Demo buchen Jetzt starten

AGB

Allgemeine Geschäftsbedingungen

Einschließlich Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Geltend für Geschäftskunden im Sinne des § 14 BGB.

B2B AVV inkl. Stand Mai 2026

Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB") regeln die Bereitstellung und Nutzung der Software-as-a-Service-Lösung „Leadary" (KI-Voice-Bot, KI-Telefonassistent, Web-Kommunikation) durch Leadary Systems, Inhaber Elias Buttler, Sperberweg 33, 40668 Meerbusch, Deutschland, E-Mail: elias.buttler@leadary.ai (nachfolgend „Anbieter") gegenüber seinen Geschäftskunden (nachfolgend „Kunde").

Diese AGB enthalten in § 9 zugleich den Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO mit den dazugehörigen Anlagen. Mit Akzeptanz dieser AGB werden auch die in § 9 sowie in den Anlagen 1–3 niedergelegten Bestimmungen zur Auftragsverarbeitung verbindlich vereinbart.

§ 1

Geltungsbereich, ausschließliche B2B-Nutzung

(1)
Diese AGB gelten für sämtliche Verträge zwischen dem Anbieter und dem Kunden über die Bereitstellung der SaaS-Plattform „Leadary" und damit zusammenhängende Leistungen, sofern nicht ausdrücklich etwas anderes vereinbart wurde.
(2)
Das Angebot des Anbieters richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts und öffentlich-rechtliche Sondervermögen. Verbraucher im Sinne des § 13 BGB sind von der Nutzung ausgeschlossen. Mit Vertragsschluss versichert der Kunde, in Ausübung seiner gewerblichen oder selbständigen beruflichen Tätigkeit zu handeln.
(3)
Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich in Textform zu. Dies gilt auch dann, wenn der Anbieter in Kenntnis solcher Bedingungen die Leistung vorbehaltlos erbringt.
(4)
Diese AGB gelten in ihrer jeweils zum Zeitpunkt des Vertragsschlusses gültigen Fassung als Rahmenvereinbarung auch für sämtliche zukünftigen Verträge mit demselben Kunden, ohne dass der Anbieter in jedem Einzelfall erneut auf sie hinweisen müsste.
§ 2

Vertragsgegenstand und Leistungsbeschreibung

(1)
Der Anbieter stellt dem Kunden eine browserbasierte SaaS-Plattform zur Verfügung, über die der Kunde KI-gestützte Telefonassistenten, Voice-Bots und interaktive Web-Kommunikation (z.B. via WebRTC) konfigurieren und einsetzen kann (nachfolgend „Dienst"). Der Dienst ist ausschließlich für die Annahme und Bearbeitung eingehender Anrufe (Inbound) sowie vom Anrufer initiierter Web-Kommunikation bestimmt. Vom Bot ausgehende Anrufe (Outbound) sind nicht Bestandteil des Leistungsumfangs.
(2)
Der Funktionsumfang des Dienstes umfasst je nach gebuchtem Tarif insbesondere:
  • Annahme und Bearbeitung eingehender Anrufe durch einen KI-Voice-Bot;
  • interaktive Web-Kommunikation (z.B. WebRTC-basierte Sprach- oder Textkommunikation);
  • Erstellung textlicher Anrufzusammenfassungen und Weiterleitung an vom Kunden konfigurierte Empfänger oder Systeme (z.B. E-Mail, SMS, CRM, ATS, Ticketsystem);
  • Ausführung vom Kunden konfigurierter Aktionen, insbesondere Terminbuchung, Ticket-Erstellung, Anrufweiterleitung, Vorqualifizierung und Beantwortung häufiger Fragen;
  • Verwaltung der Bot-Konfiguration durch den Kunden über ein Web-Portal.
(3)
Der konkrete Leistungsumfang, insbesondere enthaltene Anrufminuten, Anzahl gleichzeitiger Anrufe, verfügbare Integrationen und Support-Level, ergibt sich aus dem vom Kunden gewählten Tarif gemäß der zum Zeitpunkt des Vertragsschlusses gültigen Tarifübersicht des Anbieters.
(4)
Der Anbieter ist berechtigt, den Dienst weiterzuentwickeln und Funktionen zu ergänzen, anzupassen oder zu ersetzen, soweit dadurch der vertraglich geschuldete Leistungsumfang nicht wesentlich eingeschränkt wird. Wesentliche Änderungen werden dem Kunden in Textform mitgeteilt.
(5)
Der Dienst wird ausschließlich als Software-as-a-Service über das Internet bereitgestellt. Eine Übergabe oder Installation von Software beim Kunden findet nicht statt. Eine bestimmte Server-Hardware oder ein Verwahrungsort wird nicht geschuldet, soweit sich aus § 9 (Auftragsverarbeitung) nichts anderes ergibt.
§ 3

Vertragsschluss

(1)
Die Darstellung des Dienstes auf der Website des Anbieters stellt kein bindendes Angebot dar, sondern lediglich eine Aufforderung zur Abgabe eines Angebots.
(2)
Der Vertrag kommt zustande durch:
  • Bestellung des Kunden über das Online-Bestellformular des Anbieters und anschließende Bestätigung in Textform durch den Anbieter, oder
  • Annahme eines individuellen Angebots des Anbieters durch den Kunden in Textform, oder
  • Beginn der Leistungserbringung durch den Anbieter nach Bestellung des Kunden.
(3)
Mit Abschluss des Vertrags erkennt der Kunde diese AGB einschließlich der in § 9 enthaltenen Bestimmungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO sowie der Anlagen 1–3 als verbindlich an.
(4)
Die Akzeptanz dieser AGB einschließlich des Auftragsverarbeitungsvertrags erfolgt im Rahmen des Online-Bestellprozesses durch elektronische Zustimmungserklärung (Häkchen). Der Anbieter dokumentiert die Zustimmung mit Zeitstempel, Identifikator des zustimmenden Nutzers und Version der jeweils geltenden Fassung. Die Schriftform ist nicht erforderlich; die elektronische Zustimmung erfüllt das Schriftformerfordernis nach Art. 28 Abs. 9 DSGVO.
§ 4

Tarife, Preise, Zahlungsbedingungen

(1)
Der Anbieter bietet verschiedene Tarife an, die sich in Funktionsumfang, Nutzungslimits und Preis unterscheiden. Die zum Zeitpunkt des Vertragsschlusses geltenden Tarife und Preise ergeben sich aus dem Bestellvorgang bzw. dem individuellen Angebot.
(2)
Sämtliche Preise verstehen sich in Euro zuzüglich der jeweils gesetzlich geltenden Umsatzsteuer.
(3)
Die Abrechnung erfolgt monatlich. Die monatliche Vergütung ist im Voraus zum Beginn eines jeden Abrechnungszeitraums fällig. Der erste Abrechnungszeitraum beginnt mit Aktivierung des Dienstes.
(4)
Der Kunde stellt dem Anbieter ein gültiges Zahlungsmittel (z.B. SEPA-Lastschriftmandat, Kreditkarte) zur Verfügung. Der Anbieter ist berechtigt, das vereinbarte Entgelt automatisiert zum jeweiligen Fälligkeitszeitpunkt einzuziehen. Der Kunde hat sicherzustellen, dass das Zahlungsmittel jederzeit gedeckt und gültig ist.
(5)
Bei nutzungsabhängigen Zusatzleistungen (z.B. Anrufminuten über das im Tarif enthaltene Kontingent hinaus) erfolgt die Abrechnung zum Ende des jeweiligen Abrechnungsmonats nachträglich auf Grundlage der tatsächlichen Nutzung.
(6)
Einwendungen gegen eine Rechnung hat der Kunde innerhalb von 30 Tagen ab Zugang in Textform zu erheben. Die Unterlassung rechtzeitiger Einwendungen gilt als Genehmigung. Der Anbieter wird den Kunden auf diese Folge in der Rechnung gesondert hinweisen.
(7)
Der Anbieter ist berechtigt, die Preise mit Wirkung für zukünftige Abrechnungszeiträume mit einer Ankündigungsfrist von mindestens 60 Tagen in Textform anzupassen. Erhöht der Anbieter die Preise um mehr als 10 % gegenüber dem zuletzt vereinbarten Preis, hat der Kunde das Recht, den Vertrag innerhalb von 30 Tagen nach Zugang der Mitteilung in Textform zum Wirksamwerden der Preiserhöhung außerordentlich zu kündigen.
§ 5

Zahlungsverzug

(1)
Bei Zahlungsverzug ist der Anbieter berechtigt, Verzugszinsen in Höhe von neun Prozentpunkten über dem Basiszinssatz gemäß § 288 Abs. 2 BGB zu berechnen. Die Geltendmachung eines weitergehenden Verzugsschadens bleibt vorbehalten.
(2)
Der Anbieter ist gemäß § 288 Abs. 5 BGB berechtigt, eine Pauschale in Höhe von 40,00 Euro pro Mahnung zu erheben. Diese Pauschale wird auf einen geschuldeten Schadensersatz angerechnet, soweit der Schaden in Kosten der Rechtsverfolgung begründet ist.
(3)
Befindet sich der Kunde mit der Zahlung von zwei aufeinanderfolgenden Monatsentgelten oder mit einem Gesamtbetrag in Höhe von mindestens zwei Monatsentgelten in Verzug, ist der Anbieter berechtigt, den Vertrag aus wichtigem Grund außerordentlich und fristlos zu kündigen.
(4)
Eine Aufrechnung durch den Kunden ist nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen zulässig. Ein Zurückbehaltungsrecht steht dem Kunden nur zu, soweit sein Gegenanspruch auf demselben Vertragsverhältnis beruht.
§ 6

Vertragslaufzeit und Kündigung

(1)
Der Vertrag wird auf unbestimmte Zeit geschlossen. Die Mindestvertragslaufzeit und die Kündigungsfrist richten sich nach dem vom Kunden gewählten Tarif:
  • Monatstarif: Der Vertrag ist mit einer Frist von 14 Tagen zum Ende eines jeden Kalendermonats kündbar.
  • Jahrestarif: Der Vertrag hat eine Mindestvertragslaufzeit von 12 Monaten ab Aktivierung. Während der Mindestlaufzeit ist eine ordentliche Kündigung ausgeschlossen. Nach Ablauf der Mindestlaufzeit verlängert sich der Vertrag jeweils auf unbestimmte Zeit und kann mit einer Frist von 14 Tagen zum Ende eines jeden Kalendermonats gekündigt werden.
(2)
Die Abrechnung erfolgt in beiden Tarifvarianten monatlich im Voraus.
(3)
Das Recht beider Parteien zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für den Anbieter insbesondere vor:
  • bei Zahlungsverzug gemäß § 5 Abs. 3;
  • bei einem schwerwiegenden oder wiederholten Verstoß des Kunden gegen § 7 (Pflichten und Mitwirkungspflichten);
  • wenn der Kunde den Dienst zu rechtswidrigen Zwecken einsetzt oder einsetzen lässt;
  • bei Eröffnung eines Insolvenzverfahrens über das Vermögen des Kunden oder bei Ablehnung mangels Masse.
(4)
Kündigungen bedürfen mindestens der Textform (z.B. per E-Mail an elias.buttler@leadary.ai oder über das Kundenportal). Die Schriftform ist nicht erforderlich, eine mündliche Kündigung jedoch nicht ausreichend.
(5)
Bei einer außerordentlichen Kündigung durch den Anbieter aus einem vom Kunden zu vertretenden Grund bleibt der Anspruch des Anbieters auf das vereinbarte Entgelt für die Restlaufzeit der Mindestvertragslaufzeit unberührt; der Kunde muss sich jedoch ersparte Aufwendungen anrechnen lassen.
§ 7

Pflichten und Mitwirkungspflichten des Kunden

(1)
Der Kunde ist verpflichtet, den Dienst nur im Rahmen der vertraglichen Vereinbarungen und unter Beachtung der gesetzlichen Bestimmungen zu nutzen. Der Kunde ist allein verantwortlich dafür, dass der Einsatz des Dienstes in seinem konkreten Anwendungsbereich rechtlich zulässig ist.
(2)
Der Kunde ist insbesondere verpflichtet:
  • die Bot-Konfiguration sorgfältig zu erstellen, vor dem produktiven Einsatz hinreichend zu testen und regelmäßig zu überprüfen;
  • die vom Bot generierten Anrufzusammenfassungen, ausgeführten Aktionen und Datenübertragungen in regelmäßigen Abständen auf Plausibilität und Richtigkeit zu prüfen;
  • Endkunden bzw. Anrufer in geeigneter Form auf den Einsatz eines KI-Systems hinzuweisen; der Anbieter implementiert hierzu eine Eingangsansage des Bots, die zu Beginn jedes Gesprächs auf die KI-Verarbeitung hinweist (Erfüllung von Art. 50 EU AI Act). Der Kunde stellt sicher, dass dieser Hinweis nicht entfernt oder umgangen wird;
  • eigenverantwortlich zu prüfen und sicherzustellen, dass für die Verarbeitung gesprochener Inhalte der Anrufer eine ausreichende Rechtsgrundlage besteht, insbesondere im Hinblick auf § 201 StGB (Vertraulichkeit des Wortes); der Bot weist die Anrufer zu Beginn auf die KI-gestützte Verarbeitung hin und ermöglicht den Abbruch des Gesprächs vor inhaltlicher Verarbeitung;
  • bei Einbindung der Web-Kommunikation (insbesondere WebRTC) auf Webseiten oder Anwendungen des Kunden eine Einwilligung der Endnutzer im Sinne des § 25 TDDDG einzuholen, soweit eine solche nach den jeweiligen gesetzlichen Vorgaben erforderlich ist;
  • eine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten der Endkunden sicherzustellen und die betroffenen Personen entsprechend Art. 13/14 DSGVO zu informieren;
  • bei sicherheitskritischen, regulierten oder rechtlich verbindlichen Anwendungsbereichen (insbesondere medizinische, rechtliche, finanzielle oder lebenskritische Inhalte) durch geeignete organisatorische Maßnahmen sicherzustellen, dass keine ungeprüfte Übernahme von Bot-Antworten erfolgt und im Bedarfsfall ein menschlicher Bearbeiter eingebunden wird;
  • Zugangsdaten zum Kundenportal sicher aufzubewahren und nicht an unberechtigte Dritte weiterzugeben;
  • alle für die Leistungserbringung erforderlichen Mitwirkungshandlungen rechtzeitig und in geeigneter Form vorzunehmen, insbesondere die Bereitstellung von API-Zugängen, OAuth-Berechtigungen und Konfigurationsdaten.
(3)
Verstößt der Kunde gegen seine Pflichten nach Absatz 2 oder gegen gesetzliche Bestimmungen, ist der Anbieter berechtigt, die Leistung ganz oder teilweise vorübergehend zu sperren, soweit dies zur Wahrung berechtigter Interessen des Anbieters oder Dritter erforderlich ist. Der Vergütungsanspruch des Anbieters bleibt in diesem Fall unberührt.
(4)
Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die sich aus einer rechtswidrigen oder vertragswidrigen Nutzung des Dienstes durch den Kunden oder durch ihm zurechenbare Personen ergeben. Dies umfasst auch die angemessenen Kosten der Rechtsverfolgung und Rechtsverteidigung. Die Freistellungspflicht entfällt, soweit der Anbieter den Verstoß zu vertreten hat.
§ 7a

Verbotene Einsatzbereiche und zulässige Nutzung

(1)
Der Dienst ist ein KI-gestützter Assistent zur Annahme eingehender Kommunikation, zur Vorqualifizierung, zur Sammlung und Weiterleitung von Informationen sowie zur Terminbuchung. Eine vollautomatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung gegenüber den Anrufern (Art. 22 DSGVO) ist nicht Bestandteil des Dienstes und ausdrücklich ausgeschlossen.
(2)
Der Kunde verpflichtet sich, den Dienst nicht für die folgenden Zwecke einzusetzen oder einsetzen zu lassen:
  • Annahme oder Bearbeitung von Notrufen oder zeitkritischen Notfallkommunikationen jeder Art (insbesondere medizinische, sicherheitsrelevante oder lebensbedrohliche Notlagen). Sofern aus dem Anrufverhalten erkennbar ein Notfall vorliegt, wird der Bot grundsätzlich auf die zuständigen Notrufnummern (110, 112) verweisen;
  • eigenständige Erbringung medizinischer, psychotherapeutischer, pharmazeutischer oder vergleichbar lebenskritischer Beratung gegenüber Endkunden;
  • vollautomatisierte Entscheidungen mit Rechtswirkung oder vergleichbar erheblicher Beeinträchtigung gegenüber den Anrufern im Sinne des Art. 22 DSGVO, insbesondere automatisierte Bewerberauswahl, Bonitäts- oder Kreditwürdigkeitsentscheidungen, Versicherungsablehnungen, automatisierte Vertragsabschlüsse mit Rechtsbindung sowie Bewertungen im Bildungs- oder Sozialleistungsbereich;
  • Anwendungen, die nach Anhang III der Verordnung (EU) 2024/1689 (EU AI Act) als Hochrisiko-KI-Systeme einzustufen sind oder verbotene Praktiken im Sinne des Art. 5 EU AI Act darstellen, ohne dass hierzu eine gesonderte schriftliche Vereinbarung mit dem Anbieter besteht;
  • unzulässige Werbeanrufe, Cold-Calling oder andere unaufgeforderte Kommunikation im Sinne des § 7 UWG. Da der Dienst ausschließlich auf Inbound-Kommunikation ausgerichtet ist (vgl. § 2 Abs. 1), ist der Einsatz für Outbound-Werbung technisch und vertraglich ausgeschlossen;
  • Verarbeitung von Anrufen, bei denen der Kunde Kenntnis davon hat, dass es sich überwiegend um Anrufer unter 16 Jahren handelt, ohne entsprechende Einwilligung der Erziehungsberechtigten;
  • jede Nutzung zu rechtswidrigen Zwecken, insbesondere zur Begehung oder Vorbereitung von Straftaten, zur Belästigung oder Bedrohung Dritter, zur Verbreitung rechtswidriger Inhalte sowie zur Umgehung gesetzlicher Vorschriften;
  • Einspeisung sicherheitsrelevanter Konfigurationen oder Anweisungen, die geeignet sind, die Funktionsweise des Bots zu manipulieren, Sicherheitsmechanismen zu umgehen oder ihn zur Erbringung der vorgenannten verbotenen Leistungen zu veranlassen.
(3)
Der Kunde versichert mit Vertragsschluss, den Dienst nicht für die in Absatz 2 genannten Zwecke einzusetzen, und teilt dem Anbieter den vorgesehenen Anwendungsbereich im Rahmen des Bestellprozesses (Tarif- und Anwendungsbereichsauswahl) wahrheitsgemäß mit.
(4)
Bei Verdacht eines Verstoßes gegen Absatz 2 ist der Anbieter berechtigt, den Dienst unverzüglich und ohne vorherige Ankündigung ganz oder teilweise zu sperren. Der Vergütungsanspruch bleibt unberührt. Bei nachgewiesenem Verstoß ist der Anbieter darüber hinaus zur außerordentlichen Kündigung gemäß § 6 Abs. 3 berechtigt.
(5)
Der Kunde stellt den Anbieter von sämtlichen Ansprüchen, Bußgeldern, Strafen und Kosten der Rechtsverfolgung oder Rechtsverteidigung frei, die sich aus einem Verstoß gegen Absatz 2 oder gegen die Pflichten aus § 7 (insbesondere Hinweispflichten gegenüber Anrufern, § 201 StGB, § 25 TDDDG, § 7 UWG, Art. 5/9/22 DSGVO sowie Art. 50 EU AI Act) ergeben. Diese Freistellung umfasst auch behördliche Verfahren (insbesondere durch Datenschutz-Aufsichtsbehörden, die Bundesnetzagentur und Marktüberwachungsbehörden für KI).
§ 8

Verfügbarkeit, Wartung, Beschaffenheit der KI-Leistung

(1)
Der Anbieter stellt den Dienst nach dem aktuellen Stand der Technik mit angemessener Sorgfalt zur Verfügung (Bemühenspflicht). Eine bestimmte Verfügbarkeit wird nicht zugesichert, es sei denn, dies wird in einem gesonderten Service Level Agreement (SLA) ausdrücklich vereinbart.
(2)
Vorübergehende Einschränkungen der Verfügbarkeit, insbesondere durch Wartungsarbeiten, Software-Updates, Sicherheitsmaßnahmen, Störungen bei Vorleistungen Dritter (insbesondere Twilio, Microsoft Azure, Hetzner) oder höhere Gewalt, stellen keinen Mangel des Dienstes dar.
(3)
Der Anbieter wird planbare Wartungsarbeiten nach Möglichkeit außerhalb der üblichen Geschäftszeiten durchführen und den Kunden vorab informieren, sofern dies zumutbar ist.
(4)
Der Dienst beruht auf Künstlicher Intelligenz, insbesondere auf großen Sprachmodellen (LLMs). Der Kunde nimmt zur Kenntnis und akzeptiert, dass:
  • KI-Sprachmodelle systembedingt fehlerhafte, unvollständige, missverständliche oder erfundene („halluzinierte") Antworten erzeugen können;
  • die Genauigkeit, Vollständigkeit und Eignung von KI-generierten Inhalten für einen bestimmten Zweck nicht garantiert werden kann und nicht geschuldet wird;
  • der Anbieter keine inhaltliche Richtigkeit einzelner Bot-Antworten oder Zusammenfassungen schuldet;
  • die Erkennung von Sprache, Akzenten, Hintergrundgeräuschen und Mehrdeutigkeiten technisch begrenzt ist.
(5)
Der Anbieter schuldet die Bereitstellung des Dienstes als Werkzeug, nicht jedoch einen bestimmten inhaltlichen Erfolg einzelner Bot-Interaktionen. Der Kunde verpflichtet sich, dies im Rahmen seiner Geschäftsprozesse zu berücksichtigen.
(6)
Der Dienst ist funktional ausschließlich auf unterstützende Tätigkeiten beschränkt, insbesondere Informationssammlung, Vorqualifizierung, Terminierung, Anrufweiterleitung und Übermittlung textlicher Zusammenfassungen. Der Dienst trifft keine vollautomatisierten Entscheidungen mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung gegenüber den Anrufern im Sinne des Art. 22 DSGVO. Eine Verwendung des Dienstes für solche Entscheidungen (z.B. Bewerberauswahl, Bonitätsentscheidungen, Versicherungs- oder Vertragsabschlüsse mit Rechtsbindung, Bildungsbewertungen) ist ausgeschlossen, soweit nicht durch zusätzliche organisatorische Maßnahmen des Kunden eine angemessene menschliche Überprüfung sichergestellt ist.
(7)
Eine persistente Speicherung oder eigenständige Bereitstellung wörtlicher Anruftranskripte schuldet der Anbieter nicht. Die Verarbeitung der Sprachdaten erfolgt transient; übermittelt werden ausschließlich textliche Zusammenfassungen sowie strukturierte Ergebnisdaten der vom Kunden konfigurierten Aktionen.
§ 9

Auftragsverarbeitung gemäß Art. 28 DSGVO

Die folgenden Bestimmungen bilden den Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen dem Anbieter (Auftragsverarbeiter) und dem Kunden (Verantwortlicher). Bei Widersprüchen zwischen den allgemeinen Bestimmungen dieser AGB und den Bestimmungen dieses § 9 nebst Anlagen 1–3 gehen in datenschutzrechtlichen Fragen die Bestimmungen dieses § 9 vor.

§ 9.1

Gegenstand und Dauer der Auftragsverarbeitung

(1)
Gegenstand der Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Kunden im Rahmen der Bereitstellung der SaaS-Plattform und der damit verbundenen Leistungen, insbesondere:
  • Annahme und Bearbeitung von Telefonanrufen durch KI-Voice-Bots,
  • interaktive Web-Kommunikation (z.B. WebRTC-basierte Sprach- oder Textkommunikation),
  • Erstellung von Anrufzusammenfassungen und Weiterleitung an vom Kunden benannte Empfänger oder Systeme,
  • Ausführung beauftragter Aktionen wie Terminbuchung, Ticket-Erstellung, Erstellung von Nachrichten/Notizen, Vorqualifizierung (Screenings), Anrufweiterleitung,
  • Verwaltung der Bot-Konfiguration durch den Kunden über die SaaS-Plattform.
(2)
Die genauen Verarbeitungstätigkeiten, Datenkategorien und Betroffenenkreise sind in Anlage 1 zu diesen AGB im Detail beschrieben.
(3)
Die Auftragsverarbeitung tritt mit Wirksamwerden des Vertrages in Kraft und endet mit dessen Beendigung. Die Pflichten zur Löschung bzw. Rückgabe der personenbezogenen Daten gemäß § 9.10 überdauern die Vertragsbeendigung bis zu ihrer vollständigen Erfüllung.
§ 9.2

Verantwortlichkeit und Weisungsrecht

(1)
Der Kunde ist datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die personenbezogenen Daten, die im Rahmen dieses Vertrags verarbeitet werden. Soweit der Kunde selbst Auftragsverarbeiter eines Dritten ist, agiert der Anbieter als Sub-Auftragsverarbeiter.
(2)
Der Anbieter ist Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Er verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, soweit er nicht durch das Recht der Europäischen Union oder eines Mitgliedstaats zu einer abweichenden Verarbeitung verpflichtet ist.
(3)
Die Weisungen des Kunden werden zunächst durch diesen Vertrag und die übrigen Bestandteile der AGB festgelegt. Darüber hinausgehende Einzelweisungen erteilt der Kunde in Textform (z.B. per E-Mail) an den Anbieter (elias.buttler@leadary.ai). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(4)
Hält der Anbieter eine Weisung des Kunden für rechtswidrig, wird er dies dem Kunden unverzüglich anzeigen. Der Anbieter ist berechtigt, die Ausführung einer entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Kunden auszusetzen.
(5)
Der Kunde ist allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen. Er stellt insbesondere sicher, dass für die Verarbeitung der personenbezogenen Daten durch den Anbieter eine ausreichende Rechtsgrundlage besteht.
§ 9.3

Pflichten des Anbieters

Der Anbieter verpflichtet sich, die Verarbeitung personenbezogener Daten in Übereinstimmung mit den Bestimmungen der DSGVO und dieses Vertrags durchzuführen. Insbesondere wird er:

  • die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den dokumentierten Weisungen des Kunden verarbeiten;
  • die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten implementieren und aufrechterhalten;
  • alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit verpflichten und über die für sie relevanten datenschutzrechtlichen Bestimmungen unterrichten;
  • den Kunden unverzüglich informieren, wenn ihm Verstöße gegen Datenschutzbestimmungen oder gegen die im Vertrag getroffenen Festlegungen bekannt werden;
  • den Kunden bei der Wahrung der Rechte der betroffenen Personen sowie bei der Erfüllung der Pflichten aus Art. 32 bis 36 DSGVO unterstützen, soweit dies erforderlich ist und unter Berücksichtigung der Art der Verarbeitung sowie der ihm zur Verfügung stehenden Informationen;
  • dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellen.
§ 9.4

Keine Nutzung für eigene Zwecke und KI-Training

Der Anbieter verarbeitet die personenbezogenen Daten des Kunden ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen. Eine Nutzung der Daten für eigene Zwecke des Anbieters ist ausgeschlossen. Insbesondere gilt:

(1)
Die personenbezogenen Daten werden nicht zum Trainieren, Verbessern, Feinabstimmen (Fine-Tuning) oder zur Weiterentwicklung von KI-Modellen, Sprachmodellen oder Algorithmen verwendet, weder durch den Anbieter selbst noch durch eingesetzte Sub-Auftragsverarbeiter.
(2)
Der Anbieter stellt durch entsprechende vertragliche Vereinbarungen sicher, dass die eingesetzten KI-Sub-Auftragsverarbeiter (insbesondere Microsoft Azure OpenAI Service) die Daten nicht für Trainingszwecke nutzen. Die Konfiguration des Microsoft Azure OpenAI Service durch den Anbieter schließt eine Nutzung von Kundendaten für das Training oder die Verbesserung von Microsoft- oder OpenAI-Modellen aus.
(3)
Es werden keine Stimmprofile, Voice Embeddings oder vergleichbare biometrische Merkmale erstellt oder gespeichert. Eine biometrische Identifikation findet nicht statt.
(4)
Eine vollautomatisierte Entscheidung mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung gegenüber den Anrufern oder sonstigen betroffenen Personen im Sinne des Art. 22 DSGVO findet durch den Dienst nicht statt. Der Dienst ist funktional auf unterstützende Tätigkeiten beschränkt (insbesondere Informationssammlung, Vorqualifizierung, Terminbuchung, Anrufweiterleitung sowie Übermittlung textlicher Zusammenfassungen). Etwaige nachgelagerte Entscheidungen liegen in der ausschließlichen Verantwortung des Kunden und unterliegen menschlicher Überprüfung.
(5)
Eine persistente Speicherung wörtlicher Anruftranskripte als eigenständige Datei findet nicht statt. Die für die Erstellung der Zusammenfassung erforderliche Speech-to-Text-Verarbeitung erfolgt ausschließlich transient im Arbeitsspeicher der Verarbeitungssysteme. Persistent übermittelt und – im Verantwortungsbereich des Kunden – gespeichert werden ausschließlich die textliche Zusammenfassung sowie die strukturierten Ergebnisdaten der vom Kunden konfigurierten Aktionen.
§ 9.5

Technische und organisatorische Maßnahmen

(1)
Der Anbieter trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur angemessenen Absicherung der personenbezogenen Daten des Kunden. Diese sind in Anlage 2 zu diesen AGB dokumentiert.
(2)
Der Anbieter ist berechtigt, die getroffenen Maßnahmen weiterzuentwickeln und an den Stand der Technik anzupassen, sofern das Schutzniveau der vereinbarten Maßnahmen dadurch nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert und auf Anfrage dem Kunden zur Verfügung gestellt.
§ 9.6

Unterauftragsverarbeiter

(1)
Der Kunde erteilt dem Anbieter hiermit die allgemeine schriftliche Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO zur Beauftragung von Unterauftragsverarbeitern (auch „Sub-Auftragsverarbeiter"). Die zum Zeitpunkt des Vertragsschlusses bestehenden Unterauftragsverarbeiter sind in Anlage 3 zu diesen AGB aufgelistet und gelten als genehmigt.
(2)
Der Anbieter wird Unterauftragsverarbeitern keine personenbezogenen Daten zur Verarbeitung übergeben, ohne mit ihnen einen Vertrag abgeschlossen zu haben, der den Anforderungen des Art. 28 Abs. 4 DSGVO entspricht und insbesondere die Auferlegung gleichwertiger Datenschutzpflichten beinhaltet.
(3)
Bei Unterauftragsverarbeitern mit Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR) stellt der Anbieter sicher, dass ein angemessenes Datenschutzniveau im Sinne der Art. 44 ff. DSGVO besteht. Hierzu werden insbesondere die Standardvertragsklauseln der Europäischen Kommission (Beschluss (EU) 2021/914) eingesetzt, sofern keine anderweitige Schutzgrundlage (z.B. Angemessenheitsbeschluss, EU-US Data Privacy Framework) greift. Details hierzu sind in Anlage 3 dokumentiert.
(4)
Der Anbieter informiert den Kunden über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern in Textform mit einer Vorlauffrist von mindestens 30 Tagen vor Wirksamwerden der Änderung.
(5)
Der Kunde kann einer solchen Änderung innerhalb von 14 Tagen nach Zugang der Mitteilung aus wichtigem datenschutzrechtlichem Grund in Textform widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt. Ein Widerspruch ist insbesondere nicht allein dadurch begründet, dass der neue Unterauftragsverarbeiter seinen Sitz in einem Drittland hat, sofern ein anerkanntes Schutzniveau (Angemessenheitsbeschluss, Standardvertragsklauseln, EU-US DPF o.ä.) sichergestellt ist.
(6)
Im Falle eines berechtigten Widerspruchs suchen die Parteien innerhalb von 14 Tagen eine einvernehmliche Lösung, insbesondere die Bereitstellung des Dienstes ohne den betroffenen Unterauftragsverarbeiter, soweit technisch möglich und wirtschaftlich zumutbar. Kommt keine Einigung zustande, ist der Kunde berechtigt, den Vertrag in Bezug auf den betroffenen Leistungsteil mit einer Frist von 30 Tagen zum Ende des darauffolgenden Kalendermonats außerordentlich zu kündigen. Bereits gezahlte Entgelte für den laufenden Abrechnungszeitraum werden nicht erstattet.
(7)
Reine Telekommunikations- und Postdienstleistungen, Wartungs- und Reinigungsdienste sowie sonstige Nebenleistungen ohne Bezug zu personenbezogenen Daten gelten nicht als Unterauftragsverarbeitung im Sinne dieses Vertrags.
§ 9.7

Übermittlung in Drittländer

(1)
Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU bzw. des EWR (Drittländer) findet nur statt, soweit die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Die aktuell bestehenden Drittlandtransfers und die jeweils greifenden Schutzmechanismen sind in Anlage 3 dokumentiert.
(2)
Sollte ein Schutzmechanismus (z.B. ein Angemessenheitsbeschluss oder das EU-US Data Privacy Framework) während der Vertragslaufzeit entfallen oder seine Wirksamkeit verlieren, werden die Parteien unverzüglich gemeinsam prüfen, ob und welche zusätzlichen Maßnahmen erforderlich sind, um die Rechtmäßigkeit der Übermittlung weiterhin zu gewährleisten.
§ 9.8

Unterstützung bei Betroffenenrechten

(1)
Der Anbieter unterstützt den Kunden im Rahmen seiner Möglichkeiten bei der Erfüllung von Anfragen und Ansprüchen betroffener Personen gemäß Kapitel III der DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
(2)
Wendet sich eine betroffene Person mit einem solchen Anliegen unmittelbar an den Anbieter, leitet dieser die Anfrage unverzüglich an den Kunden weiter und antwortet der betroffenen Person nur nach vorheriger Abstimmung mit dem Kunden, sofern keine gesetzliche Pflicht zur Direktantwort besteht.
§ 9.9

Meldung von Datenschutzverletzungen

(1)
Der Anbieter meldet dem Kunden alle Verletzungen des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO, die er im Rahmen der Auftragsverarbeitung feststellt, unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme. Die Meldung erfolgt in Textform an die im Hauptvertrag oder in der SaaS-Plattform hinterlegte Kontaktadresse des Kunden.
(2)
Die Meldung enthält, soweit dem Anbieter bekannt, mindestens:
  • eine Beschreibung der Art der Verletzung,
  • Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze,
  • wahrscheinliche Folgen der Verletzung,
  • ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Eindämmung.
(3)
Die Meldung des Anbieters stellt kein Anerkenntnis eines Verschuldens dar.
§ 9.10

Nachweise und Kontrollrechte

(1)
Der Anbieter weist die Einhaltung seiner Pflichten aus diesem Vertrag dem Kunden primär durch geeignete Dokumentation nach, insbesondere durch:
  • aktuelle Beschreibungen der technischen und organisatorischen Maßnahmen (siehe Anlage 2),
  • Zertifizierungen, Testate oder Berichte unabhängiger Prüfstellen (z.B. ISO 27001-Zertifizierungen der eingesetzten Sub-Auftragsverarbeiter, soweit verfügbar),
  • schriftliche Auskünfte zu spezifischen Datenschutzfragen.
(2)
Sind diese Nachweise im Einzelfall nachweislich nicht ausreichend, kann der Kunde eine vor-Ort-Kontrolle verlangen. Solche Kontrollen sind mindestens 30 Tage vorher in Textform anzukündigen, während der üblichen Geschäftszeiten durchzuführen, auf maximal einen Werktag zu beschränken und so auszugestalten, dass der Geschäftsbetrieb des Anbieters möglichst wenig beeinträchtigt wird.
(3)
Anlasslose Routinekontrollen sind auf höchstens eine pro Kalenderjahr begrenzt. Die Kosten der Kontrolle einschließlich des internen Personalaufwands des Anbieters (abgerechnet auf Basis seines üblichen Tagessatzes) trägt der Kunde.
(4)
Anlassbezogene Kontrollen (z.B. nach einer bestätigten Datenschutzverletzung mit erheblicher Auswirkung auf die Daten des Kunden) sind ohne Beschränkung der Häufigkeit zulässig. Wird dabei ein vom Anbieter zu vertretender wesentlicher Verstoß festgestellt, trägt der Anbieter die angemessenen Kosten der Kontrolle. Andernfalls trägt der Kunde die Kosten gemäß Absatz 3 Satz 2.
(5)
Der Anbieter kann beauftragten Dritten mit Wettbewerbsbezug die Kontrolle untersagen. Befugnisse von Aufsichtsbehörden bleiben unberührt.
§ 9.11

Löschung und Rückgabe personenbezogener Daten

(1)
Mit Beendigung des Vertrags löscht der Anbieter alle in seinem Besitz befindlichen personenbezogenen Daten des Kunden innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht oder der Kunde zuvor eine Rückgabe angefordert hat.
(2)
Auf besondere Anfrage des Kunden, die jederzeit während der Vertragslaufzeit gestellt werden kann, löscht oder gibt der Anbieter personenbezogene Daten unverzüglich zurück, sofern der Verarbeitung keine technischen oder gesetzlichen Hindernisse entgegenstehen.
(3)
Backups, die personenbezogene Daten enthalten, werden im Rahmen der ohnehin bestehenden technischen Aufbewahrungs- und Löschzyklen entfernt, spätestens jedoch innerhalb von 90 Tagen nach Vertragsende. Technische Logfiles werden maximal 30 Tage aufbewahrt.
(4)
Eine Bestätigung der Löschung erfolgt auf Anfrage in Textform.
§ 9.12

Haftung im Rahmen der Auftragsverarbeitung

(1)
Im Außenverhältnis zu betroffenen Personen haften die Parteien nach Maßgabe des Art. 82 DSGVO.
(2)
Im Innenverhältnis haftet jede Partei der anderen nur für Schäden, die sie selbst zu vertreten hat. Der Regress nach Art. 82 Abs. 5 DSGVO bleibt unberührt.
(3)
Im Übrigen gelten die Haftungsbeschränkungen des § 13 dieser AGB entsprechend, soweit dies gesetzlich zulässig ist. Sie gelten nicht für Ansprüche betroffener Personen aus Art. 82 DSGVO und nicht für vorsätzliche oder grob fahrlässige Pflichtverletzungen.
§ 9.13

Bereitstellung als separates Dokument

Auf Anfrage des Kunden stellt der Anbieter den vollständigen Inhalt dieses § 9 nebst Anlagen 1–3 als separates, eigenständig nutzbares PDF-Dokument („AVV-Auszug") zur Verfügung. Der AVV-Auszug ist inhaltlich identisch mit dieser Vertragsbestimmung; im Falle inhaltlicher Abweichungen gehen die Bestimmungen dieser AGB einschließlich der hier bezeichneten Anlagen vor.

§ 10

Geheimhaltung

(1)
Die Parteien verpflichten sich, alle ihnen im Rahmen der Vertragsdurchführung bekannt gewordenen vertraulichen Informationen der anderen Partei vertraulich zu behandeln, nicht unbefugt offenzulegen und nur zu vertraglichen Zwecken zu verwenden.
(2)
Vertrauliche Informationen sind alle Informationen technischer, wirtschaftlicher oder organisatorischer Art, die als vertraulich gekennzeichnet sind oder deren Vertraulichkeit sich aus den Umständen ergibt, einschließlich Geschäftsgeheimnissen im Sinne des Geschäftsgeheimnisgesetzes (GeschGehG).
(3)
Die Geheimhaltungspflicht gilt nicht für Informationen, die (a) bereits öffentlich bekannt sind oder ohne Verletzung dieser Pflicht öffentlich bekannt werden, (b) der empfangenden Partei nachweislich bereits bekannt waren, (c) ihr von einem Dritten ohne Verletzung einer Geheimhaltungspflicht zugänglich gemacht wurden oder (d) deren Offenlegung gesetzlich oder behördlich angeordnet ist.
(4)
Die Geheimhaltungspflicht überdauert die Beendigung des Vertrags um drei Jahre.
§ 11

Nutzungsrechte und Referenznennung

(1)
Der Anbieter räumt dem Kunden für die Dauer des Vertrags ein nicht ausschließliches, nicht übertragbares und nicht unterlizenzierbares Recht zur vertragsgemäßen Nutzung des Dienstes ein.
(2)
Der Kunde behält sämtliche Rechte an den von ihm in den Dienst eingebrachten Inhalten und Konfigurationsdaten („Kundeninhalte"). Er räumt dem Anbieter das einfache, zeitlich auf die Vertragsdauer begrenzte Recht ein, die Kundeninhalte ausschließlich zur Erbringung der vertraglichen Leistung zu nutzen, zu vervielfältigen und an die eingesetzten Sub-Auftragsverarbeiter weiterzugeben.
(3)
Eine Nutzung der Kundeninhalte oder der über den Dienst verarbeiteten personenbezogenen Daten zum Trainieren, Verbessern oder Feinabstimmen von KI-Modellen oder Sprachmodellen ist ausgeschlossen. Insoweit gilt § 9.4.
(4)
Der Anbieter ist berechtigt, den Kunden mit Namen und Logo in einer Referenzliste auf seiner Website und in Marketingmaterialien zu nennen, soweit der Kunde dem nicht in Textform widerspricht.
§ 12

Mängelhaftung

(1)
Der Anbieter gewährleistet, dass der Dienst während der Vertragslaufzeit im Wesentlichen den vertraglich vereinbarten Leistungsbeschreibungen entspricht. Eine darüber hinausgehende Beschaffenheit, insbesondere die inhaltliche Richtigkeit von KI-Antworten (vgl. § 8 Abs. 4 und 5), wird nicht geschuldet.
(2)
Treten Mängel auf, wird der Anbieter diese in angemessener Zeit beseitigen. Schlägt die Mangelbeseitigung endgültig fehl, kann der Kunde die Vergütung für den Zeitraum, in dem der Dienst nicht oder nur eingeschränkt nutzbar war, angemessen mindern. Ein Rücktrittsrecht bei nicht erheblichen Mängeln ist ausgeschlossen.
(3)
Eine verschuldensunabhängige Haftung des Anbieters für anfängliche Mängel des Dienstes gemäß § 536a Abs. 1 BGB ist ausgeschlossen.
(4)
Die Verjährungsfrist für Mängelansprüche beträgt zwölf Monate ab Bereitstellung der mangelhaften Leistung. Dies gilt nicht für Schadensersatzansprüche aus Vorsatz oder grober Fahrlässigkeit, bei Verletzung von Leben, Körper oder Gesundheit sowie für Ansprüche nach dem Produkthaftungsgesetz; insoweit gelten die gesetzlichen Verjährungsfristen.
§ 13

Haftung

(1)
Der Anbieter haftet uneingeschränkt:
  • für Vorsatz und grobe Fahrlässigkeit;
  • für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer fahrlässigen Pflichtverletzung des Anbieters oder einer vorsätzlichen oder fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen beruhen;
  • nach den Bestimmungen des Produkthaftungsgesetzes;
  • im Umfang einer vom Anbieter übernommenen Garantie.
(2)
Bei einer leicht fahrlässigen Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht) ist die Haftung des Anbieters auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertraut und vertrauen darf.
(3)
Der vertragstypische, vorhersehbare Schaden gemäß Absatz 2 ist – soweit gesetzlich zulässig – pro Schadensereignis auf den niedrigeren der folgenden Beträge begrenzt: (a) das Dreifache der monatlichen Nettovergütung, die der Kunde in den letzten drei Monaten vor dem schadensauslösenden Ereignis an den Anbieter gezahlt hat (bzw. die hochgerechnete entsprechende Vergütung, sofern das Vertragsverhältnis zum Zeitpunkt des Ereignisses noch keine drei Monate bestanden hat), oder (b) 5.000,00 EUR. Die Gesamthaftung des Anbieters je Vertragsjahr ist – soweit gesetzlich zulässig – auf den niedrigeren der folgenden Beträge begrenzt: (a) das Sechsfache der monatlichen Nettovergütung des betreffenden Vertragsjahres oder (b) 10.000,00 EUR.
(4)
Im Übrigen ist die Haftung des Anbieters – gleich aus welchem Rechtsgrund – ausgeschlossen. Dies gilt insbesondere für mittelbare Schäden, Folgeschäden, entgangenen Gewinn, Reputationsschäden, Datenverlust (soweit nicht auf einer Verletzung wesentlicher Sicherungspflichten beruhend), Schäden aus inhaltlich fehlerhaften, unvollständigen oder halluzinierten KI-Antworten (soweit der Anbieter den Stand der Technik bei Auswahl und Konfiguration des KI-Modells eingehalten hat), Bußgelder oder Sanktionen, die gegen den Kunden durch Aufsichtsbehörden (insbesondere Datenschutz-Aufsichtsbehörden, Bundesnetzagentur, Marktüberwachungsbehörden für KI) verhängt werden, sowie Schäden, die durch eine vom Kunden zu vertretende Verletzung der §§ 7 und 7a (insbesondere fehlende Hinweispflichten gegenüber Anrufern, fehlende Einwilligungen, Einsatz für verbotene Bereiche) verursacht oder mitverursacht wurden.
(5)
Soweit die Haftung des Anbieters ausgeschlossen oder beschränkt ist, gilt dies auch für die persönliche Haftung seiner gesetzlichen Vertreter, Mitarbeiter, Erfüllungsgehilfen und Subunternehmer.
(6)
Im Verhältnis zu betroffenen Personen einer Datenschutzverletzung haftet der Anbieter nach Maßgabe des Art. 82 DSGVO; die vorstehenden Haftungsbeschränkungen gelten insoweit nicht. Im Innenverhältnis zwischen Anbieter und Kunde bleibt es bei den Regelungen dieses § 13 sowie des § 9.12.
(7)
Der Kunde ist verpflichtet, angemessene Maßnahmen zur Schadensvermeidung und Schadensminderung zu treffen, insbesondere für regelmäßige Datensicherungen seiner eigenen Systeme und für eine plausibilitätsgeprüfte Nutzung der vom Bot gelieferten Ergebnisse zu sorgen.
§ 14

Höhere Gewalt

(1)
Wird eine Partei durch höhere Gewalt an der Erfüllung ihrer Vertragspflichten gehindert, ruhen die jeweiligen Verpflichtungen für die Dauer und im Umfang der Behinderung. Höhere Gewalt umfasst alle unvorhersehbaren, von keiner Partei zu vertretenden Ereignisse, einschließlich Naturkatastrophen, Krieg, Terror, Pandemien, behördlicher Anordnungen, großflächiger Internet- oder Stromausfälle und schwerwiegender Cyberangriffe auf kritische Infrastruktur, Vorleister oder Sub-Auftragsverarbeiter.
(2)
Die betroffene Partei wird die andere Partei unverzüglich über den Eintritt und das voraussichtliche Ende der höheren Gewalt informieren.
(3)
Dauert die höhere Gewalt länger als 30 zusammenhängende Tage an, sind beide Parteien berechtigt, den Vertrag mit einer Frist von 14 Tagen außerordentlich zu kündigen.
§ 15

Änderungen der AGB

(1)
Der Anbieter ist berechtigt, diese AGB einschließlich der in § 9 enthaltenen Bestimmungen zur Auftragsverarbeitung sowie der Tarif- und Leistungsbeschreibungen mit Wirkung für die Zukunft zu ändern, soweit dies aufgrund (a) einer Änderung der Rechtslage, höchstrichterlicher Rechtsprechung oder behördlicher Vorgaben, (b) technischer Weiterentwicklungen des Dienstes oder (c) wirtschaftlich notwendiger Anpassungen erforderlich ist und die Änderung den Kunden nicht unbillig benachteiligt.
(2)
Geplante Änderungen werden dem Kunden mit einer Vorlauffrist von mindestens 60 Tagen vor Wirksamwerden in Textform mitgeteilt. Widerspricht der Kunde den Änderungen nicht innerhalb von 30 Tagen nach Zugang der Mitteilung in Textform, gelten die Änderungen als genehmigt. Auf diese Folge wird der Anbieter in der Mitteilung gesondert hinweisen.
(3)
Im Falle eines fristgerechten Widerspruchs ist der Anbieter berechtigt, den Vertrag zum Wirksamwerden der geplanten Änderung in Textform ordentlich zu kündigen.
§ 16

Schlussbestimmungen

(1)
Erfüllungsort für sämtliche Leistungen aus diesem Vertrag ist Meerbusch.
(2)
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) und der Verweisungsnormen des Internationalen Privatrechts.
(3)
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist, soweit der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist, der Sitz des Anbieters (Meerbusch). Der Anbieter ist jedoch berechtigt, den Kunden auch an dessen allgemeinem Gerichtsstand zu verklagen.
(4)
Eine Übertragung von Rechten und Pflichten aus diesem Vertrag durch den Kunden auf Dritte – mit Ausnahme der Übertragung im Rahmen einer Gesamtrechtsnachfolge – bedarf der vorherigen Zustimmung des Anbieters in Textform. Der Anbieter ist berechtigt, seine Rechte und Pflichten ganz oder teilweise auf einen Dritten zu übertragen, sofern hierdurch die Leistungserbringung nicht beeinträchtigt wird.
(5)
Änderungen und Ergänzungen dieses Vertrags bedürfen mindestens der Textform. Dies gilt auch für die Aufhebung dieser Klausel.
(6)
Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird hierdurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt diejenige wirksame und durchführbare Regelung, deren wirtschaftliche Wirkung der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt. Entsprechendes gilt für etwaige Regelungslücken.

Anlage 1

Beschreibung der Verarbeitung

Anlage zu § 9 dieser AGB

1.

Gegenstand und Zweck der Verarbeitung

Der Anbieter verarbeitet personenbezogene Daten zum Zweck der Bereitstellung der vertraglich vereinbarten Leistungen, insbesondere:

  • Annahme und Bearbeitung eingehender Anrufe durch einen KI-gestützten Voice-Bot,
  • Bearbeitung interaktiver Web-Kommunikationsanfragen (z.B. via WebRTC),
  • Erstellung einer Zusammenfassung des Gesprächsinhalts in Textform,
  • Weiterleitung der Zusammenfassung an den Kunden bzw. von diesem benannte Empfänger über die vom Kunden konfigurierten Kanäle (E-Mail, SMS, CRM-System, ATS-System o.ä.),
  • Ausführung der vom Kunden konfigurierten Aktionen, insbesondere: Terminbuchung in Kalendern des Kunden (per API/OAuth-Integration), Anrufweiterleitung, Ticket-Erstellung, Erstellung von Notizen/Nachrichten, Vor-Qualifizierung (Screening), Beantwortung häufiger Fragen,
  • Bereitstellung der SaaS-Plattform zur Konfiguration des Bots durch den Kunden.
2.

Art der Verarbeitung

Die Verarbeitung umfasst insbesondere folgende Tätigkeiten:

  • Erheben der Daten im Rahmen eingehender Anrufe oder Web-Kommunikation,
  • transientes Verarbeiten der Sprach-/Textdaten in Echtzeit (kein persistentes Speichern von Audiodateien),
  • Spracherkennung (Speech-to-Text), Sprachsynthese (Text-to-Speech) und Sprachverarbeitung durch ein Großes Sprachmodell (LLM),
  • Erstellen einer textlichen Zusammenfassung,
  • Übermitteln der Zusammenfassung an die vom Kunden benannten Empfänger/Systeme,
  • Schreiben von Daten in Drittsysteme des Kunden (z.B. Kalender, CRM, Ticket-System) auf Grundlage der vom Kunden bereitgestellten API-Zugänge bzw. OAuth-Berechtigungen,
  • Speicherung der vom Kunden selbst eingegebenen Bot-Konfigurationsdaten innerhalb der SaaS-Plattform.
3.

Kategorien betroffener Personen und personenbezogener Daten

Kategorie betroffener Personen Kategorien personenbezogener Daten Verarbeitungszweck
Anrufer / Endkunden des Kunden (natürliche Personen, die den Voice-Bot anrufen oder per Web-Kommunikation kontaktieren) Telefonnummer (sofern übermittelt), gesprochene Inhalte (transient verarbeitet, nicht gespeichert), aus dem Gespräch abgeleitete Informationen (z.B. Name, Anliegen, Terminwunsch, ggf. Kontaktdaten zur Rückmeldung) Annahme und Verarbeitung des Anrufs/der Web-Anfrage durch den KI-Assistenten; Erstellung einer Zusammenfassung; Weiterleitung an den Kunden; Ausführung beauftragter Aktionen (Terminbuchung, Ticket-Erstellung, Weiterleitung etc.)
Mitarbeiter und Ansprechpartner des Kunden Name, Funktion, E-Mail, Telefonnummer, Kalenderdaten (im Rahmen der Bot-Konfiguration und Weiterleitungslogik) Konfiguration des Bots (Weiterleitungsregeln, Eskalationsempfänger, Kalenderintegration, Ticket-System-Anbindung)
Kunde selbst (sofern natürliche Person, z.B. Einzelunternehmer) Vertragsdaten, Kommunikationsdaten, Login-Daten zur SaaS-Plattform, Abrechnungsdaten Vertragsabwicklung, Bereitstellung des SaaS-Zugangs, Support, Abrechnung
4.

Speicherdauer

  • Anrufaudiodaten: Werden nicht gespeichert. Die Verarbeitung erfolgt ausschließlich transient (in Echtzeit) im Arbeitsspeicher der Verarbeitungssysteme.
  • Anruftranskripte: Werden nicht persistent als eigenständige Datei gespeichert. Sie existieren nur kurzzeitig im Verarbeitungsprozess zur Erstellung der Zusammenfassung.
  • Anrufzusammenfassungen: Werden vom Anbieter nicht dauerhaft gespeichert. Sie werden nach Erstellung an den Kunden bzw. die von ihm benannten Empfänger/Systeme übermittelt und liegen anschließend ausschließlich in der Verantwortung des Kunden (z.B. in dessen Mailpostfach, CRM oder ATS).
  • Bot-Konfigurationsdaten des Kunden: Werden während der Vertragslaufzeit gespeichert und nach Vertragsende innerhalb von 30 Tagen gelöscht.
  • Vertrags- und Abrechnungsdaten des Kunden: Werden gemäß den gesetzlichen Aufbewahrungsfristen (insbesondere § 257 HGB, § 147 AO – bis zu 10 Jahre) aufbewahrt.
  • Technische Logfiles: Werden für maximal 30 Tage aufbewahrt und enthalten keine vollständigen Anrufinhalte. Sie dienen der Sicherheit und Fehleranalyse.
5.

Ort der Verarbeitung

Die Verarbeitung findet vorrangig in der Europäischen Union statt:

  • Hauptverarbeitung: Server in Nürnberg, Deutschland (Hetzner Online GmbH).
  • Sprachverarbeitung: Microsoft Azure OpenAI, mit aktivierter EU Data Boundary (Verarbeitung in EU-Rechenzentren).
  • Telefonie-Infrastruktur: Twilio (USA), mit Schutz durch EU-Standardvertragsklauseln und EU-US Data Privacy Framework.
  • Weitere Sub-Auftragsverarbeiter: siehe Anlage 3.

Anlage 2

Technische und organisatorische Maßnahmen (TOM)

Anlage zu § 9 dieser AGB

Der Anbieter trifft die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen werden regelmäßig auf Wirksamkeit überprüft und an den Stand der Technik angepasst.

1.

Vertraulichkeit

1.1
Zutrittskontrolle (physisch) Server werden ausschließlich im Rechenzentrum der Hetzner Online GmbH in Nürnberg, Deutschland, betrieben. Hetzner setzt Maßnahmen wie elektronische Zutrittskontrolle, Videoüberwachung, Hochsicherheitszäune und 24/7-Zugangsprotokollierung ein. Hetzner ist nach ISO 27001 zertifiziert. Die Geschäftsräume des Anbieters sind durch übliche Maßnahmen (Schließsysteme, abschließbare Bereiche) vor unbefugtem physischem Zutritt geschützt.
1.2
Zugangskontrolle (logisch) Zugang zu Systemen, in denen personenbezogene Daten verarbeitet werden, ist auf einen kleinen Kreis berechtigter Personen beschränkt. Authentifizierung erfolgt über individuelle Benutzerkonten mit starken Passwörtern (mindestens 12 Zeichen, Komplexitätsanforderungen) sowie Zwei-Faktor-Authentifizierung (2FA), wo verfügbar. Geteilte Zugangsdaten werden vermieden. Inaktive Sitzungen werden nach angemessener Zeit automatisch beendet.
1.3
Zugriffskontrolle Berechtigungen werden nach dem Need-to-know-Prinzip vergeben. Zugriffsrechte werden bei personellen Veränderungen unverzüglich angepasst oder entzogen. Administrative Zugriffe sind protokolliert. Daten unterschiedlicher Kunden werden logisch voneinander getrennt verarbeitet (Mandantentrennung).
1.4
Trennungskontrolle Daten verschiedener Kunden werden durch logische Trennung (separate Datenbanken/Tabellen, eindeutige Kennungen, getrennte Workflows in n8n) voneinander isoliert. Test-, Entwicklungs- und Produktionssysteme sind getrennt.
1.5
Pseudonymisierung Wo möglich und sinnvoll, werden personenbezogene Daten pseudonymisiert. Anrufinhalte werden grundsätzlich nicht persistent gespeichert (siehe Punkt 5). Bei Logfiles werden personenbezogene Bestandteile, soweit nicht zu Sicherheitszwecken erforderlich, gekürzt.
2.

Integrität

2.1
Weitergabekontrolle Übertragung personenbezogener Daten erfolgt ausschließlich verschlüsselt: Audio-Streams über TLS/SRTP (Twilio), API-Verbindungen zu Azure, Hetzner und allen weiteren Sub-Auftragsverarbeitern über TLS 1.2 oder höher. E-Mail-Versand erfolgt über TLS-verschlüsselte Verbindungen, soweit der Empfangsserver dies unterstützt.
2.2
Eingabekontrolle Veränderungen an Konfigurationen und Systemen werden in Versionskontrollsystemen oder durch Audit-Logs dokumentiert. Wer wann welche Konfigurationsänderung vorgenommen hat, kann nachvollzogen werden.
3.

Verfügbarkeit und Belastbarkeit

3.1
Verfügbarkeitskontrolle Hetzner garantiert 99,9% Netzwerkverfügbarkeit, redundante Stromversorgung (USV + Notstrom), redundante Kühlung und Brandschutz. Regelmäßige automatisierte Backups werden durchgeführt; Backups werden verschlüsselt und logisch getrennt vom Produktivsystem aufbewahrt. Wiederherstellungstests werden in angemessenen Abständen durchgeführt.
3.2
Schutz vor Angriffen DDoS-Schutz auf Netzwerkebene durch Hetzner. Firewall-Regeln beschränken Zugriffe auf das notwendige Minimum. Sicherheitsupdates für Betriebssysteme und eingesetzte Software werden zeitnah eingespielt. Monitoring auf ungewöhnliche Aktivitäten.
4.

Verfahren zur regelmäßigen Überprüfung

4.1
Datenschutz-Management Der Anbieter überprüft die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig, mindestens jedoch jährlich, sowie anlassbezogen bei wesentlichen Änderungen der Verarbeitungsprozesse oder bei Sicherheitsvorfällen.
4.2
Auftragskontrolle Sub-Auftragsverarbeiter werden vor Beauftragung sorgfältig ausgewählt und vertraglich verpflichtet, ein angemessenes Datenschutzniveau zu gewährleisten. Mit allen Sub-Auftragsverarbeitern bestehen schriftliche AVV bzw. DPAs (siehe Anlage 3).
4.3
Vorfallsmanagement Es existiert ein internes Verfahren zur Behandlung von Datenschutzverletzungen einschließlich der Pflicht zur unverzüglichen Information des Kunden (innerhalb von 24 Stunden ab Kenntnis), Dokumentation und Behebung. Mitarbeiter sind angewiesen, Verdachtsfälle unverzüglich zu melden.
4.4
Datenschutzfreundliche Voreinstellungen (Privacy by Design/Default) Bei der Gestaltung des Dienstes wird auf Datensparsamkeit geachtet. Anrufinhalte werden nicht persistent gespeichert (transient processing). Verarbeitete Daten werden nur so lange aufbewahrt, wie zur Erbringung der Leistung erforderlich.
5.

Spezifische Maßnahmen für KI-Voice-Verarbeitung

5.1
Transparenzpflicht Anrufer werden zu Beginn jedes Anrufs deutlich darauf hingewiesen, dass sie mit einem KI-System sprechen (Erfüllung von Art. 50 EU AI Act). Der genaue Wortlaut wird mit dem Kunden abgestimmt.
5.2
Keine Aufzeichnung Die Sprachdaten der Anrufer werden ausschließlich transient (Echtzeit-Verarbeitung im Arbeitsspeicher) verarbeitet und nicht als Audiodatei gespeichert. Es werden keine Stimmprofile (Voice Embeddings) erstellt oder gespeichert; eine biometrische Identifikation findet nicht statt.
5.3
Verarbeitungsort Die Sprachverarbeitung durch Azure OpenAI erfolgt innerhalb der EU Data Boundary von Microsoft (EU-Rechenzentren). Der Server für Workflow-Verarbeitung steht in Nürnberg (Hetzner).
5.4
Logfile-Politik Technisch bedingte Logfiles (z.B. Verbindungs-Logs, Workflow-Ausführungs-Logs in n8n) werden für maximal 30 Tage aufbewahrt und enthalten keine vollständigen Anrufinhalte. Sie dienen ausschließlich der Fehleranalyse und Sicherheit.

Anlage 3

Liste der Unterauftragsverarbeiter

Anlage zu § 9 dieser AGB

Der Kunde genehmigt mit Akzeptanz dieser AGB die Beauftragung der nachfolgend aufgelisteten Unterauftragsverarbeiter durch den Anbieter.

Mit allen Unterauftragsverarbeitern wurden Verträge gemäß Art. 28 DSGVO bzw. Data Processing Agreements abgeschlossen, die ein gleichwertiges Datenschutzniveau wie dieser AVV gewährleisten. Bei Unterauftragsverarbeitern in Drittländern werden zusätzliche Schutzmaßnahmen (insbesondere EU-Standardvertragsklauseln) eingesetzt.

Hetzner Online GmbH

AnschriftIndustriestraße 25, 91710 Gunzenhausen, Deutschland
TätigkeitServer-Hosting (Nürnberg)
Sitz der VerarbeitungDeutschland (EU)
SchutzmaßnahmenAVV nach Art. 28 DSGVO; ISO 27001

Microsoft Ireland Operations Ltd.

AnschriftOne Microsoft Place, Dublin 18, Irland
TätigkeitAzure OpenAI: STT, TTS, LLM
Sitz der VerarbeitungEU (Azure EU Data Boundary)
SchutzmaßnahmenMicrosoft DPA; ISO 27001/27018; EU-US DPF (Fallback)

Twilio Inc.

Anschrift101 Spear Street, San Francisco, CA 94105, USA (EU: Twilio Ireland Ltd., Dublin)
TätigkeitTelefonie-Infrastruktur, Rufnummern, Anrufrouting
Sitz der VerarbeitungUSA (mit EU-Verarbeitungsoption)
SchutzmaßnahmenEU SCCs (Module 2/3); EU-US DPF; Aufsicht: Irische DPC

Lovable Labs Incorporated

Anschrift1111b South Governors Avenue, Dover, DE 19904, USA (EU-Repr.: Lovable Labs AB, Stockholm, Schweden)
TätigkeitFrontend-Plattform des Kundenportals
Sitz der VerarbeitungEU-Rechenzentren
SchutzmaßnahmenEU SCCs (Module 2/3); UK SCCs; SOC 2 Type II; ISO 27001

Formagrid Inc. (Airtable)

Anschrift1 Front Street, Fl 28, San Francisco, CA 94111, USA
TätigkeitVerwaltung der einmaligen Bot-Konfigurationsdaten des Kunden
Sitz der VerarbeitungUSA
SchutzmaßnahmenEU SCCs (Module 2/3); UK SCCs; Aufsicht: Irische DPC

seven communications GmbH & Co. KG

AnschriftAdolf-Grimme-Allee 3, 50829 Köln, Deutschland
TätigkeitSMS-Versand (Bestätigungen, Benachrichtigungen)
Sitz der VerarbeitungDeutschland (EU)
SchutzmaßnahmenAVV nach Art. 28 DSGVO

HighLevel Inc.

Anschrift5473 Blair Rd Ste 100, PMB 383313, Dallas, TX 75231, USA
TätigkeitWebsite-Hosting/CRM des Anbieters (nicht Endkunden des Kunden)
Sitz der VerarbeitungUSA
SchutzmaßnahmenEU SCCs (Module 2/3); EU-US DPF

Stripe Payments Europe, Limited

Anschrift1 Grand Canal Street Lower, Dublin, Irland
TätigkeitZahlungsabwicklung
Sitz der VerarbeitungEU; ggf. USA (Konzernmutter)
SchutzmaßnahmenAVV nach Art. 28 DSGVO; EU SCCs; EU-US DPF (Stripe Inc.)

Microsoft Ireland Operations Limited (Microsoft 365)

AnschriftOne Microsoft Place, Dublin 18, Irland
TätigkeitGeschäfts-E-Mail-Kommunikation, OneDrive, Office
Sitz der VerarbeitungEU (überwiegend); ggf. USA (Support)
SchutzmaßnahmenMicrosoft DPA; ISO 27001/27018; EU SCCs; EU-US DPF (Microsoft Corp.)
·

Hinweise zu den Drittlandtransfers

  • Twilio Inc. (USA): Geschützt durch EU-Standardvertragsklauseln (Module 2/3) sowie zusätzliche Maßnahmen (TLS-Verschlüsselung der Audiostreams). EU-US Data Privacy Framework zertifiziert.
  • Lovable Labs Inc. (USA): Verarbeitung in EU-Rechenzentren; vorsorglich abgesichert durch EU-Standardvertragsklauseln (Module 2/3); SOC 2 Type II und ISO 27001 zertifiziert.
  • HighLevel Inc. (USA): Geschützt durch EU-Standardvertragsklauseln und EU-US Data Privacy Framework. Wird ausschließlich für die Website und das CRM des Anbieters eingesetzt; Endkundendaten der Anrufer werden hier nicht verarbeitet.
  • Formagrid Inc. / Airtable (USA): Geschützt durch EU-Standardvertragsklauseln (Module 2/3). Wird ausschließlich für die Verwaltung der vom Kunden bereitgestellten einmaligen Bot-Konfigurationsdaten genutzt.
  • Stripe Payments Europe, Ltd. (Irland): Verarbeitung primär in der EU. Mögliche Übermittlungen an die US-Konzernmutter Stripe, Inc. sind durch EU-Standardvertragsklauseln und EU-US Data Privacy Framework abgesichert.
  • Microsoft 365 (Irland): Verarbeitung überwiegend in EU-Rechenzentren. Etwaige Übermittlungen an Microsoft Corporation (USA) im Rahmen technischer Supportvorgänge sind durch Microsoft DPA, EU-Standardvertragsklauseln und EU-US Data Privacy Framework abgesichert.
·

Aktualität der Liste

Diese Liste wird vom Anbieter aktuell gehalten. Änderungen werden dem Kunden gemäß § 9.6 mit einer Vorlauffrist von mindestens 30 Tagen mitgeteilt.

Stand dieser AGB Mai 2026 Leadary Systems · Inhaber: Elias Buttler · Sperberweg 33, 40668 Meerbusch · elias.buttler@leadary.ai

Vertragsfragen

Fragen zu AGB oder AVV?

Bei Fragen zum Vertrag, zur Auftragsverarbeitung gemäß Art. 28 DSGVO oder zur Anforderung des AVV-Auszugs (§ 9 nebst Anlagen 1–3) als separates PDF wenden Sie sich an die unten genannte Kontaktadresse.

Anbieter Leadary Systems
Inhaber: Elias Buttler
Anschrift Sperberweg 33
40668 Meerbusch · Deutschland
E-Mail elias.buttler@leadary.ai
Erfüllungsort & Gerichtsstand Meerbusch · Recht der BRD
(Ausschluss UN-Kaufrecht)
Stand Mai 2026 B2B · AVV inkl.
KI Live erleben

So automatisiert
KI Ihre Kundenkommunikation

Demo buchen

Kostenlos & unverbindlich

KI-Telefonassistent selbst einrichten — automatisiert Ihre Kundenkommunikation.
24/7 erreichbar - zuverlässig - DSGVO-konform

Navigation

Anwendungsbereiche

Branchen

Ressourcen

Rechtliches

© 2026 leadary · Alle Rechte vorbehalten

Folgen Sie uns