Trust Center
Transparenz auf dem Niveau, das B2B-DSB erwarten.
AVV, Sub-Processor-Liste, Incident-Prozess und SLAs — öffentlich nachlesbar. Keine Marketing-Sprache: die Angaben unten spiegeln unsere Standard-Vertragsunterlagen wider; maßgeblich sind Angebot, AVV und SLA-Anlage.
AVV nach Art. 28 DSGVO — Standard, kein Add-on.
Mit jedem produktiven Kunden schließen wir vor dem Go-Live einen Auftragsverarbeitungsvertrag (AVV) ab. Die Standard-AVV-Vorlage basiert auf den EU-Mustern und wurde anwaltlich geprüft.
Der AVV regelt die beauftragte Datenverarbeitung und enthält als integralen Bestandteil unsere detaillierten technisch-organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO zum Schutz Ihrer Daten.
Spezifische Kunden-Anforderungen (Branchen-Klauseln BRAO/StBerG für Kanzleien, WEG-Spezifika für Hausverwaltungen, PMS-Daten-Routing für Hotels) ergänzen wir in einer Anlage. Beauftragte Verarbeitung ist ausschließlich der Inhalt des AVV — keine Eigen-Nutzung Ihrer Daten für eigene Zwecke (z. B. Modell-Training).
AVV-Muster als PDF auf Anfrage: support@podschi.de.
Wer verarbeitet welche Daten — in welchem Rechtsraum.
Vollständig identisch zur Tabelle in der Datenschutzerklärung. Änderungen werden 30 Tage im Voraus an aktive Kunden gemeldet (Widerspruchsfrist gemäß AVV).
| Dienst | Anbieter | Region | Rechtsgrundlage | Verarbeitete Daten |
|---|---|---|---|---|
| Webhosting | Vercel Inc. | USA | SCCs Modul 2 (Art. 46 DSGVO) + DPA | Server-Logs, IP-Adresse, Request-Metadaten (max. 14 Tage) |
| Voice-AI-Plattform | VAPI Inc. | USA | SCCs + DPA | Audio-Stream, Transkript, Anrufer-Metadaten (Telefonnummer, Zeitstempel) |
| Sprachmodell (LLM) | OpenAI L.L.C. (via VAPI) | USA | SCCs Modul 3 (über VAPI) + OpenAI DPA + Zero Data Retention | Konversations-Transkripte (kein Training, API-Pfad) |
| Sprachsynthese (TTS) | ElevenLabs Inc. (via VAPI) | USA | SCCs Modul 3 (über VAPI) + ElevenLabs DPA (No-Training) | Antwort-Text, Stimm-Persona-Konfiguration |
| Cloud-Infrastruktur | AWS / Microsoft Azure (via VAPI) | USA | SCCs Modul 3 (über VAPI) + DPA | Stream-Verarbeitung, transient |
| Automatisierung (Webhooks) | n8n (selbst gehostet) | EU | Kein Drittlandtransfer | Strukturierte Anfragen aus Kontaktformular und Voice-Agent |
| Buchungstool (Click-to-Load) | Cal.com Inc. | USA | Einwilligung (Art. 6 (1) a, § 25 (1) TDDDG); SCCs Modul 2 (falls US-Plan) | Name, E-Mail, Terminwunsch (nur bei aktivem Klick) |
Im Ernstfall reden wir, bevor die Aufsichtsbehörde fragt.
Bei einem Datenschutz-Vorfall (z. B. Sub-Processor-Leak, unbefugter Zugriff, fehlgeleitete Übermittlung) greift dieser Eskalationsprozess. Die Zeitangaben sind angestrebte Zielwerte; verbindliche Fristen regelt der AVV:
- Sofort-Eskalation intern (Ziel: binnen 1 Stunde nach Kenntnis): Containment, betroffene Sub-Processor-Konten sperren.
- Kunden-Information (Ziel: binnen 24 Stunden): konkrete Daten-Kategorie, Betroffenen-Zahl, Maßnahmen, vermutete Risiken — schriftlich.
- 72-h-Meldung Sie als Verantwortliche entscheiden, ob Art. 33 DSGVO greift; wir liefern die technische Dokumentation für Ihre Meldung an die Aufsichtsbehörde.
- Post-Mortem (Ziel: binnen 14 Tagen): Ursachen-Analyse, dokumentierte Gegenmaßnahmen, schriftliche Übergabe.
Kontakt im Vorfall: support@podschi.de · Subject-Präfix „[INCIDENT]" landet bei aktiver Benachrichtigung.
Ehrliche Zahlen, nicht „99,99 %".
Wir versprechen keine 99,99-%-Marketing-Verfügbarkeit. Unsere Voice-Agent-Stack-Verfügbarkeit hängt von Sub-Processors ab (VAPI, OpenAI, ElevenLabs); unsere SLA bemisst die Erreichbarkeit am Telefonie-Eingang und bewertet Ausfälle dieser Dienste entsprechend.
- SLA-Vertrag ab Paket Plus / Pro / Enterprise (Reaktionszeiten, Service-Zeitraum, Service-Credits) — vollständig in der AGB-Anlage.
- Telefonie-Failover: bei Voice-Agent-Ausfall konfigurierte Weiterleitung an eine Mailbox mit klarem Rückruf-Hinweis, soweit Telefonie-Anbindung und Zielsystem erreichbar sind.
- Kontinuierliche Überwachung zentraler Stack-Komponenten; bei wiederholten Fehlschlägen Eskalation an Sie gemäß vereinbarter Bereitschaftsregel.
Frage offen? Schicken Sie uns die DSB-Checkliste.
Wir bearbeiten standardisierte und individuelle Datenschutz-Fragebögen in der Regel innerhalb weniger Werktage — egal ob VAIT-Mapping, BAIT-Mapping oder eigener Anbieter-Audit.