1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten im Rahmen der MeetLinks-Plattform im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
TAXWARE Software Solutions GmbH
Gasstraße 18, Haus 6a
22761 Hamburg
Deutschland
E-Mail: datenschutz@meetlinks.de
2. Datenschutzkontakt und Datenschutzbeauftragter
Aufgrund der Art unserer Verarbeitung (KI-gestützte Verarbeitung von Meeting-Stimmen mit Sprecher-Trennung) benennen wir einen Datenschutzbeauftragten, soweit dies gesetzlich erforderlich ist. Bis zur Veröffentlichung der namentlichen Kontaktdaten erreichen Sie unsere Datenschutzstelle über:
E-Mail: datenschutz@meetlinks.de
Bitte kennzeichnen Sie Anfragen mit dem Betreff „Datenschutz-Anfrage“.
3. Verarbeitungszwecke und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten ausschließlich für die nachstehenden Zwecke. Sie finden zu jedem Zweck die verarbeiteten Datenarten, die Rechtsgrundlage und den eingesetzten Dienstleister.
3.1 Account-Verwaltung und Authentifizierung
Zweck: Login, Registrierung, Session-Management; OAuth-Anbindung von Google für Login und Calendar-Integration.
Verarbeitete Daten: Name, E-Mail-Adresse, Profilbild, OAuth-Tokens, Session-IDs, gehashte IP-Adresse, Login-Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Dienstleister: Convex, Inc. (Speicherung der Account-Daten); Google LLC / Google Ireland Limited (OAuth-Provider).
Datenstandort: Convex EU-Region (Frankfurt). Google OAuth: weltweit, abgesichert durch das EU-US Data Privacy Framework.
3.2 Meeting-Audio-Aufnahme (Upload)
Zweck: Entgegennahme von Audio-Dateien zur Transkription und KI-gestützten Analyse.
Verarbeitete Daten: Audio-Aufnahmen (Stimme, biometrisches Datum nach Art. 9 DSGVO i.V.m. Speaker-Diarization), gesprochene Inhalte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) aller Sprecher. Vor dem Upload muss der Nutzer bestätigen, dass alle Sprecher über Aufnahme, Transkription und KI-Analyse informiert wurden und zugestimmt haben. Diese Bestätigung wird protokolliert.
Strafrechtlicher Hinweis: Die Aufnahme des nicht-öffentlich gesprochenen Wortes ohne Einwilligung aller Beteiligten ist nach § 201 StGB strafbar. Der Kunde ist verpflichtet, alle Meeting-Teilnehmer zu informieren und eine Einwilligung einzuholen.
Dienstleister: Hetzner Online GmbH (S3 Object Storage, Nürnberg).
Datenstandort: Deutschland, kein Drittlandtransfer.
Speicherdauer: Bis zur Meeting-Löschung; ansonsten 12 Monate ab letztem Zugriff durch eine automatische Löschfrist.
3.3 Meeting-Aufnahme via Bot (Recall.ai)
Zweck: Automatischer Beitritt eines KI-Notetaker-Bots zu Online-Meetings (Zoom, Google Meet, Microsoft Teams) und Aufnahme von Audio und ggf. Video.
Verarbeitete Daten: Audio (Stimme, biometrisch), Video, Meeting-Metadaten (Teilnehmerliste, Titel, Zeit), Kalender-Events bei aktiver Calendar-Integration.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + Art. 9 Abs. 2 lit. a DSGVO.
Einwilligung und Transparenz: Vor dem manuellen Bot-Start muss der Nutzer bestätigen, dass alle Teilnehmer über Aufnahme, Transkription und KI-Analyse informiert wurden und zugestimmt haben. Bei Kalender-Aufnahmen wird diese Bestätigung beim Aktivieren der Aufnahme verlangt. Der Bot ist für die Teilnehmer sichtbar und kündigt den Beginn der Audio- und Videoaufnahme an.
Dienstleister: Recall.ai Inc. (US-Mutter, EU-Region eu-central-1 in Frankfurt).
Datenstandort: Wir verwenden die Recall.ai-Region eu-central-1 (Frankfurt). Für die US-Muttergesellschaft werden die erforderlichen Garantien für Drittlandübermittlungen vertraglich abgesichert.
3.4 Speech-to-Text und Sprecher-Diarization
Zweck: Konvertierung des Audios in Text-Transkript einschließlich Sprecher-Trennung und Word-Timestamps.
Verarbeitete Daten: Audio-Datei (zur Verarbeitung über presigned URL), generiertes Text-Transkript, Speaker-Labels, Confidence-Scores.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b + Art. 9 Abs. 2 lit. a DSGVO.
Dienstleister: Speechmatics Ltd. (Cambridge, UK).
Datenstandort: Verarbeitung über den Speechmatics-EU1-Workspace. Das Vereinigte Königreich besitzt einen EU-Angemessenheitsbeschluss.
Kurzzeitspeicherung: Audio-Daten und Transkripte werden nach 7 Tagen automatisch von den Speechmatics-Servern gelöscht.
3.5 KI-gestützte Meeting-Analyse
Zweck: Generierung von Zusammenfassungen, Aufgaben, Entscheidungen, Themen, Sentiment-Score und Quality-Metriken; Embedding-Generierung für die semantische Suche; interaktive Chat-Funktion über Meeting-Inhalte.
Verarbeitete Daten: Transkript-Text, Chat-Nachrichten, Meeting-Kontext.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Dienstleister: Google Ireland Limited (Vertex AI mit Gemini-Modellen).
Datenstandort: Analyse und Chat laufen über die Vertex-AI-Region europe-west1 (Belgien). Embeddings laufen über gemini-embedding-2 am Vertex-AI-Multi-Region-Endpunkt eu für die Europäische Union.
Kein Training: Google verwendet die übermittelten Daten nicht zum Training eigener Modelle.
KI-Transparenz (Art. 50 KI-VO): Sämtliche KI-generierten Inhalte werden in der MeetLinks-Oberfläche und in versendeten E-Mails als „KI-generiert“ gekennzeichnet.
3.6 Datenhaltung im Backend
Zweck: Zentrale Backend-Plattform mit Datenbank, Serverless Functions und Echtzeit-Synchronisation.
Verarbeitete Daten: Stammdaten, Meeting-Daten, Transkripte, Analyse-Ergebnisse, Chat-Threads, Embeddings, Consent-Logs, Audit-Logs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Dienstleister: Convex, Inc.
Datenstandort: EU-Region (Frankfurt). Convex Inc. ist US-Muttergesellschaft, daher sind zusätzlich Standardvertragsklauseln vereinbart.
3.7 E-Mail-Benachrichtigungen
Zweck: Versand transaktionaler Benachrichtigungen (Meeting-Zusammenfassungen, Aufgaben-Hinweise, System-Mails).
Verarbeitete Daten: E-Mail-Adresse, Name, Auszüge aus Meeting-Inhalten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Dienstleister: Sendinblue GmbH (Brevo, Berlin).
Datenstandort: EU/Deutschland, kein Drittlandtransfer.
3.8 Billing
Zweck: Abwicklung der kostenpflichtigen Pläne.
Verarbeitete Daten: Name, E-Mail, Rechnungsadresse. Kreditkarten-/Bankdaten werden ausschließlich von Stripe gespeichert (PCI-DSS Level 1).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Dienstleister: Stripe Payments Europe Ltd. (Irland).
Datenstandort: EU (Irland), kein Drittlandtransfer.
3.9 Web-Inhalte (Projekt-Kontext)
Zweck: Auf Ihre Anweisung rufen wir öffentlich zugängliche Web-Inhalte ab, um Projekt-Kontext in MeetLinks zu ergänzen.
Verarbeitete Daten: eingegebene Web-Adresse, abgerufene öffentliche Web-Inhalte und daraus erzeugter Projekt-Kontext; Personenbezug ist nicht beabsichtigt, kann bei öffentlich sichtbaren Inhalten aber nicht vollständig ausgeschlossen werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Dienstleister: Firecrawl, Inc. (USA). Die Funktion wird nur auf Nutzer-Anweisung verwendet; Drittlandübermittlungen werden vertraglich abgesichert.
4. Subprozessoren
Wir setzen Subprozessoren nur ein, soweit dies für den Dienst erforderlich ist, und sichern die Verarbeitung vertraglich ab. Bei Drittlandübermittlungen werden die Schutzgarantien nach Art. 44 ff. DSGVO eingesetzt.
| Anbieter | Zweck | Datenstandort | Schutzgarantien |
|---|---|---|---|
| Convex, Inc. | Backend, Datenbank, Realtime Sync | EU (Frankfurt) | Auftragsverarbeitungsvertrag, Standardvertragsklauseln, SOC 2 Type II |
| Hetzner Online GmbH | Audio-Speicherung (S3) | Deutschland (Nürnberg) | Auftragsverarbeitungsvertrag, ISO 27001, BSI C5 |
| Speechmatics Ltd. | Speech-to-Text, Sprecher-Diarization | UK / Microsoft Azure Europe | Auftragsverarbeitungsvertrag, EU-Angemessenheitsbeschluss für das Vereinigte Königreich, Standardvertragsklauseln, ISO 27001:2022, SOC 2 Type II, HIPAA, 7-Tage-Auto-Löschung |
| Google Ireland Limited (Vertex AI) | KI-Analyse, Embeddings, Chat | EU (europe-west1 Belgien; Embeddings: eu) | Google-Cloud-Auftragsverarbeitungsvertrag, kein Training, SOC 2, ISO 27001/27017/27018 |
| Google LLC (OAuth) | User-Login | USA (global) | EU-US Data Privacy Framework, Auftragsverarbeitungsvertrag |
| Recall.ai Inc. | Meeting-Bot-Pipeline | EU (eu-central-1) | Auftragsverarbeitungsvertrag und Standardvertragsklauseln bzw. gleichwertige Vertragsgarantien |
| Sendinblue GmbH (Brevo) | Transaktionale E-Mails | EU/Deutschland | Auftragsverarbeitungsvertrag, DSGVO-konform |
| Stripe Payments Europe Ltd. | Billing | EU (Irland) | Auftragsverarbeitungsvertrag, PCI-DSS Level 1, SOC 2, ISO 27001 |
| Firecrawl, Inc. | Web-Scraping (Projekt-Kontext) | USA | Auftragsverarbeitungsvertrag und Standardvertragsklauseln bzw. gleichwertige Vertragsgarantien |
Aktualisierungen unserer Subprozessoren-Liste werden im Vorlauf von 30 Tagen kommuniziert (für Geschäftskunden via E-Mail; für Endnutzer durch Aktualisierung dieser Erklärung).
5. Besondere Datenkategorien (Art. 9 DSGVO)
Im Rahmen der Audio-Verarbeitung mit Sprecher-Diarization verarbeiten wir biometrische Daten i.S.v. Art. 4 Nr. 14 DSGVO. Die einzige zulässige Rechtsgrundlage ist Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.
Wir verzichten bewusst auf Speicherung sogenannter Voice-Print-Templates (persistente Stimm-Modelle pro Person). Die Sprecher-Trennung erfolgt jeweils nur innerhalb einer einzelnen Aufnahme.
Sollten Meeting-Inhalte weitergehende sensible Daten enthalten (z. B. Gesundheits-, Religions-, Gewerkschafts-, Sexualleben-Daten), werden diese im Rahmen der vertraglich vereinbarten Verarbeitung mitverarbeitet. Auch hierfür ist die ausdrückliche Einwilligung der Sprecher Voraussetzung.
6. Einsatz künstlicher Intelligenz (KI-VO 2024/1689)
MeetLinks setzt KI-Systeme ein. Wir informieren Sie hiermit gemäß Art. 50 der EU-KI-Verordnung:
- KI-generierte Inhalte: Zusammenfassungen, Aufgaben, Entscheidungen, Themen, Sentiment-Scores und Chat-Antworten werden von einer KI (Google Gemini) generiert. Sie werden in der Oberfläche und in E-Mails als „KI-generiert“ gekennzeichnet.
- Direkte KI-Interaktion: Im Chat-Tab interagieren Sie direkt mit einer KI.
- Sprecher-Diarization: KI-basierte Trennung Ihrer Stimme von anderen Stimmen, biometrische Kategorisierung.
- Sentiment-Analyse: wird im Beschäftigtenkontext ausschließlich auf Meeting-Ebene aggregiert (nicht pro Person) ausgewiesen.
- Keine Emotion-Recognition am Arbeitsplatz für die Bewertung einzelner Beschäftigter.
- Menschliche Aufsicht: Sie können jeden KI-Output korrigieren oder verwerfen.
7. Ihre Rechte als betroffene Person
Nach der DSGVO stehen Ihnen folgende Rechte zu:
Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.
Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht auf Löschung Ihrer personenbezogenen Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Wir setzen Löschverlangen innerhalb von 30 Tagen um.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen.
Recht auf Datenportabilität (Art. 20 DSGVO)
Sie können Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten.
Widerspruchsrecht (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf Art. 6 Abs. 1 lit. f DSGVO basiert.
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen, etwa zur Audio-Aufnahme.
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Für die TAXWARE Software Solutions GmbH zuständig ist:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98, 24103 Kiel
Telefon: +49 431 988-1200
E-Mail: mail@datenschutzzentrum.de
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@meetlinks.de
8. Cookies und Einwilligung
Unsere Website verwendet Cookies, soweit dies für den Betrieb erforderlich ist:
Notwendige Cookies
Session-Cookies, Authentifizierung, können nicht deaktiviert werden.
Funktionale Cookies
Spracheinstellungen, UI-Präferenzen.
Aktueller Stand: Wir verwenden derzeit keine Analyse- oder Tracking-Cookies. Sollten künftig solche eingesetzt werden, holen wir vorab Ihre Einwilligung über ein Cookie-Banner ein.
9. Drittlandübermittlungen und Datensicherheit
9.1 Übermittlungen außerhalb der EU/EWR
Die folgenden Anbieter verarbeiten Daten teilweise außerhalb der EU:
- Speechmatics Ltd. (Vereinigtes Königreich): abgesichert durch den EU-Angemessenheitsbeschluss für das Vereinigte Königreich und Standardvertragsklauseln.
- Google LLC (OAuth): abgesichert durch das EU-US Data Privacy Framework und Google-Cloud-Vertragsunterlagen.
- Convex, Inc.: US-Muttergesellschaft trotz EU-Hosting, Standardvertragsklauseln und ergänzende Schutzmaßnahmen.
- Recall.ai Inc.: US-Mutter mit EU-Hosting, Standardvertragsklauseln und ergänzende Schutzmaßnahmen.
- Firecrawl, Inc.: USA, Standardvertragsklauseln und ergänzende Schutzmaßnahmen.
9.2 Verarbeitung in der EU/Deutschland
- Hetzner Online GmbH, Audio-Speicherung in Deutschland
- Sendinblue GmbH (Brevo), E-Mail-Versand in der EU/Deutschland
- Google Ireland Limited (Vertex AI), KI-Verarbeitung in Europa (
europe-west1undeu) - Stripe Payments Europe Ltd., Billing in Irland
- Convex, EU-Region Frankfurt
9.3 Technisch-organisatorische Maßnahmen
- AES-256-Verschlüsselung at rest
- TLS 1.3 in transit
- SOC 2 Type II / ISO 27001 / BSI C5 zertifizierte Subprozessoren
- OAuth 2.0 mit MFA-Optionen
- Presigned URLs für zeitlich begrenzten Audio-Zugriff
- Protokollierung sicherheitsrelevanter Ereignisse
- Regelmäßige Sicherheitsprüfungen und Abhängigkeitsprüfungen
10. Speicherdauer und Löschung
| Datenkategorie | Speicherdauer | Auslöser |
|---|---|---|
| Audio-Dateien | Mit Meeting-Löschung; sonst 12 Monate Inaktivität | Nutzer-Aktion oder automatische Löschfrist |
| Transkripte, Analyse-Ergebnisse, Chat-Threads, Embeddings | Mit Meeting-Löschung | Nutzer-Aktion |
| Stamm-/Account-Daten | 30 Tage nach Lösch-Antrag | Nutzer-Antrag |
| OAuth-Tokens | Bis zur Verbindungstrennung | Nutzer-Aktion |
| Speechmatics Job-Daten | 7 Tage | Speechmatics-Auto-Retention |
| Audit-Logs | 12 Monate (rolling) | Automatische Löschfrist |
| Consent-Logs | Unbegrenzt | Nachweispflicht |
| Zahlungsbelege | 10 Jahre | § 257 HGB |
11. Auftragsverarbeitungsverträge
Für die in Abschnitt 4 genannten Subprozessoren werden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO eingesetzt. Für Anbieter mit Sitz außerhalb der EU werden zusätzlich Standardvertragsklauseln der Europäischen Kommission und, soweit erforderlich, ergänzende Schutzmaßnahmen genutzt.
Wir bieten unseren Geschäftskunden ihrerseits eine Vorlage für den Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Diese ist auf Anfrage bei datenschutz@meetlinks.de erhältlich.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Wesentliche Änderungen kommunizieren wir per E-Mail an unsere registrierten Nutzer 30 Tage im Voraus. Es gilt die jeweils auf unserer Website veröffentlichte Fassung.