These legal texts apply to a German company (Coolblack GmbH) and are provided in German, which is the binding language. An English summary is available on request at info@coolblack.gmbh.
Auftragsverarbeitungsvertrag (AVV)
Vertrag nach Art. 28 DSGVO · Stand: 12. Juli 2026
Wenn Sie als Unternehmen die Coolblack-App einsetzen, um Anrufe Ihrer Kunden, Patienten oder Mandanten entgegenzunehmen, sind Sie der für die Verarbeitung Verantwortliche. Coolblack verarbeitet die Daten der Anrufer in Ihrem Auftrag. Dieser Text ist der zugehörige Auftragsverarbeitungsvertrag.
1. Vertragsparteien
Auftraggeber (Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO): Sie als Nutzer der Coolblack-App (im Folgenden: „Auftraggeber").
Auftragnehmer (Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO):
Coolblack GmbH
Südfeldwiese 14, 32107 Bad Salzuflen
Geschäftsführer: Dirk Nesner
info@coolblack.gmbh
(im Folgenden: „Auftragnehmer" oder „Coolblack")
Dieser Vertrag kommt durch die Annahme im Setup-Assistenten der App zustande (Punkt „Auftragsverarbeitung akzeptieren"). Eine Kopie ist jederzeit unter coolblack.gmbh/auftragsverarbeitung einsehbar.
2. Gegenstand und Dauer des Auftrags
Gegenstand: automatisierte Beantwortung eingehender Telefonanrufe durch einen KI-Sprachagenten, optional mit Anlage von Terminen, Kontakten und Erinnerungen sowie Weiterleitung an menschliche Mitarbeiter.
Dauer: für die Dauer der Nutzung der Coolblack-App. Der Vertrag endet automatisch mit Deinstallation der App.
3. Art und Zweck der Verarbeitung
- Sprachverarbeitung eingehender Anrufe (Spracherkennung, Antwortgenerierung, Sprachausgabe)
- Anlage von Kalendereinträgen, Kontakten und Erinnerungen — sofern vom Auftraggeber aktiviert
- Bereitstellung der Telefonie-Infrastruktur (SIP-Push, VoIP-Wecken)
- Optional: Speicherung von Gesprächsprotokollen auf dem Gerät des Auftraggebers
4. Art der personenbezogenen Daten
- Audio-Stream und transkribierter Text des Anrufers
- Telefonnummer und Anruf-Zeit
- Inhalte, die der Anrufer mitteilt (Name, Anliegen, Termine, Kontaktdaten)
- Auf Wunsch des Anrufers angelegte Kontakte oder Termine
5. Kategorien betroffener Personen
- Anrufer (Kunden, Patienten, Mandanten, Geschäftspartner des Auftraggebers)
- Personen, deren Daten im Gespräch genannt werden
6. Pflichten des Auftragnehmers (Coolblack)
- Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers — diese Weisungen ergeben sich aus der Konfiguration in der App (Agent-Profil, Wissensbasis, aktivierte Fähigkeiten)
- Sicherstellung der Vertraulichkeit der mit der Verarbeitung befassten Personen (Art. 28 Abs. 3 lit. b DSGVO)
- Geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO — siehe §10 dieses Vertrags
- Unterstützung des Auftraggebers bei Anfragen Betroffener (Art. 12 ff. DSGVO)
- Unterstützung bei der Einhaltung von Art. 32 bis 36 DSGVO (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung)
- Meldung von Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme
- Unterstützung bei Audit-Rechten des Auftraggebers (Art. 28 Abs. 3 lit. h DSGVO)
- Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung des Vertrags
7. Pflichten des Auftraggebers
- Rechtmäßigkeit der Datenverarbeitung sicherstellen (Rechtsgrundlage gegenüber dem Anrufer)
- Anrufer am Gesprächsbeginn über den Einsatz der KI informieren — die Coolblack-App liefert dafür eine Standard-Begrüßung, die der Auftraggeber anpassen kann
- Eigene Datenschutzerklärung um den Coolblack-Einsatz ergänzen
- Korrektheit der eingerichteten Wissensbasis — Coolblack haftet nicht für Inhalte, die vom Auftraggeber bereitgestellt werden
8. Unterauftragsverarbeiter (Subprozessoren)
Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:
- Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) — KI-Antwortgenerierung über Vertex AI und Sprachsynthese (Text-to-Speech) im Cloud-Modus; Verarbeitungsort ausschließlich EU (LLM in europe-west1, Belgien; Sprachsynthese über den EU-Endpoint); Aufbewahrung max. 30 Tage nach Google-Standard, kein Training; Vertrag: Cloud Data Processing Addendum nach Art. 28 DSGVO.
- Cartesia AI Inc. (San Francisco, USA) — Sprachsynthese für Premium-Stimmen, nur aktiv, wenn der Auftraggeber für einen Agenten eine Premium-Stimme auswählt; Verarbeitungsort EU-Cluster (Region Frankfurt), vertraglich zugesichert inkl. Failover; Drittland-Absicherung durch EU-Standardvertragsklauseln (Art. 46 DSGVO) und EU-US Data Privacy Framework; Aufbewahrung: keine (Zero Data Retention).
- Apple Inc. (Cupertino, USA) — Push-Notifications (CallKit-Wecken) und Apple Speech Framework (Spracherkennung; je nach Gerätemodell ggf. on-device); Drittland-Übermittlung USA, abgesichert durch EU-Standardvertragsklauseln und Apples Zertifizierung im EU-US Data Privacy Framework.
- Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) — Hosting der Coolblack-Server-Infrastruktur (app.coolblack.gmbh, push.coolblack.gmbh); Verarbeitungsort ausschließlich Deutschland; Vertrag: AVV nach Art. 28 DSGVO.
- easybell GmbH (Brückenstraße 5a, 10179 Berlin) — Bereitstellung der Telefonie-Infrastruktur für optionale Coolblack-Rufnummern (SIP/VoIP-Vermittlung eingehender Anrufe); verarbeitet dabei Verbindungsdaten (Rufnummer des Anrufers, Zeitpunkt, Dauer der Verbindung); Verarbeitungsort ausschließlich Deutschland; nur aktiv, wenn der Auftraggeber eine Coolblack-Rufnummer nutzt. Aufsichtsbehörde: Bundesnetzagentur; Vertrag: AVV nach Art. 28 DSGVO.
Coolblack informiert den Auftraggeber per App-Hinweis bzw. E-Mail mindestens 30 Tage vor Hinzunahme oder Wechsel eines Subprozessors. Der Auftraggeber kann widersprechen; bei Widerspruch endet der Vertrag.
9. Datenübertragung in Drittländer
Übertragungen in die USA (Cartesia, Apple) erfolgen ausschließlich auf Basis von EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie ergänzender Schutzmaßnahmen (Verschlüsselung, Zero-Retention-Vereinbarungen). Bei Cartesia findet die eigentliche Verarbeitung auf dem EU-Cluster (Region Frankfurt) statt.
10. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- TLS-Verschlüsselung für alle Server-Kommunikation
- Pro-Geräte-Authentifizierung mit eindeutigem Secret im Keychain
- Server in Deutschland; gehärtetes System (Firewall, automatische Sicherheitsupdates, fail2ban)
- Restriktive Datei- und Datenbankberechtigungen
- Tägliche Backups mit Rotation
- API-Keys von Subprozessoren ausschließlich serverseitig — niemals in der App
- Lokale Speicherung sensibler Daten (Wissensbasis, Transkripte) ausschließlich auf dem Gerät des Auftraggebers
11. Löschung und Rückgabe nach Vertragsende
Nach Vertragsende löscht Coolblack alle gerätespezifischen Daten auf dem Server innerhalb von 30 Tagen — ausgenommen buchhaltungsrelevante Daten (Käufe, Rechnungen) gemäß gesetzlicher Aufbewahrungspflichten sowie anonymisierte Sicherheits-Logs (max. 14 Tage Aufbewahrung). Lokale Daten auf dem Gerät des Auftraggebers werden mit Deinstallation der App vom Betriebssystem entfernt.
12. Haftung
Es gelten die gesetzlichen Regelungen der DSGVO und des BGB. Coolblack haftet gegenüber dem Auftraggeber nur für Schäden, die durch nachweislich schuldhafte Verletzung der Pflichten aus diesem Vertrag entstanden sind.
13. Schlussbestimmungen
Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers, soweit der Auftraggeber Kaufmann ist.