Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

zwischen dem Nutzer des Dienstes BonusVoice (nachfolgend „Auftraggeber") und

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-Mail: info@bonusvoice.de Telefon: 0201-89083160

(nachfolgend „Auftragnehmer")

§ 1 – Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung des Dienstes BonusVoice (KI-gestützte Transkription und Zusammenfassung von Audio-Aufnahmen).

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages. Mit Löschung des Benutzerkontos endet die Verarbeitung. Personenbezogene Daten werden innerhalb von 30 Tagen nach Kontolöschung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

§ 2 – Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung von Audio-Aufnahmen, Transkripten und Zusammenfassungen
  • KI-Verarbeitung zur Transkription (Sprache-zu-Text) und Zusammenfassung
  • Benutzerverwaltung (Kontoerstellung, Authentifizierung, Organisationszugehörigkeit)
  • E-Mail-Versand (Kontobestätigung, Benachrichtigungen, Versand von Transkripten)
  • Zahlungsabwicklung (Abonnement-Verwaltung und Rechnungsstellung)

§ 3 – Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Name und E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)
  • Organisationszugehörigkeit
  • Audio-Aufnahmen und daraus erzeugte Transkripte und Zusammenfassungen
  • Metadaten (Titel, Beschreibung, Dauer, Sprache der Aufnahmen)
  • Zahlungsdaten (verarbeitet durch Stripe, nicht beim Auftragnehmer gespeichert)
  • Server-Log-Daten (IP-Adresse, Browser, Zeitstempel)

§ 4 – Kategorien betroffener Personen

  • Registrierte Nutzer des Dienstes
  • In Audio-Aufnahmen erfasste Personen (Sprecher)

§ 5 – Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zu einer Verarbeitung verpflichtet.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.

(3) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere:

  • SSL/TLS-Verschlüsselung aller Datenübertragungen
  • Verschlüsselte Speicherung aller Audio-Dateien auf dem Object Storage
  • Verschlüsselte Speicherung von Passwörtern
  • Zugriffskontrolle und Berechtigungskonzept
  • Regelmäßige Sicherheitsupdates aller Systeme
  • Serverstandort ausschließlich in Deutschland und der EU

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.

(5) Nach Beendigung der Verarbeitung löscht der Auftragnehmer alle personenbezogenen Daten, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.

(6) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 6 – Unterauftragnehmer (Subunternehmer)

(1) Der Auftraggeber stimmt dem Einsatz der nachfolgend genannten Unterauftragnehmer zu:

6.1 Hetzner Online GmbH

| | | |---|---| | Zweck | Server-Hosting und Datei-Speicherung (Object Storage) | | Anschrift | Industriestr. 25, 91710 Gunzenhausen, Deutschland | | Serverstandort | Deutschland | | Verarbeitete Daten | Alle Nutzer- und Inhaltsdaten, Audio-Dateien, Transkripte | | AVV | Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO vorhanden |

6.2 Mistral AI

| | | |---|---| | Zweck | KI-Verarbeitung: Transkription (Voxtral-Modell) und Zusammenfassung | | Anschrift | 15 Rue des Halles, 75001 Paris, Frankreich | | Serverstandort | EU (Frankreich) | | Verarbeitete Daten | Audio-Dateien (zur Transkription), Transkripte (zur Zusammenfassung) | | Hinweis | Alle KI-Verarbeitung findet ausschließlich innerhalb der EU statt. Kein Datentransfer in Drittländer. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Zweck | E-Mail-Versand (Kontobestätigung, Benachrichtigungen, Transkript-Versand) | | Anschrift | Hauptstraße 68, 02742 Friedersdorf, Deutschland | | Serverstandort | Deutschland | | Verarbeitete Daten | E-Mail-Adresse, Name, E-Mail-Inhalte |

6.4 Stripe, Inc.

| | | |---|---| | Zweck | Zahlungsabwicklung (Kreditkarten, SEPA, Abonnement-Verwaltung) | | Anschrift | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Datenverarbeitung | EU (Stripe verarbeitet europäische Zahlungsdaten in der EU) | | Verarbeitete Daten | Zahlungsinformationen (Kreditkartendaten, SEPA-Daten). Diese werden ausschließlich von Stripe verarbeitet und nicht beim Auftragnehmer gespeichert. | | Hinweis | Stripe ist ausschließlich für die Zahlungsabwicklung zuständig. Keinerlei Audio-, Transkript- oder Inhaltsdaten werden an Stripe übermittelt. | | Garantien | EU-US Data Privacy Framework, Standardvertragsklauseln (SCC) |

6.5 Google Ireland Limited (optional)

| | | |---|---| | Zweck | Authentifizierung (Google OAuth 2.0) — nur wenn der Nutzer sich aktiv für die Anmeldung mit Google entscheidet | | Anschrift | Gordon House, Barrow Street, Dublin 4, Irland | | Datenverarbeitung | EU (Irland) | | Verarbeitete Daten | Name und E-Mail-Adresse des Nutzers (nur zur Kontoidentifikation) | | Hinweis | Google OAuth ist vollständig optional. Nutzer können sich jederzeit per E-Mail/Passwort oder Magic Link anmelden. Es werden keine Audio-Aufnahmen, Transkripte, Zusammenfassungen oder sonstige Inhaltsdaten an Google übermittelt. | | Garantien | EU-US Data Privacy Framework, Standardvertragsklauseln (SCC) |

(2) Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern informieren. Der Auftraggeber kann gegen solche Änderungen Einspruch erheben.

§ 7 – Übermittlung in Drittländer

(1) Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) findet grundsätzlich nicht statt.

(2) Ausnahmen:

  • Stripe (Zahlungsabwicklung): Stripe, Inc. hat seinen Sitz in den USA, verarbeitet europäische Daten jedoch in der EU. Für den Datentransfer gelten das EU-US Data Privacy Framework und Standardvertragsklauseln.
  • Google (nur bei Google OAuth): Google Ireland Limited verarbeitet Daten in der EU. Nur bei aktiver Wahl der Google-Anmeldung durch den Nutzer.

(3) Die KI-Verarbeitung (Transkription und Zusammenfassung) sowie die Speicherung aller Inhalts- und Nutzerdaten erfolgt ausschließlich in Deutschland und der EU.

§ 8 – Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12–22 DSGVO, insbesondere:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Nutzer können ihre Daten jederzeit über ihr Benutzerkonto einsehen, exportieren und löschen.

§ 9 – Meldepflicht bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

§ 10 – Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrages in angemessener Weise zu überprüfen.

(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.

§ 11 – Laufzeit und Kündigung

Dieser Vertrag gilt für die Dauer der Nutzung des Dienstes BonusVoice. Er tritt mit der Registrierung in Kraft und endet mit der Löschung des Benutzerkontos.

§ 12 – Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Es gilt das Recht der Bundesrepublik Deutschland.

(3) Gerichtsstand ist Essen.

Stand: März 2026

Kontakt bei Fragen zum Datenschutz: info@bonusvoice.de