Vertrag
über die
Auftragsverarbeitung

Vertrag über die Auftragsverarbeitung
gemäß Art. 28 Datenschutzgrundverordnung (DSGVO)

zwischen

der (natürlichen oder juristischen) Person, die
die automatisierte Erstellung von Transkripten (nachfolgend „Spracherkennung“) nutzt

nachfolgend: „verantwortliche Person“

und

audiotranskription – dr. dresing & pehl GmbH – Deutschhausstrasse 22a – 35037 Marburg – Deutschland
Geschäftsführer: Dr. Thorsten Dresing und Thorsten Pehl
Telefon: +49 6421 590979-0          E-Mail: info@audiotranskription.de

nachfolgend: „audiotranskription“,

die verantwortliche Person und audiotranskription  nachfolgend gemeinsam: „Parteien

Präambel

Die Parteien haben einen Vertrag über die Erbringung von Transkriptionsdiensten von Audiodateien geschlossen (nachfolgend: „Hauptvertrag“).

Aufgrund der automatisierten Transkription erhält audiotranskription grundsätzlich keine Kenntnis von dem Inhalt der von der verantwortlichen Person bereitgestellten Audiodaten. Allerdings ist es im Rahmen des Transkriptionsvorgangs und des Hostings zumindest technisch nicht ausgeschlossen, dass ein Zugriff erfolgt. Selbst wenn aber ein Zugriff erfolgen sollte, hat audiotranskription regelmäßig keine Möglichkeit, die Audiodaten mit einer bestimmten Person in Zusammenhang zu bringen. Dies wäre i.d.R. nur dann der Fall, wenn z.B. im Rahmen eines Interviews die beteiligten Personen namentlich genannt werden.

Da aus diesem Grund eine Identifikation einer natürlichen Person und damit einer Verarbeitung personenbezogener Daten nicht ausgeschlossen ist, schließen die Parteien diesen Vertrag über die Auftragsverarbeitung (nachfolgend: „Vertrag“) und konkretisieren damit die Verpflichtungen der Parteien zum Datenschutz, die sich aus dem Hauptvertrag ergeben. Der Vertrag findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen audiotranskription, dessen Beschäftigte oder durch audiotranskription Beauftragte mit personenbezogenen Daten der verantwortlichen Person in Berührung kommen können.

Ansprechbare Personen für Datenschutzfragen

Die Parteien vereinbaren die folgenden Personen, die für im Rahmen des Vertrags anfallende Datenschutzfragen ansprechbar und weisungs- bzw. empfangsberechtigt sind:

  • auf Seiten von audiotranskription: Dr. Thorsten Dresing und Thorsten Pehl (Geschäftsführung dr. dresing & pehl GmbH)
  • auf Seiten der verantwortlichen Person: die im Nutzerkonto hinterlegte Person.

In dringenden Fällen darf die verantwortliche Person aber auch allen anderen Beschäftigten von audiotranskription z.B. Weisungen erteilen, sofern die vorgenannten Personen für die verantwortliche Person nicht erreichbar sind.

Ein Wechsel in den weisungs- bzw. empfangsberechtigten Personen bzw. deren dauerhafte Verhinderung ist von den Parteien möglichst frühzeitig schriftlich, unter Benennung der Kontaktdaten der neuen weisungs- bzw. empfangsberechtigten Person(en), mitzuteilen. Bis zum Zugang einer solchen Mitteilung gelten die benannten Personen weiter als weisungs- bzw. empfangsberechtigt für alle Datenschutzfragen.

Gegenstand der Verarbeitung (Art. 28 Abs. 3 S. 1 DSGVO)

audiotranskription verarbeitet personenbezogene Daten im Auftrag der verantwortlichen Person zur Erfüllung seiner vertraglichen Pflichten gegenüber der verantwortlichen Person. Der Gegenstand der Verarbeitung ist die automatisierte Transkription von Audiodateien in Textdateien. Einzelheiten ergeben sich aus dem Hauptvertrag sowie aus der Anlage 1.

Dauer der Verarbeitung (Art. 28 Abs. 3 S. 1 DSGVO)

Die Dauer des Vertrags ergibt sich aus dem Hauptvertrag. Eine Kündigung des Hauptvertrags bewirkt automatisch eine Kündigung dieses Vertrags. Die verantwortliche Person kann den Hauptvertrag jederzeit außerordentlich kündigen, wenn audiotranskription gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrags verstößt, insbesondere wenn audiotranskription eine Weisung der verantwortlichen Person nicht ausführt.

Art, Umfang und Zweck der Verarbeitung (Art. 28 Abs. 3 S. 1 DSGVO)

Die verantwortliche Person kann im Rahmen des Hauptvertrags über einen Software-Client (f4transkript oder Webbrowser) Audiodateien auf einen Server hochladen. Dort werden die Sprachdateien automatisiert in einen Text überführt. Der erzeugte Text wird der verantwortlichen Person im Software-Client angezeigt und kann dort lokal weiterverarbeitet werden. Alle auf den Server hochgeladenen Daten werden nach der Transkription und der Übermittlung auf den Software-Client gelöscht. Einzelheiten ergeben sich aus dem Hauptvertrag sowie aus der Anlage 1.

Art der personenbezogenen Daten (Art. 28 Abs. 3 S. 1 DSGVO)

Die zur Transkription von der verantwortlichen Person übermittelten Audiodateien können, z.B. abhängig von einem Interviewthema, potenziell alle Arten personenbezogener Daten, insbesondere Personenstammdaten (z.B. Name, Anschrift, Telefonnummer und E-Mail-Adresse) enthalten. Aus diesem Grund ist eine abschließende Aufzählung an dieser Stelle nicht möglich. Die verantwortliche Person benennt in der Anlage 4 zumindest die grundsätzlichen (zu erwartenden) Arten der betroffenen Daten, insbesondere wenn es sich um besondere Kategorien personenbezogener Daten handelt.

Kategorien betroffener Personen (Art. 28 Abs. 3 S. 1 DSGVO)

Die Verarbeitung betrifft alle Personen, die auf den von der verantwortlichen Person hochgeladenen Audiodateien enthalten sind, d.h. die sprechenden bzw. identifizierbaren Personen und Personen, auf welche innerhalb eines Gesprächs Bezug genommen wird. Die verantwortliche Person benennt in der Anlage 4 zumindest die grundsätzlichen Kategorien betroffener Personen.

Rechte und Pflichten der verantwortlichen Person (Art. 28 Abs. 3 S. 1 DSGVO)

Die Rechte und Pflichten der verantwortlichen Person ergeben sich aus dem Hauptvertrag und diesem Vertrag. Im Falle einer Inanspruchnahme von audiotranskription durch eine betroffene Person nach Art. 82 DSGVO unterstützt die verantwortliche Person audiotranskription in einem angemessenen Umfang.

Verarbeitung personenbezogener Daten nur auf dokumentierte Weisung (Art. 28 Abs. 3 S. 2 lit. a DSGVO)

audiotranskription verarbeitet personenbezogene Daten der verantwortlichen Person nur nach Maßgabe des Hauptvertrags sowie nach den in diesem Vertrag enthaltenen Be-stimmungen und auf dokumentierte Weisung der verantwortlichen Person. Das gilt insbesondere für die Übermittlung personenbezogener Daten der verantwortlichen Person an eine Person oder Organisation in einem Drittland oder an eine internationale Organisation. Zur Dokumentation der Weisungen führt audiotranskription ein Verzeichnis, welches der verantwortlichen Person auf Aufforderung vorzulegen ist.

Weisungen der Verantwortlichen, die über die bisherigen (Haupt-)Vertragsbestimmungen hinausgehen oder diese modifizieren, sollen grundsätzlich in Schrift- oder Textform erfolgen. Soweit erforderlich, kann die verantwortliche Person Weisungen auch mündlich oder telefonisch erteilen. Mündlich und telefonisch erteilte Weisungen bedürfen jedoch einer unverzüglichen Bestätigung durch den in Ziff. 1 dieses Vertrags genannten Weisungsberechtigten der verantwortlichen Person in Schrift- oder Textform.

Soweit Weisungen aus Sicht von audiotranskription unklar oder missverständlich sein sollten, hat er die verantwortliche Person unverzüglich schriftlich darüber zu informieren und eine Klarstellung einzuholen. audiotranskription ist nach rechtzeitiger vorheriger Ankündigung gegenüber der verantwortlichen Person berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch die verantwortliche Person auszusetzen.

audiotranskription darf personenbezogene Daten der verantwortlichen Person auch verarbeiten, wenn eine Verpflichtung durch das Recht der Europäischen Union oder eines Mitgliedstaats besteht (Art. 28 Abs. 3 S. 2 lit. a DSGVO). In diesem Fall teilt audiotranskription der verantwortlichen Person diese rechtlichen Anforderungen mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Verpflichtung eingeschalteter Personen (Art. 28 Abs. 3 S. 2 lit. b DSGVO)

audiotranskription verpflichtet zur Verarbeitung der personenbezogenen Daten eingesetzte oder befugte Personen vorab zur Vertraulichkeit und Wahrung des Datengeheimnisses oder stellt sicher, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht in Bezug auf die personenbezogenen Daten unterliegen. audiotranskription stellt zudem sicher, dass die vorgenannten Verpflichtungen auch nach Beendigung dieses Vertrags fortbestehen.

Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 S. 2 lit. c DSGVO)

audiotranskription gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. audiotranskription trifft technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten der Verantwortlichen, die den datenschutzrechtlichen Anforderungen genügen. Diese ergeben sich insbesondere aus Art. 32 DSGVO. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die konkret getroffenen Maßnahmen sind in Anlagen 1 und 2 dokumentiert.

audiotranskription gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d DSGVO nachzukommen und ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Während der Dauer dieser Verarbeitung sind die technischen und organisatorischen Maßnahmen durch audiotranskription fortlaufend an die Anforderungen dieses Vertrags anzupassen und weiterzuentwickeln. Das hier und in Anlage 2 vereinbarte Schutzniveau darf dabei nicht unterschritten werden.

Einschaltung von Unterauftragsverarbeitern (Art. 28 Abs. 3 S. 2 lit. d DSGVO)

Die verantwortliche Person ist damit einverstanden, dass audiotranskription für die Verarbeitung personenbezogener Daten der verantwortlichen Person die in Anlage 3 aufgezählten Unterauftragsverarbeiter einsetzt.

audiotranskription informiert die verantwortliche Person vorab über jede beabsichtigte Beauftragung weiterer Unterauftragsverarbeiter oder die Änderung bestehender Beauftragungen. Die verantwortliche Person hat gegen die Beauftragung neuer Unterauftragsverarbeiter oder die Änderung bestehender Beauftragungen ein Recht zum Einspruch. Die Mitteilung muss so rechtzeitig erfolgen, dass die verantwortliche Person dieses Einspruchsrecht mit angemessener Überlegungsfrist vor der beabsichtigten Änderung ausüben kann.

Nimmt audiotranskription die Dienste eines in Anlage 3 genannten oder eines weiteren Unterauftragsverarbeiters für die Verarbeitung personenbezogener Daten der verantwortlichen Person in Anspruch, so erlegt er dem Unterauftragsverarbeiter vorab vertraglich oder durch ein anderes anwendbares Rechtsinstrument nach dem Recht der Europäischen Union oder des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auf, die zwischen ihm und der verantwortlichen Person in diesem Vertrag oder durch ein anderes anwendbares Rechtsinstrument des Rechts der Europäischen Union festgelegt sind. Er stellt dabei insbesondere sicher, dass der verantwortlichen Person eigene Kontrollrechte eingeräumt werden und der Unterauftragsverarbeiter hinreichende Garantien bietet, dass geeignete technische und organisatorische Maßnahmen getroffen sind und so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen des Datenschutzrechts und dieses Vertrags erfolgt.

Ort der Verarbeitung

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung der verantwortlichen Person und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Unterstützung der verantwortlichen Person bei der Erfüllung datenschutzrechtlicher Pflichten (Art. 28 Abs. 3 S. 2 lit. e und f DSGVO)

audiotranskription unterstützt die verantwortliche Person nach seinen Möglichkeiten bei der Beantwortung von Anfragen und Ansprüchen betroffener Personen gemäß Kapitel III der DSGVO. audiotranskription beantwortet Auskunftsanfragen und andere Begehren von betroffenen Personen nicht selbst, sondern verweist die betroffenen Personen insoweit an die verantwortliche Person.

audiotranskription unterstützt die verantwortliche Person bei der Verantwortlichkeit der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, z.B. bei der Sicherheit der Verarbeitung, bei der Meldung von Datenschutzverletzungen an die Aufsichtsbehörden, bei der Benachrichtigung von betroffenen Personen über Datenschutzverletzungen, bei den Pflichten zur Datenschutz-Folgenabschätzung und bei den Abstimmungen mit der Datenschutzaufsichtsbehörde.

Löschung und Rückgabe von Daten nach Abschluss der Verarbeitung (Art. 28 Abs. 3 S. 2 lit. g DSGVO)

Sollte beim Upload ein Fehler aufgetreten sein, z.B. wegen eines nicht erkannten Dateiformats oder des Abbruchs der Verbindung, wird die unvollständige Audiodatei sofort vom Server gelöscht. Die verantwortliche Person erhält sodann einen entsprechenden Hinweis.

Die transkribierten Daten können durch die verantwortliche Person von dem von audiotranskription bereitgestellten Server heruntergeladen werden. Sobald der Server die Meldung über den erfolgreichen Download erhält, wird die Datei vom Server endgültig gelöscht.

Sollte ein Transkriptionsergebnis nach 14 Tagen nicht abgeholt werden, erhält die verantwortliche Person einen Hinweis per E-Mail. Bleibt dieser Hinweis unbeantwortet bzw. erfolgt kein Download durch den Verantwortlichen, erhält die verantwortliche Person nach weiteren 7 Tagen eine zweite Erinnerung. Sollte die darin genannte Frist zur Abholung von weiteren 7 Tagen verstreichen, werden die Daten gelöscht und die verantwortliche Person hierüber per E-Mail informiert.

Über eine Löschung bzw. Vernichtung von Daten erstellt audiotranskription ein Server-Protokoll, das der verantwortlichen Person auf Verlangen vorzulegen ist.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch audiotranskription entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

Datenschutzrechtliche Pflichten von audiotranskription, Nachweis und Kontrollrechte (Art. 28 Abs. 3 S. 2 lit. h DSGVO)

Die verantwortliche Person überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den getroffenen technischen und organisatorischen Maßnahmen von audiotranskription. Hierfür kann sie insbesondere Auskünfte von audiotranskription einholen, sich vorhandene Testate einer sachverständigen Person vorlegen lassen und zur Verarbeitung ihrer Daten eingesetzte Datenverarbeitungsanlagen prüfen oder durch beauftragte Dritte prüfen lassen.

audiotranskription kontrolliert regelmäßig die getroffenen technischen und organisatorischen Maßnahmen und bestellt einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte, soweit audiotranskription gesetzlich dazu verpflichtet ist. Die Kontaktdaten des oder der Datenschutzbeauftragten sind der verantwortlichen Person bei Vertragsschluss und sodann unverzüglich bei jeder Änderung mitzuteilen.

audiotranskription führt das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und stellt dieses der verantwortlichen Person auf Anforderung zur Verfügung.

audiotranskription stellt der verantwortlichen Person alle erforderlichen Informationen zum Nachweis der Einhaltung seiner vertraglichen und gesetzlichen Pflichten als audiotranskription zur Verfügung. audiotranskription gestattet und ermöglicht der verantwortlichen Person und von ihm beauftragten Personen entsprechende Überprüfungen – einschließlich Inspektionen – im Rahmen der üblichen Geschäftszeiten von audiotranskription (mit Ausnahme der gesetzlichen Feiertage in Deutschland: montags bis freitags zwischen 08:00 und 15:00 Uhr) und trägt in zweckmäßigem Maß dazu bei. Sollte die von der verantwortlichen Person beauftragte prüfende Person in einem Wettbewerbsverhältnis zu audiotranskription stehen, hat audiotranskription ein Einspruchsrecht.

Beauftragt die verantwortliche Person eine dritte Person mit der Durchführung der Inspektion, hat die verantwortliche Person die dritte Person auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass diese Person einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen von audiotranskription hat die verantwortliche Person diesem die Verpflichtungsvereinbarung unverzüglich vorzulegen.

Sofern eine Inspektion erforderlich sein sollte, hat die verantwortliche Person audiotranskription rechtzeitig (in der Regel mindestens zwei (2) Wochen vorher) über alle mit der Durchführung der Inspektion zusammenhängenden Umstände zu informieren.

Information über datenschutzwidrige Weisungen (Art. 28 Abs. 3 S. 3 DSGVO)

Ist audiotranskription der Auffassung, dass eine Weisung der verantwortlichen Person gegen den Hauptvertrag und/oder diesen Vertrag und/oder geltendes Datenschutzrecht verstößt, hat audiotranskription die verantwortliche Person unverzüglich darauf hinzuweisen.

Berichtigung, Löschung und Sperrung von Daten

audiotranskription berichtigt oder sperrt keine personenbezogenen Daten der Verantwortlichen, wenn die verantwortliche Person dies nicht anweist. Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt audiotranskription auf Grund einer Einzelbeauftragung durch die verantwortliche Person, sofern dies nicht im Vertrag oder Hauptvertrag bereits vereinbart ist.

Mitteilung von Verstößen (Art. 33 Abs. 2 DSGVO)

audiotranskription unterrichtet die verantwortliche Person unverzüglich bei der Möglichkeit einer unrechtmäßigen Kenntniserlangung der personenbezogenen Daten durch Dritte oder bei sonstigen schwerwiegenden Verstößen von audiotranskription oder der bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten der verantwortlichen Person oder in diesem Vertrag getroffenen Festlegungen. audiotranskription trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit der verantwortlichen Person ab. Die vorstehende Mitteilungspflicht greift stets dann, wenn die Möglichkeit nicht ausgeschlossen werden kann, dass der Verstoß zu einer Meldepflicht der verantwortlichen Person nach Art. 33 DSGVO oder einer entsprechenden Regelung führt.

audiotranskription meldet jegliche Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO unverzüglich der verantwortlichen Person gemäß Art. 33 Abs. 2 DSGVO.

Haftung

Sofern Dritte Ansprüche gegen audiotranskription wegen der Verletzung datenschutzrechtlicher Bestimmungen geltend machen, die auf einen Verstoß der verantwortlichen Person gegen datenschutzrechtliche Bestimmungen oder gegen die Bestimmungen des Vertrags basieren, übernimmt die verantwortliche Person auf eigene Kosten die Verteidigung des Rechtsstreits und stellt audiotranskription von sämtlichen Ansprüchen sowie den angemessenen Kosten der Rechtsverfolgung auf erstes Anfordern frei. audiotranskription wird die verantwortliche Person unverzüglich über die entsprechenden Anspruchsschreiben Dritter informieren und – soweit möglich – der verantwortlichen Person die Befugnisse einräumen, sich selbstständig gegen die Ansprüche zu verteidigen.

Kosten

Sofern nicht anderweitig in dem Hauptvertrag geregelt, sind alle Leistungen von audiotranskription nach diesem Vertrag mit der Vergütung nach Maßgabe des Hauptvertrags abgegolten.

Standardvertragsklauseln für Verträge zur Auftragsverarbeitung

Sollte die EU-Kommission oder die zuständige Aufsichtsbehörde gemäß Art. 28 Abs. 7 und 8 DSGVO Standardvertragsklauseln für Verträge zur Auftragsverarbeitung entwickeln, werden sich die Parteien auf eine mögliche Anpassung oder Ersetzung des Vertrags verständigen.

Weitere Unterstützungs- und Informationspflichten von audiotranskription

Im Falle einer Inanspruchnahme der verantwortlichen Person durch eine betroffene Person nach Art. 82 DSGVO unterstützt audiotranskription die verantwortliche Person in einem angemessenen Umfang.

Sollten die Daten der verantwortlichen Person bei audiotranskription durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren, durch Verlangen nach Offenlegung im Zusammenhang mit gerichtlichen Verfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat audiotranskription die verantwortliche Person unverzüglich darüber zu informieren. audiotranskription wird alle in diesem Zusammenhang verantwortlichen Stellen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei der verantwortlichen Person liegen.

Für die vorgenannten Informations- und Unterstützungsleistungen erhält audiotranskription eine gesonderte Vergütung nach Maßgabe der jeweils aktuell gültigen Preisliste von audiotranskription.

Anwendbares Recht / Gerichtsstand

Auf diesen Vertrag findet das deutsche Recht Anwendung.

Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz von audiotranskription. audiotranskription ist berechtigt, die verantwortliche Person auch an deren Sitz zu verklagen.

Schlussbestimmungen

Änderungen oder Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Änderung und Aufhebung dieser Klausel.

Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Falle von Widersprüchen zwischen diesem Vertrag und Regelungen aus dem Hauptvertrag gehen die Regelungen aus diesem Vertrag vor.

Sollten Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen nicht. Die Parteien werden sich bemühen, anstelle der unwirksamen Bestimmungen eine wirksame zu finden, die den wirtschaftlichen Bedeutungsgehalt der unwirksamen Bestimmungen am ehesten nahekommt. Entsprechendes gilt bei einer Lücke in diesem Vertrag.

Anlage 1: Datenschutzrechtliche Ausgestaltung der automatischen Transkription von Audiodateien

I. Ausgangslage / Kurzdarstellung des Unternehmens

Die dr. dresing & pehl GmbH, Deutschhausstraße 22A, 35037 Marburg, (nachfolgend auch: „wir“) vertreibt unter der Marke „audiotranskription“ seit 2005 eine Software sowie (als optionale Ergänzung hierzu) sog. „Fußschalter“ zur manuellen Transkription von Interviews. Die Software zur Transkription ist hauptsächlich im Hochschulkontext im Einsatz und ist dort zentraler Bestandteil der qualitativen Methodenausbildung.

In Zusammenarbeit mit dem Fraunhofer Institut IAIS entwickelte die dr. dresing & pehl GmbH eine technische Lösung zur automatischen Erstellung von Transkripten aus Audiodateien. Mit dieser Lösung soll der Zeitaufwand für die Erstellung wissenschaftlicher Transkription minimiert werden.

Als Erweiterung des eigenen Leistungsportfolios soll zukünftig die automatisierte Transkription von Audiodateien in Textdateien angeboten werden. Die gesamte Vertragsdurchführung erfolgt allein durch die dr. dresing & pehl GmbH. Das Fraunhofer Institut IAIS erhält daher auch keine Kundendaten. Der vorgenannte automatisierte Transkriptionsdienst ist Gegenstand dieser datenschutzrechtlichen Darstellung.

Im Folgenden beschreiben wir daher unsere vertraglichen und technischen Maßnahmen, um die automatische Spracherkennung datenschutzkonform zu gestalten. Auf dieser Basis soll der Transkriptionsservice den Kunden zukünftig offeriert werden.

II. Begriffsklärung

Im Folgenden wird zunächst unterschieden zwischen:

„Vertragsdaten“, also Daten der nutzenden Person (nachfolgend „Sie“) (d.h. Name, Anschrift usw.) und „Auftragsdaten“, also Audiodateien und die entsprechenden Textdateien, die die nutzenden Personen zur Beauftragung unserer Services hochladen sowie die jeweils transkribierten Daten. Diese Dateien können sowohl personenbezogene Sprachdaten der nutzenden Person, als auch Sprachdaten Dritter (der aufgenommenen Personen) enthalten.

III. Informationen der Kunden gemäß Art. 13 DSGVO

Sie werden vor bzw. beim Anlegen eines Kundenkontos ausführlich gemäß Art. 13 DSGVO über die Datenverarbeitung informiert.

Konkret erfolgt die Information auf der Webseite über die Datenschutzerklärung, in der u.a. Informationen nach Maßgabe dieses Dokuments bereitgestellt werden. Auch beim Anlegen eines Benutzerkontos wird prominent auf die Datenschutzerklärung hingewiesen.

IV. Überblick des Arbeitsablaufs

Sie werden über einen Software-Client (f4transkript oder einen Web-Client) Interviews oder andere Sprachdateien zu einem Server der dr. dresing & pehl GmbH hochladen. Dort werden die Sprachdateien automatisiert in einen Text überführt. Der erzeugte Text wird Ihnen im Software-Client angezeigt und kann dort lokal weiterverarbeitet werden. Alle auf den Server hochgeladenen Daten werden nach der Transkription und der Übermittlung auf den Software-Client gelöscht. Die Einzelschritte dieses Prozesses werden im Folgenden genauer erläutert:

1. Softwareinstallation/Registrierung

Voraussetzung zur Nutzung des Services ist die Installation der Software f4transkript oder eines entsprechenden Web-Clients. Hier müssen Sie sich vor Nutzung des Spracherkennungsdienstes persönlich registrieren. Ein entsprechender Dialog wird von der lokal zu installierenden Software angezeigt. Ihre Registrierung erfolgt in den folgenden Schritten:

Schritt 1: Vergabe von Nutzername und Passwort

In einem ersten Schritt werden die E-Mail-Adresse, ein von Ihnen frei wählbares Passwort und die Bestätigung der Kenntnisnahme von der (per Link einsehbaren) Datenschutzerklärung abgefragt. Das zu wählende Passwort muss hierbei bestimmten Mindestvoraussetzungen entsprechen (eine Kombination aus Groß-/Kleinschreibung, Sonderzeichen, Zahlen, mind. 10 Zeichen).

Das Passwort kann nach der Authentifizierung per E-Mail geändert werden. Bei Eingabe der E-Mail-Adresse im entsprechenden Feld des Clients wird ein Code an die hinterlegte E-Mail-Adresse gesendet. Erst mit Eingabe dieses Codes kann das Passwort geändert werden.

Schritt 2: Bestätigung der Anmeldung

Zur Verifizierung der angegebenen E-Mail-Adresse wird an das hinterlegte Konto ein Code gesendet. Erst wenn der Kunde diesen Code über den Anmeldedialog im Client eingegeben hat, wird das Konto aktiviert. Nicht bestätigte Daten werden nach 6 Stunden gelöscht.

Schritt 3: Abschluss eines Vertrags über die Auftragsverarbeitung (ADV)

Nach Bestätigung der Anmeldung erhalten Sie einen Dialog zum Abschluss einer ADV. Hier werden Vertragstext samt Auflistung der technischen und organisatorischen Maßnahmen und Unterauftragsverarbeiter (Server-Hoster) aufgeführt. Sie haben die Möglichkeit, den Zweck der Verarbeitung und die Art der zu verarbeitenden personenbezogenen Daten gesondert einzugeben. Der Vertragstext wird nach Bestätigung durch Sie per E-Mail versendet (Vertragsschluss gemäß Art. 28 Abs. 9 DSGVO).

Schritt 3a (optional): Verpflichtung auf die Geheimhaltung nach Maßgabe von § 203 StGB

Einige Personengruppen (z.B. in juristischen oder medizinischen Tätigkeiten) unterliegen besonderen Bestimmungen zur Geheimhaltung nach § 203 StGB. Um die Verarbeitung von Daten zu ermöglichen, ist es in diesen Fällen notwendig, dass wir uns und Unterauftragnehmer explizit (über die Bestimmungen der ADV hinaus) auf die Geheimhaltung nach Maßgabe von § 203 StGB verpflichten. Sie erhalten auf Wunsch optional eine entsprechende Verpflichtung in elektronischer Form.

2. Freischaltung für den Upload von Auftragsdaten

Erst nach Abschluss der Registrierung wird der Account für den Upload von Auftragsdaten auf unseren Server freigeschaltet. Die Registrierungsinformationen werden auf dem Spracherkennungsserver gespeichert und sind physikalisch und logisch getrennt von Abrechnungsdaten (siehe unter Ziff. VII. Infrastruktur zur Datenverarbeitung).

3. Kauf von Zeitkontingenten über den Onlineshop

Die Nutzung der automatisierten Spracherkennung wird auf Basis von Zeitkontingenten ermöglicht. Die Zeitkontingente können vorab in Form von Guthabencodes über unseren Onlineshop gekauft werden. Diese Codes werden von unserem Aktivierungsserver (logisch und physisch getrennt vom Spracherkennungsserver) erzeugt und per E-Mail versendet. Die Codes sind nicht personengebunden und können von einer beliebigen (aber registrierten) Person zur Aufladung des eigenen Zeitkontingents genutzt werden.

Bestelldaten wie Name, Adresse, E-Mail-Adresse, Telefonnummer, Datum der Bestellung und Anzahl der bestellten Artikel werden für Abrechnungs- und Buchhaltungszwecke auf dem Server des Webshops und auf unserem Inhouse-Server in Marburg geladen und entsprechend der gesetzlichen Aufbewahrungsfristen gespeichert. Zahlungsinformationen (Kreditkartendaten) werden von uns nicht erfasst, sondern direkt über sog. Iframes oder über Zahlungsseiten der jeweiligen Zahlungsabwickler an die zahlungsabwickelnden Unternehmen übermittelt (PayOne, PayPal). Die Datenschutzerklärung des Webshops wurde von Trusted Shops geprüft. Die Abrechnungsdaten sind logisch und physikalisch von den Auftragsdaten getrennt.

V. Abwicklung der Einzelaufträge

Als „Abwicklung der Einzelaufträge“ beschreiben wir hier das Hochladen einer Audiodatei auf unseren Server, die Bearbeitung dort und den Download der fertigen Ergebnisse bis zur Löschung der einzelnen Auftragsdaten. Die Auftragsdaten werden nur so lange auf dem Server gespeichert, wie dies für die Zwecke der Verarbeitung nötig ist. Danach werden die Auftragsdaten auf Ihren Rechner zurückgespielt und dort von Ihnen lokal gespeichert.

1. Hochladen von Audiodateien

Audiodateien können auf unseren Server hochgeladen werden, wenn Sie registriert und an einem Client angemeldet sind. Der Client erzeugt für jede Audiodatei beim Upload ein asymetrisches Schlüsselpasswort. Der öffentliche Schlüssel wird beim Upload gemeinsam mit der Audiodatei an den Server gesendet (Jobschlüssel). Der private Schlüssel wird bei Nutzung von f4transkript auf dem Client-Rechner mit Ihrem geheimen Passwort verschlüsselt und abgelegt. So ist sichergestellt, dass die Auftragsdaten nur vom registrierten Client aus entschlüsselt werden können. Bei Nutzung von f4x über den Browser wird dieses Passwort auf einem separaten (von der Spracherkennung getrennten) Server verschlüsselt abgelegt.

Der Upload auf unseren Server erfolgt über eine gesicherte Verbindung. Dateinamen werden vor der Verarbeitung durch zufällige aber eindeutige Namen pseudonymisiert. Bei Nutzung von f4transkript bereits während des Uploads.

2. Bearbeitung

Zur Bearbeitung wird die Audiodatei durch den Spracherkennungsalgorithmus entschlüsselt und in eine Textdatei umgesetzt. Die Audiodatei wird direkt nach der erfolgreichen Umsetzung in eine Textdatei gelöscht. Die fertige Textdatei wird mit dem öffentlichen Schlüssel des Jobs verschlüsselt auf dem Server zur Abholung zwischengespeichert.

Der Server meldet zu jedem Job einen Status an den Client. Erfolgreich umgesetzte Jobs melden den Status an den Client und aktivieren dort den „Download“-Button.

3. Download

Die fertigen Textdateien können vom Client heruntergeladen werden. Nach erfolgreichem Download wird die Textdatei durch den privaten Key auf dem Client entschlüsselt. Bei Nutzung von f4transkript stellt die Kombination aus öffentlichem und privatem Schlüssel stellt sicher, dass die Ergebnisse nur auf dem Rechner entschlüsselt werden können, von dem der Auftrag hochgeladen wurde. Bei Nutzung von f4x über den Browser kann das Ergenis nur mit korrekten Anmeldedaten entschlüsselt werden.

4. Löschung

Sobald der Server die Meldung über den erfolgreichen Download erhält, wird die Datei vom Server endgültig gelöscht.

Sollte beim Upload ein Fehler aufgetreten sein, z.B. wegen eines nicht erkannten Dateiformats oder des Abbruchs der Verbindung, wird die unvollständige Audiodatei sofort vom Server gelöscht. Der Client erhält sodann einen entsprechenden Hinweis

Sollte ein Ergebnis nach 14 Tagen nicht abgeholt werden, erhalten Sie einen Hinweis per E-Mail. Bleibt dieser Hinweis unbeantwortet, erhalten Sie nach 7 Tagen eine weitere Erinnerung. Sollte die darin genannte Frist zur Abholung von 7 Tagen verstreichen, werden die Auftragsdaten gelöscht und der Kunde hierüber per E-Mail informiert.

VI. Dauer der Datenspeicherung und Datenlöschung

Im Hinblick auf die Dauer der Datenspeicherung und die Datenlöschung ist wie folgt zu differenzieren:

Vertragsdaten werden zur Legitimierung und Auftragskontrolle zunächst dauerhaft auf dem Spracherkennungsserver gespeichert. Die Löschung der Vertragsdaten erfolgt bei der Löschung des Accounts, sofern der Löschung keine vertraglichen und/oder gesetzlichen Aufbewahrungsfristen entgegenstehen. Auftragsdaten, also die Audiodateien und die entsprechenden Textdateien, werden für die Dauer der Bearbeitung bis zum Download durch Sie oder bis zum Verstreichen der vereinbarten Löschfrist gespeichert und sodann automatisch gelöscht. Ergänzende Informationen zu den Auftragsdaten, wie Dateigröße und Datum des Uploads, werden gespeichert, um die Abwicklung und Abrechnung der Einzelaufträge zu ermöglichen und diese zu dokumentieren. Diese Daten werden für die Nachvollziehbarkeit durch Sie und die Dokumentation möglicher Ansprüche so lange gespeichert, wie der Account aktiv ist. Mit der Löschung des Accounts werden die Daten gelöscht. Bestelldaten beim Kauf von Zeitkontingenten (z.B. der Name, die Adresse, die E-Mail-Adresse, die Telefonnummer (optional), das Datum der Bestellung und die Anzahl der bestellten Artikel) werden für Abrechnungs- und Buchhaltungszwecke auf den Server des Webshops und auf unseren Inhouse-Server in Marburg geladen und entsprechend gesetzlicher Aufbewahrungsfristen gespeichert.

Über die genauen Daten, Verarbeitungszwecke und Speicherfristen wird ausführlich in der Datenschutzerklärung informiert.

VII. Infrastruktur zur Datenverarbeitung

Die genutzte Infrastruktur zur Datenverarbeitung ist in vier voneinander physisch unabhängige Bereiche aufgeteilt. Sie werden im Anhang der ADV durch die TOMs über die genutzte Infrastruktur informiert. Hierzu im Einzelnen:

1. Spracherkennungsserver

Der „Spracherkennungsserver“ enthält den Spracherkennungsalgorithmus und verwaltet die Auftragsabwicklung und Nutzerverwaltung. Hier werden die Auftragsdaten während der Bearbeitung zwischengespeichert. Diese Daten werden auf einem Dedicated Root Server der Hetzner Online GmbH in Nürnberg oder Falkenstein verarbeitet.

Das Rechenzentrum ist DIN-ISO/IEC-27001-zertifiziert (dt. Akkreditierungsstelle D-ZM-18855-01-00, Zertifikatsnummer ZN-2016-04). Ein Vertrag zur Auftragsverarbeitung wurde am 29.10.2018 abgeschlossen.

2. Webshop

Der Webshop zum Kauf von Zeitkontingenten und E-Mail-Dienste laufen über einen Server der ALL-INKL.COM Neue Medien Münnich mit Serverstandorten in Dresden und Friedersdorf. Gespeichert werden hier die von Ihnen angegebenen Adressdaten, die gekauften Artikel und die Korrespondenz per E-Mail. Ein Vertrag zur Auftragsverarbeitung wurde am 25.05.2018 geschlossen.

3. Interne Auftragsabwicklung

Für die Abrechnung und Buchhaltung werden Kundendaten auf eigenen Servern in den Geschäftsräumen der dr. dresing & pehl GmbH in Marburg gespeichert und entsprechend gesetzlicher Aufbewahrungsfristen archiviert. Der Zugriff auf die Daten ist insbesondere durch ein Zugriffskonzept (Passwort, restriktive Rechtevergabe etc.) geregelt.

4. Zahlungsabwicklung

Daten für Kreditkartenzahlungen oder für Lastschriftaufträge werden von uns nicht gespeichert. Die Abwicklung dieser Zahlweisen wird über sog. Iframes direkt an den Zahlungsdienstleister BS PAYONE GmbH in Frankfurt am Main weitergeleitet.

Zahlungen per PayPal werden von Ihnen direkt auf der Bezahlseite von PayPal (für Europäische Kunden PayPal (Europe) S.à r.l. et Cie, S.C.A., in Luxemburg) durchgeführt.

Anlage 2: Technische und organisatorische Maßnahmen

Mit folgenden Maßnahmen wird der Schutz der Auftragsdaten gewährleistet

I. Vertraulichkeit

Zutrittskontrolle zu den Geschäftsräumen der dr. dresing & pehl GmbH (im Folgenden „wir“)

  • Der Zutritt ist über ein manuelles Schließsystem gesichert.
  • Der Zutritt für betriebsfremde Personen (z.B. Personen, die uns besuchen) zu den Räumen ist beschränkt bzw. nur in Begleitung von Betriebsangehörigen der dr. dresing & pehl GmbH möglich. Die Schlüsselvergabe erfolgt restriktiv und wird dokumentiert.

Zugangskontrolle zu Produktivsystemen

  • Der Zugang zu Produktivsystemen mit schützenswerten Daten ist passwortgeschützt, Zugriff besteht nur für Personal mit entsprechender Sicherheitsfreigabe. Verwendete Passwörter müssen dem Passwortkonzept genügen. Der Zugriff auf externe Produktivsysteme erfolgt ausschließlich über eine gesicherte Verbindung.

Zugriffskontrolle

  • Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellen wir sicher, dass unberechtigte Zugriffe verhindert werden.
  • Die Übertragung vom Client auf den Server erfolgt ausschließlich verschlüsselt. Auftragsdaten werden sofort beim Upload in verschlüsselten Containern gespeichert. Eine Entschlüsselung ist nur auf dem Client möglich, von dem der Upload gestartet wurde. Ein regelmäßiger Zugriff auf Auftragsdaten durch Beschäftigte der dr. dresing & pehl GmbH ist somit nicht möglich.
  • Beschäftigte von audiotranskription haben keinen Zugriff auf gespeicherte Auftragsdaten.
  • Für die Sicherheit und Updates des genutzten Clients ist die nutzende Person zuständig.

Datenträgerkontrolle

  • Intern verwendete Datenträger werden nach einem Löschkonzept sicher gelöscht bzw. physisch vernichtet.
  • Es wird sichergestellt, dass Serverhoster über ein geeignetes Konzept zur Löschung/Zerstörung nicht mehr genutzter Festplatten verfügen.

Trennungskontrolle

  • Im internen Verwaltungssystem von audiotranskription werden Daten zur Abrechnung (Rechnungs-/Auftragsabwicklung etc.) physisch und logisch getrennt von Auftragsdaten gespeichert. Datensicherung erfolgt ebenfalls auf logisch und/oder physisch getrennten Systemen.
  • Für den Spracherkennungs-Online-Service werden Auftragsdaten physisch oder logisch getrennt von anderen Daten gespeichert. Datensicherung erfolgt auf logisch und/oder physisch getrennten Systemen.

Pseudonymisierung

  • Für die Pseudonymisierung der Daten ist die nutzende Person vor Upload der Daten verantwortlich.

II. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

  • Alle unsere Beschäftigten sind i.S.d. Art. 32 Abs. 4 DSGVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.
  • Es erfolgt eine automatisierte Löschung der Daten nach Auftragsbearbeitung.
  • Verschlüsselte Datenübertragung wird im Umfang der Leistungsbeschreibung des Hauptauftrags zur Verfügung gestellt.

Eingabekontrolle

  • Die Daten werden von der nutzenden Person selbst eingegeben bzw. erfasst.
  • Alle Änderungen der Daten auf dem Server werden automatisiert protokolliert.

III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle für das interne Verwaltungssystem von audiotranskription

  • Es besteht ein Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten.
  • Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, Spamfilter), die den Server gegen unbefugtes Eindringen absichern.
  • Festplattenspiegelung aller relevanten Server.
  • Monitoring des Status aller relevanten Rechner.
  • Verfügbarkeitskontrolle für den Spracherkennungs-Online-Service
  • Nutzung der Hochsicherheitstechnik des Hosters.
  • Sicherstellung, dass Hoster über geeignete Konzepte und Maßnahmen verfügt zu: Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage, dauerhaft aktivem DDoS-Schutz. Einsatz einer Softwarefirewall und Portreglementierungen, Backup- und Recovery-Konzept mit täglicher Sicherung der Daten. Einsatz von Festplattenspiegelungs-Mechanismen
  • Monitoring aller relevanten Server.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

  • Für alle internen Systeme existieren direkte Informationskanäle (Messenger) zur Information des zuständigen Personals im Fehlerfall, um das System schnellstmöglich wiederherzustellen.

IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Es existiert ein System zur regelmäßigen Überprüfung, Bewertung und Evaluierung aller getroffenen Maßnahmen.

Auftragskontrolle

Unsere Beschäftigten werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht der verantwortlichen und weisungsberechtigten Person.

Anlage 3: Unterauftragsverarbeiter

Unterauftragsverarbeiter Kontaktdaten Gegenstand der Verarbeitung
Hetzner Online GmbH Industriestrasse 25,
91710 Gunzenhausen
info@hetzner.com
Hosting von Daten,
ISO-27001-zertifiziert
Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS Schloss Birlinghoven
53754 Sankt Augustin
info@zv.fraunhofer.de
Support und Pflege des Spracherkennungsalgorithmus

Anlage 4: Kategorien von Daten und betroffenen Personengruppen

Diese Angaben wurden von der verantwortlichen Person im Anmeldeprozess angegeben und sind in der Bestätigungs-E-Mail aufgeführt.

Stand: 15.10.2019

    Warenkorb
    Ihr Warenkorb ist leerZurück zum Shop
      Calculate Shipping