hagel IT-Services
Festpreis-Angebot

Vereinbarung zur Auftragsverarbeitung

gemäß Art. 28 DSGVO · Stand: Mai 2026

Version 1.1 — gilt für die Auftragsverarbeitung in allen IT-Service-Systemen der hagel IT-Services GmbH (u. a. Quill, HagelDISP, Terminportal, KI-Telefonie), in Verbindung mit dem jeweiligen Hauptvertrag

Präambel

Diese Vereinbarung zur Auftragsverarbeitung (nachfolgend „Vereinbarung") konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zwischen ihnen geschlossenen Hauptvertrag über IT-Dienstleistungen (nachfolgend „Hauptvertrag"). Sie gilt für alle Tätigkeiten, bei denen Beschäftigte der hagel IT-Services GmbH oder von ihr beauftragte Unterauftragsverarbeiter personenbezogene Daten des Auftraggebers im Auftrag verarbeiten — einschließlich der hierfür eingesetzten Assistenz-, Dispositions- und Telefonie-Systeme, insbesondere des KI-Echtzeit-Assistenzsystems „Quill", des Dispositions- und Ticket-Systems „HagelDISP" mit dem Kunden-Terminportal termine.hagel-it.de sowie der KI-Telefonie-Agenten („Lara" für eingehende, „Nora" für ausgehende Anrufe).

Auftraggeber (nachfolgend „Verantwortlicher") ist der im Hauptvertrag bezeichnete Kunde.
Auftragnehmer (nachfolgend „Auftragsverarbeiter") ist die

Firma:hagel IT-Services GmbH
Anschrift:Spaldingstraße 64-68, 20097 Hamburg
Vertretung:Geschäftsführer Jens Hagel, Philip Kraatz
Register:Amtsgericht Hamburg, HRB 99898 · USt-IdNr. DE252818864
Datenschutz:info@hagel-it.de · 040 284 10 26-0

Soweit nachfolgend auf Artikel verwiesen wird, sind die Artikel der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO") gemeint. Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieser Vereinbarung vor.

§ 1 Gegenstand, Art, Zweck und Dauer der Verarbeitung

(1) Gegenstand, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich abschließend aus Anlage 1 zu dieser Vereinbarung.

(2) Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Eine Verarbeitung in einem Drittland erfolgt nur, soweit sie in Anlage 3 ausgewiesen ist und die dort genannten Garantien nach Kapitel V DSGVO eingehalten werden.

(3) Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags, sofern sich aus den Bestimmungen dieser Vereinbarung — insbesondere zu Löschung und Rückgabe nach § 10 — keine darüber hinausgehenden Pflichten ergeben.

§ 2 Verantwortlichkeit und Weisungsrecht

(1) Der Verantwortliche ist im Rahmen dieser Vereinbarung allein für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich (Art. 4 Nr. 7, Art. 24 DSGVO).

(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf die Übermittlung in Drittländer (Art. 28 Abs. 3 lit. a). Die im Hauptvertrag und in dieser Vereinbarung getroffenen Festlegungen gelten als Erstweisung. Einzelweisungen sind in Textform zu erteilen und werden vom Auftragsverarbeiter dokumentiert.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.

§ 3 Vertraulichkeit

(1) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4).

(2) Die Verpflichtung auf das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. Die mit der Verarbeitung befassten Beschäftigten werden über die einschlägigen Datenschutzbestimmungen sowie die Weisungsgebundenheit unterrichtet.

§ 4 Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus (Art. 28 Abs. 3 lit. c, Art. 32). Die Maßnahmen sind dem Stand der Technik entsprechend fortzuentwickeln; der Auftragsverarbeiter darf einzelne Maßnahmen anpassen, sofern das vereinbarte Schutzniveau dadurch nicht unterschritten wird.

(2) Der Auftragsverarbeiter überprüft die Wirksamkeit der Maßnahmen regelmäßig und weist sie dem Verantwortlichen auf Anfrage nach (siehe § 7).

§ 5 Inanspruchnahme weiterer Auftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen (Art. 28 Abs. 2 Satz 2). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt und werden vom Verantwortlichen genehmigt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter mit einer Frist von mindestens 14 Tagen vorab in Textform. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichen Grund widersprechen (Art. 28 Abs. 2 Satz 1). Im Fall eines berechtigten Widerspruchs sind die Parteien bemüht, eine einvernehmliche Lösung zu finden; gelingt dies nicht, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht hinsichtlich der betroffenen Leistung zu.

(3) Der Auftragsverarbeiter erlegt dem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in dieser Vereinbarung festgelegt sind, insbesondere die Gewährung hinreichender Garantien für geeignete technische und organisatorische Maßnahmen (Art. 28 Abs. 4). Kommt der Unterauftragsverarbeiter seinen Pflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten.

(4) Erfolgt eine Verarbeitung durch einen Unterauftragsverarbeiter in einem Drittland, stellt der Auftragsverarbeiter sicher, dass die Anforderungen des Kapitels V DSGVO erfüllt sind (Angemessenheitsbeschluss — etwa das EU-US Data Privacy Framework — und/oder EU-Standardvertragsklauseln nebst erforderlicher zusätzlicher Maßnahmen). Die maßgeblichen Garantien sind in Anlage 3 ausgewiesen.

(5) Als Unterauftragsverarbeitung im Sinne dieser Vereinbarung gilt nicht die Inanspruchnahme von Nebenleistungen Dritter, die der Auftragsverarbeiter als reine Hilfsleistung in Anspruch nimmt (z. B. Telekommunikations-, Post-/Transport- oder Wartungsleistungen). Der Auftragsverarbeiter ist jedoch verpflichtet, auch hier den Schutz der personenbezogenen Daten zu gewährleisten.

§ 6 Unterstützung des Verantwortlichen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 12–23, insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch) nachzukommen (Art. 28 Abs. 3 lit. e).

(2) Richtet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen ferner bei der Einhaltung der in Art. 32 bis 36 genannten Pflichten — insbesondere bei der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten, der Datenschutz-Folgenabschätzung und der vorherigen Konsultation der Aufsichtsbehörde (Art. 28 Abs. 3 lit. f).

§ 7 Nachweise und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei (Art. 28 Abs. 3 lit. h).

(2) Der Nachweis kann auch durch die Vorlage geeigneter, aktueller Zertifizierungen, Testate oder Berichte (z. B. nach ISO 27001 oder genehmigten Verhaltensregeln nach Art. 40) geführt werden. Kontrollen vor Ort werden mit angemessener Vorankündigung, in der Regel zu den üblichen Geschäftszeiten und ohne vermeidbare Störung des Betriebsablaufs durchgeführt.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung oder Maßnahme gegen Datenschutzvorschriften verstößt.

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes der im Auftrag verarbeiteten personenbezogenen Daten unverzüglich nach Bekanntwerden (Art. 33 Abs. 2). Die Meldung enthält, soweit verfügbar, die nach Art. 33 Abs. 3 erforderlichen Angaben.

(2) Der Auftragsverarbeiter trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen und stimmt sich hierzu mit dem Verantwortlichen ab.

§ 9 Löschung und Rückgabe nach Beendigung

(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g).

(2) Während der Laufzeit werden Daten nach dem dokumentierten Löschkonzept (Anlage 2) automatisiert nach Ablauf der jeweiligen Aufbewahrungsfrist gelöscht oder anonymisiert. Audio-Rohdaten von Gesprächen werden nicht dauerhaft gespeichert.

(3) Die Löschung wird dem Verantwortlichen auf Verlangen in geeigneter Form bestätigt.

§ 10 Haftung und Schlussbestimmungen

(1) Für die Haftung gilt Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags.

(2) Änderungen und Ergänzungen dieser Vereinbarung sowie ihrer Anlagen bedürfen der Textform; dies gilt auch für die Aufhebung dieses Formerfordernisses.

(3) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame, die dem wirtschaftlichen und datenschutzrechtlichen Zweck am nächsten kommt.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist — soweit zulässig — der Sitz des Auftragsverarbeiters.

Anlage 1 — Gegenstand und Einzelheiten der Verarbeitung

Gegenstand der Verarbeitung ist die Erbringung und Dokumentation von IT-Support-, Managed-Service- und Beratungsleistungen nach Maßgabe des Hauptvertrags. Hierzu werden insbesondere folgende Systeme des Auftragsverarbeiters eingesetzt:

  • Quill — KI-Echtzeit-Assistenz der Beschäftigten in Support- und Vertriebsgesprächen (Transkription, kontextbezogene Hinweise, Zusammenfassung, Ticket-Erstellung).
  • HagelDISP — Disposition, Einsatz- und Terminplanung sowie Ticket-Bearbeitung; Annahme von Anrufen und deren Zusammenfassung.
  • termine.hagel-it.de — Self-Service-Portal, über das Ansprechpartner des Verantwortlichen eigene Termine einsehen und buchen (Anmeldung über Microsoft 365).
  • KI-Telefonie („Lara" eingehend, „Nora" ausgehend) — automatisierte Anrufannahme bzw. -tätigung zur Terminvereinbarung, Rückruf-Erfassung und Ersthilfe.

Nicht Gegenstand dieser Vereinbarung ist die werbliche Erstansprache potenzieller Neukunden durch den Auftragsverarbeiter; insoweit handelt dieser in eigener Verantwortung als Verantwortlicher und nicht als Auftragsverarbeiter.

Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Auslesen, Abfragen, Verwenden (insbesondere Transkription gesprochener Sprache, KI-gestützte Analyse, Zusammenfassung und Vorschlagsgenerierung, Annahme und Tätigung von Anrufen durch KI-Sprachagenten sowie Terminvereinbarung und Kalendereinträge), Übermitteln an die in Anlage 3 genannten Unterauftragsverarbeiter sowie Löschen.

Zweck: Qualitätssicherung und Dokumentation von Support- und Vertriebsgesprächen, Erstellung und Bearbeitung von Tickets, kontextbezogene Assistenz der Beschäftigten sowie Auswertung zur Verbesserung der Servicequalität.

Art der personenbezogenen Daten:

  • Stamm- und Kontaktdaten (Name, Funktion, Telefonnummer, E-Mail-Adresse)
  • Kommunikationsinhalte (Gesprächstranskripte sowie Inhalte aus Tickets und E-Mails im Service-Kontext)
  • Vertrags- und Nutzungsdaten im Rahmen der betreuten IT-Umgebung
  • technische Daten der betreuten Systeme (Geräte-, Konfigurations- und Protokolldaten)
  • Termin- und Buchungsdaten (gewählter Termin, Ort, Dauer, zugeordneter Techniker) sowie Anmeldedaten der Portal-Nutzung über Microsoft 365
  • Sprachdaten: in „Quill" als flüchtiger Datenstrom während des Gesprächs (keine Speicherung von Audio-Rohdaten); in der KI-Telefonie („Lara"/„Nora") als Anruf-Aufnahme nebst Transkript und Zusammenfassung, die automatisiert nach 90 Tagen gelöscht werden

Kategorien betroffener Personen: Beschäftigte und Ansprechpartner des Verantwortlichen, Anrufer und Endnutzer, die mit dem Auftragsverarbeiter oder dessen KI-Telefonie in Kontakt treten, sowie Ansprechpartner, die das Terminportal nutzen.

Besondere Kategorien personenbezogener Daten (Art. 9): sind nicht Gegenstand der Verarbeitung. Der Verantwortliche stellt sicher, dass er solche Daten nicht ohne gesonderte Vereinbarung übermittelt.

Dauer: für die Dauer des Hauptvertrags zuzüglich der gesetzlichen und im Löschkonzept (Anlage 2) festgelegten Aufbewahrungsfristen.

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32)

Die nachfolgenden Maßnahmen beschreiben das umgesetzte Schutzniveau. Sie entsprechen dem Stand der Technik und werden regelmäßig überprüft und fortentwickelt.

1. Vertraulichkeit

  • Zutrittskontrolle: Betrieb der Anwendungsdatenbank in einem nach ISO 27001 zertifizierten Rechenzentrum (Hetzner Online GmbH, Deutschland); Betrieb der Kern-Backend-Komponenten auf einem unternehmenseigenen Server in einem zugangsgesicherten Rechenzentrum in Hamburg.
  • Zugangskontrolle: Authentifizierung der Beschäftigten ausschließlich über Microsoft Entra ID (Single-Sign-On) mit Mehr-Faktor-Authentifizierung; interne Anwendungen zusätzlich hinter Cloudflare Access (Zero-Trust); das Kunden-Terminportal authentifiziert Ansprechpartner über Microsoft 365. Ausschließlich personalisierte Konten; kein anonymer Zugang.
  • Zugriffskontrolle: rollenbasiertes Berechtigungskonzept nach Abteilung (need-to-know); zeilenbasierte Zugriffssteuerung in der Datenbank (Row-Level-Security) je Anfrage; getrennte Datenbankschemata und Datenbankbenutzer je Anwendung mit minimalen Rechten.
  • Trennungskontrolle: logische Mandantentrennung je Kunde; auf den jeweiligen Kunden beschränkte Auswertung und Recherche; im Terminportal sieht jeder Ansprechpartner ausschließlich die eigenen Tickets und Termine (Filterung pro Ansprechpartner).

2. Integrität

  • Übertragungskontrolle: durchgehende Transportverschlüsselung (TLS/HTTPS) für alle Verbindungen — Weboberfläche, Verbindungstunnel und Datenbankverbindungen; keine unverschlüsselte Übertragung über offene Netze.
  • Eingabekontrolle: revisionssicheres Audit-Log für jeden schreibenden Vorgang (wer, wann, was) zur Nachvollziehbarkeit von Verarbeitungs- und Aufnahmeentscheidungen.
  • Ruhende Daten werden durch die vorstehenden Zutritts-, Zugangs- und Zugriffskontrollen sowie durch den Betrieb in zugangsgesicherten Rechenzentren geschützt.

3. Verfügbarkeit und Belastbarkeit

  • Betrieb in professionellen Rechenzentren mit unterbrechungsfreier Stromversorgung, Brandschutz und Klimatisierung.
  • regelmäßige, getestete Datensicherungen der Anwendungsdatenbank; dokumentierter Wiederherstellungsprozess.

4. Verfahren zur Überprüfung, Bewertung und Evaluierung

  • Datenminimierung und Pseudonymisierung, soweit für den Zweck möglich.
  • automatisiertes Löschkonzept (Retention): Transkript-Texte werden nach 365 Tagen gelöscht; weitere Datenarten nach festgelegten Fristen; das Audit-Log unterliegt der gesetzlichen Aufbewahrung.
  • regelmäßige Überprüfung der Wirksamkeit der Maßnahmen sowie Auftragskontrolle gegenüber Unterauftragsverarbeitern.

5. Besondere Maßnahmen der Assistenz- und Telefonie-Systeme

  • Audio nur als Datenstrom (Quill): Gesprächsaudio wird ausschließlich im Arbeitsspeicher verarbeitet und nicht auf Datenträger geschrieben — es entstehen keine ruhenden Audio-Rohdaten.
  • Einwilligungssteuerung: eine Aufzeichnung/Transkription erfolgt nur nach vorheriger Ansage mit Widerspruchsmöglichkeit oder auf Grundlage einer bereits bestehenden vertraglichen Vereinbarung; jede Einwilligungsentscheidung wird protokolliert.
  • KI-Telefonie („Lara"/„Nora"): Anrufe werden zu Beginn als KI-gestützt und aufgezeichnet kenntlich gemacht; bei Widerspruch wird die Speicherung auf das technisch Erforderliche beschränkt. Aufnahme, Transkript und Protokolle der KI-Telefonie werden automatisiert nach 90 Tagen gelöscht.
  • Lokale Vorverarbeitung: Spracherkennung, Relevanz-Klassifikation und Vektor-Indexierung in „Quill" erfolgen auf unternehmenseigener Infrastruktur, sodass insoweit kein Datenabfluss an Dritte stattfindet.

Anlage 3 — Unterauftragsverarbeiter

Zum Stand dieser Vereinbarung werden die folgenden Unterauftragsverarbeiter eingesetzt. Die Verarbeitung findet, soweit nicht anders angegeben, innerhalb der EU/des EWR statt.

Dienstleister / Sitz Leistung Region Drittland / Garantie
Microsoft Ireland Operations Ltd. (Azure OpenAI, Microsoft Graph, Entra ID)
Irland; Konzernmutter USA		 KI-Sprachmodell und Embeddings (Analyse, Zusammenfassung, Vorschläge); Zugriff auf SharePoint/Postfach/Kalender; Single-Sign-On EU (Frankfurt, germanywestcentral); Identitäts-/Graph-Dienste Microsoft-Cloud EU-Datenresidenz für das KI-Sprachmodell; ergänzend EU-US Data Privacy Framework und EU-Standardvertragsklauseln
Hetzner Online GmbH
Deutschland		 Hosting der Anwendungsdatenbanken (Quill und HagelDISP) Deutschland (Falkenstein/Nürnberg) kein Drittland
Cloudflare, Inc.
USA		 Auslieferung der Weboberflächen, Zugriffsschutz (Access) und verschlüsselter Verbindungstunnel; im Wesentlichen HTTP-Metadaten EU-Edge Drittland (USA): EU-US Data Privacy Framework und EU-Standardvertragsklauseln
Retell AI, Inc.
USA		 KI-Telefonie-Agenten („Lara" eingehend, „Nora" ausgehend): Verarbeitung von Anruf-Audio, Transkript und Anruferdaten USA (AWS-Infrastruktur) Drittland (USA): Retell ist SOC-2-zertifiziert und nach DSGVO konform (Verschlüsselung bei Übertragung und im Ruhezustand). Abgesichert über die mit Retell abgeschlossene Auftragsverarbeitungsvereinbarung (DPA) nebst EU-Standardvertragsklauseln. Aufnahme und Transkript werden nach 90 Tagen gelöscht.

Die Telefonanlage (3CX) bildet die telekommunikative Grundlage der Gespräche; eine KI-gestützte Verarbeitung findet erst in den vorgenannten Systemen statt. Als optionaler Ausweich-Anbieter für das KI-Sprachmodell kann Amazon Web Services EMEA SARL (Region eu-central-1, Frankfurt) hinzugezogen werden; ein produktiver Einsatz erfolgt erst nach gesonderter Vorab-Information gemäß § 5 Abs. 2.

Spracherkennung, Relevanz-Klassifikation und Vektor-Indexierung („Quill") erfolgen auf unternehmenseigener Infrastruktur der hagel IT-Services GmbH und stellen keine Unterauftragsverarbeitung dar.

Diese Vereinbarung wird in Verbindung mit dem jeweiligen Hauptvertrag geschlossen. Für den Abschluss einer unterzeichneten Fassung oder bei Fragen zur Auftragsverarbeitung wenden Sie sich an info@hagel-it.de.

Bereit für IT, die funktioniert?

15 Minuten. Kostenlos. Ohne Vertriebsdruck.

Festpreis-Angebot anfordern → Lieber direkt Termin?