Allgemeine Geschäftsbedingungen (AGB) und Auftragsverarbeitungsvertrag (AVV) Stand: Dezember 2025 – Version 1.1 Anbieter: HalloHeidi GmbH Bäckerstraße 2, 40213 Düsseldorf, eingetragen im Handelsregister des Amtsgerichts Düsseldorf unter HRB 111097. E-Mail: info@halloheidi.de Registergericht: Amtsgericht Düsseldorf Geschäftsführung: Daniel Nowag, Dr. Johannes Odenkirchen und Johannes Wirth Umsatzsteuer ID Gemäß § 27A Umsatzsteuergesetz USt.-Identifikations-Nr.: folgt Teil 1 – Allgemeine Geschäftsbedingungen (AGB) 1. Geltungsbereich Diese Allgemeinen Geschäftsbedingungen gelten für alle Verträge zwischen der HalloHeidi GmbH (nachfolgend „Anbieter“) und dem Kunden (nachfolgend „Kunde“) über die Nutzung der KI-Telefonassistenz und aller damit verbundenen Zusatzleistungen. Abweichende Bedingungen des Kunden gelten nur, wenn sie vom Anbieter ausdrücklich schriftlich bestätigt wurden. 2. Leistungsbeschreibung Der Anbieter stellt dem Kunden eine KI-gestützte Telefonassistenzlösung zur Verfügung, die eingehende Anrufe entgegennimmt, verarbeitet und – je nach gebuchtem Funktionsumfang – folgende Leistungen erbringt: • Entgegennahme und Beantwortung eingehender Telefonanrufe • Weiterleitung von Gesprächen nach definierten Bedingungen (z. B. Notfallnummern, Zeitfenster, Objektzuordnung) • Terminvereinbarungen über verbundene Kalender (z. B. Google oder Microsoft, via Cal.com) • Erfassung von Anfragen und automatisierte Kontakterstellung im CRM-System des Kunden (z. B. IDWELL, ETG24, Domus/fluks, Facilioo, Casavi, Win-CASA, Immoware24) • Nutzung einer Wissensdatenbank zur Beantwortung häufig gestellter Fragen • Bereitstellung eines Kunden-Dashboards zur Verwaltung und Einsicht von Daten • Automatisierungsprozesse über n8n (Serverstandort: Frankfurt) • WhatsApp Business Integration (sofern gebucht) • E-Mail-Automatisierung über eigene Kunden-Domain (sofern gebucht) • Outbound-Calls: Listen abtelefonieren, Leads kontaktieren, Termine vereinbaren (sofern gebucht) Ergänzende Funktionen (z. B. CRM-Anbindungen, WhatsApp-Integration, erweiterte API-Schnittstellen, Outbound-Calls) können separat gemäß der jeweils gültigen Preisliste beauftragt werden. 3. Kostenlose Testphase Der Anbieter bietet dem Kunden eine kostenlose Testphase von 14 Tagen an. • Während der Testphase stehen dem Kunden alle Basisfunktionen des gewählten Pakets zur Verfügung. • Die Einrichtung während der Testphase erfolgt im Self-Service über den Dashboard-Konfigurator. Optional kann eine individuelle Einrichtung durch das Experten-Team kostenpflichtig hinzugebucht werden. • Es ist keine Angabe von Zahlungsdaten für den Beginn der Testphase erforderlich. • Die Testphase endet automatisch nach 14 Tagen. Es erfolgt keine automatische Überführung in ein kostenpflichtiges Abonnement ohne ausdrückliche Zustimmung des Kunden. • Der Anbieter behält sich vor, die Testphase im Einzelfall zu verlängern.

4. Vertragsbeginn, Laufzeit und Kündigung 4.1 Vertragsbeginn Der kostenpflichtige Vertrag tritt mit Abschluss der Testphase und Bestätigung eines Pakets durch den Kunden in Kraft, spätestens mit Hinterlegung eines gültigen Zahlungsmittels. 4.2 Monatsabo • Mindestlaufzeit: 3 Monate • Kündigungsfrist: 1 Monat zum Ende des jeweiligen Abrechnungszeitraums • Unterbleibt die Kündigung, verlängert sich der Vertrag automatisch um jeweils 1 Monat. 4.3 Jahresabo • Mindestlaufzeit: 12 Monate • Abrechnung: monatlich zum reduzierten Preis • Kündigungsfrist: 1 Monat zum Ende der jeweiligen Jahresperiode • Unterbleibt die Kündigung, verlängert sich der Vertrag automatisch um weitere 12 Monate zu den gleichen Konditionen. • Der Rabatt gegenüber dem Monatsabo bleibt bei automatischer Verlängerung bestehen. 4.4 Kündigungsform Die Kündigung kann schriftlich oder per E-Mail an info@halloheidi.de erfolgen. 4.5 Bestandskunden Bestandskunden, die vor Inkrafttreten dieser AGB-Version einen Vertrag abgeschlossen haben, behalten ihre aktuellen Konditionen bis zur nächsten Vertragserneuerung. 5. Pakete und Preise 5.1 Basispakete Der Anbieter bietet folgende Basispakete für eingehende Anrufe (Inbound) an: Paket Inkl. Min. Monatsabo Jahresabo Mehrminute S – Einsteiger 200 129 €/Monat 99 €/Monat 0,65 / 0,60 € M – Team 500 249 €/Monat 219 €/Monat 0,55 / 0,50 € L – Business 1.000 449 €/Monat 389 €/Monat 0,45 / 0,40 € XL – Premium 2.000 699 €/Monat 599 €/Monat 0,40 / 0,35 € Alle Preise verstehen sich in Euro zzgl. der gesetzlichen Mehrwertsteuer. 5.2 Einrichtungsgebühren • S-Paket: Einrichtung im Self-Service (kostenlos). Individuelle Einrichtung durch das Experten-Team optional zubuchbar für 149 € einmalig. • M-Paket: Individuelle Einrichtung durch das Experten-Team inklusive. • L- und XL-Paket: Individuelle Einrichtung durch das Experten-Team inklusive. 5.3 Zusatzfeatures Folgende Zusatzleistungen können separat gebucht werden: Zusatzfeature Setup (einmalig) Monatlich Verfügbar ab WhatsApp Business Integration 599 € 39 €/Monat Alle Pakete E-Mail-Automatisierung (eigene Domain) 499 € 29 €/Monat Alle Pakete Objektbasierte Weiterleitung 49 € – S + M Terminbuchung (Google/Microsoft) 99 € – S + M Objektbasierte Weiterleitung und Terminbuchung sind ab dem L-Paket inklusive. 5.4 CRM-Anbindungen Der Anbieter bietet Anbindungen an gängige CRM- und ERP-Systeme der Hausverwaltungsbranche an: CRM-System Setup-Preis Richtung Besonderheit IDWELL kostenlos ab L* Bidirektional Partner ETG24 kostenlos ab L* Bidirektional Partner Facilioo kostenlos ab L* Bidirektional Open API Casavi 249 € einmalig Bidirektional REST-API DOMUS / fluks 399 € einmalig Bidirektional Über fluks Win-CASA (Software24) 499 € einmalig Bidirektional Kunde zahlt zzgl. ~600€ an SW24 Immoware24 599 € einmalig Einseitig Nur Workaround * IDWELL, ETG24 und Facilioo: Ab L-Paket inklusive. Für S- und M-Pakete: 199 € einmalig. 5.5 Support und individuelle Anpassungen In den Basispaketen sind folgende monatliche Support-Kontingente enthalten: • S-Paket: 0 Stunden (100 % Self-Service) • M-Paket: 1 Stunde pro Monat inklusive • L-Paket: 3 Stunden pro Monat inklusive • XL-Paket: 5 Stunden pro Monat inklusive Zusätzliche Supportstunden werden mit 100 € pro Stunde (Abrechnung in 30-Minuten-Schritten) berechnet. Sessions mit dem Success-Team sind für 69 € pro Stunde buchbar. Alternativ kann der Kunde individuelle Anpassungen jederzeit eigenständig über den Dashboard-Konfigurator vornehmen. 6. Abrechnung und Zahlung • Alle Preise verstehen sich in Euro zzgl. der gesetzlichen Mehrwertsteuer. • Einmalige Einrichtungsgebühren und Setup-Kosten für Zusatzfeatures werden mit Beauftragung fällig. • Monatliche Gebühren werden automatisiert über Stripe abgerechnet. • Zusatzminuten werden gemäß dem gebuchten Minutenpaket nach Verbrauch berechnet. • Zahlungen erfolgen ausschließlich über Stripe mittels hinterlegtem Zahlungsmittel (Kreditkarte, SEPA-Lastschrift o. Ä.). • Bei Zahlungsverzug behält sich der Anbieter das Recht vor, den Dienst bis zum Ausgleich der offenen Beträge zu pausieren. 7. Pflichten des Kunden Der Kunde verpflichtet sich, • die Zugangsdaten zum Kundenportal vertraulich zu behandeln, • nur Daten zu übermitteln, für die eine rechtmäßige Grundlage besteht, • keine Inhalte zu speichern oder zu übermitteln, die gegen geltendes Recht oder Rechte Dritter verstoßen. 8. Verfügbarkeit und Wartung Der Anbieter gewährleistet eine durchschnittliche Systemverfügbarkeit von 98 % im Jahresmittel. Wartungszeiten, Systemupdates und unvorhersehbare Ausfälle sind hiervon ausgenommen. 9. Haftung Der Anbieter haftet für Vorsatz und grobe Fahrlässigkeit. Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung wesentlicher Vertragspflichten, beschränkt auf den vertragstypisch vorhersehbaren Schaden. Für Datenverluste, Fehlkonfigurationen oder unautorisierte Zugriffe, die durch Dritte oder externe Systeme entstehen, haftet der Anbieter nur, sofern ihn ein Verschulden trifft. 10. Datenschutz Die Verarbeitung personenbezogener Daten erfolgt gemäß der Datenschutz-Grundverordnung (DSGVO) und der Datenschutzerklärung des Anbieters. Der Anbieter hat mit allen eingesetzten Subdienstleistern Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen. Details hierzu sind in Teil 2 (AVV) geregelt. 11. Gerichtsstand und anwendbares Recht Es gilt deutsches Recht. Gerichtsstand für alle Streitigkeiten ist Düsseldorf, soweit gesetzlich zulässig. Teil 2 – Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO § 1 – Gegenstand und Dauer der Verarbeitung Der Auftragsverarbeiter (HalloHeidi GmbH) verarbeitet personenbezogene Daten im Auftrag des Kunden zum Zweck der Bereitstellung der KI-Telefonassistenz, Anrufverarbeitung, Kontaktanlage im CRM, Terminverwaltung und verwandter Dienstleistungen. Die Dauer der Verarbeitung entspricht der Vertragslaufzeit gemäß dem Hauptvertrag. § 2 – Art und Zweck der Verarbeitung • Telefonannahme und -weiterleitung • Speicherung und Auswertung von Gesprächsnotizen • Terminvereinbarung über Kalenderdienste • Erstellung und Weiterleitung von Kontakten ins CRM-System • Übermittlung von Informationen per E-Mail, WhatsApp oder Dashboard • KI-gestützte Sprachverarbeitung und Transkription • Übermittlung relevanter Daten an CRM-Systeme (z. B. iDWell, ETG24, onOffice) über API-Schnittstellen zur Vorgangsverwaltung und Ticketbearbeitung (sofern vom Kunden gebucht) § 3 – Kategorien betroffener Personen • Anrufer und Interessenten • Kunden des Auftraggebers (Mieter, Eigentümer) • Mitarbeitende des Auftraggebers (sofern eingebunden) • Handwerker, Dienstleister und sonstige Kontaktpersonen § 4 – Art der verarbeiteten Daten • Kontaktdaten (Name, Telefonnummer, E-Mail-Adresse) • Gesprächsinhalte, Terminwünsche, Anliegen • CRM-Einträge und Kalenderdaten • Vertragsdaten (Mietvertragsnummer, Wohneinheit, Objektzuordnung – sofern übermittelt) • Technische Metadaten (Datum, Uhrzeit, Gesprächsdauer, IP-Adressen bei API-Übertragung) § 5 – Unterauftragsverarbeiter (Subdienstleister) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, die nachfolgend genannten Unterauftragsverarbeiter einzusetzen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung, sodass der Auftraggeber Einspruch erheben kann. A) Webseiten-bezogene Unterauftragsverarbeiter • onepage.io – Deutschland – Website & Landing Pages • United Domains – Deutschland – Domain-Hosting der Webseite • Meta Pixel – EU / USA – Webseiten-Analyse & Remarketing • perspective.co – Deutschland – Funnel & Lead-Generierung • Calendly – USA / EU – Terminbuchungen über die Webseite • HTML-Einbettungen (Tracking- und Analyse-Codes) – diverse – Webseiten-Funktionalität B) Dienstleistungsbezogene Unterauftragsverarbeiter • Google (Drive, Calendar) – EU / ggf. USA – Datenspeicherung, Kalenderintegration • Supabase – EU (Frankfurt) – Kunden-Dashboard & Datenmanagement • n8n – Frankfurt, Deutschland – Automatisierungsprozesse • fonio.ai – Deutschland – Telefonieplattform & Sprachschnittstelle • Anthropic (Claude) – USA / EU – KI-Sprachverarbeitung & Analyse • Mistral AI – EU (Frankreich) – KI-Sprachverarbeitung & Analyse • LiveKit – USA / EU – Echtzeit-Audioverarbeitung & Streaming • Telnyx – USA / EU – Telefonie-Infrastruktur & SIP-Trunking • ElevenLabs – USA / EU – KI-Sprachsynthese (Text-to-Speech) • Deepgram – USA / EU – KI-Spracherkennung (Speech-to-Text) • Cal.com – EU / USA – Kalenderbuchungen • Perspective – Deutschland – Lead-Generierung • Stripe Payments Europe Ltd. – Irland – Zahlungsabwicklung • WhatsApp (Meta) – EU / USA – Kundenkommunikation (sofern gebucht) • Hostinger – EU (Litauen) – Server-Hosting & Infrastruktur C) Optionale Unterauftragsverarbeiter (nur bei gebuchter Anbindung) • iDWell GmbH – Wien, Österreich (EU) – CRM-Anbindung & Vorgangsverwaltung (nur bei gebuchter CRM-Anbindung) • fluks – Deutschland – CRM-Anbindung & Kommunikation (nur bei gebuchter CRM-Anbindung) • ETG24 – Deutschland – CRM-Anbindung & Ticketing (nur bei gebuchter CRM-Anbindung) • lexoffice – Deutschland – Buchhaltung & Rechnungsstellung (nur bei gebuchter Anbindung) • onOffice – Deutschland – CRM-Anbindung & Immobilienverwaltung (nur bei gebuchter CRM-Anbindung) Mit allen oben genannten Dienstleistern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. § 6 – Rechte und Pflichten des Auftraggebers Der Kunde bleibt Verantwortlicher im Sinne der DSGVO. Er ist berechtigt, Anweisungen zur Datenverarbeitung zu erteilen. Solche Anweisungen sind schriftlich oder elektronisch zu übermitteln. § 7 – Pflichten des Auftragnehmers (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht des betreffenden Mitgliedstaats zur Verarbeitung verpflichtet. (2) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. (3) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. (4) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen gemäß Kapitel III der DSGVO. (5) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen. § 8 – Technische und organisatorische Maßnahmen Der Auftragsverarbeiter gewährleistet die Datensicherheit durch: • Verschlüsselte Datenübertragung (SSL/TLS) für alle API-Verbindungen • Zugriffsbeschränkung über Benutzerverwaltung und Zwei-Faktor-Authentifizierung • Rollenbasiertes Berechtigungskonzept (Need-to-know-Prinzip) • Regelmäßige Backups und dokumentierte Wiederherstellungsverfahren • Hosting auf EU-Servern (Frankfurt, Deutschland) • Mandantenfähige Datenhaltung mit logischer Trennung der Kundendaten • Protokollierung aller Dateneingaben und -änderungen • Regelmäßige Schulung der Mitarbeiter im Datenschutz • Löschung oder Anonymisierung nach Vertragsende § 9 – Meldepflichten bei Datenschutzverletzungen Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält mindestens: • Beschreibung der Art der Verletzung • Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze • Beschreibung der wahrscheinlichen Folgen • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen § 10 – Datenübermittlung in Drittländer Soweit Unterauftragsverarbeiter Daten außerhalb der EU/des EWR verarbeiten (insbesondere USA), erfolgt dies auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO (z. B. EU-U.S. Data Privacy Framework) oder anderer geeigneter Garantien. § 11 – Datenlöschung nach Vertragsende Nach Beendigung des Vertrags werden alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen bestehen. Auf Wunsch des Kunden kann eine Datenrückgabe in elektronischer Form erfolgen. Die Löschung wird schriftlich bestätigt. § 12 – Kontrollrechte des Auftraggebers Der Kunde ist berechtigt, die Einhaltung der technischen und organisatorischen Maßnahmen zu prüfen oder prüfen zu lassen. Der Anbieter kann entsprechende Nachweise (z. B. Auditberichte, Sicherheitszertifikate) bereitstellen. § 13 – Haftung Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den Regelungen des Hauptvertrages. § 14 – Schlussbestimmungen (1) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses. (2) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. (3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Düsseldorf.