Auftragsverarbeitungsvertrag (AVV)

Stand: 7. Juni 2026

Dies ist die öffentliche Lesefassung. Geschäftskunden der Pläne Pro und Team nehmen den AVV verbindlich in ihrem Konto unter „AVV" an, bevor sie den Dienst nutzen.

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die Pflichten der Parteien nach Art. 28 DSGVO für den Fall, dass der Kunde (Verantwortlicher) mit dem Dienst Speechwerk personenbezogene Daten verarbeitet. Auftragsverarbeiter ist:

Semir Derici

Im Hägelich 44

74172 Neckarsulm

Deutschland

Maßgebliche Fassung dieses AVV: 2026-06-07. Eine neue Fassung macht eine erneute Annahme erforderlich.

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Erbringung des Diktat-Dienstes. Die Dauer entspricht der Laufzeit des Hauptvertrags (Nutzung des Dienstes). Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen; die Nutzung des Dienstes gilt als Weisung.

2. Art, Zweck und Umfang der Verarbeitung

Art und Zweck: Umwandlung gesprochener Sprache in Text und branchengerechte Bereinigung des Ergebnisses sowie die zur Bereitstellung erforderlichen Nebenzwecke (Authentifizierung, Nutzungsmessung, Abrechnung).

Art der Daten: Inhaltsdaten, die der Verantwortliche diktiert (flüchtig, nicht gespeichert), Konto- und Abrechnungsdaten sowie aggregierte Nutzungszähler.

Kategorien betroffener Personen: die durch den Inhalt des Diktats bestimmten Personen (z. B. Mandanten, Patienten, Geschäftspartner) sowie die Nutzer des Verantwortlichen.

3. Pflichten des Auftragsverarbeiters

Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a).
Verpflichtung der zur Verarbeitung befugten Personen auf Vertraulichkeit (lit. b).
Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 (siehe Abschnitt 4).
Unterstützung des Verantwortlichen bei Betroffenenrechten und Meldepflichten (lit. e, f).
Löschung oder Rückgabe der Daten nach Abschluss der Verarbeitung (lit. g; siehe Abschnitt 6).

4. Technische und organisatorische Maßnahmen (Art. 32)

EU-only: Transkription, Text-Bereinigung und Datenbank verarbeiten ausschließlich auf EU-Servern; die Endpunkte sind technisch fest verdrahtet.
Datensparsamkeit: Audio verlässt die EU nie und wird nur im Stream verarbeitet; weder Roh- noch bereinigter Diktat-Text wird dauerhaft gespeichert.
Verschlüsselung: Übertragung ausschließlich transportverschlüsselt (TLS); kurzlebige, zeitlich begrenzte Zugriffstoken für den Audio-Stream.
Mandantentrennung: Datenbank-seitige Zeilen-Sicherheit (Row Level Security) erzwingt, dass jeder Nutzer nur eigene Daten sieht und schreibt.
Nachweisbarkeit: AVV-Annahmen werden unveränderlich (append-only) als Nachweis protokolliert.

5. Sub-Auftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz der nachstehenden Sub-Auftragsverarbeiter. Über beabsichtigte Änderungen informiert der Auftragsverarbeiter rechtzeitig, sodass ein Widerspruch möglich ist.

Dienstleister	Zweck	Sitz / Region	Datenkategorie
Deepgram	Echtzeit-Transkription (Sprache → Text)	EU-Endpunkt api.eu.deepgram.com (AWS-EU)	Audio-Stream — flüchtig, wird nicht gespeichert
Mistral AI	KI-Textbereinigung (Persona)	EU — Paris (api.mistral.ai)	Diktat-Text — flüchtig, wird nicht gespeichert
Supabase	Authentifizierung, Datenbank, Hosting	EU — Frankfurt (AWS eu-central-1)	Konto-Daten, aggregierte Nutzungszähler, AVV-Nachweise
Stripe	Zahlungsabwicklung, Rechnungen	EU — Stripe Payments Europe Ltd., Irland (USA-Transfer via SCC/DPF)	Abrechnungsdaten — kein Audio, kein Diktat-Text (Carve-out)

6. Löschung und Rückgabe

Da Audio und Diktat-Text nicht gespeichert werden, beschränkt sich eine Löschung im Wesentlichen auf Konto- und Abrechnungsdaten sowie aggregierte Zähler. Nach Beendigung des Vertrags werden diese gelöscht, soweit keine gesetzlichen Aufbewahrungsfristen (z. B. § 147 AO, § 257 HGB) entgegenstehen. AVV-Annahmen bleiben als Nachweis des Vertragsschlusses erhalten.

7. Nachweise und Unterstützung

Der Auftragsverarbeiter stellt dem Verantwortlichen die zur Einhaltung des Art. 28 erforderlichen Informationen zur Verfügung und unterstützt ihn bei Anfragen betroffener Personen sowie bei Meldepflichten nach Art. 33/34. Anfragen richten Sie an datenschutz@speechwerk.de.