird auf unbestimmte Zeit geschlossen. Er ist an die Laufzeit des Hauptvertrags gekoppelt und endet automatisch mit dessen Beendigung, sofern nicht eine gesonderte Kündigung erfolgt.
(2) Das Recht zur ausserordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragsbearbeiter wiederholt oder schwerwiegend gegen die Bestimmungen dieses ABV oder gegen datenschutzrechtliche Vorschriften verstösst.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für die Änderung dieser Textformklausel.
(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen Bestimmung tritt eine solche, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung in rechtlich zulässiger Weise am nächsten kommt. Gleiches gilt für etwaige Vertragslücken.
(3) Es gilt das materielle Recht der Schweiz unter Ausschluss der kollisionsrechtlichen Verweisungsnormen (IPRG). Soweit die DSGVO aufgrund ihres räumlichen Anwendungsbereichs (Art. 3 DSGVO) auf die Datenbearbeitung Anwendung findet, gehen deren zwingende Bestimmungen vor.
(4) Ausschliesslicher Gerichtsstand ist, soweit gesetzlich zulässig, St. Gallen, Kanton St. Gallen, Schweiz. Für Kunden mit Sitz in einem Vertragsstaat des Lugano-Übereinkommens bzw. der Brüssel-Ia-VO gelten deren Bestimmungen vorrangig, soweit sie zwingend anwendbar sind.
(5) Folgende Anhänge sind wesentlicher Bestandteil dieses Vertrags:
• Anhang I: Beschreibung der Bearbeitung und Datenfluss
• Anhang II: Technische und organisatorische Massnahmen (TOM)
• Anhang III: Liste der Unterauftragsbearbeiter
ANHANG I – BESCHREIBUNG DER BEARBEITUNG UND DATENFLUSS
1. Parteien
Verantwortlicher: Der jeweilige Kunde des Service «KI-Telefonassistent restaurando» gemäss Hauptvertrag.
Auftragsbearbeiter: WAVARIA AG, Hörnliberg 9, 9527 Niederhelfenschwil, Schweiz
Ansprechpartner für Datenschutzfragen: Vito My, datenschutz@restaurando.pro
2. Gegenstand und Zweck der Bearbeitung
Zweck der Bearbeitung ist die automatisierte Entgegennahme eingehender Telefonanrufe mittels KI-Sprachassistent im Auftrag des Verantwortlichen. Die Gespräche werden KI-gestützt geführt, ausgewertet und die Ergebnisse an den Verantwortlichen übermittelt.
3. Art der Personendaten
• Telefonnummer des Anrufers (soweit übermittelt)
• Vor- und Nachname (soweit vom Anrufer mitgeteilt)
• Kontaktdaten (z. B. E-Mail-Adresse, Rückrufnummer)
• Sprachdaten (Echtzeitverarbeitung im Rahmen der KI-gestützten Sprachverarbeitung; es erfolgt keine dauerhafte Audioaufzeichnung)
• Transkription des Gesprächsinhalts
• Metadaten des Anrufs (Zeitpunkt, Dauer, Anrufnummer)
• Sonstige Personendaten, die der Anrufer im Gespräch mitteilt
Es können im Einzelfall auch besonders schützenswerte Personendaten gemäss Art. 5 lit. c DSG bzw. besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO betroffen sein, sofern Anrufer solche Daten im Gespräch mitteilen. Die Verantwortung für die Rechtmässigkeit der Bearbeitung derartiger Daten trägt der Verantwortliche.
4. Kategorien betroffener Personen
Natürliche Personen, die den Verantwortlichen telefonisch kontaktieren (Anrufer), insbesondere Kunden, Interessenten, Geschäftspartner oder sonstige Dritte des Verantwortlichen.
5. Beschreibung des Datenflusses
Schritt 1:
Ein Anrufer wählt die dem Verantwortlichen zugeteilte Telefonnummer. Der Anruf wird über die kundenseitige Rufweiterleitung an die Infrastruktur von Twilio (Telekommunikationsanbieter) weitergeleitet.
Schritt 2:
Die Gesprächsannahme sowie die KI-gestützte Sprachverarbeitung erfolgt über die angebundenen Systeme, insbesondere:
- ElevenLabs (Sprachsynthese und Sprachverarbeitung)
- weitere KI-Komponenten des Auftragsbearbeiters
Die Sprachverarbeitung erfolgt in Echtzeit (Streaming). Audiodaten werden ausschliesslich für die Dauer der laufenden Verarbeitung im Arbeitsspeicher gehalten und unmittelbar nach Abschluss der Echtzeitverarbeitung automatisiert gelöscht. Es erfolgt keine dauerhafte Speicherung von Audioaufzeichnungen. Das Gespräch wird in Echtzeit transkribiert.
Schritt 3:
Die Gesprächsergebnisse (Transkription, extrahierte Informationen) werden verarbeitet und über Schnittstellen automatisiert weitergeleitet, insbesondere über:
- Zapier (Workflow-Automation / Webhooks)
- GatewayAPI / ONLINECITY.IO ApS
Schritt 4:
Die Ergebnisse werden dem Verantwortlichen über die vereinbarten Kommunikationskanäle zur Verfügung gestellt (z. B. E-Mail, SMS, Webhook).
Schritt 5:
Soweit vereinbart, werden Gesprächsdaten zum Zweck des Reportings gespeichert und ausgewertet.
6. Dauer der Bearbeitung
Die Bearbeitung erfolgt für die Dauer des Hauptvertrags. Nach Beendigung des Vertrags werden die Daten gemäss § 8 des ABV gelöscht oder zurückgegeben.
7. Aufbewahrungsfristen und Löschung während der Vertragslaufzeit
Der Auftragsbearbeiter wendet während der Laufzeit des Hauptvertrags folgende Aufbewahrungsfristen an:
(1) Sprachdaten (Audio): Im Rahmen des Service «KI-Telefonassistent restaurando» werden keine Audioaufzeichnungen der Telefongespräche dauerhaft gespeichert. Die Sprachverarbeitung erfolgt in Echtzeit (Streaming). Audiodaten werden ausschliesslich für die Dauer der laufenden Sprachverarbeitung im Arbeitsspeicher der eingesetzten Systeme gehalten und unmittelbar nach Abschluss der Echtzeitverarbeitung (insbesondere der Transkription) automatisiert gelöscht. Eine Reproduktion des gesprochenen Wortes aus den gespeicherten Daten ist nach Abschluss der Verarbeitung nicht mehr möglich.
(2) Transkriptionen und Gesprächsergebnisse: Transkriptionen, Zusammenfassungen und extrahierte Informationen aus den Gesprächen werden für eine Dauer von 30 Kalendertagen ab dem Zeitpunkt des jeweiligen Anrufs gespeichert und anschliessend automatisiert gelöscht, sofern der Verantwortliche keine kürzere Frist festlegt.
(3) Metadaten des Anrufs: Anruf-Metadaten (Zeitpunkt, Dauer, Telefonnummer des Anrufers, Anrufnummer) werden für eine Dauer von 30 Kalendertagen ab dem Zeitpunkt des jeweiligen Anrufs gespeichert und anschliessend automatisiert gelöscht, sofern der Verantwortliche keine kürzere Frist festlegt.
(4) Die vorstehenden Fristen gelten für die Systeme des Auftragsbearbeiters. Für die Löschung bei Unterauftragsbearbeitern gelten die jeweiligen vertraglichen Vereinbarungen und Datenverarbeitungsbedingungen der Unterauftragsbearbeiter. Der Auftragsbearbeiter stellt sicher, dass die Unterauftragsbearbeiter keine längeren Aufbewahrungsfristen anwenden als in diesem Abschnitt festgelegt, soweit dies technisch und vertraglich durchsetzbar ist.
(5) Daten, die der Verantwortliche vor Ablauf der Aufbewahrungsfrist über die vereinbarten Kommunikationskanäle (z. B. E-Mail, SMS, Webhook) erhalten hat, liegen nach der Übermittlung im Verantwortungsbereich des Verantwortlichen. Die vorstehenden Löschfristen beziehen sich ausschliesslich auf die Systeme des Auftragsbearbeiters und seiner Unterauftragsbearbeiter.
ANHANG II – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM)
gemäss Art. 8 DSG i.V.m. Art. 1–3 DSV sowie Art. 32 DSGVO
Der Auftragsbearbeiter hat folgende technische und organisatorische Massnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau für die Bearbeitung von Personendaten im Auftrag des Verantwortlichen zu gewährleisten:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO; Art. 8 DSG)
1.1 Zutrittskontrolle
• Zugang zu Geschäftsräumen nur für befugte Mitarbeiter
• Nutzung zertifizierter Rechenzentren über die Dienstanbieter Twilio, ElevenLabs, Zapier und GatewayAPI / ONLINECITY.IO ApS
• Besucherregelung mit Anmeldung und Begleitung
• Schlüsselregelung für Büroräume
1.2 Zugangskontrolle
• Authentifizierung mit Benutzername und Passwort für alle relevanten Systeme
• Passwortrichtlinien (Mindestlänge, Komplexität, regelmässiger Wechsel)
• Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu Twilio, ElevenLabs, Zapier, GatewayAPI / ONLINECITY.IO ApS
• Automatische Bildschirmsperre nach Inaktivität
• Verwaltung von Benutzerberechtigungen nach dem Prinzip der minimalen Rechte (Least-Privilege-Prinzip)
1.3 Zugriffskontrolle
• Differenziertes Berechtigungskonzept (rollenbasierte Zugriffskontrolle)
• Regelmässige Überprüfung der Zugriffsberechtigungen
• Sichere Entsorgung von Datenträgern
1.4 Trennungskontrolle
• Logische Mandantentrennung in den eingesetzten Systemen
• Trennung von Produktiv- und Testumgebungen
• Getrennte Datenhaltung pro Auftraggeber
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO; Art. 8 DSG)
2.1 Weitergabekontrolle
• Verschlüsselte Übertragung der Daten (TLS/HTTPS) bei allen Schnittstellenübertragungen
• Verschlüsselte E-Mail-Kommunikation bei Austausch von Personendaten
• Nachvollziehbarkeit der Datenempfänger und Übermittlungswege
2.2 Eingabekontrolle
• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten in den eingesetzten Systemen
• Nachvollziehbarkeit durch individuelle Benutzerkennungen
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO; Art. 8 DSG)
3.1 Verfügbarkeitskontrolle
Backups gemäss Servicevereinbarungen mit Twilio, ElevenLabs, Zapier, GatewayAPI / ONLINECITY.IO ApS.
3.2 Rasche Wiederherstellbarkeit
Wiederherstellung gemäss SLA der oben genannten Anbieter.
4. Verfahren zur regelmässigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO; Art. 8 DSG)
4.1 Datenschutz-Management
Bestellung eines Ansprechpartners für Datenschutzfragen: Vito My, datenschutz@restaurando.pro. Sensibilisierung der Mitarbeiter im Datenschutz bei Einstellung und anlassbezogen. Verpflichtung der Mitarbeiter auf das Datengeheimnis. Dokumentation von Bearbeitungstätigkeiten gemäss Art. 12 DSG bzw. Art. 30 DSGVO.
4.2 Incident-Response-Management
Dokumentation von Sicherheitsvorfällen. Unverzügliche Meldung an den Verantwortlichen gemäss § 3 Abs. 5 dieses ABV.
4.3 Auftragskontrolle
Klare Vertragsgestaltung mit Unterauftragsbearbeitern (siehe Anhang III). Weisungsgebundene Bearbeitung sichergestellt durch vertragliche Regelungen und technische Massnahmen.
4.4 Datenschutzfreundliche Voreinstellungen (Art. 7 DSG; Art. 25 Abs. 2 DSGVO)
Bearbeitung nur der für den jeweiligen Zweck erforderlichen Personendaten. Minimierung der Speicherdauer gemäss den vertraglichen Vereinbarungen.
ANHANG III – LISTE DER UNTERAUFTRAGSBEARBEITER
Der Verantwortliche genehmigt hiermit den Einsatz folgender Unterauftragsbearbeiter:
Unterauftragsbearbeiter 1: Twilio
Adresse:
Twilio Ireland Limited, 70 Sir John Rogerson’s Quay, Dublin 2, D02 R296, Ireland
Beschreibung:
Telekommunikationsinfrastruktur zur Entgegennahme und Weiterleitung von Telefonanrufen (Voice API, SIP)
Datenkategorien:
Telefonnummer, Metadaten des Anrufs, ggf. Sprachdaten
Bearbeitungsort:
EU (Irland)
Garantien:
EU-U.S. Data Privacy Framework + SCCs
Unterauftragsbearbeiter 2: ElevenLabs
Adresse:
ElevenLabs Inc., 169 Madison Ave #2484, New York, NY 10016, USA; EU: ul. Lipska 27/22, 03-907 Warschau, Polen
Beschreibung:
KI-Sprachverarbeitung (Text-to-Speech, ggf. Voice AI)
Datenkategorien:
Sprachdaten, Transkriptionen, Kommunikationsinhalte
Bearbeitungsort:
EU / USA
Garantien:
SCCs und EU-U.S. DPF Zertifizierung, als auch SWISS-U.S. DPF Zertifizierung gem. Art. 46 DSGVO
Unterauftragsbearbeiter 3: Zapier
Adresse:
Zapier, 548 Market St #62411, San Francisco, CA 94104, USA
Beschreibung:
Automatisierte Weiterleitung von Gesprächsergebnissen via Webhook; Versand von Benachrichtigungen (z. B. E-Mail, SMS) an den Verantwortlichen; Anbindung an Drittsysteme des Verantwortlichen
Datenkategorien:
Telefonnummer, Vor-/Nachname, Kontaktdaten, Gesprächsergebnisse, Metadaten
Bearbeitungsort:
USA
Garantien:
AuslandstransferDSG: Angemessenheitsbeschluss des Bundesrates für USA (unter Swiss-U.S. Data Privacy Framework). DSGVO: EU-U.S. Data Privacy Framework gem. Art. 45 DSGVO sowie ergänzend Standardvertragsklauseln (SCCs) gem. Durchführungsbeschluss (EU) 2021/914, Modul 3 (Processor to Processor).
Unterauftragsbearbeiter 4: GatewayAPI / ONLINECITY.IO ApS
Adresse:
ONLINECITY.IO ApS, Højvangen 4, 8660 Skanderborg, Dänemark
Beschreibung:
Versand von SMS-Benachrichtigungen und transaktionalen Kurznachrichten (z. B. Reservierungsbestätigungen, Erinnerungen, Statusmeldungen) an Kunden des Verantwortlichen über eine API-Schnittstelle
Datenkategorien:
elefonnummer, Vor-/Nachname, Kommunikationsinhalte, Termin- und Reservierungsdaten, Metadaten
Bearbeitungsort:
Europäische Union (insbesondere Dänemark / EU-Rechenzentren)
Garantien:
Bearbeitung innerhalb der EU/EWR. Abschluss eines Auftragsverarbeitungsvertrags (Data Processing Agreement) gemäss Art. 28 DSGVO. Anbieter mit dokumentierten technischen und organisatorischen Massnahmen sowie ISAE 3000- und ISAE 3402-Audits. Soweit ausnahmsweise ein Drittlandtransfer erfolgt, erfolgt dieser auf Grundlage der Standardvertragsklauseln (SCCs) gemäss Durchführungsbeschluss (EU) 2021/914.
Hosting-Infrastruktur
Unterauftragsbearbeiter 5: IONOS
Name/Firma:
IONOS SE
Adresse:
Elgendorfer Str. 57, 56410 Montabaur, Deutschland
Beschreibung:
Bereitstellung und Betrieb der Hosting-Infrastruktur für den Service «KI-Telefonassistent restaurando», insbesondere für:
- Serverbetrieb und Datenhaltung
- Speicherung und Verarbeitung von Gesprächsdaten
- Betrieb von Schnittstellen (z. B. APIs, Webhooks)
- technische Systemkomponenten des Auftragsbearbeiters
Die Hosting-Infrastruktur wird ausschliesslich innerhalb der Europäischen Union betrieben, soweit nicht im Einzelfall eine Weiterleitung an andere Unterauftragsbearbeiter gemäss diesem Anhang erfolgt. Der Auftragsbearbeiter kann innerhalb der IONOS-Infrastruktur verschiedene Rechenzentrumsstandorte innerhalb der EU nutzen.
Datenkategorien:
Alle im Rahmen des Vertrags verarbeiteten Personendaten, insbesondere:
- Telefonnummern
- Kontaktdaten
- Transkriptionen
- Gesprächsergebnisse
- Metadaten
Bearbeitungsort:
Deutschland (EU)
Garantien Auslandstransfer:
Bearbeitung innerhalb der EU – angemessenes Datenschutzniveau gemäss Art. 16 DSG sowie Art. 45 DSGVO