Der Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald ein Anbieter personenbezogene Daten im Auftrag eines Unternehmens verarbeitet. Für einen KI-Telefonassistenten gilt das immer: Anrufer-Audio, Transkripte und CRM-Daten landen in der Verarbeitungskette des Anbieters.
Ein belastbarer AVV regelt mindestens Zweck, Dauer, Art der Daten, betroffene Personen, technische und organisatorische Maßnahmen (TOMs) sowie Pflichten zur Unterauftragsverarbeitung. Anbieter sollten ein klar versioniertes Dokument bereitstellen — kein Ad-hoc-PDF auf Zuruf.
Praktisch zählt auch, ob der Anbieter Subprozessoren transparent listet, EU-Datenresidenz garantiert und ein Verfahren für Datenschutzvorfälle definiert. Ohne AVV ist der Einsatz formell rechtswidrig — auch im B2B.