Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO – Stand: Mai 2026
Dieser Vertrag konkretisiert die Pflichten der Parteien im Hinblick auf den Datenschutz, die sich aus der Nutzung von VoiceReport (nachfolgend „Dienst") durch den Kunden ergeben. Er ist Bestandteil der Allgemeinen Geschäftsbedingungen und gilt zwischen dem Kunden (nachfolgend „Auftraggeber" oder „Verantwortlicher") und [Unternehmensname] (nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter").
Hinweis: Dieser Mustertext muss vor dem produktiven Betrieb mit den echten Unternehmensdaten befüllt und ggf. von einem Rechtsbeistand geprüft werden.
Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und Nutzung des Dienstes (Spracherfassung, Transkription, Erstellung und Verwaltung von Arbeitsberichten, Projekt- und Planungsdaten).
Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags (AGB) zwischen den Parteien. Er endet automatisch mit dessen Beendigung, sofern in diesem Vertrag nichts Abweichendes geregelt ist (siehe Abschnitt 9).
Erfassung, Speicherung, Strukturierung, Transkription, Analyse und Bereitstellung von Daten zur Erstellung von Arbeitsberichten sowie zur Verwaltung von Projekten, Planungseinträgen und Nutzerkonten innerhalb der Mandantenumgebung (Company) des Auftraggebers.
Mitarbeiter des Auftraggebers (Administratoren, Techniker, Gäste) sowie ggf. in Arbeitsberichten genannte Personen (z. B. Ansprechpartner auf Baustellen).
Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere:
Hinweis: Eine detaillierte TOM-Übersicht (z. B. nach BSI-Grundschutz-Vorlage) sollte als Anlage zu diesem Vertrag ergänzt und regelmäßig aktualisiert werden.
Der Auftragsverarbeiter berichtigt, löscht oder schränkt die Verarbeitung der vertragsgegenständlichen Daten ein, wenn der Auftraggeber dies anweist oder selbst über die Funktionen des Dienstes vornimmt (z. B. Profil-Korrektur, Konto- und Berichtslöschung, konfigurierbare Aufbewahrungsfristen für Arbeitsberichte gemäß den Einstellungen des Auftraggebers).
Der Auftraggeber erteilt seine allgemeine Genehmigung zum Einsatz folgender Sub-Auftragsverarbeiter. Über Änderungen (Hinzufügung/Austausch) informiert der Auftragsverarbeiter den Auftraggeber rechtzeitig in Textform; der Auftraggeber kann der Änderung aus wichtigem Grund widersprechen.
| Sub-Auftragsverarbeiter | Leistung | Standort / Übermittlungsgrundlage |
|---|---|---|
| Vercel Inc. | Hosting der Webanwendung, serverlose Funktionen, Datei-Speicherung | USA – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
| Google LLC (Gemini API) | KI-gestützte Transkription und Textanalyse, Vektor-Embeddings | USA – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
| Neon Inc. | Serverlose PostgreSQL-Datenbank (Speicherung aller Nutzdaten) | USA – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
| Stack Auth (Stackframe Inc.) | Authentifizierungsdienst, Verwaltung von Nutzerkonten und Sessions | USA – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) |
Der Auftragsverarbeiter stellt sicher, dass den Sub-Auftragsverarbeitern dieselben Datenschutzpflichten auferlegt werden, die in diesem Vertrag vereinbart sind.
Der Auftraggeber hat das Recht, sich von der Einhaltung der in diesem Vertrag vereinbarten Pflichten zu überzeugen, insbesondere durch Einholung von Auskünften und Nachweisen (z. B. aktuelle Zertifizierungen oder Selbstauskünfte der eingesetzten Sub-Auftragsverarbeiter). Vor-Ort-Kontrollen sind nach vorheriger Anmeldung mit angemessener Frist und unter Wahrung der Betriebsgeheimnisse des Auftragsverarbeiters möglich.
Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über Verletzungen des Schutzes personenbezogener Daten, die die vertragsgegenständlichen Daten betreffen, und unterstützt ihn bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO.
Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten, die im Auftrag des Auftraggebers verarbeitet wurden, oder gibt sie auf Wunsch des Auftraggebers vor der Löschung in einem gängigen, maschinenlesbaren Format heraus (z. B. JSON-Export gemäß den Datenschutz-Einstellungen des Dienstes), sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung erfolgt innerhalb von [Frist, z. B. 30 Tagen] nach Vertragsende.
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den Haftungsregelungen der AGB.
Im Falle von Widersprüchen zwischen diesem Vertrag und Bestimmungen der AGB oder sonstigen Vereinbarungen zwischen den Parteien gehen die Regelungen dieses Vertrags in datenschutzrechtlichen Belangen vor. Im Übrigen gelten die Schlussbestimmungen der AGB entsprechend.
Dieser AVV gilt ab Mai 2026 und kann bei wesentlichen Änderungen gemäß den Bestimmungen der AGB aktualisiert werden.