Zum Hauptinhalt springen
← Zurück

Vertrag zur Verarbeitung personenbezogener Daten (AVV)

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO – Stand: Mai 2026

Dieser Vertrag konkretisiert die Pflichten der Parteien im Hinblick auf den Datenschutz, die sich aus der Nutzung von VoiceReport (nachfolgend „Dienst") durch den Kunden ergeben. Er ist Bestandteil der Allgemeinen Geschäftsbedingungen und gilt zwischen dem Kunden (nachfolgend „Auftraggeber" oder „Verantwortlicher") und [Unternehmensname] (nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter").

Hinweis: Dieser Mustertext muss vor dem produktiven Betrieb mit den echten Unternehmensdaten befüllt und ggf. von einem Rechtsbeistand geprüft werden.

1. Gegenstand und Dauer des Auftrags

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und Nutzung des Dienstes (Spracherfassung, Transkription, Erstellung und Verwaltung von Arbeitsberichten, Projekt- und Planungsdaten).

Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags (AGB) zwischen den Parteien. Er endet automatisch mit dessen Beendigung, sofern in diesem Vertrag nichts Abweichendes geregelt ist (siehe Abschnitt 9).

2. Art, Umfang und Zweck der Verarbeitung

2.1 Art und Zweck der Verarbeitung

Erfassung, Speicherung, Strukturierung, Transkription, Analyse und Bereitstellung von Daten zur Erstellung von Arbeitsberichten sowie zur Verwaltung von Projekten, Planungseinträgen und Nutzerkonten innerhalb der Mandantenumgebung (Company) des Auftraggebers.

2.2 Kategorien betroffener Personen

Mitarbeiter des Auftraggebers (Administratoren, Techniker, Gäste) sowie ggf. in Arbeitsberichten genannte Personen (z. B. Ansprechpartner auf Baustellen).

2.3 Kategorien personenbezogener Daten

  • Stamm- und Kontaktdaten (Name, E-Mail-Adresse, Stellenbezeichnung)
  • Authentifizierungsdaten (verwaltet über Stack Auth)
  • Sprachaufnahmen und daraus erstellte Transkriptionen
  • Inhalte von Arbeitsberichten (Tätigkeiten, Materialien, Arbeitszeiten, Fotos)
  • Projekt-, Planungs- und Nutzungsdaten sowie Server-Logs

3. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere:

  • Verschlüsselte Übertragung (TLS) zwischen Endgerät, Anwendung und Datenbank
  • Verschlüsselte Speicherung in der PostgreSQL-Datenbank (Neon)
  • Mandantentrennung auf Datenbankebene (companyId-basierte Zugriffskontrolle)
  • Rollenbasierte Zugriffskontrolle (ADMIN / TECHNICIAN / GUEST)
  • Authentifizierung über Stack Auth inkl. Session-Management
  • Protokollierung sicherheitsrelevanter Zugriffe (Server-Logs)
  • Regelmäßige Einspielung von Sicherheitsupdates der eingesetzten Software-Komponenten

Hinweis: Eine detaillierte TOM-Übersicht (z. B. nach BSI-Grundschutz-Vorlage) sollte als Anlage zu diesem Vertrag ergänzt und regelmäßig aktualisiert werden.

4. Berichtigung, Löschung und Einschränkung der Verarbeitung

Der Auftragsverarbeiter berichtigt, löscht oder schränkt die Verarbeitung der vertragsgegenständlichen Daten ein, wenn der Auftraggeber dies anweist oder selbst über die Funktionen des Dienstes vornimmt (z. B. Profil-Korrektur, Konto- und Berichtslöschung, konfigurierbare Aufbewahrungsfristen für Arbeitsberichte gemäß den Einstellungen des Auftraggebers).

5. Pflichten des Auftragsverarbeiters

  • Verarbeitung der Daten ausschließlich auf dokumentierte Anweisung des Auftraggebers, soweit nicht eine Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist.
  • Gewährleistung, dass mit der Verarbeitung betraute Personen zur Vertraulichkeit verpflichtet wurden.
  • Umsetzung und Aufrechterhaltung der in Abschnitt 3 genannten Maßnahmen.
  • Unterstützung des Auftraggebers bei der Erfüllung von Anfragen betroffener Personen (Art. 12–22 DSGVO) und bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung).
  • Unverzügliche Information des Auftraggebers bei Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO), spätestens innerhalb von 48 Stunden nach Kenntniserlangung.
  • Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO und Ermöglichung von Überprüfungen (siehe Abschnitt 7).

6. Unterauftragsverhältnisse (Sub-Auftragsverarbeiter)

Der Auftraggeber erteilt seine allgemeine Genehmigung zum Einsatz folgender Sub-Auftragsverarbeiter. Über Änderungen (Hinzufügung/Austausch) informiert der Auftragsverarbeiter den Auftraggeber rechtzeitig in Textform; der Auftraggeber kann der Änderung aus wichtigem Grund widersprechen.

Sub-AuftragsverarbeiterLeistungStandort / Übermittlungsgrundlage
Vercel Inc.Hosting der Webanwendung, serverlose Funktionen, Datei-SpeicherungUSA – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Google LLC (Gemini API)KI-gestützte Transkription und Textanalyse, Vektor-EmbeddingsUSA – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Neon Inc.Serverlose PostgreSQL-Datenbank (Speicherung aller Nutzdaten)USA – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Stack Auth (Stackframe Inc.)Authentifizierungsdienst, Verwaltung von Nutzerkonten und SessionsUSA – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

Der Auftragsverarbeiter stellt sicher, dass den Sub-Auftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden, die in diesem Vertrag vereinbart sind.

7. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, sich von der Einhaltung der in diesem Vertrag vereinbarten Pflichten zu überzeugen, insbesondere durch Einholung von Auskünften und Nachweisen (z. B. aktuelle Zertifizierungen oder Selbstauskünfte der eingesetzten Sub-Auftragsverarbeiter). Vor-Ort-Kontrollen sind nach vorheriger Anmeldung mit angemessener Frist und unter Wahrung der Betriebsgeheimnisse des Auftragsverarbeiters möglich.

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über Verletzungen des Schutzes personenbezogener Daten, die die vertragsgegenständlichen Daten betreffen, und unterstützt ihn bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.

9. Löschung und Rückgabe von Daten nach Vertragsende

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten, die im Auftrag des Auftraggebers verarbeitet wurden, oder gibt sie auf Wunsch des Auftraggebers vor der Löschung in einem gängigen, maschinenlesbaren Format heraus (z. B. JSON-Export gemäß den Datenschutz-Einstellungen des Dienstes), sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung erfolgt innerhalb von [Frist, z. B. 30 Tagen] nach Vertragsende.

10. Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Haftungsregelungen der AGB.

11. Schlussbestimmungen

Im Falle von Widersprüchen zwischen diesem Vertrag und Bestimmungen der AGB oder sonstigen Vereinbarungen zwischen den Parteien gehen die Regelungen dieses Vertrags in datenschutzrechtlichen Belangen vor. Im Übrigen gelten die Schlussbestimmungen der AGB entsprechend.

Dieser AVV gilt ab Mai 2026 und kann bei wesentlichen Änderungen gemäß den Bestimmungen der AGB aktualisiert werden.