Auftragsverarbeitungsvertrag (AVV) — Mustertext

Version 1.0 · Stand: 28.5.2026

Dieser Auftragsverarbeitungsvertrag wird zwischen dem Kunden („Verantwortlicher") und der NeuralMedic GmbH, Haslangstraße 49, 85049 Ingolstadt („Auftragsverarbeiter") gemäß Art. 28 DSGVO geschlossen. Die unterzeichnete Fassung erhältst du nach Login unter Einstellungen → AVV als PDF.

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung von MeetingIQ. Die Dauer entspricht der Laufzeit des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

Transkription, KI-gestützte Zusammenfassung, Aufgaben-Extraktion und automatischer E-Mail-Versand auf Basis vom Verantwortlichen bereitgestellter Audio- und Videoinhalte.

§ 3 Art der personenbezogenen Daten

• Sprachaufnahmen und daraus erzeugte Transkripte (besondere Kategorien gem. Art. 9 DSGVO möglich, wenn Inhalt entsprechend).
• Namen, E-Mail-Adressen und Funktionen der Meeting-Teilnehmer.
• Metadaten (Datum, Dauer, IP-Adresse, User-Agent für Audit-Log).

§ 4 Technisch-organisatorische Maßnahmen (TOMs)

• Hosting ausschließlich in Hetzner-Rechenzentren Falkenstein und Nürnberg (DE).
• Verschlüsselung: TLS 1.3 in transit, AES-256 at rest, getrennte Schlüssel pro Tenant.
• Zugangs-, Zutritts- und Zugriffskontrolle, Logging, MFA für Admins.
• Pseudonymisierung von Tasks/Zitaten auf Wunsch (Compliance-Plan).
• Backup-Konzept mit 7-tägiger Restore-Fähigkeit, redundante Speicherung in EU.
• Audit-Log auf Datenzugriffe.
• Mitarbeiterverpflichtung auf Vertraulichkeit nach Art. 28 (3) b DSGVO.

§ 5 Subprozessoren

Die aktuelle Liste der Subprozessoren ist unter /subprozessoren abrufbar. Änderungen werden mind. 14 Tage vorher per E-Mail mitgeteilt; der Verantwortliche kann widersprechen.

§ 6 Rechte des Verantwortlichen

Auf Anweisung des Verantwortlichen werden Daten gelöscht, berichtigt oder herausgegeben. Eine API hierfür ist im Account verfügbar.

§ 7 Meldung von Datenschutzverletzungen

Meldung unverzüglich, spätestens 24 Stunden nach Kenntnis, an die im Account hinterlegte DPO-Kontaktadresse.

§ 8 Drittlandstransfer

Keiner. Sämtliche Datenverarbeitung erfolgt innerhalb der EU/EWR.

§ 9 Unterzeichnung

Eine elektronisch signierte Fassung kann jederzeit per Klick im Account erzeugt werden — qualifizierte Signatur über unseren Trust-Service-Provider verfügbar im Compliance-Plan.