← Startseite
Auftragsverarbeitungsvertrag (AVV)
nach Art. 28 DSGVO · Stand: 30. Mai 2026
1. Zweck dieses Dokuments
Sofern Sie als Sachverständige:r, Praxis, Kanzlei oder anderes Unternehmen unseren Dienst Babelfish nutzen, um Audio-Aufnahmen (Diktate, Aufzeichnungen) zu transkribieren, verarbeiten wir dabei für Sie personenbezogene Daten Dritter im Sinne von Art. 4 Nr. 2 DSGVO. Dies erfordert einen schriftlichen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
2. Parteien
Auftragsverarbeiter (wir):
EBC-Marburg GmbH
Geschäftsführer: Patrick Falk
Weidenhäuser Straße 60, 35037 Marburg
HRB 7636, AG Marburg · USt-Id DE337512471
E-Mail: info@kreislauftechnik.de
Verantwortliche:r (Sie): Wird im Vertragsabschluss konkretisiert (Firma, GF, Anschrift).
3. Gegenstand und Dauer der Verarbeitung
Gegenstand: Spracherkennung (Speech-to-Text) und optionale KI-gestützte Nachbearbeitung von Audio-Aufnahmen, die der/die Auftraggeber:in hochlädt oder per E-Mail einsendet.
Dauer: Auf unbestimmte Zeit, gekoppelt an die Laufzeit des zugrundeliegenden Hauptvertrags (Self-Service-API: solange ein gültiges Stripe-Abonnement besteht; Pipeline-Tarife: laut Einzelvertrag).
4. Art und Zweck der Datenverarbeitung
- Transkription von Audio-Dateien (DS2, DSS, MP3, WAV, M4A, OGG, FLAC, Video-Files)
- Optional: KI-Korrektur und Fachvokabular-Auswertung mit branchenspezifischem Glossar
- Optional: Mapping in Word-Vorlagen (Template-Slots) und Konvertierung in DOCX, PDF, TXT, JSON
- Rückgabe der Ergebnisse per API-Response, E-Mail-Versand oder Speicherung im Customer-Bereich (nur bei Pipeline-Tarifen)
Zweck: Bereitstellung der vertraglich geschuldeten Dienstleistung. Wir nutzen die Daten ausschließlich, um den Auftrag durchzuführen, nicht zu eigenen Zwecken, nicht zu Trainings- oder Werbezwecken.
5. Art der Daten und Kategorien betroffener Personen
Datenarten:
- Audio-Aufnahmen (Sprachdiktate)
- Daraus extrahierte Transkripte (inklusive aller darin erwähnten personenbezogenen Informationen)
- Falls in den Audios enthalten: besondere Kategorien gem. Art. 9 DSGVO möglich (z.B. Gesundheitsdaten bei Praxis-Befunden, sozial-/strafrechtlich relevante Daten bei Anwaltskanzleien) — siehe Punkt 11
- Metadaten (Zeitstempel, Dateigröße, Dauer)
Betroffene Personen: Mandant:innen, Patient:innen, Zeug:innen, Sachverständige selbst, weitere im Diktat erwähnte natürliche Personen.
6. Pflichten des Auftragsverarbeiters
- Verarbeitung der Daten ausschließlich nach dokumentierten Weisungen der/des Verantwortlichen (Standard-Weisung: Transkription des hochgeladenen Materials).
- Verschwiegenheits-Verpflichtung aller mit der Datenverarbeitung befassten Personen (alle Senior-Mitarbeiter:innen gem. Art. 28 Abs. 3 lit. b DSGVO).
- Umsetzung der technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO — siehe Anhang.
- Unterstützung der/des Verantwortlichen bei Betroffenenrechten, Sicherheitsvorfällen, DSFA und Behördenanfragen.
- Meldung von Datenschutzvorfällen unverzüglich (in der Regel binnen 24 Stunden ab Kenntnis).
- Nach Vertragsbeendigung: Löschung oder Rückgabe aller verarbeiteten Daten nach Wahl der/des Verantwortlichen.
7. Standard: Sofortige Audio-Löschung
Audio-Dateien werden standardmäßig sofort nach erfolgreicher Transkription gelöscht. Speicherung der Audio-Datei ist kein Bestandteil unseres Dienstes. Transkripte werden für 30 Tage im Customer-Bereich vorgehalten (nur Pipeline-Tarife), danach automatisch entfernt. Sie können Transkripte jederzeit manuell löschen.
8. Hosting und Unterauftragsverarbeiter
Die gesamte Verarbeitung erfolgt ausschließlich auf Servern in Deutschland:
- Server-Hosting: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (Server-Standort: Falkenstein und Nürnberg, beide DE).
- Compute-Cluster: Eigene aufgearbeitete Hardware in unserer Werkstatt in Marburg.
- Domain & E-Mail: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland.
- Zahlungsabwicklung (Self-Service-API): Stripe Payments Europe Ltd., Dublin, Irland (verarbeitet ausschließlich Zahlungsdaten, KEINE Inhaltsdaten).
Keine Übermittlung in die USA. Keine Nutzung von OpenAI, Google Cloud, AWS, Azure oder anderen US-Diensten für die Inhaltsverarbeitung. Kein Training von KI-Modellen mit Ihren Daten.
Änderungen bei Unterauftragsverarbeitern werden Ihnen mindestens 30 Tage vorher angekündigt. Sie haben ein Widerspruchsrecht.
9. Technische und organisatorische Maßnahmen (TOM)
Auszüge:
- TLS 1.3 für alle Datenübertragungen (HTTPS)
- Verschlüsselung at-rest auf Server-Festplatten (LUKS)
- API-Key-basierte Authentifizierung pro Kunde, individuell widerrufbar
- Mandantentrennung: jeder Account hat eigenen Datenraum, keine cross-tenant Zugriffe
- Regelmäßige Sicherheits-Updates und Patches
- Zugangskontrolle: Server-Zugriff nur für autorisierte Senior-Mitarbeiter:innen via SSH-Key
- Backup-Strategie: tagliche verschlüsselte Backups in einem zweiten deutschen Rechenzentrum, 30 Tage Aufbewahrung
- Audit-Logs für alle administrativen Zugriffe
- Notfallplan bei Sicherheitsvorfällen mit definierten Eskalationsstufen
Eine ausführliche TOM-Liste ist auf Anfrage erhältlich.
10. Pflichten der/des Verantwortlichen
- Sie sind verantwortlich für die rechtmäßige Erhebung und Weitergabe der Daten an uns (Einwilligungen, Aufklärung Ihrer Mandant:innen / Patient:innen).
- Sie tragen die Pflicht, die Rechtsgrundlage für die Verarbeitung sicherzustellen (Art. 6 / Art. 9 DSGVO).
- Sie dürfen unsere Schnittstelle nicht missbrauchen (z.B. für illegale Inhalte).
11. Besondere Kategorien (Art. 9 DSGVO)
Wir sind uns bewusst, dass insbesondere bei Praxen (Gesundheitsdaten) und Kanzleien (sozial-/strafrechtliche Daten) besondere Kategorien personenbezogener Daten verarbeitet werden. Für diese gelten erhöhte Anforderungen:
- Ende-zu-Ende Verschlüsselung der Audio-Uploads (TLS 1.3 + Server-Side LUKS)
- Berufsgeheimnis-konforme Verarbeitung gem. § 203 StGB (Berufsgeheimnisträger und Gehilf:innen)
- BRAO-konform für Anwält:innen (§ 43a Abs. 2 BRAO Verschwiegenheit, § 49b BRAO)
- Alle mit der Verarbeitung befassten Senior-Mitarbeiter:innen unterliegen einer ausdrücklichen Verschwiegenheitsverpflichtung
Bei Pipeline-Tarifen mit besonders sensiblen Daten schließen wir auf Wunsch eine erweiterte Verschwiegenheits- und Berufsgeheimnisvereinbarung nach Einzelfall ab.
12. Kontrollrechte und Audits
Sie haben das Recht, die Einhaltung dieser Vereinbarung jederzeit zu kontrollieren. Auf schriftliche Anfrage führen wir einmal pro Vertragsjahr ein kostenfreies Audit durch (per Video-Call oder vor Ort in Marburg). Weitere Audits werden mit dem üblichen Stundensatz vereinbart.
13. Haftung und Vergütung
Es gilt die Haftungsbeschränkung des Hauptvertrags. Die Pflichten aus diesem AVV sind durch die Vergütung des Hauptvertrags abgegolten, sofern nicht ausdrücklich anders vereinbart.
14. Schlussbestimmungen
Es gilt deutsches Recht. Gerichtsstand ist Marburg. Änderungen bedürfen der Schriftform (auch Textform per E-Mail). Sollten einzelne Bestimmungen unwirksam sein, bleibt der Rest unberührt.
📄 Vertrag abschließen
Für Self-Service-API-Kunden (Free, Pay-per-Use, Starter, Pro):
Dieser AVV gilt mit Vertragsschluss automatisch (Akzeptanz durch API-Nutzung). Auf Wunsch senden wir Ihnen eine schriftliche Ausfertigung per E-Mail an Ihre registrierte Adresse zu.
Für Pipeline-Kunden (Lite, Professional, Business, Enterprise):
Wir senden Ihnen den AVV im Onboarding als unterschriftsreifes PDF zu und schließen ihn vor Aufnahme der Datenverarbeitung ab.
📬 Anfrage AVV: info@kreislauftechnik.de