Databehandlingsaftale

Databehandlingsaftale i henhold til art. 28 GDPR

mellem brugeren af tjenesten BonusVoice (herefter "den dataansvarlige") og

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-mail: info@bonusvoice.de Telefon: 0201-89083160

(herefter "databehandleren")

§ 1 – Genstand og varighed for behandlingen

(1) Databehandleren behandler personoplysninger på vegne af den dataansvarlige inden for rammerne af brugen af tjenesten BonusVoice (AI-baseret transskription og resumé af lydoptagelser).

(2) Behandlingens varighed svarer til brugsaftalens løbetid. Ved sletning af brugerkontoen ophører behandlingen. Personoplysninger slettes inden for 30 dage efter kontosletning, medmindre der foreligger lovbestemte opbevaringsforpligtelser.

§ 2 – Art og formål med behandlingen

Behandlingen omfatter følgende aktiviteter:

  • Lagring af lydoptagelser, transskriptioner og resuméer
  • AI-behandling til transskription (tale-til-tekst) og resumé
  • Brugeradministration (kontooprettelse, autentificering, organisationstilhørsforhold)
  • E-mailudsendelse (kontobekræftelse, notifikationer, udsendelse af transskriptioner)
  • Betalingsafvikling (abonnementsstyring og fakturering)

§ 3 – Type af personoplysninger

Følgende datakategorier behandles:

  • Navn og e-mailadresse
  • Adgangskode (lagret krypteret)
  • Organisationstilhørsforhold
  • Lydoptagelser og deraf fremstillede transskriptioner og resuméer
  • Metadata (titel, beskrivelse, varighed, optagelsens sprog)
  • Betalingsdata (behandlet af Stripe, lagres ikke hos databehandleren)
  • Serverlogdata (IP-adresse, browser, tidsstempel)

§ 4 – Kategorier af registrerede

  • Registrerede brugere af tjenesten
  • Personer der forekommer i lydoptagelser (talere)

§ 5 – Databehandlerens forpligtelser

(1) Databehandleren behandler personoplysninger udelukkende efter dokumenteret instruks fra den dataansvarlige, medmindre denne er forpligtet til behandling i henhold til EU-ret eller medlemsstaternes nationale ret.

(2) Databehandleren sikrer, at de personer, der er bemyndigede til at udføre behandlingen, har forpligtet sig til fortrolighed.

(3) Databehandleren træffer alle foranstaltninger, der kræves i henhold til art. 32 GDPR, navnlig:

  • SSL/TLS-kryptering af al dataoverførsel
  • Krypteret lagring af alle lydfiler i Object Storage
  • Krypteret lagring af adgangskoder
  • Adgangskontrol og autorisationskoncept
  • Regelmæssige sikkerhedsopdateringer af alle systemer
  • Serverplacering udelukkende i Tyskland og EU

(4) Databehandleren bistår den dataansvarlige med opfyldelsen af de forpligtelser, der er anført i art. 32 til 36 GDPR.

(5) Efter afslutning af behandlingen sletter databehandleren alle personoplysninger, medmindre der foreligger en lovbestemt opbevaringsforpligtelse.

(6) Databehandleren stiller al nødvendig information til rådighed for den dataansvarlige til dokumentation af overholdelsen af de forpligtelser, der er fastsat i art. 28 GDPR.

§ 6 – Underdatabehandlere

(1) Den dataansvarlige samtykker til brugen af de nedenstående underdatabehandlere:

6.1 Hetzner Online GmbH

| | | |---|---| | Formål | Serverhosting og fillagring (Object Storage) | | Adresse | Industriestr. 25, 91710 Gunzenhausen, Tyskland | | Serverplacering | Tyskland | | Behandlede data | Alle bruger- og indholdsdata, lydfiler, transskriptioner | | Aftale | Databehandleraftale i henhold til art. 28 GDPR foreligger |

6.2 Mistral AI

| | | |---|---| | Formål | AI-behandling: Transskription (Voxtral-modellen) og resumé | | Adresse | 15 Rue des Halles, 75001 Paris, Frankrig | | Serverplacering | EU (Frankrig) | | Behandlede data | Lydfiler (til transskription), transskriptioner (til resumé) | | Bemærkning | Al AI-behandling finder udelukkende sted inden for EU. Ingen dataoverførsel til tredjelande. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Formål | E-mailudsendelse (kontobekræftelse, notifikationer, udsendelse af transskriptioner) | | Adresse | Hauptstraße 68, 02742 Friedersdorf, Tyskland | | Serverplacering | Tyskland | | Behandlede data | E-mailadresse, navn, e-mailindhold |

6.4 Stripe, Inc.

| | | |---|---| | Formål | Betalingsafvikling (kreditkort, SEPA, abonnementsstyring) | | Adresse | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Databehandling | EU (Stripe behandler europæiske betalingsdata inden for EU) | | Behandlede data | Betalingsoplysninger (kreditkortdata, SEPA-data). Disse behandles udelukkende af Stripe og lagres ikke hos databehandleren. | | Bemærkning | Stripe er udelukkende ansvarlig for betalingsafviklingen. Ingen lyd-, transskriptions- eller indholdsdata overføres til Stripe. | | Garantier | EU-US Data Privacy Framework, standardkontraktbestemmelser (SCC) |

6.5 Google Ireland Limited (valgfrit)

| | | |---|---| | Formål | Autentificering (Google OAuth 2.0) — kun hvis brugeren aktivt vælger at logge ind med Google | | Adresse | Gordon House, Barrow Street, Dublin 4, Irland | | Databehandling | EU (Irland) | | Behandlede data | Brugerens navn og e-mailadresse (udelukkende til kontoidentifikation) | | Bemærkning | Google OAuth er helt valgfrit. Brugere kan til enhver tid logge ind med e-mail/adgangskode eller Magic Link. Ingen lydoptagelser, transskriptioner, resuméer eller andre indholdsdata overføres til Google. | | Garantier | EU-US Data Privacy Framework, standardkontraktbestemmelser (SCC) |

(2) Databehandleren informerer den dataansvarlige om enhver påtænkt ændring med hensyn til tilføjelse eller udskiftning af underdatabehandlere. Den dataansvarlige kan gøre indsigelse mod sådanne ændringer.

§ 7 – Overførsel til tredjelande

(1) Overførsel af personoplysninger til tredjelande (uden for EØS) finder principielt ikke sted.

(2) Undtagelser:

  • Stripe (betalingsafvikling): Stripe, Inc. har sit hjemsted i USA, men behandler europæiske data inden for EU. For dataoverførslen gælder EU-US Data Privacy Framework og standardkontraktbestemmelser.
  • Google (kun ved Google OAuth): Google Ireland Limited behandler data inden for EU. Kun ved aktivt valg af Google-login af brugeren.

(3) AI-behandlingen (transskription og resumé) samt lagringen af alle indholds- og brugerdata finder udelukkende sted i Tyskland og EU.

§ 8 – De registreredes rettigheder

Databehandleren bistår den dataansvarlige med opfyldelsen af de registreredes rettigheder i henhold til art. 12–22 GDPR, navnlig:

  • Ret til indsigt (art. 15 GDPR)
  • Ret til berigtigelse (art. 16 GDPR)
  • Ret til sletning (art. 17 GDPR)
  • Ret til begrænsning af behandling (art. 18 GDPR)
  • Ret til dataportabilitet (art. 20 GDPR)

Brugere kan til enhver tid via deres brugerkonto indsé, eksportere og slette deres data.

§ 9 – Underretningspligt ved brud på persondatasikkerheden

Databehandleren informerer den dataansvarlige uden unødig forsinkelse, senest inden for 48 timer, om ethvert brud på persondatasikkerheden i overensstemmelse med art. 33 GDPR.

§ 10 – Kontrolrettigheder

(1) Den dataansvarlige har ret til på passende vis at kontrollere overholdelsen af denne aftale.

(2) Databehandleren stiller på anmodning al nødvendig information til rådighed og muliggør undersøgelser herunder inspektioner.

§ 11 – Løbetid og opsigelse

Denne aftale gælder for hele varigheden af brugen af tjenesten BonusVoice. Den træder i kraft ved registreringen og ophører ved sletning af brugerkontoen.

§ 12 – Afsluttende bestemmelser

(1) Skulle enkelte bestemmelser i denne aftale være ugyldige, berøres gyldigheden af de øvrige bestemmelser ikke.

(2) Tysk ret finder anvendelse.

(3) Værneting er Essen.

Version: Marts 2026

Kontakt ved spørgsmål om databeskyttelse: info@bonusvoice.de