Verpflichtung zum Schutz personenbezogener Daten

Zweck dieser Verpflichtung zum Schutz der Vertraulichkeit personenbezogener Daten ist es, die Bedingungen festzulegen, unter denen sich VRM verpflichtet, im Auftrag des KUNDEN die nachstehend definierten personenbezogenen Daten zu verarbeiten (im Folgenden die „Verpflichtung“). In diesem Zusammenhang handelt VRM als Auftragsverarbeiter und der KUNDE als Verantwortlicher. Im Rahmen ihrer vertraglichen Beziehung verpflichten sich die Parteien, die für die Verarbeitung personenbezogener Daten geltenden Vorschriften einzuhalten, insbesondere die DSGVO. Die Art der an den Daten vorgenommenen Vorgänge umfasst das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

VRM ist berechtigt, im Auftrag des KUNDEN die personenbezogenen Daten zu verarbeiten, die zur Erbringung von Dienstleistungen erforderlich sind, die darin bestehen, mündliche Austausche zwischen Personen mithilfe der Upmeet-Lösung zu bearbeiten, zu transkribieren und zusammenzufassen (im Folgenden die „Dienstleistungen“). Durch das Abonnieren der Dienstleistungen gewährt der KUNDE einer bestimmten Anzahl von Personen, seien es Mitarbeitende oder andere, aus seinem Umfeld Zugang zu den Dienstleistungen (im Folgenden die „Nutzer“). Der KUNDE erkennt an, dass die Nutzer durch die Nutzung der Dienstleistungen personenbezogene Daten offenlegen können (im Folgenden die „Kundendaten“), für die der KUNDE als Verantwortlicher gilt. Die Art der an den Daten vorgenommenen Vorgänge umfasst das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die Zwecke der Verarbeitung der Kundendaten sind: - die Vereinfachung der Notizen während Besprechungen und anderer Zusammenkünfte, indem diese mithilfe künstlicher Intelligenz automatisch transkribiert und zusammengefasst werden; - die Bereitstellung des Online-Zugangs zu den Diensten; - die Bereitstellung der Dienste.

Die im Auftrag des KUNDEN verarbeiteten personenbezogenen Daten sind: - Daten in Bezug auf Nutzer: o Identität (Nachname, Vorname); o Der Klang der Stimme der Nutzer (und aller an Besprechungen teilnehmenden Personen) während der Nutzung der Dienste; o Die Transkription der Stimme der Nutzer (und aller an Besprechungen teilnehmenden Personen) während der Nutzung der Dienste; o Kontaktdaten der Nutzer (E-Mail-Adresse, Telefonnummer); o Alle von den Nutzern (und an Besprechungen teilnehmenden Personen) während der Nutzung der Dienste angegebenen personenbezogenen Daten. - Bestimmte Daten in Bezug auf die Nutzung der Dienste: o Nutzungshäufigkeit, Anzahl und Dauer der Verbindungen. - Automatisch auf den Websites von VRM erhobene Daten: Cookies, wobei zu verstehen ist, dass diese vollständig von den Nutzern über ihren eigenen Webbrowser kontrolliert werden und dass es erforderlich ist, die Zustimmung der Nutzer vor der Erhebung dieser Daten einzuholen. Die Kategorien der betroffenen Personen sind: - die Nutzer; - jede Person, die an einer Besprechung oder einem sonstigen mündlichen Austausch unter Nutzung der Dienste teilnimmt.

VRM verpflichtet sich: • die Kundendaten ausschließlich zu den Zwecken zu verarbeiten, die Gegenstand dieser Auftragsverarbeitung sind; • die Kundendaten gemäß den dokumentierten Weisungen des KUNDEN zu verarbeiten. Hält VRM eine Weisung für einen Verstoß gegen die DSGVO oder eine andere Bestimmung des Rechts der Europäischen Union oder des Mitgliedstaats zum Datenschutz, so informiert VRM den KUNDEN unverzüglich darüber. • Darüber hinaus, wenn VRM nach dem Recht der Europäischen Union oder des Mitgliedstaats, dem es unterliegt, verpflichtet ist, die Kundendaten an ein Drittland oder eine internationale Organisation zu übermitteln, muss VRM den KUNDEN vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das betreffende Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses; • die besten Industriestandards zur Gewährleistung der Vertraulichkeit der im Rahmen dieser Verpflichtung verarbeiteten Kundendaten anzuwenden; • sicherzustellen, dass die zur Verarbeitung der Kundendaten befugten Personen: o sich zur Vertraulichkeit verpflichten oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; o die notwendige Schulung im Bereich Datenschutz erhalten; • im Hinblick auf seine Werkzeuge, Produkte, Anwendungen oder Dienstleistungen die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu berücksichtigen.

VRM kann Unterauftragnehmer zur Durchführung bestimmter Verarbeitungstätigkeiten einsetzen. In solchen Fällen informiert VRM den KUNDEN im Voraus und schriftlich über alle geplanten Änderungen hinsichtlich der Hinzufügung oder des Austauschs anderer Unterauftragnehmer. Diese Information muss die ausgelagerten Verarbeitungstätigkeiten, die Identität und Kontaktdaten des Unterauftragnehmers sowie die Daten der Unterauftragsvergabe klar angeben. Der KUNDE hat ab Erhalt dieser Information eine Frist von 14 Tagen, um Einwände zu erheben. Diese Unterauftragsvergabe darf nur erfolgen, wenn der Verantwortliche innerhalb der vereinbarten Frist keinen Widerspruch eingelegt hat. VRM ist vom KUNDEN bereits ermächtigt, die folgenden Unterauftragnehmer zu beauftragen: • AMAZON WEB SERVICE; • AZURE OPEN AI Microsoft. Der Unterauftragnehmer ist verpflichtet, die Verpflichtungen dieser Vereinbarung im Namen und nach den Weisungen des KUNDEN einzuhalten. Es obliegt VRM sicherzustellen, dass der Unterauftragnehmer die gleichen ausreichenden Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen bietet, sodass die Verarbeitung den Anforderungen der DSGVO entspricht. Erfüllt der Unterauftragnehmer seine Datenschutzpflichten nicht, bleibt VRM gegenüber dem KUNDEN für die Erfüllung der Pflichten des Unterauftragnehmers voll verantwortlich.

Wenn betroffene Personen Anfragen an VRM richten, um ihre Rechte auszuüben, leitet VRM diese Anfragen unverzüglich nach Erhalt per E-Mail an die vom KUNDEN angegebene Adresse weiter. Der KUNDE gewährleistet, dass die von der Verarbeitung der Kundendaten betroffenen Personen das Recht haben, informiert zu werden und Zugang zu den sie betreffenden Daten zu erhalten, das Recht auf Berichtigung und Löschung, das Recht auf Einschränkung und Widerspruch gegen die Verarbeitung, das Recht, keiner automatisierten Datenverarbeitung unterworfen zu werden, die darauf abzielt, ihr Profil zu bestimmen oder bestimmte Aspekte ihrer Persönlichkeit zu bewerten, und gegebenenfalls das Recht auf Datenübertragbarkeit. Um all diese Rechte auszuüben, können sich die betroffenen Personen wenden an: - Für den KUNDEN: an die vom KUNDEN auf der Website angegebene Adresse - Für VRM: rgpd@upmeet.ai Es obliegt dem KUNDEN, auf eine solche Anfrage zu antworten oder VRM anzuweisen, ob auf die Anfrage geantwortet werden soll oder nicht. VRM wird jeder angemessenen Bitte um Unterstützung bei der Bearbeitung solcher Anfragen von betroffenen Personen des KUNDEN nachkommen.

VRM benachrichtigt den KUNDEN unverzüglich über jede Verletzung des Schutzes personenbezogener Daten. Diese Benachrichtigung erfolgt per E-Mail an die vom KUNDEN zu diesem Zweck angegebene Adresse. Die Benachrichtigung wird von allen erforderlichen Unterlagen begleitet, die es dem KUNDEN gegebenenfalls ermöglichen, die zuständige Aufsichtsbehörde über diese Verletzung zu informieren.

VRM wird Kunden- und personenbezogene Daten innerhalb der Europäischen Union speichern und verarbeiten. VRM kontrolliert oder beschränkt nicht die geografischen Gebiete, aus denen der KUNDE oder die Nutzer auf die Kundendaten zugreifen oder diese übertragen können.

VRM wird keine Kundendaten offenlegen oder den Zugang dazu gewähren, außer: (1) gemäß den Anweisungen des KUNDEN, (2) gemäß Artikel 5 dieses Dokuments oder (3) wenn dies gesetzlich vorgeschrieben ist. VRM wird keine Kundendaten an Behörden offenlegen oder den Zugang dazu gewähren, es sei denn, dies ist gesetzlich vorgeschrieben. Jede Anfrage einer Behörde, die auf Offenlegung oder Zugang zu den Kundendaten abzielt und bei VRM eingeht, wird, soweit gesetzlich zulässig, unverzüglich an den KUNDEN weitergeleitet. Ist VRM gesetzlich verpflichtet, Kundendaten an Behörden offenzulegen oder diesen Zugang zu gewähren, verpflichtet sich VRM, den KUNDEN darüber umgehend zu informieren und, soweit gesetzlich zulässig, eine Kopie der Anfrage bereitzustellen.

VRM stellt dem KUNDEN ein Tool zur Anonymisierung der Kundendaten zur Verfügung. In diesem Zusammenhang wird der KUNDE darauf hingewiesen, dass jeder Nutzer oder sonstige Teilnehmer an den Diensten seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten erteilt haben muss; andernfalls sind die betreffenden Daten vollständig zu anonymisieren.

VRM unterstützt den KUNDEN bei der Durchführung von Folgenabschätzungen im Zusammenhang mit dem Schutz der Kundendaten. Zu diesem Zweck stellt VRM alle erforderlichen Informationen für die Durchführung der genannten Folgenabschätzung zum Schutz der Kundendaten zur Verfügung. VRM unterstützt den KUNDEN bei der Durchführung der vorherigen Konsultation mit der Aufsichtsbehörde. VRM verpflichtet sich, auf Anfrage mit jeder Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.

VRM verpflichtet sich, die folgenden Sicherheitsmaßnahmen umzusetzen: • Pseudonymisierung und Verschlüsselung von Kundendaten; • Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste – VRM verpflichtet sich, dem KUNDEN auf Anfrage eine Beschreibung dieser Maßnahmen bereitzustellen; • Maßnahmen zur Wiederherstellung der Verfügbarkeit von Kundendaten und des Zugriffs darauf innerhalb von maximal 72 Stunden im Falle eines physischen oder technischen Zwischenfalls; • Ein Verfahren zur Überprüfung, Bewertung und regelmäßigen Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Während der gesamten Laufzeit des Abonnements des KUNDEN für die Dienste hat der KUNDE die Möglichkeit, auf die gespeicherten Kundendaten zuzugreifen, sie zu extrahieren und zu löschen. VRM bewahrt die in einem Konto mit eingeschränkten Funktionen gespeicherten Kundendaten für 90 Tage nach Ablauf oder Beendigung der vom KUNDEN abonnierten Dienste auf, damit der KUNDE diese Daten extrahieren kann. Nach Ablauf der neunzig (90) Tage wird VRM das Konto des KUNDEN deaktivieren und die Kundendaten unwiderruflich vernichten. Nach der Vernichtung kann VRM dem KUNDEN auf dessen Wunsch schriftlich bestätigen, dass die Vernichtung erfolgt ist.

VRM erklärt, dass es schriftlich ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führt, die im Auftrag des KUNDEN durchgeführt werden, das Folgendes umfasst: • Den Namen und die Kontaktdaten des KUNDEN, etwaiger Unterauftragnehmer und, falls zutreffend, des Datenschutzbeauftragten; • Die Kategorien der im Auftrag des KUNDEN durchgeführten Verarbeitungen; • Gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, im Falle der in Artikel 49 Absatz 1 Unterabsatz 2 DSGVO genannten Übermittlungen, die Nachweise über das Vorliegen geeigneter Garantien; • Soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, einschließlich unter anderem, sofern erforderlich: o Pseudonymisierung und Verschlüsselung personenbezogener Daten; o Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste; o Maßnahmen zur Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugriffs darauf in einem angemessenen Zeitraum im Falle eines physischen oder technischen Zwischenfalls; o Ein Verfahren zur Überprüfung, Bewertung und regelmäßigen Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

VRM stellt dem KUNDEN die zur Nachweisführung der Einhaltung aller seiner Verpflichtungen erforderliche Dokumentation zur Verfügung und ermöglicht Audits, einschließlich Inspektionen, die vom KUNDEN oder einem von ihm beauftragten Prüfer durchgeführt werden, und trägt zu solchen Audits bei.

VRM verpflichtet sich, Inspektionen in Form von Audits selbst durchzuführen oder durch spezialisierte Dienstleister durchführen zu lassen. In diesem Zusammenhang verpflichtet sich VRM, dem KUNDEN alle Unterlagen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung seiner Verpflichtungen aus dieser Vereinbarung nachzuweisen, einschließlich der Bereitstellung von Auditberichten für den KUNDEN. Darüber hinaus verpflichtet sich VRM, den KUNDEN unverzüglich über jede von einer Verwaltungsbehörde durchgeführte Inspektion im Zusammenhang mit der Einhaltung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten sowie über das Ergebnis solcher Inspektionen und etwaige gegen VRM verhängte Sanktionen zu informieren. Der KUNDE behält sich das Recht vor, einen solchen Audit jederzeit selbst oder durch einen Dienstleister seiner Wahl durchzuführen, sofern eine Frist von fünfzehn (15) Tagen im Voraus mitgeteilt wird. VRM verpflichtet sich, in gutem Glauben mit dem vom KUNDEN beauftragten Prüfer zusammenzuarbeiten. VRM verpflichtet sich daher, dem Prüfer Zugang zu seinen Räumlichkeiten sowie zu allen Dokumenten, Informationen oder sonstigen Elementen zu gewähren, die für die ordnungsgemäße Durchführung des Audits nützlich sind. Der KUNDE kann VRM haftbar machen, wenn festgestellt wird, dass VRM seinen Verpflichtungen aus dieser Vereinbarung nicht nachgekommen ist.

Der KUNDE verpflichtet sich: 1. alle an VRM erteilten Weisungen zur Datenverarbeitung schriftlich zu dokumentieren; 2. vor und während der Verarbeitung sicherzustellen, dass VRM die in der DSGVO vorgesehenen Verpflichtungen einhält; 3. die Verarbeitung zu überwachen, einschließlich der Durchführung von Audits und Inspektionen bei VRM; 4. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder Ansprechpartners für Datenschutz des KUNDEN bereitzustellen.

Soweit VRM personenbezogene Daten, die der DSGVO unterliegen, für eigene Zwecke verwendet oder anderweitig verarbeitet, erfüllt VRM die für einen eigenständigen Verantwortlichen im Sinne der DSGVO geltenden Pflichten für eine solche Nutzung. In diesem Zusammenhang können die Nutzer und betroffenen Personen die Datenschutzrichtlinie von VRM unter folgender Adresse einsehen: https://www.upmeet.ai/privacy/