1. Geltung, Rollen und Definitionen

1.1 Dieser Auftragsverarbeitungsvertrag ("AVV" oder "DPA") konkretisiert die datenschutzrechtlichen Pflichten der Parteien, soweit der Contractor personenbezogene Daten im Auftrag des Clients im Zusammenhang mit der Bereitstellung und Nutzung von Oxolo verarbeitet.

Dieser AVV gilt ausschließlich für B2B-Verhältnisse. Eine Nutzung der Oxolo-Software durch natürliche Personen ausschließlich zu persönlichen oder familiären Zwecken im Sinne von Art. 2 Abs. 2 lit. c DSGVO ist vom Leistungsangebot des Contractors nicht umfasst; ein AVV-Schluss ist mit solchen Personen ausgeschlossen.

1.2 Im Falle eines Widerspruchs zwischen diesem AVV und den AGB für Oxolo, einem Angebot, einer Order Form oder einem sonstigen Nutzungsvertrag hat dieser AVV in Bezug auf Auftragsverarbeitung und Datenschutzpflichten Vorrang.

1.3 Der Client ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für personenbezogene Daten, deren Zwecke und Mittel der Verarbeitung er bestimmt und die über Oxolo verarbeitet werden. Der Contractor ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, soweit er diese personenbezogenen Daten im Auftrag des Clients verarbeitet.

Soweit der Contractor personenbezogene Daten für eigene Zwecke verarbeitet, etwa zur Vertragsverwaltung, Abrechnung, Produktsicherheit, Missbrauchsverhinderung, eigenen Compliance-Zwecken, gesetzlichen Nachweispflichten oder aggregierten/anonymisierten Analysen, handelt der Contractor als eigenständiger Verantwortlicher. Diese eigenständige Verarbeitung ist nicht Gegenstand dieses AVV.

1.4 Für diesen AVV gelten die Begriffsbestimmungen der DSGVO. Ergänzend gelten die folgenden Begriffe:

• "Client": Die natürliche oder juristische Person oder Personengesellschaft, die Oxolo auf Grundlage der AGB für Oxolo oder eines sonstigen Nutzungsvertrags in geschäftlicher Eigenschaft nutzt oder nutzen möchte. Der Client ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.

• "Contractor": Oxolo GmbH, Bohnenstrasse 2, 20457 Hamburg, Deutschland. Der Contractor ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, soweit er Client Personal Data im Auftrag des Clients verarbeitet.

• "Nutzungsvertrag": Der zwischen Client und Contractor geschlossene Vertrag über die Nutzung von Oxolo, einschließlich der AGB für Oxolo, eines Angebots, einer Order Form oder sonstiger Vertragsdokumente.

• "Parteien": Gemeinsame Bezeichnung für Client und Contractor.

• "Oxolo" / "Services": Die Softwarelösung des Contractors für digitale Projekt-, Einsatz-, Baustellen- und Felddokumentation, einschließlich der jeweils gebuchten, aktivierten oder technisch bereitgestellten Funktionen.

• "Client Input": Alle Inhalte und Daten, die der Client oder dessen Nutzer in Oxolo eingeben, hochladen, aufzeichnen, erfassen, erzeugen, verbinden, synchronisieren oder dem Contractor anderweitig zur Verarbeitung im Rahmen von Oxolo bereitstellen.

• "Client Output": Inhalte, Berichte, Transkripte, Zusammenfassungen, Aufgaben, Analysen, Labels, Übersetzungen, Projektdokumentation und sonstige Ergebnisse, die Oxolo auf Grundlage des Client Input im Auftrag des Clients erzeugt oder strukturiert.

• "Client Personal Data": Personenbezogene Daten, die Bestandteil von Client Input oder Client Output sind oder im Zusammenhang mit der Nutzung von Oxolo im Auftrag des Clients verarbeitet werden.

• "Nutzer": Natürliche Personen, die vom Client zur Nutzung von Oxolo autorisiert werden, insbesondere Mitarbeiter, Vertreter, Auftragnehmer, Administratoren oder sonstige berechtigte Personen des Clients.

• "Stimmprofil" / "Voiceprint": Ein biometrisches Muster oder eine sonstige technische Repräsentation einer Stimme, die zur Sprechererkennung oder Sprecheridentifikation verwendet werden kann.

• "Unterauftragsverarbeiter": Jeder weitere Auftragsverarbeiter, den der Contractor zur Verarbeitung von Client Personal Data im Rahmen von Oxolo einsetzt.

2. Gegenstand und Dauer des Auftrags

2.1 Gegenstand dieses AVV ist die Verarbeitung von Client Personal Data durch den Contractor zur Bereitstellung von Oxolo als Softwarelösung für digitale Projekt-, Einsatz-, Baustellen- und Felddokumentation. Die Verarbeitung umfasst insbesondere, soweit vom Client gebucht, aktiviert oder genutzt:

• Erfassung, Upload, Speicherung, Strukturierung, Analyse, Übersetzung und Darstellung von Projekt-, Einsatz-, Feld- und Baustellendaten;

• Audioaufzeichnung oder Upload von Audioinhalten;

• automatisierte Transkription;

• Sprecherzuordnung und, soweit aktiviert, sprachprofilgestützte Sprecheridentifikation;

• Verarbeitung von Fotos, Videos, Signaturen, Nachweisdateien und zugehörigen Metadaten;

• Erstellung von Berichten, Protokollen und sonstiger Projektdokumentation, einschließlich PDF-, DOCX- und sonstiger Ausgabeformate, soweit unterstützt;

• Extraktion und Strukturierung von Aufgaben, Nachträgen, Verzögerungen, Labels und weiteren Projektsignalen;

• Teamkollaboration, Einladungen, Rollen- und Berechtigungsverwaltung, Freigaben, tokenisierte Links und externe Zugriffs-Workflows;

• Audit-Trail-, Sicherheits- und Systemprotokollierung im jeweils technisch vorhandenen Umfang;

• Konto-, Abo-, Abrechnungs-, Support- und Servicebetriebsprozesse, soweit diese Verarbeitung im Auftrag des Clients erfolgt;

• optionaler WhatsApp-Begleitkanal für Inbound-/Outbound-Kommunikation und Medienverarbeitung, soweit aktiviert.

2.2 Dieser AVV wird zusammen mit dem Nutzungsvertrag geschlossen. Seine Laufzeit entspricht der Laufzeit des Nutzungsvertrags. Die Pflichten aus diesem AVV bestehen nach Beendigung des Nutzungsvertrags fort, solange der Contractor Client Personal Data nicht gemäß diesem AVV zurückgegeben, gelöscht, anonymisiert oder anderweitig datenschutzkonform vernichtet hat.

2.3 Der Contractor verarbeitet Client Personal Data ausschließlich auf dokumentierte Weisung des Clients, soweit nicht eine gesetzliche Pflicht des Contractors eine Verarbeitung erfordert. Die dokumentierten Weisungen ergeben sich aus diesem AVV, dem Nutzungsvertrag, der Nutzung und Konfiguration von Oxolo durch den Client sowie zulässigen Einzelweisungen des Clients.

2.4 Der Client bleibt allein verantwortlich für die Rechtmäßigkeit der dem Contractor bereitgestellten personenbezogenen Daten sowie dafür, dass Erhebung, Offenlegung und weitere Verarbeitung dieser Daten durch den Contractor gemäß den dokumentierten Weisungen des Clients mit dem anwendbaren Datenschutzrecht vereinbar sind. Dies umfasst insbesondere:

• die Rechtmäßigkeit der Erhebung, Offenlegung und Übermittlung von Client Personal Data an den Contractor;

• die Rechtmäßigkeit der Verarbeitung von Client Personal Data durch den Contractor nach Weisung des Clients;

• die Einhaltung von Transparenzpflichten gegenüber betroffenen Personen;

• die Einholung von Einwilligungen, soweit diese erforderlich sind;

• die Durchführung einer Datenschutz-Folgenabschätzung, soweit sie nach Art. 35 DSGVO erforderlich ist;

• die Bewertung, ob Oxolo für die jeweilige Nutzung und die jeweiligen Daten ein angemessenes Schutzniveau bietet.

2.5 Den Parteien ist bekannt, dass Oxolo eine optionale Funktion zur sprachprofilgestützten Sprecheridentifikation ("Voiceprints") bereitstellt. Voiceprints sind biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person und damit besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO, soweit sie zur eindeutigen Identifizierung verwendet werden oder verwendet werden können. Voiceprints werden organisationsbezogen isoliert verarbeitet; eine organisationsübergreifende Sprechererkennung oder ein organisationsübergreifender Voiceprint-Abgleich findet nicht statt.

Soweit der Client diese Funktion aktiviert, durch seine Nutzer aktivieren lässt oder durch seine Nutzung von Oxolo eine entsprechende Verarbeitung auslöst, weist er den Contractor an, Voiceprints im Rahmen der dokumentierten Weisungen und der produktspezifischen Parameter von Oxolo zu verarbeiten.

Der Client ist allein dafür verantwortlich, vor der Verarbeitung biometrischer Daten eine geeignete Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und eine Ausnahme bzw. Erlaubnis nach Art. 9 Abs. 2 DSGVO sicherzustellen, insbesondere die ausdrückliche Einwilligung der betroffenen Personen gemäß Art. 9 Abs. 2 lit. a DSGVO einzuholen oder eine andere geeignete Erlaubnisnorm vorzuhalten, sowie die nach Art. 13/14 DSGVO erforderlichen Informationen bereitzustellen. Dies gilt für jeden Sprecher, der durch die Funktion erfasst werden kann, also auch für Dritte, deren Stimme im Rahmen einer Aufnahme erfasst wird, nicht nur für Mitarbeiter des Clients.

Der Client muss die Nutzung von Stimmprofilen / Voiceprints unterlassen, deaktivieren oder organisatorisch vermeiden, soweit er die erforderliche Transparenz, Rechtsgrundlage, Einwilligung oder sonstige datenschutzrechtliche Voraussetzung nicht sicherstellen kann.

2.6 Den Parteien ist bekannt, dass Oxolo eine automatische Sprecheridentifikation enthält, die organisationsseitig standardmäßig aktiviert ist und durch den Organisationsinhaber organisationsweit deaktiviert werden kann. Bei dieser Funktion werden unbekannte Sprecher automatisch als Identitäten mit einem anonymisierten Platzhalterlabel (z. B. „Speaker b74bj73") angelegt; eine spätere Benennung erfolgt durch berechtigte Nutzer des Clients. Soweit der Client diese Funktion aktiviert lässt oder durch seine Nutzer aktivieren lässt, darf er sie nur nutzen, wenn er vorab die erforderliche Rechtsgrundlage, Transparenz und, soweit erforderlich, ausdrückliche Einwilligung aller betroffenen Personen sichergestellt hat. Der Client kann die automatische Erfassung organisationsseitig deaktivieren.

2.7 Über Voiceprints hinaus sind weitere besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO nicht primär zur Verarbeitung vorgesehen. Gleichwohl können Audioaufnahmen, Fotos, Videos, Transkripte, Signaturen oder Projektinhalte je nach vom Client bereitgestelltem Inhalt besondere Kategorien personenbezogener Daten enthalten oder offenbaren, etwa Gesundheitsdaten, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugungen oder andere sensible Informationen.

Der Client ist für die Rechtmäßigkeit dieser Verarbeitung verantwortlich und muss insbesondere Transparenz, Rechtsgrundlage, Einwilligungen und Schutzmaßnahmen sicherstellen. Der Contractor darf die Verarbeitung aussetzen, soweit dies zur Einhaltung des anwendbaren Rechts erforderlich ist.

3. Konkretisierung des Auftragsinhalts, Verarbeitungsorte und Drittlandtransfers

3.1 Die Verarbeitung umfasst je nach Nutzung und Konfiguration von Oxolo insbesondere Erheben, Erfassen, Aufzeichnen, Hochladen, Speichern, Ordnen, Strukturieren, Abfragen, Anzeigen, Kategorisieren, Umwandeln, Transkribieren, Analysieren, Zusammenfassen, Übersetzen, Bereitstellen, Übermitteln an autorisierte Empfänger, Offenlegen gegenüber autorisierten Unterauftragsverarbeitern, Anonymisieren, Einschränken, Löschen und Vernichten von Client Personal Data.

3.2 Der Zweck der Verarbeitung ist die Bereitstellung, der Betrieb, die Wartung, Sicherung und Unterstützung von Oxolo nach Maßgabe des Nutzungsvertrags und der dokumentierten Weisungen des Clients. Die Zwecke sind in Anlage 1 weiter konkretisiert.

3.3 Die Kategorien personenbezogener Daten ergeben sich insbesondere aus Anlage 1. Der Client bestimmt durch seine Nutzung, Konfiguration, Nutzerberechtigungen und bereitgestellten Inhalte, welche personenbezogenen Daten konkret verarbeitet werden.

3.4 Die Kategorien betroffener Personen ergeben sich insbesondere aus Anlage 1. Sie können insbesondere Nutzer des Clients, Mitarbeiter, Auftragnehmer, Subunternehmer, Projektbeteiligte, Kunden, Lieferanten, Besucher, Berichtsempfänger, Personen in Audioaufnahmen, Personen in Fotos oder Videos sowie Unterzeichner von Signaturen umfassen.

3.5 Der Contractor verarbeitet Client Personal Data primär innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Die zentrale Infrastruktur wird in der EU betrieben, insbesondere AWS-Region eu-west-1 (Irland), Supabase-Projektregion eu-west-1 (Irland), RDS-Region für die Transcript-Embedding-Datenbank eu-west-1 (Irland), Sentry-Instanz Deutschland und PostHog-Instanz EU.

Verarbeitungen und/oder Übermittlungen in Drittländer können erfolgen, soweit dies zur Erbringung von Oxolo erforderlich ist, insbesondere durch Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter mit Drittlandbezug.

3.6 Den Parteien ist bekannt, dass für die nachgelagerte Diarisierungs-/Batch-Verarbeitung von Audioaufnahmen der API-Endpoint des Unterauftragsverarbeiters AssemblyAI in den USA genutzt wird (api.assemblyai.com/v2). Der Echtzeit-/Streaming-Endpoint von AssemblyAI verbleibt hingegen in der EU. Die Übermittlung an den US-Endpoint erfolgt auf Grundlage geeigneter Garantien gemäß Kapitel V DSGVO, insbesondere des EU-US Data Privacy Framework (DPF), soweit zertifiziert, und/oder der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) zwischen Contractor und AssemblyAI. Der Contractor setzt erforderlichenfalls ergänzende Maßnahmen um.

3.7 Drittlandübermittlungen erfolgen nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind und ein geeigneter Übermittlungsmechanismus Anwendung findet, insbesondere ein Angemessenheitsbeschluss, das EU-U.S. Data Privacy Framework, die EU-Standardvertragsklauseln oder andere geeignete Garantien. Soweit erforderlich, setzt der Contractor ergänzende Maßnahmen unter Berücksichtigung von Art, Umfang, Zweck und Risiko der Übermittlung um. Der Client stimmt hiermit der Verlagerung einzelner Verarbeitungsvorgänge in die in Anlage 3 genannten Drittländer zu, soweit dies zur Leistungserbringung erforderlich ist und ein zulässiger Transfermechanismus besteht.

3.8 Von Nutzern hochgeladene Bilddateien (Beweisfotos, Projektbilder, Profilbilder) können eingebettete EXIF-/GPS-/Geräte-Metadaten enthalten, etwa Geokoordinaten, Aufnahmezeitpunkt, Gerätemodell, Kamera-/App-Informationen und vergleichbare Metadaten. Diese Metadaten werden nicht entfernt. Der Client ist für die Information seiner Nutzer und gegebenenfalls für entsprechende Hinweise gegenüber Dritten verantwortlich.

4. Technische und organisatorische Maßnahmen

4.1 Der Contractor trifft technische und organisatorische Maßnahmen gemäß Art. 28 Abs. 3 lit. c und Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für Client Personal Data zu gewährleisten. Die Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für Rechte und Freiheiten natürlicher Personen.

4.2 Die konkret dokumentierten technischen und organisatorischen Maßnahmen sind in Anlage 2 beschrieben. Der Client akzeptiert diese Maßnahmen als Grundlage der Verarbeitung. Zum Nachweis kann der Contractor insbesondere den jeweils aktuellen SOC-2-Bericht, interne Sicherheitsdokumentation in angemessen zusammengefasster oder geschwärzter Form, aktuelle Zertifikate, Sicherheitsberichte, Berichtsauszüge unabhängiger Stellen, technische Dokumentationen, Datenschutzberichte oder vergleichbare Nachweise vorlegen.

4.3 Die technischen und organisatorischen Maßnahmen unterliegen technischer Weiterentwicklung. Der Contractor darf alternative oder geänderte Maßnahmen umsetzen, sofern das vertraglich vereinbarte Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.

5. Weisungen des Clients

5.1 Der Client weist den Contractor an, Client Personal Data zu verarbeiten, soweit dies erforderlich ist, um Oxolo gemäß dem Nutzungsvertrag, diesem AVV, der vom Client gewählten Konfiguration und den vom Client aktivierten Funktionen bereitzustellen.

5.2 Der Client kann Einzelweisungen in Textform erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Weisungen, die über den vertraglich vereinbarten Leistungsumfang, die Standardfunktionen von Oxolo oder gesetzliche Anforderungen hinausgehen, können vom Contractor von einer angemessenen Vergütung abhängig gemacht werden.

5.3 Der Contractor informiert den Client unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstößt. Der Contractor darf die Durchführung der betreffenden Weisung aussetzen, bis der Client sie bestätigt, ändert oder zurücknimmt.

6. Pflichten des Contractors

6.1 Der Contractor stellt sicher, dass Personen, die zur Verarbeitung von Client Personal Data befugt sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtung besteht auch nach Beendigung der Tätigkeit fort.

6.2 Der Contractor verarbeitet Client Personal Data nur zur Erbringung von Oxolo und der damit verbundenen Leistungen gemäß Nutzungsvertrag, diesem AVV und dokumentierten Weisungen des Clients. Der Contractor darf Client Personal Data nicht zu anderen Zwecken verwenden und nicht an Dritte weitergeben, außer an genehmigte Unterauftragsverarbeiter gemäß Ziffer 8 und Anlage 3 oder soweit gesetzlich erforderlich.

6.3 Der Contractor verwendet Client Personal Data nicht zum Training eigener allgemeiner KI-Modelle. Der Contractor verwendet Client Personal Data zudem nicht zum Training der von ihm eingesetzten Large Language Models von Drittanbietern, soweit dies nach den jeweiligen Produkt- und Vertragsbedingungen dieser Drittanbieter ausgeschlossen ist. Soweit Oxolo KI-Funktionen oder KI-Unterauftragsverarbeiter einsetzt, erfolgt die Verarbeitung nur innerhalb des Serviceumfangs und nach Maßgabe dieses AVV. Eine Nutzung von Client Personal Data zur Produktverbesserung, Qualitätssicherung oder Weiterentwicklung von Algorithmen findet nur statt, soweit der Client die entsprechende Systemeinstellung im Sinne der AGB für Oxolo (Ziffer 10.2) ausdrücklich aktiviert hat. Eine etwaige Aktivierung berührt das Verbot des Trainings eigener allgemeiner KI-Modelle und das Verbot des Drittanbieter-LLM-Trainings nach den vorstehenden Sätzen nicht.

6.4 Der Contractor unterstützt den Client unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen in angemessenem Umfang bei der Einhaltung seiner Pflichten gemäß Art. 32 bis 36 DSGVO, soweit die Unterstützung die Verarbeitung von Client Personal Data nach diesem AVV betrifft und der Aufwand des Contractors nicht unverhältnismäßig ist.

6.5 Wird der Contractor durch eine Aufsichtsbehörde, einen Strafverfolger oder eine andere staatliche Stelle aufgefordert, personenbezogene Daten des Clients herauszugeben oder offen zu legen, informiert er den Client - soweit gesetzlich zulässig - unverzüglich vor der Herausgabe und prüft mit der gebotenen Sorgfalt die Rechtmäßigkeit der Aufforderung.

7. Betroffenenrechte, Berichtigung, Einschränkung und Löschung

7.1 Der Contractor berichtigt, löscht oder beschränkt Client Personal Data nicht eigenmächtig, sondern nur auf dokumentierte Weisung des Clients, soweit nicht der Nutzungsvertrag, die Standardfunktionen von Oxolo, gesetzliche Pflichten oder dieser AVV etwas anderes vorsehen.

7.2 Wendet sich eine betroffene Person unmittelbar an den Contractor, um Rechte nach Art. 12 bis 23 DSGVO in Bezug auf Client Personal Data geltend zu machen, leitet der Contractor das Ersuchen unverzüglich an den Client weiter, soweit eine Zuordnung möglich und rechtlich zulässig ist. Der Contractor beantwortet solche Ersuchen nicht selbst, es sei denn, er ist gesetzlich dazu verpflichtet oder der Client weist ihn hierzu an.

7.3 Der Contractor unterstützt den Client in angemessenem Umfang durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Betroffenenrechten. Nicht standardisierte Unterstützungsleistungen können angemessen vergütet werden, soweit sie nicht auf einem Pflichtverstoß des Contractors beruhen. Der Client richtet entsprechende Ersuchen an gdpr@oxolo.com oder eine im Nutzungsvertrag benannte Datenschutzkontaktstelle des Contractors.

7.4 Den Parteien ist bekannt, dass die Löschung eines Stimmprofils / Voiceprints das biometrische Template sowie das zugehörige S3-Audioobjekt entfernt, soweit dieses speziell für das Stimmprofil verwendet wird. Historische Transkripte werden dadurch nicht automatisch gelöscht oder anonymisiert und können den zum Zeitpunkt der Aufnahme verwendeten Sprechernamen weiterhin enthalten. 

Die Löschung eines Voiceprints erfolgt insbesondere, wenn (i) ein Nutzer den eigenen Voiceprint über die App löscht, (ii) ein Nutzer aus einer Organisation entfernt wird, (iii) der Account gelöscht oder archiviert wird, (iv) der Organisationsinhaber eine Identität über die Einstellungen löscht oder (v) ein Sprecher als „Rauschen" / „Noise" markiert wird; auf Einzelfallweisung des Clients hin löscht der Contractor Voiceprints zusätzlich, sofern dies technisch möglich und nicht gesetzlich anders vorgeschrieben ist.

Der Client bleibt Verantwortlicher für die Entscheidung, ob und wann historische Transkripte, Aufzeichnungen oder daraus abgeleitete Inhalte gelöscht, berichtigt, eingeschränkt oder anonymisiert werden müssen.

8. Unterauftragsverarbeiter

8.1 Der Client genehmigt den Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter für die dort beschriebenen Zwecke. Voraussetzung ist eine vertragliche Vereinbarung zwischen dem Contractor und dem jeweiligen Unterauftragsverarbeiter nach Maßgabe von Art. 28 Abs. 2 bis 4 DSGVO.

8.2 Der Client erteilt dem Contractor eine allgemeine Genehmigung, weitere Unterauftragsverarbeiter einzusetzen oder bestehende Unterauftragsverarbeiter zu ersetzen, sofern die Anforderungen dieses § 8 eingehalten werden.

8.3 Der Contractor informiert den Client mindestens dreißig (30) Tage vor dem Einsatz eines neuen oder ersetzenden Unterauftragsverarbeiters oder vor einer wesentlichen Änderung bezüglich bestehender Unterauftragsverarbeiter. Die Information erfolgt in Textform an die im Nutzungsvertrag hinterlegte Kontakt-E-Mail des Clients und/oder durch Aktualisierung einer Subprozessor-Liste auf der Website oder im Produkt.

8.4 Der Client kann innerhalb der Mitteilungsfrist aus dokumentierten, objektiven datenschutzrechtlichen Gründen widersprechen. Allgemeine kommerzielle, wettbewerbliche oder nicht datenschutzbezogene Gründe reichen nicht aus. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Änderung als genehmigt.

Im Falle eines berechtigten Widerspruchs arbeiten die Parteien nach Treu und Glauben zusammen, um den Einwand zu adressieren, insbesondere durch zusätzliche Schutzmaßnahmen, Erläuterungen, technische Konfigurationen oder eine angemessene Alternative, soweit verfügbar. Kann der Einwand nicht angemessen gelöst werden und ist der betreffende Unterauftragsverarbeiter für einen abgrenzbaren Teil von Oxolo erforderlich, kann der Client den betroffenen Teil der Services kündigen, soweit dieser Teil abtrennbar ist. Ist eine Abtrennung nicht möglich oder für den Contractor unzumutbar, ist der Contractor berechtigt, den Nutzungsvertrag mit angemessener Frist zu beenden.

8.5 Der Contractor schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der die Anforderungen von Art. 28 Abs. 4 DSGVO erfüllt und den Unterauftragsverarbeiter zu Datenschutz- und Sicherheitsanforderungen verpflichtet, die den Anforderungen dieses AVV im Wesentlichen entsprechen. Der Contractor haftet gegenüber dem Client für die Erfüllung der Datenschutzpflichten durch Unterauftragsverarbeiter nach Maßgabe von Art. 28 DSGVO und dem Nutzungsvertrag.

9. Kontroll- und Auditrechte

9.1 Der Contractor stellt dem Client auf Anfrage die erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten aus Art. 28 DSGVO und diesem AVV nachzuweisen. Der Nachweis kann insbesondere durch aktuelle Zertifikate, Sicherheitsberichte, Auszüge aus Audits, technische Dokumentationen, Datenschutzberichte oder vergleichbare Nachweise erbracht werden.

9.2 Der Client kann Audits selbst oder durch einen unabhängigen, zur Vertraulichkeit verpflichteten Prüfer durchführen lassen, sofern der Prüfer kein Wettbewerber des Contractors ist. Audits sind mindestens dreißig (30) Tage vorher in Textform anzukündigen, dürfen nur während üblicher Geschäftszeiten stattfinden und dürfen den Geschäftsbetrieb des Contractors nicht unangemessen beeinträchtigen.

Reguläre Audits sind auf einmal pro Kalenderjahr und grundsätzlich auf einen Werktag beschränkt. Anlassbezogene Audits sind bei berechtigtem Anlass zulässig, insbesondere bei einem konkreten Verdacht einer wesentlichen Datenschutzverletzung oder bei begründeter behördlicher Anfrage.

9.3 Der Contractor kann für Audits und Unterstützungsleistungen eine angemessene Vergütung verlangen, soweit das Audit nicht durch einen vom Contractor zu vertretenden Pflichtverstoß veranlasst wurde.

10. Unterstützung bei Sicherheit, Datenschutzverletzungen und Datenschutz-Folgenabschätzung

10.1 Der Contractor unterstützt den Client in angemessenem Umfang bei der Einhaltung von Pflichten nach Art. 32 bis 36 DSGVO, soweit die Unterstützung die Verarbeitung von Client Personal Data nach diesem AVV betrifft. Dies umfasst insbesondere angemessene Unterstützung bei Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Benachrichtigung betroffener Personen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden.

10.2 Der Contractor informiert den Client unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, soweit diese Client Personal Data betrifft, die unter diesem AVV verarbeitet werden. Die Mitteilung erfolgt an die im Nutzungsvertrag angegebene Kontakt-E-Mail des Clients und enthält die nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen, soweit diese verfügbar sind. Sind diese Informationen zum Zeitpunkt der Erstmitteilung noch nicht verfügbar, werden sie unverzüglich nachgereicht.

Soweit eine feste Frist im Nutzungsvertrag oder in einer internen Incident-Policy vereinbart ist, gilt diese ergänzend. Ohne anderslautende Vereinbarung strebt der Contractor eine Erstmitteilung spätestens innerhalb von zweiundsiebzig (72) Stunden nach Kenntniserlangung an, sofern die Informationen verfügbar sind und die Mitteilung rechtlich zulässig ist.

10.3 Soweit dem Contractor nach der Erstmeldung weitere relevante Informationen bekannt werden, stellt der Contractor diese dem Client unverzüglich zur Verfügung.

11 Rückgabe, Löschung und Aufbewahrung

11.1 Nach Beendigung des Nutzungsvertrags oder früher auf dokumentierte Weisung des Clients stellt der Contractor dem Client für mindestens dreißig (30) Tage nach Wirksamwerden der Beendigung eine angemessene Möglichkeit zur Verfügung, Client Personal Data über die in Oxolo verfügbaren Exportfunktionen zu exportieren, soweit dies technisch verfügbar, gesetzlich zulässig und aus Sicherheitsgründen vertretbar ist. Anschließend löscht der Contractor Client Personal Data datenschutzkonform oder gibt sie zurück, soweit keine gesetzlichen Aufbewahrungspflichten, berechtigten Nachweisinteressen oder Art. 17 Abs. 3 DSGVO entgegenstehen.

11.2 Der Contractor löscht oder gibt Client Personal Data innerhalb einer angemessenen Frist nach Beendigung des Nutzungsvertrags zurück, grundsätzlich spätestens innerhalb von neunzig (90) Tagen, sofern keine längere gesetzliche Aufbewahrungspflicht, kein berechtigtes Nachweisinteresse, keine technische Backup-Retention oder keine abweichende dokumentierte Weisung des Clients entgegensteht.

11.3 Transkripte und Aufzeichnungen werden für die Dauer des Vertrags als Client Data gespeichert, soweit der Client sie nicht vorher löscht oder eine Löschung nach den Funktionen von Oxolo auslöst. Stimmprofile / Voiceprints sind auf Anfrage löschbar und werden bei Kontoschließung nach dem dokumentierten technischen Zielzustand automatisch gelöscht.

11.4 Dokumentationen, Sicherheitsnachweise, Abrechnungsdaten, Audit-Trail-Daten und sonstige Nachweise, die zur Erfüllung gesetzlicher Pflichten oder zur Verteidigung, Ausübung oder Geltendmachung von Rechtsansprüchen erforderlich sind, können über das Vertragsende hinaus aufbewahrt werden, soweit dies rechtlich zulässig ist.

12 Haftung

Die Haftung der Parteien richtet sich im Innenverhältnis nach dem Nutzungsvertrag, soweit zwingendes Datenschutzrecht, insbesondere Art. 82 DSGVO, nichts anderes vorsieht.

Der Contractor haftet gegenüber dem Client für Schäden, die durch eine Verletzung dieses AVV oder der gesetzlichen Datenschutzvorschriften durch den Contractor oder von ihm hinzugezogene Unterauftragsverarbeiter entstehen, nach den gesetzlichen Bestimmungen und nach Maßgabe der im Nutzungsvertrag wirksam vereinbarten Haftungsregelungen, soweit diese zwingendem Recht nicht widersprechen.

Die Parteien informieren einander unverzüglich, wenn im Zusammenhang mit der Verarbeitung nach diesem AVV Schadensersatzansprüche, behördliche Maßnahmen, Bußgelder oder sonstige Sanktionen angedroht oder geltend gemacht werden, und unterstützen einander angemessen bei der Abwehr solcher Ansprüche.

13. Schlussbestimmungen

13.1 Änderungen und Ergänzungen dieses AVV bedürfen der Textform, soweit nicht zwingendes Recht eine strengere Form verlangt. Dies gilt auch für die Änderung dieser Formklausel.

13.2 Beide Parteien sind verpflichtet, sämtliche im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über Betriebs- und Geschäftsgeheimnisse und Datensicherheitsmaßnahmen der jeweils anderen Partei vertraulich zu behandeln. Diese Verpflichtung gilt auch nach Beendigung dieses AVV fort.

13.3 Ein Zurückbehaltungsrecht des Contractors an Client Personal Data ist ausgeschlossen, soweit zwingendes Recht nichts anderes verlangt.

13.4 Werden Client Personal Data beim Contractor durch Pfändung, Beschlagnahme, Insolvenzverfahren, Vergleichsverfahren oder sonstige Maßnahmen Dritter gefährdet, informiert der Contractor den Client unverzüglich, soweit rechtlich zulässig.

13.5 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist - soweit gesetzlich zulässig - Hamburg.

13.6 Die folgenden Anlagen sind Bestandteil dieses AVV:
Anlage 1: Beschreibung der Verarbeitung;
Anlage 2: Technische und organisatorische Maßnahmen;
Anlage 3: Unterauftragsverarbeiter.

13.7 Dieser AVV tritt mit Annahme durch beide Parteien in Kraft und ersetzt mit Wirkung zum Inkrafttreten den bisherigen Auftragsverarbeitungsvertrag.

Anlage 1: Beschreibung der Verarbeitung

1. Beschreibung der Leistung

Oxolo ist eine Mobile-first-Software-as-a-Service-Lösung für die digitale Projekt-, Einsatz-, Baustellen- und Felddokumentation, vertrieben ausschließlich an Geschäftskunden (B2B). Abhängig vom gebuchten Leistungsumfang, der Konfiguration des Clients, den von den Nutzern des Clients erteilten Berechtigungen, den aktivierten Funktionen und den Projekt-Workflows kann Oxolo Informationen im Zusammenhang mit Projekt-, Einsatz-, Baustellen- und Felddokumentations-Workflows erfassen, aufnehmen, hochladen, strukturieren, analysieren, übersetzen, teilen und darstellen.

• Audioaufzeichnung von Gesprächen vor Ort oder Upload von Audioinhalten und Erfassung zugehöriger Metadaten, einschließlich Zeitstempeln, Gerätekontext und - soweit aktiviert - Standort-/GPS-Informationen;

• automatisierte Transkription, einschließlich Sprecherzuordnung und - als optionales Feature - sprachprofilgestützter Sprecheridentifikation ("Voiceprints"; biometrische Daten i.S.v. Art. 9 DSGVO);

• KI-gestützte Analyse von Transkripten und Projektdaten, einschließlich Zusammenfassungen, Labels, Aufgaben, Nachträgen, Verzögerungen und zugehörigen Projektsignalen;

• Erstellung von Berichten und Projektdokumentation, einschließlich PDF-, XLSX- und DOCX-Ausgaben sowie - soweit einschlägig - eingebetteten Nachweisdateien;

• Erfassung und Speicherung von Nachweisen, einschließlich Fotos, Videos, Unterschriften und zugehöriger Metadaten einschließlich EXIF-/GPS-Daten;

• Teamkollaboration, rollenbasierter Projektzugriff, Einladungen, Bericht-Downloads und Aktivitätsprotokollierung;

• Teilungs- und externe Zugriffs-Workflows für ausgewählte Aufnahmen, Berichte oder sonstige Projekt-Outputs über tokenisierte Links oder E-Mail-Benachrichtigungen;

• Übersetzung und mehrsprachige Darstellung von Projektinhalten;

• optionaler WhatsApp-Begleitkanal für Inbound-/Outbound-Kommunikation und Medien-Verarbeitung;

• plattformübergreifende Verfügbarkeit über iOS, Android und Webanwendung;

• Konto-, Support-, Abrechnungs- und Serviceverwaltungsfunktionen.

2. Zwecke der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Bereitstellung von Oxolo nach Weisung des Clients, insbesondere für:

• digitale Projekt-, Einsatz-, Baustellen- und Felddokumentation;

• Aufzeichnung, Transkription und Strukturierung von Gesprächen und Projektereignissen;

• Erstellung, Speicherung, Übersetzung und Weitergabe von Projektdokumentation und Berichten;

• Extraktion, Organisation und Darstellung von Aufgaben, Verzögerungen, Nachträgen und Action Items;

• Verwaltung von Projekten, Teamkollaboration, Berechtigungen, Einladungen, Freigaben und Audit-Trails;

• Sprechererkennung und Sprecheridentifikation, soweit rechtmäßig aktiviert und genutzt;

• Support, Sicherheit, Fehleranalyse und Servicebetrieb;

• Abrechnung und Vertragsverwaltung, soweit dies im Auftrag des Clients erfolgt.

3. Arten der Verarbeitung

Die Verarbeitung umfasst insbesondere Erheben, Erfassen, Aufzeichnen, Hochladen, Speichern, Ordnen, Strukturieren, Abfragen, Anzeigen, Kategorisieren, Transkribieren, Analysieren, Zusammenfassen, Übersetzen, Anreichern durch KI-gestützte Verfahren, Bereitstellen, Teilen, Übermitteln, Anonymisieren, Einschränken, Löschen und Vernichten.

4. Kategorien betroffener Personen

• Nutzer des Clients;

• Mitarbeiter, Führungskräfte, Administratoren und Vertreter des Clients;

• Kunden, Lieferanten und Geschäftspartner des Clients;

• Auftragnehmer, Subunternehmer, Dienstleister und deren Mitarbeiter;

• Projektbeteiligte, Baustellenbeteiligte, Bauleiter, Architekten, Ingenieure, Besucher und sonstige vor Ort anwesende Personen;

• Personen, deren Stimme in Audioaufnahmen enthalten ist;

• Personen, die in Fotos, Videos, Nachweisdateien oder Signaturen erscheinen;

• Empfänger freigegebener Berichte, Aufnahmen, Links oder sonstiger Projekt-Outputs;

• Support- oder Kontaktpersonen des Clients.

5. Kategorien personenbezogener Daten

• Identifikationsdaten, insbesondere Name, Nutzerkennung, Rolle, Titel, Unternehmen, Team- oder Projektzuordnung;

• Kontaktdaten, insbesondere E-Mail-Adresse, Telefonnummer und Kommunikationsdaten;

• Konto- und Berechtigungsdaten, insbesondere Login-Daten, Rollen, Zugriffsrechte, Organisations- und Projektmitgliedschaften;

• Projekt- und Baustellendaten, insbesondere Projektnamen, Adressen, Standortinformationen, Projektstatus und Dokumentationskontext;

• Audioaufnahmen und Audiometadaten;

• Transkripte, Sprecherlabels, Sprecherzuordnungen und Zusammenfassungen;

• Stimmprofile / Voiceprints und zugehörige technische Identifikatoren, soweit aktiviert;

• Fotos, Videos, Signaturen, Nachweisdateien und zugehörige Metadaten;

• Aufgaben, Nachträge, Verzögerungen, Labels, Kommentare und sonstige Projektsignale;

• Berichte, Protokolle, exportierte Dokumente und geteilte Ansichten;

• Geräte-, System-, Sicherheits- und Protokolldaten, insbesondere IP-Adressen, Zeitstempel, Device-Kontext, Session-Daten, Fehlerberichte, Audit-Trail-Daten und Zugriffsdaten;

• Abrechnungs-, Vertrags- und Supportdaten, soweit im Auftrag des Clients verarbeitet;

• KI-generierte oder automatisiert abgeleitete Daten, soweit sie auf Client Input beruhen und personenbezogene Daten enthalten.

6. Besondere Kategorien personenbezogener Daten

Soweit Oxolo Stimmprofile / Voiceprints zur Sprecheridentifikation verarbeitet, können biometrische Daten im Sinne von Art. 9 DSGVO Abs. 1 verarbeitet werden. Darüber hinaus können Audioaufnahmen, Fotos, Videos, Transkripte oder Projektinhalte je nach vom Client bereitgestelltem Inhalt besondere Kategorien personenbezogener Daten enthalten oder offenbaren, etwa Gesundheitsdaten, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugungen oder andere sensible Informationen.

Der Client ist für die Rechtmäßigkeit dieser Verarbeitung verantwortlich und muss insbesondere Transparenz, Rechtsgrundlage, Einwilligungen und Schutzmaßnahmen sicherstellen.

7. Bild-Metadaten

Hochgeladene Bilder können Metadaten enthalten, insbesondere Standortdaten, GPS-Daten, Gerätemodell, Kamera-/App-Informationen, Erstellungszeitpunkte und weitere EXIF- oder vergleichbare Metadaten.

8. Dauer der Verarbeitung und Aufbewahrung

Die Verarbeitung dauert grundsätzlich für die Laufzeit des Nutzungsvertrags zuzüglich der für die Erfüllung gesetzlicher Aufbewahrungspflichten erforderlichen Dauer. Transkripte und Aufzeichnungen werden für die Dauer des Vertrags als Client Data gespeichert, soweit der Client sie nicht vorher löscht oder eine Löschung nach den Funktionen von Oxolo auslöst. 

Stimmprofile / Voiceprints werden in folgenden Fällen nach der dokumentierten Löschlogik gelöscht:
(i) der Nutzer löscht den eigenen Voiceprint über die App;
(ii) der Nutzer wird aus einer Organisation entfernt;
(iii) der Account wird gelöscht oder archiviert;
(iv) der Organisationsinhaber löscht eine Identität über die Einstellungen;
(v) ein Sprecher wird als „Rauschen" bzw. „Noise" markiert.
Mit der Löschung werden das biometrische Template sowie das zugehörige S3-Quellaudio entfernt. Historische Transkripte, ursprüngliche Aufzeichnungen und Audit-Trail-Daten bleiben als Client Data erhalten, soweit keine gesonderte Löschung erfolgt.

Konkrete weitere Löschfristen richten sich nach dem Nutzungsvertrag, den Funktionen von Oxolo, gesetzlichen Aufbewahrungspflichten und dokumentierten Weisungen des Clients.

Anlage 2: Technische und organisatorische Maßnahmen

Die nachstehend beschriebenen Maßnahmen entsprechen Art. 32 DSGVO und werden vom Contractor zum Schutz der personenbezogenen Daten des Clients getroffen. Die Maßnahmen unterliegen dem Stand der Technik und können vom Contractor weiterentwickelt werden, sofern das Schutzniveau nicht abgesenkt wird.

1. Hosting und Datenresidenz

• Cloud-Workloads werden in AWS eu-west-1 betrieben.

• Die primäre Supabase-Projektregion ist eu-west-1.

• Die RDS-Region für die Transcript-Embedding-Datenbank ist eu-west-1.

• Biometrische Stimmprofil-Daten (Voiceprints) werden in zwei getrennten Datenbanken gehalten: in der Transcript-Embedding-Datenbank (AWS RDS, eu-west-1) sowie ergänzend in der App-Datenbank (Supabase Postgres, eu-west-1). Die Löschpfade gemäß Anlage 1 Ziffer 8 wirken auf beide Speicherorte.

• PostHog wird auf einer EU-Instanz genutzt.

• Sentry wird auf einer DE-Instanz genutzt.

• Sprach-Streaming über den AssemblyAI EU-Endpoint (streaming.eu.assemblyai.com).

• Sprach-Batch-Diarisierung erfolgt am AssemblyAI-Endpoint api.assemblyai.com/v2 in den USA. Übermittlungsmechanismus: EU SCC (Modul 3) und - soweit zertifiziert - DPF.

• KI-Inferenz für Vision/Text erfolgt über Anthropic Ireland Ltd. in Irland/EU.

2. Zutrittskontrolle

Der physische Schutz der Rechenzentrumsinfrastruktur wird primär durch die jeweiligen Hosting- und Infrastrukturprovider gewährleistet. Der physische Zugang zu Server- und Hosting-Umgebungen wird durch die jeweiligen Infrastrukturprovider, insbesondere AWS, umgesetzt; die Datenverarbeitung erfolgt in deren Rechenzentren mit Videoüberwachung, Alarm- und Zutrittskontrollsystemen. Geschäftsräume des Contractors sind außerhalb der Geschäftszeiten gegen unbefugten Zugang geschützt; Besucher werden begleitet und erhalten keinen unbeaufsichtigten Zugriff auf Systeme, auf denen Client Personal Data verarbeitet werden.

3. Zugangskontrolle

Zugriff auf Systeme erfolgt über individuelle Benutzerkonten. Administrative Zugriffe werden rollen- und berechtigungsbasiert vergeben. Multi-Faktor-Authentifizierung wird für administrative Systeme und - soweit technisch unterstützt - für Mitarbeiter-Systeme eingesetzt. Zugriffsrechte folgen dem Need-to-know-Prinzip und werden bei Bedarf bzw. regelmäßig überprüft. Passwörter und Geheimnisse werden in geeigneten Passwort- und Secret-Management-Systemen verwaltet. Endgeräte des Contractors sind durch Passwörter, Bildschirmsperre und Festplattenverschlüsselung geschützt.

4. Zugriffskontrolle und Trennungsgebot

Rollen- und Berechtigungskonzepte beschränken Zugriffe auf erforderliche Nutzergruppen. Kundendaten werden mandantenbezogen verarbeitet und durch technische und organisatorische Zugriffsbeschränkungen logisch getrennt. Berechtigungskonzepte stellen sicher, dass Nutzer nur auf Organisationen, Projekte und Inhalte zugreifen können, für die sie autorisiert sind. Test- und Produktivumgebungen werden organisatorisch getrennt betrieben.

5. Übertragungskontrolle

Daten werden über verschlüsselte Verbindungen übertragen, insbesondere HTTPS/TLS. Authentifizierte API-Endpunkte werden durch geeignete Authentifizierungs- und Autorisierungsmechanismen (insbesondere JWT/Bearer-Token, Service-Schlüssel) geschützt. Eingehende Webhooks von Unterauftragsverarbeitern werden, soweit vom jeweiligen Anbieter unterstützt, über Signatur- bzw. Bearer-Verifikation geprüft; einzelne öffentliche Callback-Endpunkte können aus Kompatibilitätsgründen ohne Signaturprüfung betrieben werden und werden durch ergänzende Maßnahmen (Eingangsvalidierung, Logging, Monitoring) abgesichert. Es werden keine physischen Datenträger zur Übertragung personenbezogener Daten verwendet. Externe Übermittlungen an Unterauftragsverarbeiter erfolgen nur, soweit sie zur Erbringung der jeweiligen Funktion erforderlich sind.

6. Speicherkontrolle und Verschlüsselung

Daten werden bei geeigneten Infrastruktur- und Plattformdiensten gespeichert. Verschlüsselung at rest und in transit wird eingesetzt, soweit durch die jeweilige Infrastruktur und Anwendung unterstützt, insbesondere bei AWS S3, AWS RDS und Supabase Postgres. Mobile Arbeitsgeräte werden gegen unbefugten Zugriff geschützt und verschlüsselt, soweit technisch vorgesehen.

7. Verfügbarkeits- und Wiederherstellungskontrolle

Infrastrukturprovider und Plattformdienste werden zur Sicherstellung von Verfügbarkeit und Wiederherstellbarkeit eingesetzt. Backups, Wiederherstellungsmechanismen und Notfallmaßnahmen werden im Rahmen der technischen Möglichkeiten und der eingesetzten Dienste verwendet. Schutz vor Malware, Sicherheitsupdates, Monitoring und technische Härtung werden nach risikobasierten Maßstäben umgesetzt.

8. Eingabekontrolle, Protokollierung und Monitoring

Oxolo verwendet Audit-Trail-, Sicherheits-, Monitoring- und Fehleranalysemechanismen im jeweils technisch vorhandenen Umfang. Audit-Trail-Datensätze werden append-only über Datenbank-Trigger gegen Löschung geschützt. Sentry wird für Fehleranalyse und Monitoring genutzt. PostHog wird für Produktanalyse, Feature Flags und LLM-Kosten- bzw. Nutzungsanalysen genutzt, soweit konfiguriert.

9. Auftragskontrolle und Unterauftragsverarbeiter

Unterauftragsverarbeiter werden nach datenschutzrechtlichen Kriterien ausgewählt. Mit Unterauftragsverarbeitern werden Vereinbarungen abgeschlossen, soweit sie als Auftragsverarbeiter personenbezogene Daten im Auftrag des Contractors verarbeiten. Drittlandübermittlungen erfolgen nur nach Maßgabe von Kapitel V DSGVO.

10. Datenminimierung und Löschkonzept

Client Personal Data werden nach Maßgabe des Nutzungsvertrags, dieses AVV, der verfügbaren Produktfunktionen und dokumentierter Weisungen gelöscht oder zurückgegeben. Stimmprofile / Voiceprints und zugehörige S3-Audioobjekte sind nach den dokumentierten Produktfunktionen löschbar. Historische Transkripte und Aufzeichnungen werden davon getrennt als Client Data behandelt.

11. Mitarbeitende

Mitarbeiter und sonstige zur Verarbeitung befugte Personen werden auf Vertraulichkeit verpflichtet. Zugriffe auf Client Personal Data werden auf Personen beschränkt, die diese zur Erfüllung ihrer Aufgaben benötigen. Datenschutz- und Sicherheitsschulungen erfolgen risikobasiert und anlassbezogen.

12. Vorfall- und Pannenmanagement

Es bestehen definierte Prozesse zur Erkennung, Meldung, Bewertung und Behandlung von Datenschutzpannen. Datenschutzvorfälle werden nach Maßgabe von Ziffer 10 dieses AVV an den Client gemeldet.

Anlage 3: Unterauftragsverarbeiter

Der Client stimmt der Beauftragung der in dieser Anlage aufgeführten Unterauftragsverarbeiter zu. Drittlandübermittlungen erfolgen nur nach Maßgabe von § 3.7 dieses AVV. Bei Drittlandtransfers schließt der Contractor mit dem jeweiligen Unterauftragsverarbeiter zusätzlich die EU-Standardvertragsklauseln in der jeweils einschlägigen Modulvariante, regelmäßig Modul 3 - Auftragsverarbeiter zu Auftragsverarbeiter, ab und setzt - soweit erforderlich - ergänzende Maßnahmen um. Soweit ein Unterauftragsverarbeiter unter dem EU-US Data Privacy Framework zertifiziert ist, kann auch dies als geeigneter Übermittlungsmechanismus berücksichtigt werden.