Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

zwischen dem Nutzer des Dienstes BonusVoice (nachfolgend „Auftraggeber") und

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-Mail: info@bonusvoice.de Telefon: 0201-89083160

(nachfolgend „Auftragnehmer")

§ 1 – Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung des Dienstes BonusVoice (KI-gestützte Transkription und Zusammenfassung von Audio-Aufnahmen).

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages. Mit Löschung des Benutzerkontos endet die Verarbeitung. Personenbezogene Daten werden innerhalb von 30 Tagen nach Kontolöschung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

§ 2 – Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung von Audio-Aufnahmen, Transkripten und Zusammenfassungen
  • KI-Verarbeitung zur Transkription (Sprache-zu-Text) und Zusammenfassung
  • Benutzerverwaltung (Kontoerstellung, Authentifizierung, Organisationszugehörigkeit)
  • E-Mail-Versand (Kontobestätigung, Benachrichtigungen, Versand von Transkripten)
  • Zahlungsabwicklung (Abonnement-Verwaltung und Rechnungsstellung)

§ 3 – Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Name und E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)
  • Organisationszugehörigkeit
  • Audio-Aufnahmen und daraus erzeugte Transkripte und Zusammenfassungen
  • Metadaten (Titel, Beschreibung, Dauer, Sprache der Aufnahmen)
  • Zahlungsdaten (verarbeitet durch Stripe, nicht beim Auftragnehmer gespeichert)
  • Server-Log-Daten (IP-Adresse, Browser, Zeitstempel)

§ 4 – Kategorien betroffener Personen

  • Registrierte Nutzer des Dienstes
  • In Audio-Aufnahmen erfasste Personen (Sprecher)

§ 5 – Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zu einer Verarbeitung verpflichtet.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.

(3) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere:

  • SSL/TLS-Verschlüsselung aller Datenübertragungen
  • AES-256-Verschlüsselung aller Audio-Dateien auf dem Object Storage (Hetzner, Deutschland/EU)
  • Datenbankschutz für Transkripte und KI-generierte Zusammenfassungen durch Zugriffskontrolle, TLS und VPN-Isolation des Datenbank-Servers
  • Protokollierung von administrativen Support- und Audit-Zugriffen auf Inhaltsdaten
  • Verschlüsselte Speicherung von Passwörtern
  • Zugriffskontrolle und Berechtigungskonzept
  • Regelmäßige Sicherheitsupdates aller Systeme
  • Serverstandort ausschließlich in Deutschland und der EU

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.

(5) Nach Beendigung der Verarbeitung löscht der Auftragnehmer alle personenbezogenen Daten, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.

(6) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 6 – Unterauftragnehmer (Subunternehmer)

(1) Der Auftraggeber stimmt dem Einsatz der nachfolgend genannten Unterauftragnehmer zu:

6.1 Hetzner Online GmbH

| | | |---|---| | Zweck | Server-Hosting und Datei-Speicherung (Object Storage) | | Anschrift | Industriestr. 25, 91710 Gunzenhausen, Deutschland | | Serverstandort | Deutschland | | Verarbeitete Daten | Alle Nutzer- und Inhaltsdaten, Audio-Dateien, Transkripte | | AVV | Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO vorhanden |

6.2 Mistral AI

| | | |---|---| | Zweck | KI-Verarbeitung: Transkription (Voxtral-Modell), Zusammenfassung, Übersetzung und Anonymisierung | | Anschrift | 15 Rue des Halles, 75001 Paris, Frankreich | | Serverstandort | EU (Frankreich) | | Verarbeitete Daten | Audio-Dateien (zur Transkription), Transkripte (zur Zusammenfassung, Übersetzung und Anonymisierung), benutzerdefinierte Vokabeln als Kontextparameter | | Hinweis | Alle KI-Verarbeitung findet ausschließlich innerhalb der EU statt. Kein Datentransfer in Drittländer. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Zweck | E-Mail-Versand (Kontobestätigung, Benachrichtigungen, Transkript-Versand) | | Anschrift | Hauptstraße 68, 02742 Friedersdorf, Deutschland | | Serverstandort | Deutschland | | Verarbeitete Daten | E-Mail-Adresse, Name, E-Mail-Inhalte |

6.4 Stripe, Inc.

| | | |---|---| | Zweck | Zahlungsabwicklung (Kreditkarten, SEPA, Abonnement-Verwaltung) | | Anschrift | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Datenverarbeitung | EU (Stripe verarbeitet europäische Zahlungsdaten in der EU) | | Verarbeitete Daten | Zahlungsinformationen (Kreditkartendaten, SEPA-Daten). Diese werden ausschließlich von Stripe verarbeitet und nicht beim Auftragnehmer gespeichert. | | Hinweis | Stripe ist ausschließlich für die Zahlungsabwicklung zuständig. Keinerlei Audio-, Transkript- oder Inhaltsdaten werden an Stripe übermittelt. | | Garantien | EU-US Data Privacy Framework, Standardvertragsklauseln (SCC) |

6.5 Google Ireland Limited (optional)

| | | |---|---| | Zweck | Authentifizierung (Google OAuth 2.0) — nur wenn der Nutzer sich aktiv für die Anmeldung mit Google entscheidet | | Anschrift | Gordon House, Barrow Street, Dublin 4, Irland | | Datenverarbeitung | EU (Irland) | | Verarbeitete Daten | Name und E-Mail-Adresse des Nutzers (nur zur Kontoidentifikation) | | Hinweis | Google OAuth ist vollständig optional. Nutzer können sich jederzeit per E-Mail/Passwort oder Magic Link anmelden. Es werden keine Audio-Aufnahmen, Transkripte, Zusammenfassungen oder sonstige Inhaltsdaten an Google übermittelt. | | Garantien | EU-US Data Privacy Framework, Standardvertragsklauseln (SCC) |

6.6 Expo, Apple und Google (optional, Mobile Push)

| | | |---|---| | Zweck | Zustellung optionaler Push-Benachrichtigungen in der Mobile App | | Dienstleister | Expo Application Services, Apple Push Notification Service (APNs), Google Firebase Cloud Messaging (FCM) | | Verarbeitete Daten | Push-Token und technische Zustellungsdaten; keine Audio-Dateien, Transkripte oder Zusammenfassungen | | Hinweis | Push-Benachrichtigungen sind optional und können auf dem Endgerät deaktiviert werden. | | Garantien | Soweit erforderlich: Angemessenheitsbeschlüsse, EU-US Data Privacy Framework und/oder Standardvertragsklauseln |

(2) Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern vorab in Textform informieren. Der Auftraggeber kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund Einspruch erheben. Erfolgt kein fristgerechter Einspruch, gilt die Änderung als genehmigt. Bei begründetem Einspruch werden die Parteien eine angemessene Lösung suchen; bleibt eine solche aus, kann der Auftraggeber den betroffenen Dienstteil kündigen.

§ 7 – Übermittlung in Drittländer

(1) Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) findet grundsätzlich nicht statt.

(2) Ausnahmen:

  • Stripe (Zahlungsabwicklung): Stripe, Inc. hat seinen Sitz in den USA, verarbeitet europäische Daten jedoch in der EU. Für den Datentransfer gelten das EU-US Data Privacy Framework und Standardvertragsklauseln.
  • Google (nur bei Google OAuth): Google Ireland Limited verarbeitet Daten in der EU. Nur bei aktiver Wahl der Google-Anmeldung durch den Nutzer.
  • Expo/Apple/Google (nur bei Mobile Push): Für technische Push-Zustellungsdaten können je nach Plattform Verarbeitungen außerhalb des EWR stattfinden. Inhaltsdaten werden nicht über den Push-Kanal übertragen.

(3) Die KI-Verarbeitung von Inhaltsdaten (Transkription, Zusammenfassung, Übersetzung und Anonymisierung) sowie die Speicherung aller Inhalts- und Nutzerdaten erfolgt ausschließlich in Deutschland und der EU.

§ 8 – Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12–22 DSGVO, insbesondere:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Nutzer können ihre Daten jederzeit über ihr Benutzerkonto einsehen, exportieren und löschen.

§ 9 – Meldepflicht bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

§ 10 – Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrages in angemessener Weise zu überprüfen.

(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen in einem angemessenen, verhältnismäßigen Umfang. Vor-Ort-Prüfungen sind rechtzeitig anzukündigen und dürfen Sicherheit, Vertraulichkeit und den Betrieb des Dienstes nicht unverhältnismäßig beeinträchtigen.

§ 11 – Laufzeit und Kündigung

Dieser Vertrag gilt für die Dauer der Nutzung des Dienstes BonusVoice. Er tritt mit der Registrierung in Kraft und endet mit der Löschung des Benutzerkontos.

§ 12 – Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Es gilt das Recht der Bundesrepublik Deutschland.

(3) Gerichtsstand ist Essen.

Stand: April 2026

Kontakt bei Fragen zum Datenschutz: info@bonusvoice.de