Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die Pflichten der Parteien zum Datenschutz gemäß Art. 28 DSGVO. Er wird Bestandteil des Vertrags zwischen dem Kunden (Verantwortlicher) und Good Point GmbH (Auftragsverarbeiter), sobald der Kunde die Plattform oder API von HancVoice nutzt, um personenbezogene Daten Dritter zu verarbeiten. Für die Verarbeitung eigener Kontodaten des Kunden gilt die Datenschutzerklärung.
1. Parteien & Gegenstand
| Auftragsverarbeiter | Good Point GmbH, Liechtensteinstrasse 63/10, 1090 Wien, Österreich · UID ATU80258169 · FN FN 618845t, Handelsgericht Wien |
| Verantwortlicher | Der Kunde (Inhaber des HancVoice-Kontos bzw. API-Zugangs) |
| Kontakt Datenschutz | legal@hancvoice.com |
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen. Die Nutzung der Plattform gemäß Vertrag und Dokumentation gilt als Weisung.
2. Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Gegenstand: Bereitstellung von Sprachsynthese (Text-to-Speech), Stimmerstellung, Voice Conversion, Transkription, Speicherung von Projekten und REST-API unter
hancvoice.com. - Dauer: Für die Laufzeit des Hauptvertrags; endet mit dessen Beendigung zzgl. der gesetzlichen bzw. vertraglich vereinbarten Aufbewahrungs- und Löschfristen.
- Art: Erheben, Erfassen, Speichern, Verändern, Auslesen, Übermitteln, Löschen — durch automatisierte Verfahren.
- Zweck: Ausschließlich die vertragsgemäße Erbringung der genannten Dienste; keine eigenen Zwecke des Auftragsverarbeiters.
3. Kategorien personenbezogener Daten & Betroffenengruppen
- Datenkategorien: vom Kunden bereitgestellte Texte, Audioaufnahmen (Stimmproben) und daraus erzeugte Audiodaten; ggf. in Inhalten enthaltene Namen, Stimm- und Sprachmerkmale; technische Metadaten (Zeitstempel, Auftrags-IDs).
- Besondere Kategorien (Art. 9): nur, soweit der Verantwortliche solche Daten in die Inhalte einbringt; er ist für die Rechtsgrundlage verantwortlich.
- Betroffenengruppen: Endnutzer, Kunden, Mitarbeiter oder sonstige Dritte des Verantwortlichen, deren Daten er über die Plattform verarbeitet.
4. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)
Der Auftragsverarbeiter verpflichtet sich, insbesondere:
- Daten nur auf dokumentierte Weisung zu verarbeiten, auch bei Drittlandtransfers, sofern nicht gesetzlich verpflichtet;
- die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4);
- geeignete technische und organisatorische Maßnahmen nach Art. 32 zu treffen (siehe Ziffer 5);
- Unterauftragsverarbeiter nur unter den Bedingungen der Ziffer 6 einzusetzen;
- den Verantwortlichen bei Betroffenenrechten (Kap. III) und Pflichten (Art. 32–36) angemessen zu unterstützen;
- nach Wahl des Verantwortlichen alle Daten nach Ende der Verarbeitung zu löschen oder zurückzugeben (Ziffer 9);
- dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung bereitzustellen und Überprüfungen zu ermöglichen (Ziffer 10);
- den Verantwortlichen unverzüglich zu informieren, falls eine Weisung nach seiner Auffassung gegen Datenschutzrecht verstößt.
5. Technische & organisatorische Maßnahmen (Art. 32 DSGVO)
- Verschlüsselung: TLS für alle Transportwege; Zugangsdaten als scrypt-Hash, keine Klartext-Passwörter.
- Zugriffskontrolle: rollenbasierte Rechte, Admin-Bereich zusätzlich PIN-geschützt, Rate-Limiting und Anmelde-Drosselung, Webhook-Signaturprüfung.
- Mandantentrennung: Daten sind kontobezogen getrennt; Nutzer sehen ausschließlich eigene Projekte und Stimmen.
- Protokollierung: Ereignis- und Admin-Aktionsprotokolle zur Nachvollziehbarkeit.
- Verfügbarkeit & Wiederherstellbarkeit: Hosting in der EU (Hetzner, Nürnberg/DE), Backups, Firewall (ufw).
- Datenminimierung & Löschung: Aufbewahrung nach Zweck; Selbst-Export (Art. 20) und Konto-Löschung (Art. 17) stehen zur Verfügung.
6. Unterauftragsverarbeiter (Art. 28 Abs. 2 & 4)
Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert über beabsichtigte Änderungen und räumt ein Widerspruchsrecht ein. Eingesetzt werden derzeit insbesondere:
| Hetzner Online GmbH (DE) | Hosting, Server, Datenbank — Rechenzentrum in der EU |
| Stripe Payments Europe, Ltd. (IE) | Zahlungsabwicklung (nur Zahlungs-/Rechnungsdaten) |
| Infrastruktur zur Sprachsynthese/-verarbeitung | Betrieb der KI-Modelle für TTS, Voice Conversion und Transkription |
Die jeweils aktuelle, vollständige Liste der Unterauftragsverarbeiter samt Standort wird auf Anfrage über legal@hancvoice.com bereitgestellt. Mit jedem Unterauftragsverarbeiter bestehen Verträge mit gleichwertigen Datenschutzpflichten nach Art. 28 Abs. 4.
7. Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen dabei, Anträge Betroffener auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–22) zu erfüllen. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.
8. Meldung von Datenschutzverletzungen (Art. 33, 34)
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei dessen Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörde und betroffenen Personen.
9. Löschung & Rückgabe nach Vertragsende
Nach Beendigung der Verarbeitung löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und vernichtet vorhandene Kopien, soweit keine gesetzliche Aufbewahrungspflicht besteht.
10. Kontrollrechte & Nachweise
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen von ihm beauftragten Prüfer, in angemessenem Umfang und mit angemessener Vorankündigung.
11. Drittlandtransfer (Art. 44 ff.)
Eine Verarbeitung außerhalb der EU/des EWR findet nur statt, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind — insbesondere ein Angemessenheitsbeschluss oder Standardvertragsklauseln (SCC) nebst erforderlichen zusätzlichen Maßnahmen.
12. Haftung & anwendbares Recht
Es gilt Art. 82 DSGVO. Im Übrigen unterliegt dieser AVV österreichischem Recht unter Ausschluss der Verweisungsnormen; zwingende Verbraucherschutzbestimmungen bleiben unberührt. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Datenschutzregelungen dieses AVV vor.