DSGVO und AVV
Wortflink ist DSGVO-konform aufgebaut, EU-Hosting, AVV mit Hetzner und Mistral. So bekommst du als Geschäftskunde eine signierte Auftragsverarbeitungs-Vereinbarung.
Wortflink ist explizit so aufgebaut, dass auch Anwälte, Steuerberater, Ärzte und Behörden die Software DSGVO-konform einsetzen können.
EU-Hosting
| Komponente | Anbieter | Standort |
|---|---|---|
| Backend (API, Datenbank) | Hetzner Online GmbH | Falkenstein, Deutschland |
| Spracherkennung (Voxtral) | Mistral AI | Paris, Frankreich |
| Text-Politur (Mistral Small) | Mistral AI | Paris, Frankreich |
| Audio-Proxy | Wortflink (Hetzner) | Falkenstein, Deutschland |
Nichts läuft über USA, China, oder andere Drittländer. Keine Cloud-Provider mit US-Connection (kein AWS, kein Azure, kein GCP).
Auftragsverarbeitungs-Vereinbarung (AVV) für Geschäftskunden
Wenn du Wortflink als Selbstständige(r) oder Unternehmen nutzt und personenbezogene Daten (Kunden-E-Mails, Patienten-Berichte, Geschäftspartner-Korrespondenz) diktierst, brauchst du eine AVV nach Art. 28 DSGVO mit uns.
So bekommst du die AVV
Schreib an info@wortflink.de mit Stichwort „AVV” und folgenden Angaben:
- Firmenname + vollständige Anschrift
- USt-IdNr. (falls vorhanden)
- Vertretungsberechtigte Person + E-Mail
Wir senden dir eine vollständig ausgefüllte und vorab signierte AVV als PDF, üblicherweise binnen 1-2 Werktagen. Du gegenzeichnest, schickst zurück, fertig.
Sub-Auftragsverarbeiter (in der AVV als Anhang)
In unserer AVV findest du diese Sub-Processor-Liste:
| Anbieter | Funktion | Standort | Compliance-Center |
|---|---|---|---|
| Hetzner Online GmbH, 91710 Gunzenhausen | Hosting Backend, Datenbank (ISO 27001/27017/27018) | Deutschland | hetzner.com/legal |
| Mistral AI, 5 Rue de l’Échelle, 75001 Paris | KI-Spracherkennung (Voxtral) + Text-Politur (ISO 27001, ISO 27701, SOC 2 Type II) | Frankreich | trust.mistral.ai |
Mit beiden haben wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Mistrals Data Processing Addendum (DPA) ist als Click-Wrap-Vertrag bei Aktivierung der La Plateforme automatisch wirksam und unter legal.mistral.ai/terms/data-processing-addendum jederzeit einsehbar. Hetzners AVV ist über das Hetzner-Robot-Portal abrufbar. Beide Anbieter pflegen ihre eigene Sub-Processor-Liste, welche sich Veränderungen unterzieht; wir informieren dich über solche Änderungen, sobald sie unsere Verarbeitungs-Kette betreffen.
Eine immer aktuelle, gebündelte Übersicht über alle Sub-Auftragsverarbeiter, aktuelle Compliance-Status und Download-Links für unsere AVV-Vorlage findest du im Wortflink Trust-Center.
TOMs (technische und organisatorische Maßnahmen)
Auszug aus dem AVV-Anhang:
- TLS 1.3-Verschlüsselung für alle API-Verbindungen
- Argon2id für Passwort-Hashes
- API-Keys nur als Hash in der Datenbank, nie im Klartext
- 2FA Pflicht für Admin-Accounts (TOTP)
- Rate-Limiting pro Endpoint zur Brute-Force-Abwehr
- Backup: täglich, verschlüsselt, off-site
- Zugriffsprotokoll: alle Admin-Aktionen werden auditiert
- Sicherheits-Updates: automatisches Patching der Server-OS-Pakete
Vollständige TOMs sind Bestandteil der AVV.
Was du als Verantwortlicher (Endkunde) machen musst
DSGVO-rechtlich bist du der Verantwortliche für die personenbezogenen Daten Dritter, die du mit Wortflink verarbeitest. Wortflink ist nur Auftragsverarbeiter. Das heißt:
- Verzeichnis von Verarbeitungstätigkeiten (VVT) führen, Wortflink ist da als Empfänger eingetragen
- AVV mit uns abschließen (siehe oben)
- Deine Kunden, Patienten oder Geschäftspartner in deiner Datenschutzerklärung über die KI-Nutzung informieren
- Eigene TOMs prüfen (z.B. dein Rechner muss verschlüsselt sein, bei Bedarf Bildschirm-Sperre)
Sektor-Hinweis: Berufsgeheimnis (§ 203 StGB)
Berufsgruppen wie Ärzte, Anwälte oder Steuerberater unterliegen einem berufsständischen Schweigegebot. Seit der Reform 2017 ist eine Cloud-Verarbeitung der zugehörigen vertraulichen Daten unter bestimmten Bedingungen möglich (§ 203 Abs. 3 StGB), unter anderem mit schriftlicher Auftragsverarbeitungs-Vereinbarung und angemessenen technisch-organisatorischen Schutzmaßnahmen.
Wortflink stellt für diese Konstellation die nötigen Bausteine bereit (AVV, TOM-Liste, EU-Hosting, Geheimhaltungsverpflichtung der mit der Verarbeitung befassten Personen). Ob die konkrete Nutzung in deinem Berufsumfeld zulässig ist, ist eine Einzelfall-Beurteilung, sie hängt von der Art der Daten, der einschlägigen Berufsordnung und ggf. weiteren landesrechtlichen Vorgaben ab. Diese Einschätzung kann und darf an dieser Stelle nicht ersetzt werden.
Empfehlung: Sprich vor produktivem Einsatz mit deiner zuständigen Kammer oder einem auf Datenschutz/Berufsrecht spezialisierten Anwalt. Wir liefern dir alle Unterlagen, die diese Prüfung benötigen, gerne auch direkt im Kontakt mit deinem Datenschutzbeauftragten.
Datenverarbeitungs-Pflicht-Hinweis für deine Datenschutzerklärung
Vorlage zum Übernehmen:
Zur Spracherkennung und Textpolitur nutzen wir die Software „Wortflink” der IAP-IT, Inhaber Viktor Weizel. Wortflink verarbeitet Audio-Aufnahmen und daraus generierte Text-Inhalte über den Mistral AI Voxtral-Dienst (Sub-Auftragsverarbeiter, Sitz Paris/Frankreich). Audio wird nicht gespeichert. Es besteht eine Auftragsverarbeitungs-Vereinbarung gemäß Art. 28 DSGVO.
Bei spezifischen rechtlichen Fragen zur Anwendbarkeit in deiner Branche oder zur konkreten Umsetzung in deinem Unternehmen wende dich an deinen Datenschutzbeauftragten oder einen auf Datenschutz spezialisierten Anwalt. Eine rechtsverbindliche Auskunft ist auf dieser Seite nicht möglich.
Zuletzt aktualisiert: