Priovox

Allgemeine Geschäftsbedingungen - Priovox

Zuletzt aktualisiert: 7. Mai 2026

Allgemeine Geschäftsbedingungen (AGB) für die Nutzung des Priovox-Service. Diese AGB gelten ausschließlich gegenüber Unternehmern (§ 14 BGB), juristischen Personen des öffentlichen Rechts und öffentlich-rechtlichen Sondervermögen.

Anbieter

Haus B GmbH
handelnd unter der Marke Priovox
Mainzer Straße 98
66121 Saarbrücken
Deutschland

Registergericht: Amtsgericht Saarbrücken, HRB 19335
USt-IdNr.: DE277687676
Geschäftsführerin: Allegra Beck
E-Mail: [email protected]

— im Folgenden „Priovox" —

§ 1 Geltungsbereich, Vertragspartner

(1) Diese Allgemeinen Geschäftsbedingungen („AGB") gelten für sämtliche Verträge zwischen Priovox und ihren Kunden über die Bereitstellung des KI-gestützten Telefonassistenz-Service als Software-as-a-Service (im Folgenden „Service" oder „Priovox-Service").

(2) Kunden im Sinne dieser AGB sind ausschließlich Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen. Verträge mit Verbrauchern (§ 13 BGB) werden auf Grundlage dieser AGB nicht geschlossen.

(3) Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden — auch bei Kenntnisnahme — nicht Vertragsbestandteil, es sei denn, ihrer Geltung wird ausdrücklich in Textform zugestimmt. Dies gilt auch für allgemein gefasste Geltungsklauseln in Bestellungen, Auftragsbestätigungen oder sonstigen Erklärungen des Kunden.

(4) Im Fall von Widersprüchen zwischen einzelnen Vertragsbestandteilen gilt folgende Rangfolge:

  1. das individuelle Angebot bzw. die Auftragsbestätigung von Priovox,
  2. die zum Zeitpunkt des Vertragsschlusses auf priovox.com/preise ausgewiesene Preis- und Leistungsübersicht,
  3. diese AGB einschließlich der enthaltenen Auftragsverarbeitungsvereinbarung (§ 27) und der technisch-organisatorischen Maßnahmen (§ 28).

Speziellere Regelungen gehen jeweils vor (§ 305b BGB bleibt unberührt).

§ 2 Vertragsschluss

(1) Die Darstellung des Service auf der Website oder in Angeboten stellt kein verbindliches Vertragsangebot dar. Mit Bestellung über die Website (insbesondere über den in das Stripe-Checkout integrierten Buchungsweg) oder durch unterzeichnete Auftragsbestätigung gibt der Kunde ein verbindliches Vertragsangebot ab. Der Kunde ist an dieses Angebot zwei Wochen gebunden.

(2) Der Vertrag kommt zustande durch Annahme von Priovox, die in Form einer Auftragsbestätigung in Textform oder durch Freischaltung des Service erklärt wird.

(3) Vertragssprache ist Deutsch. Eine englischsprachige Fassung dieser AGB dient ausschließlich der Information; im Konfliktfall geht die deutsche Fassung vor.

(4) Auf die Pflichten aus § 312i Abs. 1 S. 1 Nr. 1 bis 3 sowie S. 2 BGB wird gemäß § 312i Abs. 2 BGB einvernehmlich verzichtet.

(5) Priovox speichert den Vertragstext und stellt ihn dem Kunden auf Anfrage zur Verfügung.

§ 3 Leistungsumfang

(1) Priovox stellt dem Kunden während der Vertragslaufzeit den Priovox-Service als webbasierte SaaS-Anwendung sowie die für den Anrufempfang erforderliche Telefonie-Anbindung zur Verfügung. Der Service umfasst je nach gebuchtem Tarif insbesondere:

  • die Bereitstellung eines KI-gestützten Telefonassistenten zur Annahme eingehender Anrufe;
  • die Konfiguration eines auf das Geschäft des Kunden abgestimmten Systemprompts und einer Wissensbasis;
  • die Aufzeichnung, Transkription und Zusammenfassung von Anrufen;
  • die Übergabe von Anrufdaten an angebundene Drittsysteme (insbesondere Kalender, E-Mail, CRM);
  • ein Webportal zur Konfiguration, Überwachung und Auswertung;
  • gegebenenfalls die Bereitstellung einer von Priovox zugeteilten Rufnummer (siehe § 11).

(2) Der konkrete Funktionsumfang und etwaige Nutzungsobergrenzen ergeben sich aus der zum Zeitpunkt des Vertragsschlusses auf priovox.com/preise ausgewiesenen Leistungs- und Preisübersicht des gewählten Tarifs.

(3) Einmalige Konfigurations-, Migrations-, Schulungs- oder Beratungsleistungen sind nicht im SaaS-Tarif enthalten und werden gesondert vereinbart und vergütet.

(4) Priovox ist berechtigt, den Service technisch fortzuentwickeln, einzelne Funktionen, Sprachmodelle, Stimmen oder Komponenten von Drittanbietern auszutauschen, neue Funktionen hinzuzufügen oder einzelne Funktionen mit angemessener Vorlauffrist (in der Regel 30 Tage) einzustellen, sofern der wesentliche vertragliche Leistungskern erhalten bleibt. Bei einer wesentlichen Reduzierung des Leistungsumfangs steht dem Kunden ein Sonderkündigungsrecht zum Wirksamwerden der Reduzierung zu.

§ 4 Verfügbarkeit (SLA)

(1) Priovox erbringt den Service mit einer Verfügbarkeit von 98,0 % im Jahresmittel. Verfügbarkeit ist die Fähigkeit der Plattform, eingehende Anrufe entgegenzunehmen und in einer dem gebuchten Tarif entsprechenden Qualität zu verarbeiten.

(2) Priovox ist berechtigt, täglich zwischen 00:00 und 06:00 Uhr (Zeitzone Europe/Berlin) ohne vorherige Ankündigung Wartungs-, Aktualisierungs-, Sicherheits- und Optimierungsarbeiten durchzuführen („reguläres Wartungsfenster"). Service-Unterbrechungen während des regulären Wartungsfensters werden — unabhängig von ihrer Dauer — nicht in die Verfügbarkeitsberechnung einbezogen.

(3) Außerhalb des regulären Wartungsfensters wird Priovox geplante Wartungsarbeiten, die zu erheblichen Beeinträchtigungen führen können, mindestens 48 Stunden im Voraus per E-Mail ankündigen. Solche angekündigten Wartungsarbeiten gelten ebenfalls nicht als Ausfall, sofern sie 4 Stunden pro Kalendermonat insgesamt nicht überschreiten.

(4) Ebenfalls nicht in die Verfügbarkeitsberechnung einbezogen sind:

  • Ausfälle aufgrund höherer Gewalt im Sinne des § 23;
  • Ausfälle bei Drittanbietern, deren Leistung Priovox bezieht (insbesondere Telefonie-Carrier, Kalender-Schnittstellen, KI-Modellanbieter, Cloud-Hoster);
  • Störungen, die ihre Ursache in der Sphäre des Kunden haben (Internetanbindung, Konfiguration der Rufweiterleitung, Endgeräte, Drittanbindungen, fehlerhafte Konfiguration der Wissensbasis);
  • Beta-Funktionen im Sinne von § 15;
  • Sperrungen aufgrund Vertragsverstoßes des Kunden.

(5) Bei nicht nur unerheblicher Unterschreitung der Jahresverfügbarkeit kann der Kunde eine Gutschrift auf die Monatsgrundgebühr verlangen. Die Gutschrift beträgt 10 % der für den betroffenen Abrechnungsmonat geschuldeten Grundgebühr je vollem Prozentpunkt Unterschreitung des SLA-Werts, höchstens jedoch 50 % der Monatsgrundgebühr. Der Anspruch ist innerhalb von 30 Tagen nach Ablauf des betroffenen Kalenderjahres geltend zu machen.

(6) Weitergehende Ansprüche, insbesondere Mietminderung gemäß § 536 BGB, sind durch die Gutschrift nach Absatz 5 abgegolten, sofern Priovox den Mangel nicht vorsätzlich oder grob fahrlässig herbeigeführt hat. § 22 (Haftung) bleibt unberührt.

§ 5 Support

(1) Priovox erbringt technischen Support per E-Mail an [email protected].

(2) Geschäftszeiten des Supports: Montag bis Freitag, 10:00 bis 17:00 Uhr (Zeitzone Europe/Berlin), ausgenommen gesetzliche Feiertage am Sitz von Priovox.

(3) Priovox bemüht sich um zeitnahe Bearbeitung. Innerhalb der Geschäftszeiten gelten folgende Reaktionszeiten je nach gemeldeter Schwere:

  • Kategorie 1 (Service nicht nutzbar): Reaktion innerhalb von 4 Stunden;
  • Kategorie 2 (wesentliche Funktionsstörung): Reaktion innerhalb von 1 Werktag;
  • Kategorie 3 (sonstige Anfragen, Fragen, geringfügige Mängel): Reaktion innerhalb von 5 Werktagen.

Eine Lösungszeit wird nicht zugesichert.

(4) Onboarding, Schulung, Migration, individuelle Konfiguration und Beratung sind im Support nicht enthalten und werden gesondert vergütet.

§ 6 Mitwirkungspflichten des Kunden

(1) Der Kunde stellt Priovox die zur Erbringung des Service erforderlichen Informationen vollständig und wahrheitsgemäß zur Verfügung, insbesondere Angaben zu Öffnungszeiten, Preisen, Leistungen, Mitarbeiter-Routing, Antworten auf häufige Anfragen und sonstigen geschäftlichen Sachverhalten, die der KI-Telefonassistent gegenüber Anrufern äußern soll. Der Kunde ist allein verantwortlich für die Richtigkeit der von ihm in das System eingebrachten Inhalte.

(2) Der Kunde sorgt für die funktionsfähige Rufweiterleitung an die von Priovox bereitgestellte Rufnummer und für eine ausreichende Internet- und Endgeräte-Ausstattung zur Nutzung des Webportals.

(3) Der Kunde sichert eigenverantwortlich Daten, die er aus dem Service exportiert, durch geeignete eigene Backup-Maßnahmen.

(4) Der Kunde meldet erkennbare Mängel des Service unverzüglich nach Entdeckung in Textform.

(5) Bei Outbound-Freischaltung und sonstigen sicherheits- oder rechtssensiblen Funktionen wirkt der Kunde an Identifikations- und Freigabeprozessen (KYC) mit.

(6) Der Kunde betreibt den Service ausschließlich im Rahmen des für ihn geltenden Rechts und stellt die rechtmäßige Nutzung gegenüber seinen Anrufern, Mitarbeitern und sonstigen betroffenen Personen sicher.

§ 7 Nutzungsrechte

(1) Priovox räumt dem Kunden für die Vertragslaufzeit das einfache, nicht ausschließliche, nicht übertragbare und nicht unterlizenzierbare Recht ein, den Priovox-Service im vereinbarten Tarifumfang für eigene betriebliche Zwecke zu nutzen.

(2) Eine Vervielfältigung, Bearbeitung, Dekompilierung oder das Reverse Engineering der zugrundeliegenden Software ist außerhalb der zwingenden gesetzlichen Erlaubnistatbestände (insbesondere § 69e UrhG) unzulässig.

(3) Eine Weitergabe oder Überlassung des Service an Dritte, insbesondere im Wege des Reselling, des White-Labeling oder der gemeinsamen Nutzung durch nicht zur Organisation des Kunden gehörende Personen, bedarf der vorherigen schriftlichen Zustimmung von Priovox.

(4) Priovox ist berechtigt, den Namen und das Logo des Kunden als Referenz auf der Priovox-Website und in sonstigen Marketingmaterialien zu nennen. Der Kunde kann diese Nutzung jederzeit per Erklärung in Textform widerrufen.

§ 8 Geistiges Eigentum, Daten des Kunden, Trainingslizenz

(1) Sämtliche Rechte an der Priovox-Software, den von Priovox entwickelten Systemprompts, Modellen, Stimmen, Sprachprofilen, Methoden, Algorithmen und der gesamten Service-Infrastruktur verbleiben bei Priovox bzw. bei den jeweiligen Lizenzgebern. Eine Übertragung von Eigentum oder Schutzrechten findet nicht statt.

(2) Inhalte, die der Kunde in den Service einbringt (insbesondere Wissensbasis-Einträge, Anpassungen am Systemprompt, Mediendateien, Kontaktdaten), bleiben Eigentum bzw. unterliegen den Schutzrechten des Kunden. Der Kunde gewährt Priovox an diesen Inhalten ein einfaches, weltweites, gebührenfreies Nutzungsrecht, soweit dies zur Erbringung und zum Betrieb des Service erforderlich ist.

(3) Trainingslizenz für anonymisierte Daten. Der Kunde gewährt Priovox ein unwiderrufliches, weltweites, gebührenfreies, nicht ausschließliches Recht, sämtliche im Rahmen des Service anfallenden Anrufdaten — einschließlich Audioaufzeichnungen, Transkripte, Sprachsamples, Metadaten und Telemetrie — in anonymisierter oder aggregierter Form für folgende Zwecke zu nutzen:

  • Training, Feinabstimmung und Evaluation eigener oder beauftragter KI-Modelle;
  • Qualitätssicherung, Fehleranalyse und Verbesserung des Service;
  • Entwicklung neuer Funktionen, Produkte und Dienstleistungen;
  • statistische und wissenschaftliche Analysen.

(4) Anonymisierung im Sinne dieses Paragraphen ist die Verarbeitung der Daten in einer Weise, dass eine Identifikation einzelner natürlicher Personen nicht oder nur mit unverhältnismäßigem Aufwand möglich ist (Art. 4 Nr. 1 DSGVO i.V.m. Erwägungsgrund 26 DSGVO). Aggregation umfasst die Bildung statistischer Größen, aus denen einzelne Anrufe nicht rekonstruierbar sind.

(5) Eine Nutzung nicht anonymisierter, personenbezogener Daten zu Trainings- oder Verbesserungszwecken über die im AVV (§ 27) festgelegte Auftragsverarbeitung hinaus erfolgt nicht. Eine Weitergabe nicht anonymisierter Anrufinhalte an Dritte zu Modelltrainingszwecken findet nicht statt.

(6) Hinweise, Verbesserungsvorschläge und Mängelanzeigen, die der Kunde an Priovox übermittelt („Feedback"), darf Priovox unbeschränkt zur Weiterentwicklung des Service nutzen, ohne dass dem Kunden hieraus Vergütungs- oder Beteiligungsansprüche zustehen.

§ 9 Verbotene und beschränkte Nutzung

(1) Der Service darf nicht zu folgenden Zwecken genutzt werden:

  • gegen Gesetze, behördliche Auflagen oder Rechte Dritter verstoßende Zwecke;
  • nach Art. 5 der Verordnung (EU) 2024/1689 („KI-VO") verbotene Praktiken, insbesondere unterschwellige Manipulation, Ausnutzung schutzbedürftiger Gruppen, Social Scoring, prädiktive Polizeiarbeit gegen natürliche Personen, ungezielte Erfassung von Gesichtsbildern, biometrische Kategorisierung sensibler Merkmale;
  • Imitation oder Nachahmung realer Personen ohne deren Einwilligung;
  • Erstellung oder Verbreitung von Deepfake-Inhalten (Art. 50 Abs. 4 KI-VO) ohne entsprechende Kennzeichnung;
  • Verbreitung rechtswidriger oder strafbarer Inhalte, einschließlich Schadsoftware;
  • Notruf-Ersatz oder andere Sicherheits- oder Notfallkommunikation; der Service ist kein Notdienst im Sinne des § 67 TKG;
  • Lasttests, Penetrationstests oder automatisierte Massenanrufe ohne ausdrückliche schriftliche Genehmigung von Priovox;
  • Belästigung, Drohung, Inkassodruck oder Premium-Service ohne entsprechende behördliche Erlaubnis.

(2) Telefonwerbung (Outbound-Anrufe). Der Service ist standardmäßig auf eingehende Anrufe beschränkt. Outbound-Funktionen werden nur nach gesonderter Freischaltung durch Priovox bereitgestellt. Bei Outbound-Nutzung gilt:

  • Bei Anrufen gegenüber Verbrauchern ist eine vorherige ausdrückliche Einwilligung erforderlich (§ 7 Abs. 2 Nr. 1 UWG).
  • Bei Anrufen gegenüber sonstigen Marktteilnehmern (B2B) ist mindestens eine mutmaßliche Einwilligung erforderlich, die nur bei konkreten, sachbezogenen Anhaltspunkten für ein Interesse des Angerufenen vorliegt (st. Rspr.; vgl. BVerwG, Urt. v. 29.01.2025 — 1 C 18.23).
  • Der Kunde dokumentiert die Einwilligung gemäß § 7a UWG und bewahrt die Dokumentation mindestens fünf Jahre auf. Auf Anforderung von Priovox legt der Kunde die Dokumentation in geeigneter Form vor.
  • Caller-ID-Spoofing oder die Verwendung von Rufnummern, die dem Kunden nicht zugeteilt sind, ist untersagt.

(3) Aufzeichnung und Transkription (§ 201 StGB). Anrufaufzeichnung und Transkription betreffen das nicht-öffentlich gesprochene Wort. Der Kunde stellt sicher, dass jeder Anrufer vor Beginn der Aufzeichnung ausdrücklich, informiert und freiwillig einwilligt; Schweigen oder bloßes Nicht-Auflegen genügt nicht. Die in den Standardeinstellungen vorgesehene Begrüßungsansage von Priovox enthält den entsprechenden Hinweis sowie die Möglichkeit zum Auflegen. Wird die Begrüßungsansage durch den Kunden so geändert, dass dieser Hinweis entfällt oder unzureichend wird, übernimmt der Kunde die volle straf- und zivilrechtliche Verantwortung und stellt Priovox von Ansprüchen Dritter frei. Bei grenzüberschreitender Nutzung in Rechtsordnungen mit beidseitiger Einwilligungspflicht (z. B. einzelne US-Bundesstaaten, Schweiz) trägt der Kunde die Pflicht zur Anpassung der Ansage.

(4) Transparenz nach Art. 50 KI-VO (gültig ab 2. August 2026). Die Standardansage von Priovox weist Anrufer darauf hin, dass sie mit einem KI-System interagieren. Der Kunde darf diesen Hinweis nicht entfernen oder verschleiern. Modifiziert der Kunde die Ansage so, dass die Anforderungen aus Art. 50 KI-VO nicht mehr erfüllt sind, übernimmt er die volle Betreiberverantwortung im Sinne der KI-VO und stellt Priovox von Ansprüchen Dritter sowie behördlichen Bußgeldern frei.

(5) Eigenverantwortung für KI-Outputs. Der Service erzeugt KI-generierte Aussagen, die durch ihre statistische Natur fehlerhaft, unvollständig oder unzutreffend sein können. Der Kunde überprüft alle KI-Outputs (insbesondere Buchungen, Termine, Lead-Notizen, Zusammenfassungen, Anruf-Übergaben) eigenverantwortlich, bevor er auf ihrer Grundlage geschäftliche Entscheidungen trifft oder Verpflichtungen gegenüber Anrufern oder Dritten eingeht. § 22 Abs. 4 (Haftungsausschluss für KI-Outputs) bleibt unberührt.

(6) Bei Verstößen gegen diesen Paragraphen ist Priovox berechtigt, den Service ohne Vorankündigung ganz oder teilweise zu sperren. Eine Erstattung bereits geleisteter Vergütungen erfolgt insoweit nicht. Das Recht zur außerordentlichen Kündigung (§ 14 Abs. 3) bleibt unberührt. Der Kunde stellt Priovox von sämtlichen Ansprüchen Dritter und behördlichen Bußgeldern frei, die aus einem Verstoß gegen diesen Paragraphen resultieren.

§ 10 Zugang und Sicherheit

(1) Der Kunde erhält Zugangsdaten, die er sicher zu verwahren und keinen unbefugten Dritten zugänglich zu machen hat. Verlust, Diebstahl oder unbefugte Nutzung sind Priovox unverzüglich anzuzeigen.

(2) Priovox ist berechtigt, den Zugang vorübergehend zu sperren, wenn ein begründeter Verdacht auf Missbrauch besteht.

(3) Der Kunde ist verantwortlich für die Aktivitäten, die unter seinem Account stattfinden, soweit sie nicht durch ein Versagen der Sicherheitsmechanismen von Priovox ermöglicht werden.

§ 11 Rufnummern

(1) Stellt Priovox dem Kunden eine Rufnummer zur Verfügung, wird diese Rufnummer durch Priovox bzw. ihren Carrier-Partner zugeteilt und betrieben. Der Kunde erhält ausschließlich ein einfaches, nicht ausschließliches Nutzungsrecht für die Vertragslaufzeit.

(2) Der Kunde wird in Bezug auf die von Priovox bereitgestellte Rufnummer nicht Endnutzer im Sinne des § 59 TKG gegenüber dem Carrier; die Rufnummer ist und bleibt Priovox bzw. dem Carrier zugeteilt. Eine Rufnummernmitnahme im Sinne des § 59 TKG zu einem Drittanbieter ist in Bezug auf von Priovox bereitgestellte Rufnummern ausgeschlossen. Mit Vertragsende fällt die Rufnummer an Priovox zurück und kann nach billigem Ermessen anderen Kunden neu zugewiesen werden.

(3) Auf Wunsch des Kunden ist eine Portierung einer bestehenden, bereits dem Kunden zugeteilten Rufnummer in das Priovox-Netz möglich („Port-In"). Die Kosten und das Risiko des Port-In trägt der Kunde; Priovox koordiniert mit dem abgebenden Anbieter, übernimmt aber keine Erfolgsgarantie. Eine Rückportierung am Vertragsende ist auf Anfrage gegen einen pauschalen Aufwandsersatz gemäß Preisliste möglich, sofern und soweit der Kunde Inhaber der ursprünglichen Zuteilung gegenüber der Bundesnetzagentur ist und eine Rückportierung gesetzlich geboten ist.

(4) Eine Rufnummern-Weiterleitung über das Vertragsende hinaus kann auf Anfrage gegen Aufpreis für maximal 30 Tage eingerichtet werden.

§ 12 Vergütung, Minutenkontingent, Zahlung

(1) Die Vergütung richtet sich nach dem gewählten Tarif und der jeweils auf priovox.com/preise ausgewiesenen Preis- und Leistungsübersicht (im Folgenden „Preisliste"). Sämtliche Preise verstehen sich netto, zuzüglich der gesetzlichen Umsatzsteuer in der jeweils geltenden Höhe. Bei innergemeinschaftlichen Leistungen an einen Kunden mit gültiger Umsatzsteuer-Identifikationsnummer gilt das Reverse-Charge-Verfahren.

(2) Minutenkontingent. Im Tarif ist ein definiertes Minutenkontingent pro Abrechnungsperiode enthalten. Nicht verbrauchte Minuten verfallen zum Ende der jeweiligen Abrechnungsperiode; eine Übertragung in folgende Abrechnungsperioden („Rollover") findet nicht statt.

(3) Taktung der Anrufdauer. Jeder verbundene Anruf wird in vollen 30-Sekunden-Blöcken abgerechnet. Die Mindestabrechnungsdauer pro verbundenem Anruf beträgt 30 Sekunden. Verbindungs-, Setup- und Übergabezeiten sind Bestandteil der abgerechneten Anrufdauer. Die Taktung wird zusätzlich in der Preisliste ausgewiesen.

(4) Überschreitung des Kontingents. Verbraucht der Kunde sein Kontingent, kann er weitere Minutenpakete im Voraus erwerben. Erworbene Minutenpakete verfallen am Ende der Abrechnungsperiode, in der sie erworben wurden, soweit in der Preisliste nichts Abweichendes ausgewiesen ist. Eine Sperrung des Service erfolgt erst, wenn weder das Grundkontingent noch zugekaufte Minutenpakete vorhanden sind.

(5) Zahlungsweise. Die Vergütung wird im Voraus über den Zahlungsdienstleister Stripe Payments Europe Ltd. eingezogen. Akzeptierte Zahlungsmittel sind in der Preisliste ausgewiesen.

(6) Zahlungsverzug. Schlägt eine Zahlung fehl, wird Priovox den Kunden zur Nachzahlung auffordern. Erfolgt diese nicht innerhalb von sieben Tagen, ist Priovox zur Sperrung des Service berechtigt. Verzugszinsen werden gemäß § 288 Abs. 2 BGB in Höhe von neun Prozentpunkten über dem Basiszinssatz berechnet. Daneben kann Priovox die Verzugspauschale nach § 288 Abs. 5 BGB in Höhe von 40,00 EUR sowie weitergehenden Verzugsschaden geltend machen.

(7) Aufrechnung und Zurückbehaltung. Der Kunde ist zur Aufrechnung oder Zurückbehaltung nur berechtigt, wenn seine Gegenforderung unbestritten oder rechtskräftig festgestellt ist.

§ 13 Preisanpassung

(1) Priovox ist berechtigt, die Preise mit einer Vorlauffrist von sechs Wochen anzupassen. Die Anpassung wird dem Kunden in Textform mitgeteilt und tritt zum genannten Stichtag in Kraft.

(2) Der Kunde hat das Recht, den Vertrag innerhalb von vier Wochen ab Zugang der Anpassungsmitteilung zum Wirksamkeitsdatum der Anpassung zu kündigen.

(3) Eine Anpassung erfolgt ausschließlich zum Ausgleich objektiv nachweisbarer Veränderungen der Gestehungskosten, insbesondere durch Carrier-Tarife, Kosten für KI-Modell-Schnittstellen, Energie-, Personal- und Hostingkosten, sowie zum Ausgleich gesetzlicher Abgaben und Steuern. Eine einseitige Preisanpassung nach freiem Ermessen findet nicht statt.

§ 14 Vertragslaufzeit, Kündigung

(1) Sofern in der Auftragsbestätigung nichts anderes ausgewiesen ist, beträgt die Mindestvertragslaufzeit:

  • bei monatlichen Tarifen: einen Monat;
  • bei Jahrestarifen: zwölf Monate.

(2) Der Vertrag verlängert sich jeweils um die Mindestvertragslaufzeit, sofern er nicht zuvor gekündigt wird:

  • monatliche Tarife: Kündigung mit einer Frist von sieben Tagen zum Ende der Abrechnungsperiode;
  • Jahrestarife: Kündigung mit einer Frist von drei Monaten zum Ende der Vertragslaufzeit.

(3) Außerordentliche Kündigung. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund (§ 314 BGB) bleibt unberührt. Ein wichtiger Grund liegt für Priovox insbesondere vor:

  • bei Zahlungsverzug von mehr als 14 Tagen trotz Mahnung;
  • bei wesentlichem Verstoß gegen § 9 (verbotene Nutzung);
  • bei wiederholtem oder schwerem Verstoß gegen sonstige Pflichten aus diesen AGB;
  • bei Eröffnung eines Insolvenzverfahrens über das Vermögen des Kunden oder bei begründeter Besorgnis der Zahlungsunfähigkeit;
  • bei dauerhafter, dem Kunden zurechenbarer Beeinträchtigung der Service-Infrastruktur;
  • wenn der Kunde Priovox vorsätzlich oder grob fahrlässig falsche Angaben gemacht hat, die für den Vertragsschluss erheblich waren.

(4) Form. Kündigungen bedürfen der Textform (§ 126b BGB). Eine Kündigung per E-Mail an die in der Auftragsbestätigung benannte Adresse oder über die im Webportal bereitgestellte Kündigungsfunktion ist ausreichend.

(5) Folgen der Vertragsbeendigung. Mit Wirksamwerden der Kündigung endet das Nutzungsrecht des Kunden. Priovox stellt dem Kunden für 30 Tage eine Möglichkeit zum Datenexport bereit; danach werden Kundendaten gelöscht, soweit gesetzliche Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO) nicht entgegenstehen. Bereits gezahlte Vergütungen werden nicht erstattet. Davon ausgenommen sind im Voraus gezahlte Vergütungen für Leistungszeiträume, in denen Priovox aufgrund einer von ihr zu vertretenden außerordentlichen Beendigung den Service nicht mehr erbringt; diese werden anteilig erstattet.

§ 15 Beta-Funktionen

(1) Priovox kennzeichnet einzelne Funktionen ausdrücklich als „Beta", „Vorschau" oder „Experimental" (zusammen „Beta-Funktionen"). Beta-Funktionen werden im Status „as is, as available" zur Verfügung gestellt.

(2) Für Beta-Funktionen gelten weder die Verfügbarkeitszusage nach § 4 noch die Supportzusage nach § 5. Eine Gewährleistung für Beta-Funktionen ist ausgeschlossen, soweit gesetzlich zulässig.

(3) Priovox kann Beta-Funktionen jederzeit ohne Vorankündigung und ohne Ausgleich verändern, einstellen oder durch andere Funktionen ersetzen.

(4) Die Aktivierung einer Beta-Funktion erfolgt nur durch ausdrückliche Handlung des Kunden. Mit Aktivierung erkennt der Kunde diese Bedingungen an.

(5) Die Haftung von Priovox in Bezug auf Beta-Funktionen ist auf Vorsatz und grobe Fahrlässigkeit beschränkt; § 22 Abs. 1 (zwingende Haftung) bleibt unberührt.

§ 16 Drittleistungen, Schnittstellen

(1) Der Service nutzt Leistungen Dritter, insbesondere:

  • Cloud-Hosting innerhalb der Europäischen Union,
  • Telefonie-Carrier zur Anbindung an das Telefonnetz,
  • KI-Modellanbieter und Sprachsynthese-Dienste,
  • Schnittstellen zu Kalender-, E-Mail-, Messaging- und CRM-Anbietern,
  • Zahlungsdienstleister.

(2) Eine Liste der eingesetzten Drittleistungen und Subprozessoren stellt Priovox dem Kunden auf Anfrage in Textform zur Verfügung. Datenschutzrechtliche Pflichten in Bezug auf Subprozessoren regelt der AVV (§ 27).

(3) Die Verfügbarkeit, Performance und inhaltliche Korrektheit der Drittleistungen liegt nicht im Verantwortungsbereich von Priovox. Priovox haftet insoweit nur für Auswahlverschulden bei der Beauftragung.

(4) Bei Anbindung externer Systeme durch den Kunden (insbesondere via OAuth-Autorisierung an Kalender- oder E-Mail-Konten) bevollmächtigt der Kunde Priovox, im Rahmen des erteilten Berechtigungsumfangs auf diese Systeme zuzugreifen.

§ 17 Datenschutz, Subprozessoren, Drittlandtransfer

(1) Priovox verarbeitet personenbezogene Daten der Anrufer und Mitarbeiter des Kunden ausschließlich im Auftrag des Kunden. Die Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO ist als § 27 dieser AGB integriert und gilt mit Vertragsschluss als geschlossen.

(2) Drittlandtransfer. Soweit zur Erbringung des Service eine Übermittlung personenbezogener Daten in Drittländer (insbesondere die USA) erforderlich ist — etwa zur Inanspruchnahme von KI-Modellanbietern —, erfolgt diese auf Grundlage:

  • eines Angemessenheitsbeschlusses der Europäischen Kommission, insbesondere des EU-US Data Privacy Frameworks (Beschluss vom 10.07.2023), sofern der Empfänger zertifiziert ist; oder
  • der EU-Standardvertragsklauseln (Durchführungsbeschluss [EU] 2021/914) in der jeweils geltenden Fassung, ergänzt um eine Transfer Impact Assessment.

Sollten die genannten Transfergrundlagen wegfallen oder nicht mehr angewandt werden können, wird Priovox geeignete Anpassungen vornehmen oder den Service entsprechend einschränken.

(3) Subprozessoren. Eine Liste der Subprozessoren wird dem Kunden auf Anfrage zur Verfügung gestellt. Eine Änderung des Subprozessor-Bestands wird dem Kunden in Textform mit einer Vorlauffrist von 30 Tagen mitgeteilt. Der Kunde kann der Änderung innerhalb dieser Frist aus wichtigen datenschutzrechtlichen Gründen widersprechen; gelangen die Parteien innerhalb von weiteren 30 Tagen zu keiner einvernehmlichen Lösung, kann der Kunde den Vertrag mit Wirkung zum geplanten Wechsel außerordentlich kündigen.

(4) Datenpannen. Priovox meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme. Einzelheiten regelt der AVV.

(5) Der Kunde bleibt im datenschutzrechtlichen Sinne Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die Rechtmäßigkeit der Datenverarbeitung im Rahmen seines Geschäftsbetriebs.

§ 18 Vertraulichkeit, Geschäftsgeheimnisse

(1) Die Parteien behandeln alle ihnen im Zusammenhang mit der Vertragsdurchführung bekannt gewordenen vertraulichen Informationen der jeweils anderen Partei vertraulich. Vertrauliche Informationen sind insbesondere als vertraulich gekennzeichnete Informationen sowie solche, deren Vertraulichkeit sich aus den Umständen ergibt.

(2) Der Kunde behandelt insbesondere die Architektur, den Quellcode, die Systemprompts, die internen Modelle, Stimmprofile, Sicherheitsmaßnahmen, Preisstrukturen und Strategiedokumente von Priovox als geschützte Geschäftsgeheimnisse im Sinne von § 2 Nr. 1 GeschGehG. Priovox trifft die hierfür angemessenen Geheimhaltungsmaßnahmen.

(3) Die Vertraulichkeitspflicht überdauert das Vertragsende um fünf Jahre.

(4) Zulässig bleibt die Offenlegung gegenüber Steuerberatern, Wirtschaftsprüfern und Rechtsberatern unter angemessener Geheimhaltungspflicht oder gegenüber Behörden auf gesetzlicher Grundlage.

§ 19 Mitarbeiter-Abwerbeverbot

Während der Vertragslaufzeit und für zwölf Monate nach Vertragsende verpflichten sich die Parteien, keine Mitarbeiter der jeweils anderen Partei aktiv abzuwerben. Verstößt eine Partei gegen diese Pflicht, schuldet sie der anderen Partei eine pauschalierte Vertragsstrafe in Höhe eines Bruttojahresgehalts des betroffenen Mitarbeiters; der Nachweis eines geringeren oder höheren tatsächlichen Schadens bleibt beiden Parteien vorbehalten.

§ 20 Gewährleistung

(1) Priovox erbringt den Service mit der Sorgfalt eines ordentlichen Kaufmanns nach dem zum Zeitpunkt der Vertragsdurchführung jeweils üblichen Stand der Technik. Eine bestimmte Eignung des Service für einen über den vereinbarten Leistungsumfang hinausgehenden Zweck wird nicht zugesichert.

(2) Eine Gewährleistung für die inhaltliche Richtigkeit, Vollständigkeit, Zweckmäßigkeit, Rechtmäßigkeit oder geschäftliche Verwertbarkeit der vom KI-Telefonassistenten erzeugten Aussagen, Buchungen, Termine, Zusammenfassungen, Lead-Notizen oder sonstigen Outputs wird nicht übernommen. Der KI-Assistent ersetzt keine fachliche Beratung oder menschliche Kommunikation.

(3) Die Gewährleistung für unwesentliche Mängel ist ausgeschlossen.

(4) Der Kunde zeigt erkennbare Mängel unverzüglich nach Entdeckung in Textform an (entsprechend § 377 HGB).

(5) Für Beta-Funktionen wird keine Gewährleistung übernommen (§ 15).

§ 21 Schutzrechte Dritter

(1) Priovox stellt sicher, dass der Service bei vertragsgemäßer Nutzung keine Schutzrechte Dritter mit Sitz in der Europäischen Union verletzt.

(2) Macht ein Dritter gegenüber dem Kunden Ansprüche wegen Verletzung von Schutzrechten durch die vertragsgemäße Nutzung des Service geltend, wird Priovox auf eigene Kosten:

  • die Berechtigung zur Nutzung des Service bewirken oder
  • den Service so anpassen oder austauschen, dass die geltend gemachte Schutzrechtsverletzung nicht mehr besteht.

(3) Ist beides für Priovox nur mit unverhältnismäßigem Aufwand möglich, sind beide Parteien berechtigt, den Vertrag mit Wirkung für die Zukunft zu kündigen. Bereits geleistete Vergütungen werden anteilig erstattet.

(4) Voraussetzung der Pflichten nach Absatz 2 ist, dass der Kunde Priovox unverzüglich über die geltend gemachten Ansprüche informiert, Priovox die Verteidigung überlässt und alle hierfür erforderlichen Informationen bereitstellt.

(5) Inhalte, die der Kunde in den Service einbringt (insbesondere Wissensbasis, Stimmproben, Mediendateien), sind vom Schutzrechtsschutz dieses Paragraphen nicht erfasst. Der Kunde gewährleistet, an den von ihm eingebrachten Inhalten die zur Nutzung im Rahmen des Service erforderlichen Rechte zu besitzen, und stellt Priovox von Ansprüchen Dritter wegen seiner eingebrachten Inhalte frei.

§ 22 Haftung

(1) Unbeschränkte Haftung. Priovox haftet unbeschränkt:

  • bei Vorsatz und grober Fahrlässigkeit;
  • bei Verletzung von Leben, Körper oder Gesundheit;
  • nach dem Produkthaftungsgesetz;
  • bei arglistig verschwiegenen Mängeln;
  • im Rahmen einer ausdrücklich von Priovox übernommenen Garantie.

(2) Haftung bei leichter Fahrlässigkeit. Bei leichter Fahrlässigkeit haftet Priovox nur bei der Verletzung wesentlicher Vertragspflichten („Kardinalpflichten"). Wesentliche Vertragspflichten im Sinne dieser AGB sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht, deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Kunde regelmäßig vertraut und vertrauen darf. Wesentliche Vertragspflichten sind insbesondere:

  • die Bereitstellung des Service in der vereinbarten Verfügbarkeit (§ 4);
  • die Wahrung der Vertraulichkeit der Kundendaten gemäß AVV (§ 27);
  • die Einhaltung der vereinbarten technisch-organisatorischen Sicherungsmaßnahmen (§ 28).

In diesen Fällen ist die Haftung der Höhe nach auf den vertragstypischen, vorhersehbaren Schaden begrenzt; dieser entspricht maximal dem in den letzten zwölf Monaten vor dem schadenauslösenden Ereignis tatsächlich gezahlten Nettoentgelt des Kunden für den Service.

(3) Im Übrigen ist die Haftung bei leichter Fahrlässigkeit ausgeschlossen.

(4) Haftungsausschluss für KI-Outputs. Soweit gesetzlich zulässig, ist die Haftung von Priovox für die inhaltliche Richtigkeit, Vollständigkeit, Zweckmäßigkeit, Rechtmäßigkeit oder geschäftliche Eignung von Aussagen, Buchungen, Terminen, Zusammenfassungen, Lead-Notizen, Übergaben oder sonstigen vom KI-Telefonassistenten erzeugten Outputs ausgeschlossen — und zwar auch dann, wenn diese Outputs unrichtige Informationen enthalten, die der Kunde Priovox nicht zugeführt hat. Der Kunde überprüft KI-Outputs eigenverantwortlich, bevor er auf ihrer Grundlage handelt. Absatz 1 (zwingende Haftung) bleibt unberührt.

(5) Mittelbare Schäden. Die Haftung für entgangenen Gewinn, mittelbare Schäden, Folgeschäden, Datenverlust und entgangene Nutzungen ist außer in den Fällen von Absatz 1 ausgeschlossen.

(6) Datenverlust. Bei Datenverlust ist die Haftung der Höhe nach auf den Aufwand begrenzt, der bei ordnungsgemäßer regelmäßiger Datensicherung durch den Kunden zur Wiederherstellung erforderlich gewesen wäre.

(7) Die vorstehenden Haftungsregelungen gelten auch für Pflichtverletzungen der gesetzlichen Vertreter, Mitarbeiter und Erfüllungsgehilfen von Priovox.

(8) Verjährung. Schadensersatzansprüche aus oder im Zusammenhang mit diesem Vertrag verjähren in zwölf Monaten ab dem Zeitpunkt, in dem der Kunde von dem Schaden und der Person des Ersatzpflichtigen Kenntnis erlangt hat oder ohne grobe Fahrlässigkeit hätte erlangen müssen, spätestens jedoch in drei Jahren ab dem schadenauslösenden Ereignis. Für Ansprüche aus Absatz 1 dieses Paragraphen sowie für Ansprüche, die auf einer vorsätzlichen Pflichtverletzung beruhen, gelten die gesetzlichen Verjährungsfristen.

§ 23 Höhere Gewalt

(1) Höhere Gewalt im Sinne dieser AGB sind Ereignisse, die außerhalb der Kontrolle der Parteien liegen, bei zumutbarer Sorgfalt nicht vorhersehbar oder abwendbar waren und die Erbringung der Vertragspflichten erheblich erschweren oder unmöglich machen, insbesondere Krieg, terroristische Anschläge, Pandemie, behördliche Anordnungen, großflächige Energie-, Telekommunikations- oder Internet-Ausfälle, schwerwiegende Cyberangriffe Dritter, Ausfall wesentlicher Subdienstleister.

(2) Während eines Ereignisses höherer Gewalt sind die Parteien für die Dauer und im Umfang des Ereignisses von ihren Vertragspflichten befreit.

(3) Dauert das Ereignis länger als 60 aufeinanderfolgende Tage an, ist jede Partei berechtigt, den Vertrag außerordentlich zu kündigen.

§ 24 Änderung dieser AGB

(1) Priovox ist berechtigt, diese AGB mit Wirkung für die Zukunft anzupassen. Anpassungen werden dem Kunden in Textform mit einer Vorlauffrist von sechs Wochen mitgeteilt.

(2) Die Mitteilung enthält den Wortlaut der Änderung, das Datum des Inkrafttretens, einen ausdrücklichen Hinweis auf das Widerspruchsrecht des Kunden sowie auf die Folgen eines Schweigens.

(3) Widerspricht der Kunde innerhalb von vier Wochen nach Zugang der Mitteilung nicht in Textform, gelten die Änderungen als angenommen. Bei rechtzeitigem Widerspruch ist Priovox berechtigt, den Vertrag zum geplanten Wirksamkeitsdatum der Änderung zu kündigen.

(4) Wesentliche Änderungen, insbesondere Änderungen der Hauptleistung oder der Vergütungshöhe, bedürfen der ausdrücklichen Zustimmung des Kunden; die Änderungsfiktion nach Absatz 3 gilt insoweit nicht.

§ 25 Abtretung, Vertragsübernahme

(1) Der Kunde darf Rechte aus diesem Vertrag nur mit vorheriger schriftlicher Zustimmung von Priovox an Dritte abtreten oder den Vertrag im Ganzen übertragen. Die Vorschrift des § 354a HGB bleibt unberührt.

(2) Priovox ist berechtigt, den Vertrag im Wege der Vertragsübernahme oder einzelne Rechte und Pflichten an verbundene Unternehmen im Sinne der §§ 15 ff. AktG oder an einen Rechtsnachfolger im Wege der Gesamt- oder Sonderrechtsnachfolge (insbesondere bei Asset Deal oder Anteilsverkauf) zu übertragen, sofern die ordnungsgemäße Vertragsdurchführung sichergestellt bleibt.

§ 26 Schlussbestimmungen

(1) Textform. Erklärungen, die diesen Vertrag betreffen, bedürfen der Textform (§ 126b BGB). Auf eine ausdrücklich nicht im individuellen Angebot oder in diesen AGB enthaltene mündliche Nebenabrede kann sich keine Partei berufen.

(2) Salvatorische Klausel. Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt gemäß § 306 Abs. 2 BGB die gesetzliche Regelung.

(3) Anwendbares Recht. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

(4) Gerichtsstand. Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz von Priovox, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen im Sinne von § 38 ZPO ist. Priovox ist berechtigt, den Kunden auch an dessen allgemeinem Gerichtsstand zu verklagen.

§ 27 Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO

(1) Geltung. Soweit Priovox personenbezogene Daten im Auftrag des Kunden verarbeitet, gilt dieser § 27 als Auftragsverarbeitungsvertrag im Sinne des Art. 28 Abs. 3 DSGVO. Er bedarf keiner gesonderten Unterzeichnung; er gilt mit Vertragsschluss als geschlossen.

(2) Gegenstand. Gegenstand der Verarbeitung ist die Bereitstellung des Priovox-Service durch Priovox an den Kunden gemäß § 3 dieser AGB.

(3) Dauer. Die Dauer der Verarbeitung entspricht der Vertragslaufzeit. Nach Vertragsende erfolgt eine Löschung bzw. Rückgabe nach Maßgabe von § 14 Abs. 5 sowie Absatz 11 dieses § 27.

(4) Art und Zweck. Die Verarbeitung dient der Annahme, Verarbeitung, Aufzeichnung, Transkription und Zusammenfassung eingehender Telefonanrufe, der Übergabe von Anrufdaten an angebundene Drittsysteme sowie der Bereitstellung von Auswertungen und Konfigurationsfunktionen im Webportal.

(5) Art der personenbezogenen Daten. Verarbeitet werden insbesondere:

  • Audio-Aufzeichnungen und Transkripte von Telefongesprächen;
  • Rufnummern und Anrufmetadaten (Datum, Uhrzeit, Dauer, Anrufrichtung);
  • vom Anrufer im Gespräch genannte personenbezogene Daten (Name, Adresse, Anliegen, Kontaktdaten, Termininformationen);
  • Mitarbeiter- und Nutzerdaten des Kunden (Login-Daten, Konfigurations-Logs).

(6) Kategorien betroffener Personen.

  • Anrufer (Kunden, Interessenten, Lieferanten, Bewerber, Mitarbeiter etc. des Kunden);
  • Mitarbeiter und Nutzer des Kunden, die das Webportal verwenden.

(7) Pflichten des Auftragsverarbeiters (Priovox). Priovox verpflichtet sich:

  • personenbezogene Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten; eine Ausnahme gilt nur, soweit Priovox durch Unionsrecht oder Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist (Art. 28 Abs. 3 lit. a DSGVO);
  • zur Verarbeitung befugte Personen zur Vertraulichkeit zu verpflichten;
  • die nach Art. 32 DSGVO erforderlichen technisch-organisatorischen Maßnahmen zu treffen (siehe § 28);
  • bei der Inanspruchnahme von Subprozessoren die Voraussetzungen aus Art. 28 Abs. 2 und 4 DSGVO einzuhalten (siehe § 17);
  • den Kunden bei der Beantwortung von Anträgen betroffener Personen (Art. 12–22 DSGVO) zu unterstützen, soweit dies dem Kunden möglich und Priovox technisch zumutbar ist;
  • den Kunden bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen;
  • personenbezogene Daten nach Wahl des Kunden nach Beendigung der Erbringung der Verarbeitungsleistungen entweder zu löschen oder zurückzugeben, sofern keine gesetzlichen Aufbewahrungspflichten bestehen;
  • dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen.

(8) Pflichten des Verantwortlichen (Kunde). Der Kunde ist Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO und allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung. Er erteilt Priovox die zur Vertragsdurchführung erforderlichen Weisungen in Textform; mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(9) Subprozessoren. Der Kunde stimmt dem Einsatz von Subprozessoren gemäß § 17 zu. Die Liste der eingesetzten Subprozessoren stellt Priovox auf Anfrage in Textform zur Verfügung. Änderungen werden mit einer Vorlauffrist von 30 Tagen mitgeteilt; das Widerspruchsrecht nach § 17 Abs. 3 bleibt unberührt.

(10) Kontrollrechte / Audit. Der Kunde ist berechtigt, sich von der Einhaltung der Pflichten dieses § 27 zu überzeugen. Der Nachweis erfolgt grundsätzlich durch von Priovox vorgelegte Compliance-Berichte (z. B. Zertifikate, Penetration-Test-Berichte, Auditreports). Vor-Ort-Audits können in begründeten Einzelfällen vereinbart werden, höchstens einmal jährlich, mit 30 Tagen Vorlauf, während der üblichen Geschäftszeiten von Priovox, nach Unterzeichnung einer Geheimhaltungsvereinbarung. Die Aufwände trägt der Kunde, sofern das Audit keine wesentlichen Verstöße aufdeckt.

(11) Löschung / Rückgabe. Mit Vertragsende werden personenbezogene Daten gemäß § 14 Abs. 5 dieser AGB gelöscht oder zurückgegeben. Gesetzliche Aufbewahrungsfristen (insbesondere § 257 HGB, § 147 AO) bleiben unberührt.

(12) Mitteilung von Datenschutzverletzungen. Priovox meldet dem Kunden Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung. Die Meldung umfasst die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit diese zum Zeitpunkt der Meldung verfügbar sind.

(13) Drittlandtransfer. Die Übermittlung in Drittländer erfolgt nach Maßgabe des § 17 Abs. 2.

§ 28 Technisch-organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO

Priovox setzt zum Schutz personenbezogener Daten unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen insbesondere folgende technisch-organisatorische Maßnahmen um:

(1) Vertraulichkeit

  • Hosting in zertifizierten Rechenzentren in Deutschland.
  • Zutrittskontrolle durch den Rechenzentrumsbetreiber (Mehrfaktor-Authentifizierung, biometrische Kontrollen, Videoüberwachung, Sicherheitspersonal).
  • Zugangskontrolle durch personalisierte Benutzeraccounts mit Mindest-Passwortanforderungen und Zwei-Faktor-Authentifizierung für administrative Zugänge.
  • Rollen- und rechtebasierte Zugriffskontrolle nach dem Prinzip minimaler Berechtigungen.
  • Verschlüsselung personenbezogener Daten bei der Übertragung (TLS 1.2 oder höher) sowie im Ruhezustand (AES-256 oder vergleichbar).
  • Trennung von Produktiv-, Staging- und Entwicklungsumgebungen.
  • Logische Mandantentrennung der Kundendaten.

(2) Integrität

  • Eingabekontrolle durch Audit-Logs sämtlicher administrativer Zugriffe und sicherheitsrelevanter Ereignisse.
  • Versionierte Datenbank- und Konfigurationsänderungen mit nachvollziehbarem Change-Management.
  • Überprüfung der Datenintegrität durch Backup-Konsistenzchecks.

(3) Verfügbarkeit und Belastbarkeit

  • Tägliche automatisierte Backups mit verschlüsselter Speicherung.
  • Aufbewahrung der Backups für mindestens 30 Tage.
  • Dokumentierte Wiederherstellungsverfahren mit definierten Recovery-Time- und Recovery-Point-Objectives.
  • Monitoring der Service-Verfügbarkeit und sicherheitsrelevanter Indikatoren rund um die Uhr.
  • Schutz gegen Distributed-Denial-of-Service-Angriffe durch vorgelagerten Edge-Provider.

(4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen.
  • Datenschutzschulungen für Mitarbeiter mindestens jährlich.
  • Schriftliche Vertraulichkeitsverpflichtung aller Mitarbeiter.
  • Risikobasierte Auswahl und Überprüfung von Subprozessoren mit datenschutzrechtlicher Bewertung.
  • Dokumentiertes Verfahren zur Erkennung und Meldung von Datenschutzverletzungen.

(5) Datenminimierung und Speicherbegrenzung

  • Erhebung ausschließlich der zur Vertragserfüllung erforderlichen Daten.
  • Definierte Aufbewahrungsfristen je Datenkategorie.
  • Automatisierte Löschroutinen nach Ablauf der jeweiligen Aufbewahrungsfrist.
  • Pseudonymisierung, soweit technisch möglich und zweckdienlich.

(6) Auftragskontrolle

  • Vertragliche Bindung sämtlicher Subprozessoren an gleichwertige Datenschutzpflichten.
  • Regelmäßige Überprüfung der Subprozessor-Compliance.