Auftragsverarbeitungsvertrag (AVV)

nach Art. 28 DSGVO — für die Nutzung der Babelfish Speech-to-Text API

1. Vertragsparteien

2. Gegenstand und Dauer der Verarbeitung

Gegenstand: Automatisierte Transkription von Audio-Dateien zu Text mittels selbstgehosteter Speech-to-Text-Modelle (Babelfish Service).

Art der Verarbeitung: Empfang, temporäre Speicherung, automatisierte Verarbeitung (Transkription), Rückgabe der Transkriptionsergebnisse.

Dauer: Für jede einzelne Audio-Datei ausschließlich für die Zeit der Verarbeitung. Audio-Daten werden unmittelbar nach erfolgter Transkription unwiderruflich gelöscht (üblicherweise innerhalb weniger Minuten nach Upload).

3. Art der personenbezogenen Daten

Folgende Datenkategorien können in den Audio-Dateien enthalten sein und werden somit verarbeitet:

• Stimmaufnahmen identifizierbarer oder identifizierbar machbarer natürlicher Personen
• Inhalt der gesprochenen Aussagen (kann beliebige personenbezogene Daten enthalten — abhängig vom Audio-Inhalt)
• Zeitstempel von Audio-Aufnahmen (sofern in Metadaten enthalten)

Die Verantwortung für die Rechtmäßigkeit der zu transkribierenden Inhalte (insbesondere Einwilligungen der aufgezeichneten Personen) liegt beim Verantwortlichen.

4. Kategorien betroffener Personen

Alle Personen, deren Stimme oder Aussagen in den vom Verantwortlichen hochgeladenen Audio-Dateien enthalten sind. Dies umfasst typischerweise: Interview-Partner, Mandanten, Patienten, Mitarbeiter, Meeting-Teilnehmer, Sprecher in Podcasts oder Vorträgen.

5. Pflichten des Auftragsverarbeiters

5.1 Verarbeitungsort

Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb Deutschlands (Hetzner Online GmbH, Standorte Falkenstein/Vogtland und Nürnberg). Eine Übermittlung in Drittländer findet nicht statt.

5.2 Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende Maßnahmen nach Art. 32 DSGVO:

• Verschlüsselung der Übertragung: TLS 1.2+ mit Forward Secrecy für alle API-Anfragen.
• Authentifizierung: API-Keys mit kryptografisch sicherer Generierung. Pro Kunde individuelle Keys, im Backend gehashed gespeichert.
• Zugriffskontrolle: Server nur über Multi-Faktor-Authentifizierung über das Tailscale-Mesh erreichbar. Keine öffentlichen SSH-Ports.
• Datenminimierung: Audio-Dateien werden ausschließlich im Arbeitsspeicher / temporär verarbeitet und nach Transkription unwiderruflich gelöscht.
• Trennung der Datenbestände: Mandantenfähige Architektur. Daten verschiedener Verantwortlicher sind logisch getrennt.
• Protokollierung: Zugriffe werden geloggt (IP, Zeitstempel, Dateigröße — kein Audio-Inhalt). Logs werden nach 30 Tagen gelöscht.
• Verfügbarkeit: Backups der Konfiguration (nicht der Audio-Daten). Wiederherstellungstests vierteljährlich.
• Updates: Sicherheits-Updates werden zeitnah eingespielt.

5.3 Verschwiegenheit

Alle Personen, die im Auftrag des Auftragsverarbeiters Daten verarbeiten, sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).

5.4 Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter sind eingebunden:

Eine Erweiterung dieser Liste wird mindestens 30 Tage vorher per E-Mail an die im Account hinterlegte Adresse mitgeteilt. Sie haben das Recht, einer solchen Erweiterung schriftlich zu widersprechen.

5.5 Mitwirkung bei Betroffenen-Rechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen Betroffener nach Art. 15-22 DSGVO. Da Audio-Daten nach Verarbeitung sofort gelöscht werden, sind Auskunfts- und Löschanfragen üblicherweise gegenstandslos. Auf Anfrage stellt der Auftragsverarbeiter eine Bestätigung der erfolgten Löschung zur Verfügung.

5.6 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (spätestens innerhalb von 24 Stunden nach Kenntnisnahme) über jede Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO.

6. Pflichten des Verantwortlichen

• Sicherstellung der Rechtmäßigkeit der zur Verarbeitung übermittelten Daten
• Einholung erforderlicher Einwilligungen der von den Aufnahmen betroffenen Personen
• Sichere Verwahrung des API-Keys
• Information dieses Auftragsverarbeiters bei Verlust/Kompromittierung des Keys

7. Vertragsende und Datenrückgabe / -löschung

Da Audio-Daten unmittelbar nach Verarbeitung gelöscht werden, befinden sich nach Vertragsende keine Audio-Daten mehr beim Auftragsverarbeiter.

Bei Account-Löschung werden Account-Metadaten (E-Mail, Verbrauchs-Statistiken) innerhalb von 14 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. handelsrechtliche §§ 257 HGB, 147 AO) entgegenstehen.

8. Kontrolle und Audits

Der Verantwortliche hat das Recht, die Einhaltung dieses Vertrags durch den Auftragsverarbeiter zu überprüfen. Audits sind mit angemessener Vorankündigung (mindestens 14 Tage) und während üblicher Geschäftszeiten zu vereinbaren. Auf Anfrage stellt der Auftragsverarbeiter geeignete Nachweise (z.B. Protokolle interner Sicherheitsaudits) zur Verfügung.

9. Haftung

Es gelten die Haftungsregeln gemäß Art. 82 DSGVO. Eine darüber hinausgehende vertragliche Haftung wird in den AGB geregelt.

10. Schlussbestimmungen

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt die gesetzliche Regelung.

Es gilt deutsches Recht. Gerichtsstand ist Marburg, soweit gesetzlich zulässig.

← zurück zu Babelfish