Voice2Evolve® logo

Offizielles Rechtsdokument

Master Data Processing Agreement (MDPA)

Dies ist das offizielle Rechtsdokument, das von Voice2Evolve veröffentlicht wurde.

Übersetzungshinweis: Diese Fassung ist eine Übersetzung. Im Zweifel gilt die englische Version.

Gültig ab

2026-02-08

Rechtsversion

2026-04-27

Zuletzt aktualisiert

2026-04-27

Rechtsträger

voice2evolve UG (haftungsbeschränkt)

Registersitz

Amtsgericht Stuttgart, HRB 803557

PDF herunterladen

Hinweis: Diese deutsche Fassung dient der Information. Im Falle von Abweichungen gilt die englische Fassung.

Dieses Master‑Datenverarbeitungsaddendum („MDPA“) wird durch Verweis Bestandteil der Vereinbarung über die Nutzung der Voice2Evolve‑Dienste („Vereinbarung“), die zwischen Ihnen, dem Kunden (wie in der Vereinbarung definiert) („Kunde“), und Voice2Evolve UG (haftungsbeschränkt) („Voice2Evolve“) geschlossen wird, um die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten durch Voice2Evolve ausschließlich im Auftrag des Kunden abzubilden. Beide Parteien werden gemeinsam als „Parteien“ und jeweils einzeln als „Partei“ bezeichnet.

Sofern in diesem MDPA nichts anderes bestimmt ist, bleiben die Bestimmungen der Vereinbarung in vollem Umfang in Kraft. Großgeschriebene Begriffe, die in diesem MDPA nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung. Etwaige zuvor zwischen Voice2Evolve und dem Kunden getroffene datenschutzrechtliche Regelungen oder Vereinbarungen werden durch dieses MDPA ersetzt.

Dieses MDPA trat ursprünglich am 08.02.2026 in Kraft und wurde zuletzt am 27. April 2026 aktualisiert. Es gilt zwischen dem Kunden und Voice2Evolve ab dem Wirksamkeitsdatum der Vereinbarung („MDPA‑Wirksamkeitsdatum”).

Die Parteien vereinbaren Folgendes: (MDPA)

1. Begriffsbestimmungen

Soweit hierin nicht anders definiert, haben großgeschriebene Begriffe die in den anwendbaren Datenschutzgesetzen festgelegte Bedeutung.

  • Affiliate (verbundenes Unternehmen): Jede Einheit, die eine Partei direkt oder indirekt beherrscht, von ihr beherrscht wird oder unter gemeinsamer Beherrschung steht.
  • Approved Jurisdiction (genehmigte Rechtsordnung): Jeder Staat innerhalb des EWR oder solche Staaten, denen die Europäische Kommission ein angemessenes Schutzniveau bescheinigt.
  • Controller (Verantwortlicher): Die Stelle, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
  • Processor (Auftragsverarbeiter): Die Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
  • Personal Data (personenbezogene Daten): Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Processing (Verarbeitung): Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, z. B. Erhebung, Speicherung, Veränderung, Übermittlung oder Löschung.
  • Subprocessor (Unterauftragsverarbeiter): Ein von Voice2Evolve eingesetzter Dritter als Auftragsverarbeiter.
  • Data Subject (betroffene Person): Eine identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
  • Security Measures (Sicherheitsmaßnahmen): Die von Voice2Evolve implementierten technischen und organisatorischen Maßnahmen gemäß Anlage A.
  • Data Breach (Datenschutzverletzung): Ein Sicherheitsvorfall, der zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.
  • Supervisory Authority (Aufsichtsbehörde): Eine unabhängige öffentliche Stelle gemäß Art. 51 DSGVO.
  • Special Categories of Personal Data (besondere Kategorien personenbezogener Daten): Wie in Art. 9 DSGVO definiert, einschließlich Gesundheits‑, biometrischer oder strafrechtlicher Daten.
  • Data Protection Laws (Datenschutzgesetze): DSGVO, UK GDPR und CPRA gemeinsam.

2. Rollen und Verantwortlichkeiten

2.1 Verhältnis der Parteien

Der Kunde handelt als Verantwortlicher, Voice2Evolve handelt als Auftragsverarbeiter.

2.2 Weisungen des Kunden

Voice2Evolve verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisungen des Kunden. Wenn Voice2Evolve der Auffassung ist, dass eine Weisung gegen die DSGVO oder anwendbares Recht verstößt, informiert Voice2Evolve den Kunden unverzüglich.

2.3 Umfang und Zweck

Die Verarbeitung umfasst KI‑basiertes Voice‑Sparring, Transkription, Scoring und zugehörige Analysen.

2.4 Dauer

Die Verarbeitung erfolgt für die Laufzeit der Vereinbarung und endet, wenn alle Daten gemäß Abschnitt 14 zurückgegeben oder gelöscht wurden.

2.5 Besondere Kategorien und Sprachdaten

Die Leistungen verarbeiten Live-Sprachaudio zum Zweck des KI-gestützten Gesprächstrainings (Sparring) und der Analyse. Im aktuell dokumentierten Serviceablauf speichert Voice2Evolve nach der Verarbeitung kein Roh-Audio der Sitzung. Voice2Evolve verarbeitet Sprachdaten nicht zum Zweck der eindeutigen Identifizierung einer natürlichen Person (biometrische Identifizierung) im Sinne von Art. 9 Abs. 1 DSGVO. Live-Sprachaudio, das im Rahmen dieses MDPA verarbeitet wird, wird daher nicht allein deshalb als besondere Kategorie personenbezogener Daten behandelt, weil es sich um Sprachdaten handelt. Der Kunde darf keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) in die Dienste einbringen, sofern dies nicht ausdrücklich schriftlich vereinbart wurde.

2.6 Automatisierte Entscheidungsfindung

Die Dienste erzeugen Bewertungen, Analysen und Feedback mittels KI‑Modellen. Diese Ergebnisse dienen ausschließlich Informations‑ und Übungszwecken und entfalten keine rechtlichen Wirkungen oder ähnlich erhebliche Auswirkungen auf betroffene Personen im Sinne von Art. 22 Abs. 1 DSGVO. Es werden keine Entscheidungen mit rechtlicher oder vergleichbarer Wirkung allein auf Grundlage automatisierter Verarbeitung getroffen.

2.7 Mandantendatentrennung

Voice2Evolve garantiert vertraglich die logische Trennung der personenbezogenen Daten jedes Kunden von denen anderer Kunden. Die Isolation wird durch Row‑Level‑Security‑Richtlinien auf Datenbankebene, mandantenspezifische Authentifizierung und anwendungsseitige Zugriffskontrollen durchgesetzt. Personenbezogene Daten eines Kunden werden nicht mit denen eines anderen Kunden vermischt oder diesem zugänglich gemacht.

2.8 Datenschutz‑Kontakt

Der benannte Ansprechpartner für alle Datenschutzangelegenheiten nach diesem MDPA ist: Voice2Evolve UG (haftungsbeschränkt) — E‑Mail: help@voice2evolve.com

3. Pflichten des Verantwortlichen (Kunde)

Der Kunde informiert Voice2Evolve unverzüglich über Beschwerden, Anfragen oder Untersuchungen betroffener Personen oder einer Aufsichtsbehörde, die die Verarbeitung nach diesem MDPA betreffen. Beide Parteien arbeiten zusammen, um eine konsistente und fristgerechte Kommunikation mit Behörden und betroffenen Personen sicherzustellen.

Der Kunde:

  • stellt eine Rechtsgrundlage für alle bereitgestellten Daten sicher,
  • erfüllt Informations‑ und Einwilligungspflichten gegenüber betroffenen Personen,
  • stellt korrekte, minimierte Daten bereit,
  • dokumentiert seine Verarbeitungszwecke und informiert Voice2Evolve über Änderungen.

4. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 lit. a–h DSGVO) und rechtsgebietsübergreifende Compliance

Voice2Evolve hält auch gleichwertige Pflichten als Auftragsverarbeiter nach US‑Bundesstaaten‑Datenschutzgesetzen ein, einschließlich CPRA (Kalifornien) und CDPA (Virginia), um die gleichen Datenschutz‑, Vertraulichkeits‑ und Betroffenenrechte‑Grundsätze über Rechtsordnungen hinweg konsistent anzuwenden.

Voice2Evolve wird:

  1. personenbezogene Daten ausschließlich auf schriftliche Weisung des Kunden verarbeiten,
  2. die Vertraulichkeit des Personals sicherstellen (Art. 28 Abs. 3 lit. b DSGVO),
  3. geeignete technische und organisatorische Maßnahmen umsetzen (Art. 28 Abs. 3 lit. c DSGVO),
  4. die Autorisierung von Unterauftragsverarbeitern beachten und eine aktuelle Liste führen (Art. 28 Abs. 3 lit. d DSGVO),
  5. den Kunden bei der Beantwortung von Betroffenenanfragen unterstützen (Art. 28 Abs. 3 lit. e DSGVO),
  6. den Kunden bei DSFA/DPIA und Konsultationen mit Aufsichtsbehörden unterstützen (Art. 28 Abs. 3 lit. f DSGVO),
  7. Daten nach Beendigung löschen oder zurückgeben, sofern keine gesetzliche Pflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO),
  8. alle Informationen zur Verfügung stellen, die zur Nachweisführung erforderlich sind, und eine Verifikation gemäß Abschnitt 10 unterstützen (Art. 28 Abs. 3 lit. h DSGVO),
  9. mit Aufsichtsbehörden kooperieren,
  10. Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO führen.

5. Unterauftragsverarbeitung

Voice2Evolve kann Unterauftragsverarbeiter gemäß Anlage B einsetzen. Alle Unterauftragsverarbeiter werden durch schriftliche Verträge mit Datenschutzpflichten gebunden, die den in diesem MDPA festgelegten Pflichten gleichwertig sind. Voice2Evolve bleibt für Handlungen und Unterlassungen seiner Unterauftragsverarbeiter verantwortlich.

5.1 Vorankündigung neuer Unterauftragsverarbeiter

Voice2Evolve informiert den Kunden mindestens dreißig (30) Kalendertage vor der Autorisierung eines neuen Unterauftragsverarbeiters zur Verarbeitung personenbezogener Daten. Die Benachrichtigung erfolgt über die im Kundenkonto hinterlegten Kontaktdaten oder über einen Änderungsbenachrichtigungsmechanismus, den der Kunde abonnieren kann.

5.2 Widerspruchsrecht

Der Kunde kann innerhalb der dreißigtägigen Ankündigungsfrist aus berechtigten datenschutzrechtlichen Gründen schriftlich Widerspruch gegen einen neuen Unterauftragsverarbeiter einlegen. Voice2Evolve unternimmt wirtschaftlich zumutbare Anstrengungen, den Widerspruch auszuräumen, einschließlich durch Angebot eines alternativen Unterauftragsverarbeiters oder einer alternativen Konfiguration. Kann Voice2Evolve den Widerspruch nicht innerhalb von dreißig (30) Tagen nach Erhalt angemessen berücksichtigen, kann der Kunde die betroffenen Leistungen — oder, sofern der Unterauftragsverarbeiter für den gesamten Dienst wesentlich ist, die Vereinbarung — ohne Vertragsstrafe durch schriftliche Mitteilung vor Beginn der Verarbeitung durch den neuen Unterauftragsverarbeiter kündigen.

6. Sicherheitsmaßnahmen (Art. 32 DSGVO)

Voice2Evolve setzt die in Anlage A beschriebenen Sicherheitsmaßnahmen um, insbesondere:

  • Verschlüsselung ruhender und übertragener Daten,
  • rollenbasierte Zugriffskontrolle nach dem Prinzip der geringsten Rechte,
  • Multifaktor‑Authentifizierung,
  • Protokollierung, Monitoring und Incident‑Management,
  • regelmäßige Schwachstellenanalysen und Sicherheitstests entsprechend dem Risiko,
  • sichere Löschung und 30‑Tage‑Aufbewahrungsrichtlinie.

7. Meldung von Datenschutzverletzungen (Art. 33 DSGVO)

Voice2Evolve informiert den Kunden über jede Verletzung des Schutzes personenbezogener Daten unverzüglich und spätestens innerhalb von zweiundsiebzig (72) Stunden nach Kenntniserlangung. Die Erstmitteilung enthält, soweit zum Zeitpunkt der Mitteilung vernünftigerweise verfügbar, die Art der Verletzung, die Kategorien und ungefähre Zahl betroffener Personen und Datensätze, die wahrscheinlichen Folgen sowie die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung. Soweit vollständige Angaben innerhalb des Benachrichtigungszeitraums noch nicht vorliegen, stellt Voice2Evolve die verbleibenden Informationen phasenweise ohne weitere unangemessene Verzögerung bereit.

8. Rechte betroffener Personen

Verifizierung der Identität betroffener Personen

Vor Erfüllung einer Betroffenenanfrage verifiziert Voice2Evolve die Identität des Anfragenden gemäß Art. 12 Abs. 6 DSGVO. Verifizierungsmethoden können die Authentifizierung über registrierte Kontodaten oder andere angemessene Verfahren umfassen, um unbefugten Zugriff oder unbefugte Offenlegung zu verhindern (Art. 15–22 DSGVO).

Voice2Evolve unterstützt den Kunden bei der Erfüllung von Anträgen auf Auskunft, Berichtigung, Einschränkung, Löschung, Datenübertragbarkeit oder Widerspruch. Bei Anfragen zur Datenübertragbarkeit stellt Voice2Evolve die betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder CSV) bereit. Voice2Evolve beantwortet Anfragen betroffener Personen nicht direkt, sofern es nicht vom Kunden dazu autorisiert ist.

9. Internationale Datenübermittlungen (Art. 44–49 DSGVO)

Voice2Evolve führt Transfer Impact Assessments (TIAs) vor internationalen Datenübermittlungen im Einklang mit EDPB-Leitlinien durch und berücksichtigt dabei Überwachungsgesetze, behördliche Zugriffsrechte und verfügbare Rechtsbehelfe. TIAs werden im internen Vendor-Register von Voice2Evolve geführt und stehen Kunden auf begründete Anfrage zur Verfügung.

Übermittlungen außerhalb des EWR stützen sich auf:

  • EU‑Standardvertragsklauseln (Anlage C),
  • UK‑Addendum (Anlage D) oder
  • Angemessenheitsbeschlüsse bzw. andere zulässige Garantien.

Voice2Evolve stellt sicher, dass in Drittstaaten übermittelte Daten auf einem der DSGVO gleichwertigen Niveau geschützt bleiben.

10. Compliance-Verifikation und Dokumentation

Voice2Evolve stellt die zum Nachweis der Compliance vernünftigerweise erforderlichen Informationen durch schriftliche Dokumentation und Remote-Assurance-Maßnahmen bereit, die Sicherheit, Vertraulichkeit und die Privatsphäre anderer Kunden schützen. Routinemäßige Vor-Ort-Inspektionen privater Wohnsitze, Homeoffices oder Rechenzentren Dritter werden nicht angeboten.

  • Der Kunde kann jährlich oder nach einer bestätigten Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, Compliance-Informationen anfordern.
  • Voice2Evolve kann solche Anfragen durch Richtlinien, Sicherheitszusammenfassungen, Antworten auf Fragebögen, Zusammenfassungen unabhängiger Auditberichte oder Zertifizierungen sowie Remote-Erläuterungstermine erfüllen.
  • Jede Prüfung, die über Dokumentation oder Remote-Review hinausgeht, setzt die vorherige schriftliche Zustimmung von Voice2Evolve oder eine eindeutige zwingende gesetzliche Anforderung einer zuständigen Aufsichtsbehörde voraus.
  • Alle zur Nachweisführung erforderlichen Unterlagen werden vorgehalten und auf Anfrage bereitgestellt, vorbehaltlich Vertraulichkeits-, Sicherheits- und Verhältnismäßigkeitsschutzmaßnahmen.

11. Haftung

Die Gesamthaftung jeder Partei aus oder im Zusammenhang mit diesem MDPA ist auf die in den zwölf (12) Monaten vor dem haftungsbegründenden Ereignis nach der Vereinbarung gezahlten Entgelte begrenzt.

Diese Begrenzung gilt nicht für: (a) Haftung aufgrund von Vorsatz oder Betrug;
(b) Verstöße gegen anwendbare Datenschutzgesetze, soweit eine Begrenzung nach zwingendem Recht unzulässig ist;
(c) Verletzungen von Vertraulichkeitspflichten.

Jede Partei ist allein verantwortlich für Verwaltungsstrafen, Bußgelder oder Sanktionen, die durch eine Aufsichtsbehörde unmittelbar gegen sie wegen eigener Nicht‑Compliance verhängt werden.

12. Schweizer Datenschutz (DSG) – Konformität

Voice2Evolve erfüllt auch die Anforderungen des Schweizer Bundesgesetzes über den Datenschutz (DSG/FADP). Für Datenübermittlungen aus der Schweiz gelten die gleichen Garantien, Standardvertragsklauseln und Sicherheitsmaßnahmen wie in diesem MDPA beschrieben. Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz‑ und Öffentlichkeitsbeauftragte (EDÖB/FDPIC).

13. Anwendbares Recht und Gerichtsstand

Dieses MDPA unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand für alle Streitigkeiten ist Stuttgart, Deutschland, sofern zwingendes Recht nichts anderes vorsieht.

14. Datenaufbewahrung und Löschung

Voice2Evolve unterhält klare Aufbewahrungs‑ und Löschfristen, um Art. 30 und 32 DSGVO zu erfüllen. Personenbezogene Daten werden nur so lange gespeichert, wie es zur Erfüllung der Verarbeitungszwecke oder zur Einhaltung gesetzlicher Pflichten erforderlich ist. Aufbewahrungsfristen werden anhand folgender Kriterien festgelegt:

  • Sitzungs‑Transkripte: Die Aufbewahrungsdauer richtet sich nach der vom Kunden konfigurierbaren Einstellung (7–365 Tage; Standardwert: 30 Tage). Nach Ablauf der Frist kann der Kunde wählen, ob Transkripte an Stelle gelöscht oder anonymisiert werden – d. h. der Gesprächsinhalt wird durch einen Schwärzungsvermerk ersetzt, während Sitzungsmetadaten erhalten bleiben. Die Anonymisierung bei Fristablauf ist standardmäßig aktiviert. Sofern der Kunde keine Aufbewahrungseinstellung vorgenommen hat, werden Transkripte innerhalb von 30 Tagen nach Sitzungsabschluss anonymisiert oder gelöscht.
  • Sitzungsanalysen und ‑bewertungen (Nicht‑Transkript‑Daten): Bewertungen, Analyseergebnisse, Verhaltensmetriken und sonstige nicht‑transkriptbezogene Sitzungsdaten werden für die Dauer des Nutzerkontos gespeichert und innerhalb von 30 Tagen nach Kontoschließung gelöscht, sofern der Kunde oder die betroffene Person nicht früher eine Löschung beantragt.
  • Interne Qualitätsbewertungsberichte: Berichte, die vom automatisierten internen Qualitätsbewertungssystem von Voice2Evolve erstellt werden, werden 30 Tage aufbewahrt und anschließend gelöscht. Diese Berichte bewerten ausschließlich die eigenen KI‑Systemkomponenten von Voice2Evolve und enthalten keine nutzerbezogenen Bewertungsdaten. Siehe Abschnitt 15.1.
  • Anonymisierte Aggregatdaten: Vollständig anonymisierte, k‑anonyme Verhaltensaggregat­daten – aus denen keine Einzelperson, Sitzung oder Organisation re‑identifiziert werden kann – werden auf unbestimmte Zeit aufbewahrt, da sie nicht in den Anwendungsbereich des Begriffs „personenbezogene Daten" im Sinne von Art. 4 Nr. 1 DSGVO und Erwägungsgrund 26 fallen. Siehe Abschnitt 15.2.
  • Datenrückgabe nach Vertragsende: Nach Beendigung oder Ablauf der Vereinbarung stellt Voice2Evolve die personenbezogenen Daten des Kunden für einen Zeitraum von neunzig (90) Kalendertagen zum Export bereit. Nach Ablauf dieses Übergangszeitraums löscht oder anonymisiert Voice2Evolve alle verbleibenden personenbezogenen Daten gemäß diesem Abschnitt 14, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Kontodaten: Speicherung für die Dauer des Kontos; sichere Löschung innerhalb von 30 Tagen nach Schließung.
  • Zahlungs‑ und Abrechnungsunterlagen: Aufbewahrung für gesetzliche steuer‑ und handelsrechtliche Fristen (typischerweise 6–10 Jahre) und anschließende Löschung.
  • Audit‑ und Sicherheitsprotokolle: Aufbewahrung für 90 Tage, sofern nicht längere Speicherung für Vorfalluntersuchungen oder Compliance erforderlich ist.

Voice2Evolve stellt sicher, dass Löschungen mittels sicherer Verfahren erfolgen und Audit‑Trails zur Dokumentation der Löschung geführt werden. Aufbewahrungsrichtlinien werden jährlich überprüft und bei Bedarf an regulatorische und betriebliche Änderungen angepasst.

15. Zulässige Eigenverarbeitungszwecke von Voice2Evolve

Unbeschadet von Abschnitt 4 Ziffer 1 sind die nachfolgenden Eigenverarbeitungszwecke von Voice2Evolve durch die Vereinbarung ausdrücklich gestattet und stellen keine Verarbeitung außerhalb der dokumentierten Weisungen des Kunden dar:

15.1 Interne Qualitätsbewertung

Voice2Evolve betreibt ein automatisiertes Qualitätsbewertungssystem, das Sitzungs‑Transkripte und Analyseergebnisse mithilfe von Unterauftragsverarbeitern (KI‑Sprachmodell‑Dienste gemäß Anlage B) ausschließlich zur Bewertung der Leistung eigener KI‑Systemkomponenten von Voice2Evolve verarbeitet – darunter Gesprächsplaner, Echtzeit‑Dialogagent, Orchestrator und Nachsitzungsanalysator. Diese Verarbeitung dient dem Zweck, die technische Qualität der gegenüber dem Kunden erbrachten Leistungen aufrechtzuerhalten und kontinuierlich zu verbessern. Sie bewertet keine einzelnen Nutzer, erzeugt keine nutzergerichteten Ausgaben und erstellt weder Nutzer‑Scores noch Nutzerprofile. Qualitätsbewertungsberichte sind ausschließlich intern bei Voice2Evolve verfügbar, über die kundenseitige Anwendung nicht zugänglich und werden innerhalb von 30 Tagen gelöscht.

15.2 Anonymisierte Aggregatanalysen

Wie durch die Vereinbarung und diesen Abschnitt 15.2 gestattet, leitet Voice2Evolve aus Sitzungsdaten vollständig anonymisierte, aggregierte Verhaltensstatistiken ab, um die Dienste zu verbessern und Produkt‑Benchmarks zu entwickeln. Vor der Aggregation werden alle direkten und indirekten Identifikatoren – einschließlich Mandanten‑ID, Sitzungs‑ID und Nutzer‑ID – entfernt. Die Aggregation unterliegt k‑Anonymitätsschwellenwerten (mindestens 50 Sitzungen je Dimensionsgruppe); Gruppen unterhalb dieses Schwellenwerts werden vollständig ausgeschlossen. Nach erfolgter Anonymisierung gemäß diesem Standard stellen die entstehenden Daten keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO und Erwägungsgrund 26 mehr dar und unterliegen nicht den Beschränkungen dieses MDPA.

ANLAGE A – SICHERHEITSMASSNAHMEN

(Detaillierte Ausführung gemäß Art. 32 DSGVO)

Technische Maßnahmen:

  • Verschlüsselung: AES‑256‑Verschlüsselung bei Speicherung und TLS 1.3 bei Übertragung. Schlüsselverwaltung gemäß ISO 27001 und NIST SP 800‑57 (Erzeugung, Rotation, Vernichtung).
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC) mit Multifaktor‑Authentifizierung (MFA). Vergabe nach dem Prinzip der geringsten Rechte, quartalsweise Reviews und Protokollierung.
  • Logging und Monitoring: Zentrale Protokollierung administrativer und systemischer Zugriffe; manipulationssichere Logs, Aufbewahrung mindestens 90 Tage, Anomalie‑Prüfungen.
  • Netzwerksicherheit: Voice2Evolve betreibt ausschließlich verwaltete Platform‑as‑a‑Service‑(PaaS‑)Infrastruktur. Netzwerkschutzmaßnahmen – einschließlich DDoS‑Abwehr, Firewall‑Regeln, Traffic‑Isolation und Intrusion‑Detection – werden von den jeweiligen Infrastrukturanbietern bereitgestellt und betrieben (siehe Anlage B). Der administrative Zugriff auf Anbieterplattformen ist durch Multifaktor‑Authentifizierung gesichert und auf autorisiertes Personal beschränkt.
  • Pseudonymisierung: Pseudonymisierung von Analyse‑ und Transkriptionsdaten durch Trennung von Identifikatoren und Zufalls‑Tokens.
  • Sichere Softwareentwicklung: Security‑Maßnahmen im SDLC (Code‑Reviews, Dependency‑Checks, Vulnerability‑Scanning vor Deployments).
  • Backup und Wiederherstellung: Tägliche verschlüsselte Backups in EU‑Rechenzentren, 30‑Tage‑Aufbewahrung, quartalsweise Wiederherstellungstests.

Organisatorische Maßnahmen:

  • Security‑Governance: Jährliche Überprüfung der Informationssicherheitsrichtlinien durch das Management.
  • Vertraulichkeit: Vertraulichkeits‑ und Datenschutzvereinbarungen für Mitarbeitende und Auftragnehmer.
  • Schulung: Jährliche Datenschutz‑ und Sicherheitsschulungen für alle Mitarbeitenden mit Zugriff auf personenbezogene Daten.
  • Vendor‑Management: Risiko‑Assessment und DPA‑Prüfung für Unterauftragsverarbeiter vor Einsatz. Unterauftragsverarbeiter werden vertraglich verpflichtet, Datenschutzschulungen für Personal durchzuführen, das personenbezogene Daten verarbeitet.
  • Incident Response: Dokumentierte Verfahren zur Erkennung, Eskalation, Eindämmung und Nachbereitung; Meldungen ohne unangemessene Verzögerung nach Art. 33 DSGVO.
  • Audit und Review: Halbjährliche interne Audits; unabhängige Berichte/Zertifizierungen, sofern verfügbar.
  • Business Continuity: Getestete Pläne für Disaster‑Recovery, Redundanz und Notfallmaßnahmen.
  • Physische Sicherheit: Voice2Evolve betreibt keine eigenen Rechenzentren. Die gesamte Infrastruktur wird von Drittanbietern gehostet, deren Einrichtungen branchenübliche physische Sicherheitskontrollen einhalten, einschließlich ISO‑27001‑ oder SOC‑2‑Zertifizierung, Zugangskontrollen und Umgebungsüberwachung. Anbieterzertifizierungen werden im Rahmen des oben beschriebenen Vendor‑Management‑Prozesses überprüft.

ANLAGE B – UNTERAUFTRAGSVERARBEITER

Voice2Evolve unterhält einen dokumentierten Prozess zur regelmäßigen Überprüfung und Aktualisierung von Unterauftragsverarbeitern und erteilt Kunden eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO. Kunden können Änderungsbenachrichtigungen abonnieren, um eine angemessene Vorankündigung über neue Unterauftragsverarbeiter zu erhalten.

AnbieterRolleStandortRechtsgrundlage / Garantien
Supabase Inc.Datenbank, AuthentifizierungEU (Stockholm, Schweden als primäres Hosting); Weiterübermittlungen an Unterauftragsverarbeiter in USA / SingapurSupabase DPA + SCCs + ergänzende Schutzmaßnahmen gemäß Supabase-TIA
OpenAI, L.L.C.KI‑Inference / Voice APIUSASCCs + CPRA‑Compliance
Stripe Payments Europe Ltd.ZahlungenEU / USAGDPR DPA + SCCs
Vercel Inc.Frontend‑Hosting (CDN)EU / USA (AWS + Microsoft Azure + GCP; EU‑Edge‑Regionen: Paris, Frankfurt, Schweden)SCCs (Modul 2, C2P) + UK IDTA
Railway Corp. (railway.com)Backend‑InfrastrukturUSA / EU-Region-Deployment (Infrastruktur: GCP)Ausgeführter DPA + EU‑SCCs (Modul 2, C2P) + DPF
Cloudflare, Inc.DNS‑Auflösung, WebRTC‑TURN‑RelayEU / USAGDPR DPA + SCCs
Sentry, Inc.Fehler‑MonitoringEU / USAGDPR DPA + SCCs
RybbitWebsite‑ und Produktanalyse (nur ausgewählte App‑Seiten; sensible Pfade ausgeschlossen; Session Replay nicht aktiviert)EU (EWR — Hetzner; Cloudflare Object Storage)GDPR DPA (akzeptiert durch Nutzung) + SCCs
Plus Five Five, Inc. (Resend)Transaktionale E‑MailsUSAGDPR DPA + SCCs + EU-US DPF
Anthropic PBCKI‑Inference (LLM)USAGDPR DPA + SCCs
Haufe-Lexware GmbH & Co. KG (Lexware)Rechnungs- und BuchhaltungssynchronisationEU (Deutschland)GDPR DPA (AVV)

ANLAGE C – STANDARDVERTRAGSKLAUSELN (VOLLSTÄNDIGER TEXT)

Hinweis: Anlage C wird im englischen Originaltext wiedergegeben, da die Standardvertragsklauseln durch Verweis auf den amtlichen Wortlaut in die Vereinbarung einbezogen werden und Übersetzungen hiervon abweichen können. Maßgeblich bleibt der amtliche Text im Amtsblatt der Europäischen Union.

Pursuant to GDPR Article 46 and EU Commission Implementing Decision (EU) 2021/914, the Standard Contractual Clauses (Module 2: Controller to Processor) are hereby incorporated by reference in their entirety and form an integral part of this Agreement. The official full text is published in the Official Journal of the European Union (OJ L 199, 7.6.2021, p. 31–61) and is available at https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.

ANNEX I – DETAILS OF THE TRANSFER

A. List of Parties

  • Data Exporter (Controller): The Customer as identified in the Agreement.
  • Data Importer (Processor): Voice2Evolve UG (haftungsbeschränkt), registered in Germany. Contact: help@voice2evolve.com.

B. Description of Transfer

  • Categories of Data Subjects: End users (employees, candidates, or other individuals) who use the Services on behalf of or at the direction of the Customer.
  • Categories of Personal Data: Voice recordings, session transcripts, session analytics and scores, user account data (name, email address), usage metadata, and IP addresses.
  • Special Categories of Data: None (see Section 2.5).
  • Frequency of Transfer: Continuous, for the duration of the Agreement.
  • Nature and Purpose of Processing: (1) Bereitstellung KI‑basierter Sprach‑Sparring‑, Trainings‑, Transkriptions‑, Bewertungs‑ und Analyseleistungen gemäß der Vereinbarung und Abschnitt 2.3. (2) Wenn der Kunde eine Personalvermittlungsagentur ist, die im Rahmen des Nachtrags für Personalvermittlungsagenturen handelt: Bereitstellung KI‑gestützter Vorbereitungssitzungen für Vorstellungsgespräche und Erstellung von Coaching‑Analysen, die sowohl dem Kandidaten als auch dem Kunden zur Nachbesprechung und Vorbereitungsunterstützung zugänglich sind, gemäß Abschnitt 16 dieses MDPA.
  • Retention Period: As specified in Section 14.

C. Competent Supervisory Authority The competent supervisory authority is the data protection authority of the EU Member State in which the Data Exporter is established, or — where the Data Exporter is not established in the EU — the supervisory authority of the Member State in which the Data Exporter's EU representative is established. Where neither applies, the competent authority is the Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (Germany).

ANNEX II – TECHNICAL AND ORGANIZATIONAL MEASURES See Attachment A (Security Measures)

ANNEX III – SUBPROCESSORS See Attachment B (Subprocessors)

ANLAGE D – UK‑ADDENDUM (ICO)

Gilt für Datenübermittlungen aus dem Vereinigten Königreich nach dem vom ICO genehmigten Addendum zu den EU‑SCCs. Das Addendum stellt rechtmäßige Übermittlungen nach UK GDPR und Data Protection Act 2018 sicher.

Kernbestimmungen:

  • Die EU‑Standardvertragsklauseln (Modul 2) werden mit den nach dem UK‑Addendum erforderlichen Änderungen übernommen.
  • Verweise auf die DSGVO gelten als Verweise auf die UK GDPR.
  • Verweise auf die Europäische Union oder Mitgliedstaaten schließen das Vereinigte Königreich ein.
  • Zuständige Aufsichtsbehörde ist das Information Commissioner’s Office (ICO).
  • Anwendbares Recht und Gerichtsstand: England und Wales.

Diese Bestimmungen stellen rechtmäßige Datenübermittlungen zwischen dem Vereinigten Königreich und Drittstaaten nach UK‑Datenschutzrecht sicher.

ANLAGE D.1 – SCHWEIZ‑ADDENDUM (DSG/FADP)

Gilt für Datenübermittlungen aus der Schweiz gemäß dem Schweizer Bundesgesetz über den Datenschutz (DSG/FADP) und der zugehörigen Verordnung. Für Übermittlungen aus der Schweiz werden die gleichen EU‑Standardvertragsklauseln (Modul 2) mit erforderlichen Anpassungen übernommen:

  • Verweise auf die DSGVO sind als Verweise auf das DSG/FADP zu verstehen.
  • Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz‑ und Öffentlichkeitsbeauftragte (EDÖB/FDPIC).
  • Verweise auf EU‑Mitgliedstaaten umfassen die Schweiz.

Diese Klauseln stellen sicher, dass Datenübermittlungen aus der Schweiz in Drittstaaten ein angemessenes Schutzniveau gewährleisten, das dem nach DSG/FADP erforderlichen Niveau entspricht.

ANLAGE E – US‑DATENSCHUTZ‑ADDENDUM

Diese Anlage gilt nur, soweit und in dem Umfang, in dem anwendbare US‑Datenschutzgesetze der Bundesstaaten die Nutzung der Leistungen durch den Kunden regeln.

Voice2Evolve handelt als Service Provider und Processor nach anwendbaren US‑Bundesstaaten‑Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf:

  • California Consumer Privacy Act (CCPA) in der durch den California Privacy Rights Act (CPRA) geänderten Fassung,
  • Virginia Consumer Data Protection Act (CDPA),
  • Colorado Privacy Act (CPA),
  • Connecticut Data Privacy Act (CTDPA),
  • und jedes andere US‑Bundesstaaten‑Datenschutzgesetz, das Voice2Evolve im Zusammenhang mit den Leistungen Pflichten als Auftragsverarbeiter oder Service Provider auferlegt.

Nach diesen Gesetzen wird Voice2Evolve:

  1. personenbezogene Daten ausschließlich auf dokumentierte Weisungen des Kunden und zu vertraglichen Geschäftszwecken verarbeiten,
  2. personenbezogene Daten weder verkaufen noch teilen noch für zielgerichtete Werbung, Profiling oder nicht vertraglich vereinbarte Zwecke verwenden,
  3. den Kunden (Verantwortlichen) bei der Beantwortung verifizierter Verbraucherrechte‑Anträge unterstützen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Opt‑out von zielgerichteter Werbung),
  4. sicherstellen, dass Weiterübermittlungen personenbezogener Daten den anwendbaren staatlichen Anforderungen und vertraglichen Garantien entsprechen,
  5. angemessene Sicherheitspraktiken entsprechend der Sensibilität der personenbezogenen Daten umsetzen,
  6. Dokumentation von Verarbeitungstätigkeiten und Datenschutz‑Assessments führen, soweit gesetzlich erforderlich,
  7. den Kunden unverzüglich über Datenschutzverletzungen, Beschwerden oder Anfragen in Bezug auf CDPA/CPRA informieren,
  8. dem Kunden eine Compliance‑Prüfung durch Dokumentation und Remote-Assurance-Maßnahmen gemäß Abschnitt 10 ermöglichen,
  9. personenbezogene Daten auf Anfrage oder bei Beendigung der Vereinbarung löschen oder zurückgeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Die Datenaufbewahrung bleibt auf die Leistungsdauer oder gesetzliche Pflichten beschränkt. Voice2Evolve bestätigt die Einhaltung aller anwendbaren US‑Bundesstaaten‑Datenschutzregelungen für seine Rolle als Auftragsverarbeiter/Service Provider.

16. Verarbeitung durch Personalvermittlungsagenturen

Dieser Abschnitt gilt, wenn der Kunde eine Personalvermittlungsagentur, Direktsuchberatung, Headhunter-Gesellschaft oder ein Personaldienstleistungsunternehmen ist, das die Dienste zur Unterstützung der Kandidatenvorbereitung und des Coachings im Rahmen des Nachtrags für Personalvermittlungsagenturen zum MSA nutzt.

16.1 Art der betroffenen Personen

Im Personalvermittlungsmodell sind die betroffenen Personen (Kandidaten) Dritte, die keinen direkten Vertrag mit Voice2Evolve abgeschlossen haben. Sie sind Personen, die vom Kunden (als Verantwortlichem) auf dessen Anweisung zur Nutzung der Dienste eingeladen werden. Der Kunde bleibt für alle in diesem Kontext verarbeiteten personenbezogenen Daten Verantwortlicher.

16.2 Datenschutzinformationspflicht gegenüber Kandidaten

Der Kunde muss als Verantwortlicher jedem Kandidaten vor Beginn einer Sitzung eine DSGVO-konforme Datenschutzmitteilung nach Art. 13 DSGVO bereitstellen, wie im Nachtrag für Personalvermittlungsagenturen vorgeschrieben. Voice2Evolve stellt unter https://voice2evolve.com/legal/candidate-privacy-notice-template eine Mustervorlage für die Kandidaten-Datenschutzmitteilung bereit.

16.3 Rechtsgrundlage

Der Kunde muss eine Rechtsgrundlage nach Art. 6 DSGVO und, soweit anwendbar, eine zusätzliche nationale Beschäftigtendatenschutz-Voraussetzung wie §26 Abs. 1 BDSG für die Verarbeitung personenbezogener Bewerberdaten über die Dienste identifizieren und dokumentieren. Eine Einwilligung allein kann in Rekrutierungskontexten unzureichend sein, wenn das anwendbare Recht sie wegen des Machtgefälles zwischen Recruiter und Kandidat als nicht belastbar ansieht. Der Kunde darf Voice2Evolve nicht zur Verarbeitung von Bewerberdaten ohne dokumentierte Rechtsgrundlage anweisen.

16.4 Betroffenenrechte — Kandidatenzugang

Voice2Evolve unterstützt den Kunden technisch bei der Erfüllung von Anfragen auf Ausübung von Betroffenenrechten durch Kandidaten nach Art. 15–22 DSGVO gemäß Abschnitt 8 dieses MDPA. Voice2Evolve antwortet nicht direkt an Kandidaten; alle Rechtsreaktionen werden mit dem Kunden als Verantwortlichem koordiniert und von diesem erteilt.

16.5 Art.-22-Transparenzpflicht

Die durch die Dienste erstellten KI-Coaching-Analysen stellen Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar. Voice2Evolve zeigt auf der kandidatenseitigen Analyseseite einen kurzen Hinweis an, dass der Coaching-Bericht auch für den Kunden (Recruiter) zur Vorbereitungsunterstützung einsehbar ist. Dieser Hinweis unterstützt die Transparenzpflichten des Kunden nach Art. 22 Abs. 3 DSGVO; der Kunde bleibt für die Bereitstellung jedes weiteren erforderlichen Art.-22-Hinweises und die Implementierung des nach Art. 22 Abs. 2 Buchst. b erforderlichen Überprüfungsmechanismus verantwortlich.

16.6 Ergänzender Verarbeitungszweck

Für die Zwecke von Anlage C (SCC Annex I) und etwaiger DSFAs gilt im Personalvermittlungsmodell folgender zusätzlicher Verarbeitungszweck: Bereitstellung KI-gestützter Vorbereitungssitzungen für Vorstellungsgespräche, die von einem Kunden als Personalvermittlungsagentur organisiert werden; Erstellung von KI-Coaching-Analysen (Live-Sprachaudio während Sitzungen, Transkripte, Sitzungsbewertungen, Verbesserungsempfehlungen), die sowohl dem Kandidaten als auch dem Kunden zur Nachbesprechung und Vorbereitungsunterstützung zugänglich sind, gemäß Abschnitt 16 dieses MDPA.

16.7 Verfügbarkeit in anderen Sprachen

Dieses MDPA ist derzeit auf Englisch, Deutsch und Französisch verfügbar. Italienische und spanische Sprachfassungen existieren noch nicht. Personalvermittlungs-Kunden, deren Vertragssprache Italienisch oder Spanisch ist, sollen die englische Fassung verwenden, die nach der Sprachregelungsklausel dieses MDPA maßgeblich ist.

Dieses MDPA wird elektronisch geschlossen und ist integraler Bestandteil der Vereinbarung. Es wird rechtsverbindlich mit der elektronischen Annahme der Vereinbarung durch den Kunden, einschließlich per Checkbox oder vergleichbarem Mechanismus.

Firmenanschrift

Grabenstr. 26, 71254 Ditzingen, Germany

Umsatzsteuer-ID: DE459808424