Auftragsbearbeitungsvertrag (AVV / DPA)

Zusammenfassung

Dieser Auftragsbearbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch aurenote im Auftrag von Geschäftskunden gemäss Art. 9 revDSG und Art. 28 DSGVO. Er gilt für alle Team-, Business- und Enterprise-Tarife.

1. Parteien

Auftragsverarbeiter:
Recica Solutions
Einzelunternehmen · Inhaber: Donat Recica
Zollstrasse 6, 8212 Neuhausen am Rheinfall, Schweiz
info@recica-solutions.ch

Verantwortlicher: Du bzw. die juristische Person, die aurenote unter einem Team-, Business- oder Enterprise-Tarif nutzt.

2. Gegenstand und Zweck

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich zum Zweck der Erbringung des Dienstes aurenote:

• Speicherung und Anzeige von Notizen, Meetings, Transkripten und Zusammenfassungen
• Automatische Transkription und KI-gestützte Zusammenfassung von Online-Meetings
• Verwaltung von Workspace-Mitgliedern und deren Berechtigungen
• Bereitstellung von Audit-Logs und Compliance-Funktionen

3. Dauer

Dieser AVV gilt für die Dauer des Hauptvertrags (Tarif-Subscription) und darüber hinaus bis zur vollständigen Löschung aller verarbeiteten Daten (spätestens 30 Tage nach Vertragsende).

4. Umfang der Verarbeitung

Datenkategorien

• Identifikationsdaten (Namen, E-Mail-Adressen, Rollen)
• Inhaltsdaten (Notizen, Transkripte, Audio-Aufnahmen, Zusammenfassungen)
• Metadaten (Erstellungszeit, Bearbeitungshistorie, Aktivitäts-Logs)
• Technische Daten (IP-Adressen, Zugriffe, Audit-Events)

Betroffene Personen

• Mitglieder des Workspaces (Mitarbeitende des Kunden)
• Externe Meeting-Teilnehmende (sofern Aufnahme erfolgt)

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Daten ausschliesslich gemäss dokumentierten Weisungen des Verantwortlichen zu verarbeiten
• alle Mitarbeitenden auf Vertraulichkeit zu verpflichten
• geeignete technische und organisatorische Massnahmen umzusetzen (siehe Abschnitt 6)
• den Verantwortlichen bei der Erfüllung von Auskunfts-, Berichtigungs- und Löschungsansprüchen Betroffener zu unterstützen
• Datenpannen unverzüglich (innerhalb 72 Stunden) zu melden
• auf Anfrage Audits und Inspektionen durch den Verantwortlichen zu ermöglichen

6. Technische und organisatorische Massnahmen (TOM)

Der Auftragsverarbeiter setzt unter anderem folgende Massnahmen ein:

• Verschlüsselung: TLS 1.3 im Transport, AES-256 für ruhende Daten
• Zugriffskontrolle: Multi-Faktor-Authentisierung für Mitarbeitende, Principle of Least Privilege
• Hosting: ISO 27001-zertifiziertes Rechenzentrum in Nürnberg (EU)
• Backups: tägliche verschlüsselte Backups mit 30-tägiger Aufbewahrung
• Monitoring: Audit-Logs aller administrativer Zugriffe, automatische Anomalieerkennung

7. Sub-Auftragsverarbeiter

Eine aktuelle Liste aller Sub-Auftragsverarbeiter findest du unter Sub-Prozessoren.

8. Drittlandsübermittlung

Daten werden primär in der EU verarbeitet (Hetzner Nürnberg). Wenn Sub-Auftragsverarbeiter in Drittländern eingesetzt werden (z.B. USA), erfolgt der Datentransfer auf Basis von EU-Standardvertragsklauseln (SCC) und ggf. zusätzlichen Schutzmassnahmen.

9. Haftung

Die Haftung des Auftragsverarbeiters richtet sich nach den AGB des Hauptvertrags und ist auf den vom Kunden gezahlten Jahresbetrag begrenzt.

10. Beendigung

Bei Beendigung des Hauptvertrags werden alle Kundendaten innerhalb von 30 Tagen gelöscht, ausser gesetzliche Aufbewahrungspflichten stehen entgegen. Auf Wunsch erfolgt vorher ein Export.

11. Verbindliche Vereinbarung

Mit Buchung eines Team-, Business- oder Enterprise-Tarifs akzeptierst du diesen AVV automatisch. Für individuell angepasste AVVs (z.B. mit Verhandlungspunkten oder firmenspezifischen Klauseln) kontaktiere uns gerne.

Individuellen AVV anfragen →