Zusatz zur Datenverarbeitung

Letzte Aktualisierung am 6. Februar 2025

‍

Eine signierte Version dieses Addendums finden Sie unter security.meetgeek.ai

Ergänzung zur Datenverarbeitung durch MeetGeek

Dieser Zusatz zur Datenverarbeitung (“DPA“) regelt die Verarbeitung von Kundendaten durch MeetGeek, die der Kunde MeetGeek über die MeetGeek-API oder andere MeetGeek-Dienste für Unternehmen zur Verfügung stellt (“Dienstleistungen“) gemäß den Bedingungen der MeetGeek-Kundenvereinbarung (die“Vereinbarung“) und wird hiermit in die Vereinbarung aufgenommen. Wenn und soweit die Sprache in diesem DPA der Vereinbarung widerspricht, haben die widersprüchlichen Bedingungen in diesem DPA Vorrang. Großgeschriebene Begriffe, die in diesem DPA nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung. Nur für die Zwecke dieser DPA umfasst „Kunde“ alle verbundenen Unternehmen des Kunden.  

MeetGeek und der Kunde erklären sich jeweils damit einverstanden, ihren jeweiligen Verpflichtungen gemäß den geltenden Datenschutz- und Datenschutzgesetzen nachzukommen (gemeinsam,“Gesetze zum Datenschutz“) im Zusammenhang mit den Diensten. Zu den Datenschutzgesetzen gehört die Allgemeine Datenschutzverordnung der Europäischen Union (Verordnung (EU) 2016/679) (“DSGVO“) und die geltenden untergeordneten Gesetze und Vorschriften.

Im Zusammenhang mit der Vereinbarung ist der Kunde die Person, die die Zwecke und Mittel festlegt, für die Kundendaten (wie unten definiert) verarbeitet werden (a“Verantwortlicher für die Datenverarbeitung“), wohingegen MeetGeek Kundendaten gemäß den Anweisungen des Datenverantwortlichen und im Auftrag des Datenverantwortlichen verarbeitet (als“Datenverarbeiter“). „Datenverantwortlicher“ und „Datenverarbeiter“ bedeuten auch die entsprechenden Begriffe in den Datenschutzgesetzen. Für die Zwecke der Vereinbarung und dieses DPA hat (i) „Personenbezogene Daten“ die Bedeutung, die dem Begriff „personenbezogene Daten“ oder „personenbezogene Daten“ gemäß den geltenden Datenschutzgesetzen zugewiesen ist; und (ii)“Daten des Kunden“ bezeichnet personenbezogene Daten, die der Kunde MeetGeek zur Verfügung stellt und die MeetGeek im Auftrag des Kunden verarbeitet, um die Dienste bereitzustellen. MeetGeek verarbeitet Kundendaten als Datenverarbeiter des Kunden, um die Dienste bereitzustellen oder aufrechtzuerhalten und für die in dieser DPA, der Vereinbarung und in allen anderen geltenden Vereinbarungen zwischen dem Kunden und MeetGeek festgelegten Zwecke.

‍

1. Anforderungen an die Verarbeitung. Als Datenverarbeiter wird MeetGeek:

a. Kundendaten nur verarbeiten (i) im Namen des Kunden zum Zweck der Bereitstellung und Unterstützung der Dienste von MeetGeek (einschließlich der Bereitstellung von Erkenntnissen, Berichten, Analysen und der Überwachung von Plattformmissbrauch, Vertrauens- und Sicherheitsüberwachung);; (ii) gemäß den schriftlichen Anweisungen des Kunden; und (iii) auf eine Weise, die nicht weniger als das von den Datenschutzgesetzen vorgeschriebene Maß an Datenschutz bietet;

b. den Kunden unverzüglich schriftlich informieren und die Verarbeitung der Kundendaten einstellen, wenn MeetGeek die Anforderungen dieser Datenschutzvereinbarung nicht erfüllen kann;

c. dem Kunden keine Vergütung im Austausch für Kundendaten vom Kunden zu gewähren. Die Parteien erkennen an und vereinbaren, dass der Kunde den Kunden nicht „verkauft“ hat (wie ein solcher Begriff im CCPA definiert ist)

d. personenbezogene Daten nicht „verkaufen“ (wie ein solcher Begriff in den US-Datenschutzgesetzen definiert ist) oder „weitergeben“ (wie ein solcher Begriff im CCPA definiert ist);

e. den Kunden umgehend informieren, wenn nach Ansicht von MeetGeek eine Anweisung des Kunden gegen geltende Datenschutzgesetze verstößt;

f. verlangen, dass (i) die von MeetGeek beschäftigten Personen und (ii) andere Personen, die im Namen von MeetGeek tätig sind, einer Vertraulichkeitspflicht in Bezug auf die Kundendaten unterliegen und die für MeetGeek im Rahmen der Vereinbarung und dieser DPA geltenden Datenschutzverpflichtungen einhalten;

g. die Organisationen oder Personen beauftragen, die unter aufgeführt sind https://meetgeek.ai/subprocessors zur Verarbeitung von Kundendaten (jeweils ein“Subprozessor“, und die Liste unter der obigen URL, die“Liste der Subprozessoren“) um MeetGeek bei der Erfüllung seiner Verpflichtungen gemäß dieser DPA zu unterstützen oder die gesamten oder einen Teil der Verarbeitungsaktivitäten an solche Unterauftragsverarbeiter zu delegieren. Der Kunde stimmt hiermit der Verwendung solcher Unterauftragsverarbeiter zu. Wenn der Kunde E-Mail-Benachrichtigungen abonniert, wie in der Liste der Unterauftragsverarbeiter auf der Website vorgesehen, wird MeetGeek den Kunden mindestens 30 Tage vor Inkrafttreten der Änderungen über alle Änderungen informieren, die MeetGeek beabsichtigt, an der Liste der Unterauftragsverarbeiter vorzunehmen (dies kann per E-Mail, Veröffentlichung oder Benachrichtigung auf einem Online-Portal für unsere Dienste oder auf andere angemessene Weise erfolgen). Für den Fall, dass der Kunde der Verwendung eines solchen zusätzlichen Unterauftragsverarbeiters nicht zustimmen möchte, kann der Kunde MeetGeek innerhalb von fünfzehn (15) Tagen aus triftigen Gründen im Zusammenhang mit dem Schutz der Kundendaten darüber informieren, dass der Kunde nicht innerhalb von fünfzehn (15) Tagen zustimmt, indem er den Anweisungen in der Liste der Unterauftragsverarbeiter folgt oder sich an [email protected] wendet. In einem solchen Fall hat MeetGeek das Recht, den Widerspruch durch eine der folgenden Optionen zu beheben: (i) MeetGeek storniert seine Pläne, den Unterauftragsverarbeiter in Bezug auf die Verarbeitung von Kundendaten zu verwenden, oder bietet eine Alternative zur Bereitstellung seiner Dienste oder Dienste ohne einen solchen Unterauftragsverarbeiter an; (ii) MeetGeek wird die vom Kunden in der Widerspruchsmitteilung des Kunden angeforderten Korrekturmaßnahmen ergreifen und den Unterauftragsverarbeiter verwenden; (iii) MeetGeek kann den jeweiligen Aspekt nicht mehr zur Verfügung zu stellen, oder der Kunde erklärt sich damit einverstanden, den jeweiligen Aspekt vorübergehend oder dauerhaft nicht zu nutzen oder Funktion der MeetGeek-Dienste oder Dienste, die den Einsatz eines solchen Unterauftragsverarbeiters beinhalten würden; oder (iv) Der Kunde kann die Bereitstellung von Kundendaten an MeetGeek zur Verarbeitung unter Beteiligung eines solchen Unterauftragsverarbeiters einstellen. Wenn nach vernünftigem Ermessen von MeetGeek keine der oben genannten Optionen kommerziell machbar ist und die Einwände nicht innerhalb von dreißig (30) Tagen nach Erhalt der Widerspruchsmitteilung des Kunden durch MeetGeek zur Zufriedenheit der Parteien geklärt wurden, kann jede Partei alle Abonnements, Bestellformulare oder die Nutzung der Dienste kündigen, die ohne die Nutzung des neuen Unterauftragsverarbeiters aus wichtigem Grund nicht erbracht werden können. In diesem Fall werden dem Kunden alle im Voraus bezahlten Gebühren zurückerstattet. für die jeweiligen Abonnements, Bestellformulare oder Nutzungen, soweit sie sich auf Zeiträume beziehen oder Bedingungen, die auf das Datum einer solchen Kündigung folgen. Dieses Kündigungsrecht ist das einzige und ausschließliche Rechtsmittel des Kunden, wenn der Kunde vernünftigerweise Einwände gegen einen neuen Unterauftragsverarbeiter erhebt. MeetGeek wird mit jedem Unterauftragsverarbeiter vertragliche Vereinbarungen treffen, die ihn verpflichten, ein Niveau an Datenschutz und Informationssicherheit zu gewährleisten, das nicht weniger belastend ist als das gemäß den Bedingungen dieser DPA.

h. dem Kunden auf begründete Anfrage nicht öfter als einmal pro Jahr die Datenschutz- und Sicherheitsrichtlinien von MeetGeek sowie andere Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in diesem DPA und den geltenden Datenschutzgesetzen festgelegten Verpflichtungen nachzuweisen;

i. sofern gesetzlich vorgeschrieben und nach angemessener Ankündigung und mit entsprechenden Vertraulichkeitsvereinbarungen, mit Bewertungen, Audits oder anderen Schritten zusammenarbeiten, die vom oder im Namen des Kunden auf alleinige Kosten des Kunden und in einer Weise durchgeführt werden, die das Geschäft von MeetGeek nur minimal beeinträchtigt und die erforderlich sind, um zu bestätigen, dass MeetGeek Kundendaten in einer Weise verarbeitet, die mit dieser DPA vereinbar ist. Der Kunde koordiniert den Zeitpunkt und den Umfang des Audits oder der Bewertung mit MeetGeek, um die Auswirkungen auf die Dienste von MeetGeek zu begrenzen; die Daten anderer Kunden von MeetGeek (einschließlich personenbezogener Daten) von der Prüfung einzuholen; vor der Verwendung von Tools oder Software auf der Infrastruktur von MeetGeek die Zustimmung von MeetGeek einzuholen; keine sensiblen Daten (einschließlich personenbezogener Daten, besonderer personenbezogener Daten oder Daten, die die Sicherheit der unter beschriebenen Dienste gefährden könnten) in das Audit aufzunehmen Vereinbarung); oder geben Sie MeetGeek eine angemessene Gelegenheit, den Auditbericht zu überprüfen und etwaige Probleme zu lösen Fragen oder Sachfragen; und behandeln Sie die Ergebnisse einer Prüfung vertraulich und geben Sie sie nicht weiter, sofern gesetzlich nichts anderes vorgeschrieben ist. Soweit gesetzlich zulässig, kann MeetGeek dem Kunden stattdessen eine Zusammenfassung der Ergebnisse eines Audit- oder Zertifizierungsberichts eines Drittanbieters zur Verfügung stellen, der für die Einhaltung dieser Datenschutzvereinbarung durch MeetGeek relevant ist. Solche Ergebnisse und/oder die Ergebnisse solcher Bewertungen, Audits oder anderer Schritte gelten als vertrauliche Informationen von MeetGeek;

j. soweit der Kunde MeetGeek gestattet oder anweist, Kundendaten, die den US-Datenschutzgesetzen unterliegen, in anonymisierter, anonymisierter und/oder aggregierter Form als Teil der Dienste zu verarbeiten, wird MeetGeek, MeetGeek (i) angemessene Maßnahmen ergreifen, um zu verhindern, dass solche anonymisierten Daten verwendet werden, um Informationen über eine bestimmte natürliche Person oder einen bestimmten Haushalt abzuleiten oder auf andere Weise mit ihr in Verbindung gebracht zu werden; (ii) nicht versuchen, die Informationen, mit der Ausnahme, dass MeetGeek versuchen kann, die Informationen ausschließlich zu dem Zweck zu identifizieren, ob sie Verfahren zur Anonymisierung entsprechen den Datenschutzgesetzen oder funktionieren wie vorgesehen; und (iii) verpflichten Sie vor der Weitergabe anonymisierter Daten an eine andere Partei, einschließlich Unterauftragsverarbeiter, diese Empfänger vertraglich zur Einhaltung der Anforderungen dieser Bestimmung;

k. wenn die Kundendaten dem CCPA unterliegen, nicht (i) Kundendaten aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten, es sei denn, dies ist für die in der Vereinbarung oder diesem DPA festgelegten Geschäftszwecke erforderlich; (ii) Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen MeetGeek und dem Kunden aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten; oder (iii) Kundendaten mit personenbezogenen Daten kombinieren, die MeetGeek von oder im Namen anderer erhält Dritte oder Daten aus MeetGeeks eigenen Interaktionen mit Einzelpersonen, sofern MeetGeek dazu berechtigt ist Kundendaten für einen nach dem CCPA zulässigen Zweck kombinieren, wenn der Kunde dazu aufgefordert wird oder der CCPA dies anderweitig zulässt;

l. soweit gesetzlich vorgeschrieben, gewähren Sie dem Kunden das Recht, (i) angemessene und angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass MeetGeek Kundendaten in einer Weise verwendet, die den Datenschutzgesetzen entspricht, indem er die in dieser DPA dargelegten Prüfungsbestimmungen ausübt; und (ii) die unbefugte Verwendung von Kundendaten zu beenden und zu korrigieren, indem Sie beispielsweise MeetGeek auffordern, eine schriftliche Bestätigung zu erhalten, dass die betreffenden Kundendaten gelöscht wurden.

2. Hinweis für den Kunden. MeetGeek informiert den Kunden, wenn MeetGeek Folgendes feststellt:

a. jede rechtsverbindliche Anfrage zur Offenlegung von Kundendaten durch eine Strafverfolgungsbehörde, es sei denn, MeetGeek ist gesetzlich verboten, den Kunden zu informieren, beispielsweise um die Vertraulichkeit einer Untersuchung durch Strafverfolgungsbehörden zu wahren;

b. jede Mitteilung, Anfrage oder Untersuchung einer unabhängigen Behörde, die von einem Mitgliedstaat gemäß Artikel 51 der DSGVO eingerichtet wurde (a)Aufsichtsbehörde“) in Bezug auf Kundendaten; oder

c. jede Beschwerde oder Anfrage (insbesondere Anträge auf Zugriff, Berichtigung oder Sperrung von Kundendaten), die direkt von den betroffenen Personen des Kunden eingehen. MeetGeek wird ohne vorherige schriftliche Genehmigung des Kunden nicht auf eine solche Anfrage antworten.

3. Unterstützung für den Kunden. MeetGeek wird dem Kunden angemessene Unterstützung bieten in Bezug auf:

a. Informationen, die unter Berücksichtigung der Art der Verarbeitung erforderlich sind, um auf Anfragen zu antworten, die gemäß den Datenschutzgesetzen von betroffenen Personen des Kunden in Bezug auf den Zugriff auf oder die Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch, Sperrung oder Löschung von Kundendaten, die MeetGeek für den Kunden verarbeitet, eingegangen sind. Falls eine betroffene Person eine solche Anfrage direkt an MeetGeek sendet, wird MeetGeek diese Anfrage umgehend an den Kunden senden;

b. die Untersuchung von Verstößen gegen die Sicherheit von MeetGeek, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf Kundendaten führt, die von MeetGeek für den Kunden verarbeitet wurden (a“Verletzung personenbezogener Daten“); und

c. gegebenenfalls die Erstellung von Datenschutzfolgenabschätzungen in Bezug auf die Verarbeitung von Kundendaten durch MeetGeek und, falls erforderlich, die Durchführung von Konsultationen mit allen für diese Verarbeitung zuständigen Aufsichtsbehörden.

4. Erforderliche Verarbeitung. Wenn MeetGeek nach Datenschutzgesetzen verpflichtet ist, Kundendaten aus einem anderen Grund als im Zusammenhang mit der Vereinbarung zu verarbeiten, wird MeetGeek den Kunden vor einer solchen Verarbeitung über diese Anforderung informieren, sofern dies nicht gesetzlich verboten ist.

5. Sicherheit. MeetGeek wird:

a. angemessene und angemessene organisatorische und technische Sicherheitsmaßnahmen (einschließlich in Bezug auf Personal, Einrichtungen, Hard- und Software, Speicher und Netzwerke, Zugriffskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Sicherheitslücken, Reaktion auf Zwischenfälle und Verschlüsselung) zum Schutz vor unbefugtem oder versehentlichem Zugriff, Verlust, Änderung, Offenlegung oder Zerstörung von Kundendaten und zum Schutz der Rechte der Betroffenen dieser Kundendaten ergreifen;

b. angemessene Maßnahmen ergreifen, um zu bestätigen, dass die Mitarbeiter von MeetGeek die Sicherheit, den Datenschutz und die Vertraulichkeit der Kundendaten gemäß den Anforderungen dieser Datenschutzvereinbarung schützen;

c. den Kunden unverzüglich über jede Verletzung personenbezogener Daten durch MeetGeek, seine Unterauftragsverarbeiter oder andere Dritte, die im Namen von MeetGeek handeln, zu informieren, nachdem MeetGeek von einer solchen Verletzung personenbezogener Daten Kenntnis erlangt hat.

6. Pflichten des Kunden.

a. Der Kunde versichert, gewährleistet und verpflichtet sich, dass er während der gesamten Laufzeit über alle erforderlichen Rechte, Einwilligungen und Genehmigungen verfügt, um MeetGeek die Kundendaten zur Verfügung zu stellen und MeetGeek zu ermächtigen, Kundendaten gemäß dieser DPA, der Vereinbarung und/oder anderen Verarbeitungsanweisungen, die MeetGeek zur Verfügung gestellt werden, zu verwenden, offenzulegen, aufzubewahren und anderweitig zu verarbeiten.

b. Der Kunde wird alle geltenden Datenschutzgesetze einhalten.

c. Der Kunde wird in angemessener Weise mit MeetGeek zusammenarbeiten, um MeetGeek bei der Erfüllung seiner Verpflichtungen in Bezug auf Anfragen der betroffenen Personen des Kunden zu unterstützen.

d. Unbeschadet der Sicherheitsverpflichtungen von MeetGeek in Abschnitt 5 dieser DPA erkennt der Kunde an und stimmt zu, dass er und nicht MeetGeek für bestimmte Konfigurationen und Designentscheidungen für die Dienste verantwortlich ist und dass der Kunde und nicht MeetGeek dafür verantwortlich ist, diese Konfigurationen und Designentscheidungen auf sichere Weise umzusetzen, die den geltenden Datenschutzgesetzen entspricht.

e. Der Kunde darf MeetGeek keine Kundendaten zur Verfügung stellen, außer über vereinbarte Mechanismen. Beispielsweise darf der Kunde keine anderen Kundendaten als technische Kontaktinformationen angeben oder in Tickets für den technischen Support Benutzerdaten per E-Mail an MeetGeek übertragen. Ohne Einschränkung des Vorstehenden erklärt, gewährleistet und verpflichtet sich der Kunde, Kundendaten nur unter Verwendung sicherer, angemessener und geeigneter Mechanismen an MeetGeek zu übertragen, soweit diese Mechanismen unter der Kontrolle des Kunden liegen.

f. Der Kunde wird keine Maßnahmen ergreifen, die (i) die Bereitstellung von Kundendaten an MeetGeek zu einem „Verkauf“ gemäß den US-Datenschutzgesetzen oder zu einer „Weitergabe“ gemäß dem CCPA (oder gleichwertigen Konzepten gemäß den US-Datenschutzgesetzen) machen würden; oder (ii) MeetGeek nicht zu einem „Dienstleister“ im Sinne des CCPA oder „Auftragsverarbeiter“ gemäß den US-Datenschutzgesetzen machen würden.

7. Standardvertragsklauseln.  

a. MeetGeek verarbeitet Kundendaten, die aus dem Europäischen Wirtschaftsraum stammen, gemäß den von der EU-Kommission am 4. Juni 2021 verabschiedeten Standardvertragsklauseln (“SCCs der EU“), die als abgeschlossen gelten (und durch diesen Verweis in dieses DPA aufgenommen) und wie folgt ausgefüllt werden:

i. Modul Zwei (vom Controller zum Prozessor) der EU-SCCs gilt, wenn der Kunde ein für die Verarbeitung Verantwortlicher ist und MeetGeek Kundendaten als Verarbeiter verarbeitet.

ii. Modul Drei (vom Prozessor zum Unterauftragsverarbeiter) der EU-SCCs gilt, wenn der Kunde ein Auftragsverarbeiter ist und MeetGeek Kundendaten als Unterauftragsverarbeiter verarbeitet.

b. Für jedes Modul der EU-SCCs gilt, sofern zutreffend, Folgendes:

i. Die optionale Andockklausel in Klausel 7 gilt nicht;

ii. In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung), und die Mindestfrist für die vorherige Ankündigung von Änderungen an Unterauftragsverarbeitern ist in Abschnitt 1 (g) dieser Datenschutzvereinbarung festgelegt.

iii. In Klausel 11 gilt die optionale Sprache nicht; iv. Alle eckigen Klammern in Klausel 13 werden hiermit entfernt;

v. In Klausel 17 (Option 1) unterliegen die EU-SCCs dem EU-Mitgliedstaat, in dem der Datenexporteur ansässig ist;

vi. In Klausel 18 (b) werden Streitigkeiten vor den Gerichten des EU-Mitgliedstaats beigelegt, in dem sich der Datenexporteur befindet;

vii. Anlage A zu diesem DPA enthält die in den Anhängen I und III der EU vorgeschriebenen Informationen

SCCs; viii. Anlage B zu diesem DPA enthält die in Anhang II der EU-SCCs vorgeschriebenen Informationen; und

c. Kundendaten, die aus der Schweiz stammen, werden gemäß den EU-SCCs mit den folgenden Änderungen verarbeitet:

i. „EDÖB“ bezeichnet den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.

ii. „Überarbeitetes FADP“ bezeichnet die überarbeitete Version des FADP vom 25. September 2020, die voraussichtlich am 1. Januar 2023 in Kraft treten wird.

iii. Der Begriff „EU-Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte gemäß Klausel 18 (c) an ihrem gewöhnlichen Aufenthalt (Schweiz) geltend zu machen.

iv. Die SCCs der EU schützen auch die Daten juristischer Personen bis zum Inkrafttreten des überarbeiteten FADP.

v. Der EDÖB fungiert als „zuständige Aufsichtsbehörde“, soweit die entsprechende Datenübermittlung durch das FADP geregelt wird

d. In Bezug auf Kundendaten, die aus dem Vereinigten Königreich stammen, halten sich die Parteien an die Bedingungen von Teil 2: Pflichtklauseln des genehmigten Nachtrags. Dabei handelt es sich um den Musterzusatz B.1.0, der vom Information Commissioner's Office herausgegeben und dem Parlament gemäß S119a des Datenschutzgesetzes 2018 am 2. Februar 2022 vorgelegt wurde, da er gemäß Abschnitt 18 dieser Pflichtklauseln überarbeitet wurde (die“Nachtrag zum Vereinigten Königreich“). Die Parteien vereinbaren außerdem, (i) dass die in Teil 1 des britischen Addendums enthaltenen Informationen den Angaben in Anlage I des Anhangs A zu diesem DPA entsprechen und (ii) dass jede Partei den britischen Nachtrag gemäß Abschnitt 19 des britischen Addendums beenden kann.

8. Laufzeit; Datenrückgabe und Löschung. Diese DPA bleibt in Kraft, solange MeetGeek Kundendatenverarbeitungsvorgänge im Namen des Kunden durchführt oder bis zur Kündigung der Vereinbarung (und alle Kundendaten gemäß dieser DPA zurückgegeben oder gelöscht wurden). MeetGeek speichert Kundendaten, die über die API gesendet werden, für maximal dreißig (30) Tage, danach werden sie gelöscht, es sei denn, MeetGeek ist nach geltendem Recht verpflichtet, Kopien aufzubewahren. In diesem Fall isoliert MeetGeek diese Kundendaten und schützt sie vor jeder weiteren Verarbeitung, sofern dies nicht durch geltendes Recht vorgeschrieben ist. Bei Kündigung des DPA wird MeetGeek jeden Unterauftragsverarbeiter anweisen, die Kundendaten innerhalb von dreißig (30) Tagen nach der Kündigung des DPA zu löschen, sofern dies nicht gesetzlich verboten ist. Der Klarheit halber kann MeetGeek weiterhin Informationen verarbeiten, die aus Kundendaten abgeleitet wurden, die deidentifiziert, anonymisiert und/oder aggregiert wurden, sodass die Daten gemäß den geltenden Datenschutzgesetzen nicht mehr als personenbezogene Daten gelten, und zwar auf eine Weise, die Einzelpersonen oder Kunden nicht identifiziert, um die Systeme und Dienste von MeetGeek zu verbessern.

Anlage A

‍

A. LISTE DER PARTEIEN

Datenexporteur (en): der Servicekunde, der auf den entsprechenden Registrierungsdokumenten für Dienste angegeben ist

‍Datenimporteur (en):

Name: MeetGeek,

Adresse: Calea Vacaresti 203A, Bukarest, EU

Name, Position und Kontaktdaten der Kontaktperson:

Dan Huru

Leiter des Bereichs Wirtschaftsrecht

[email protected]

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Die Erbringung der Dienstleistungen, die in der Vereinbarung beschrieben sind, der dies beigefügt ist.

Unterschrift und Datum:

Rolle (Controller/Prozessor): Prozessor

‍

B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden Benutzer von Datenexporteurs-Anwendungen.

Kategorien der übermittelten personenbezogenen Daten

Name, Kontaktinformationen, demografische Informationen, Sprach- und Videoaufzeichnungen der Online-Besprechungen oder andere vom Benutzer bereitgestellte Informationen (Kundendaten wie in der Vereinbarung definiert, der dieser Anhang beigefügt ist).

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken in vollem Umfang berücksichtigen, wie z. B. strenge Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich Zugriff nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führung von Aufzeichnungen über den Zugriff auf die Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.

Es sind keine sensiblen Daten zur Übertragung vorgesehen, es sei denn, der Benutzer nimmt sie unerwartet in unstrukturierte Daten auf.

Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Kontinuierlich.

Art der Verarbeitung

Die Erbringung der in der Vereinbarung beschriebenen Dienstleistungen, der dieser Anhang beigefügt ist.

Zweck (e) der Datenübertragung und Weiterverarbeitung

Die Erbringung der in der Vereinbarung beschriebenen Dienstleistungen, der dieser Anhang beigefügt ist.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, anhand derer dieser Zeitraum festgelegt wurde

Während der Laufzeit der Vereinbarung

Geben Sie bei Übertragungen an (Unter-) Auftragsverarbeiter auch den Gegenstand, die Art und die Dauer der Verarbeitung an

Die Erbringung der in der Vereinbarung beschriebenen Dienstleistungen, der dieser Anhang beigefügt ist.

‍

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Identifizieren Sie die zuständige (n) Aufsichtsbehörde (n) gemäß Klausel 13

Die Datenschutzbehörde des EU-Mitgliedstaats, in dem der Exporteur ansässig ist.

Ausstellung B

‍

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

‍

EINFÜHRUNG

MeetGeek unterhält ein Informationssicherheitsprogramm zum Schutz seiner Systeme, Daten und Kundendaten. Dieser Zusatz beschreibt das Informationssicherheitsprogramm und die Sicherheitsstandards, die MeetGeek in Bezug auf die Dienste und den Umgang mit Daten einhält, die vom oder im Namen des Kunden an die Dienste übermittelt werden (die „Kundendaten“). Großgeschriebene Begriffe, die in diesem Anhang II nicht definiert sind, haben die im DPA oder in der Vereinbarung angegebene Bedeutung.

Weitere Informationen zu den technischen und organisatorischen Sicherheitsmaßnahmen von MeetGeek zum Schutz von Kundendaten finden Sie im MeetGeek Security Portal unter https://security.meetgeek.ai (das „Sicherheitsportal“). Die unten aufgeführten Sicherheitsmaßnahmen umfassen die Teilmenge der im Sicherheitsportal verfügbaren Informationen, die für dieses DPA gelten.

‍

SICHERHEITSMASSNAHMEN

Kontrollen der Unternehmensidentität, Authentifizierung und Autorisierung. MeetGeek verwendet branchenweit bewährte Verfahren für die Authentifizierung und Autorisierung des internen Mitarbeiter- und Servicezugriffs, einschließlich der folgenden Maßnahmen:

○ MeetGeek verwendet Single Sign-On (SSO), um sich bei Diensten von Drittanbietern zu authentifizieren, die bei der Bereitstellung der Dienste verwendet werden. Rollenbasierte Zugriffskontrollen (RBAC) werden bei der Bereitstellung des internen Zugriffs auf die Dienste verwendet;

○ Die obligatorische Multifaktor-Authentifizierung wird für die Authentifizierung beim Identity Provider von MeetGeek verwendet.

○ Jedem Benutzer werden eindeutige Login-Identifikatoren zugewiesen;

○ Etablierte Überprüfungs- und Genehmigungsverfahren für alle Zugriffsanfragen zu Diensten, die Kundendaten speichern;

○ Regelmäßige Zugriffsprüfungen, um sicherzustellen, dass die Zugriffsebenen für die Rollen der einzelnen Benutzer angemessen sind;

○ Etablierte Verfahren für den sofortigen Widerruf der Zugangsrechte bei einer Trennung von Mitarbeitern;

○ Etablierte Verfahren zur Meldung und Sperrung kompromittierter Zugangsdaten (wie Passwörter und API-Schlüssel); und

○ Etablierte Verfahren zum Zurücksetzen des Passworts, einschließlich Verfahren zur Überprüfung der Identität eines Benutzers, bevor ein neues, ein Ersatzkennwort oder ein temporäres Passwort vergeben wird.

Kontrollen zur Kundenidentität, Authentifizierung und Autorisierung. MeetGeek verwendet branchenweit bewährte Verfahren zur Authentifizierung und Autorisierung von Kunden für die Dienste, einschließlich der folgenden Maßnahmen:

○ Verwendung eines Identitätszugriffsverwaltungsdienstes eines Drittanbieters zur Verwaltung der Kundenidentität, was bedeutet, dass MeetGeek keine vom Benutzer bereitgestellten Passwörter im Namen der Benutzer speichert; und

○ Logisches Trennen von Kundendaten nach Organisationskonto mithilfe eindeutiger Identifikatoren. Innerhalb eines Organisationskontos werden eindeutige Benutzerkonten unterstützt.

Cloud-Infrastruktur und Netzwerksicherheit. MeetGeek hält sich an branchenweit bewährte Verfahren für die Sicherung und den Betrieb seiner Cloud-Infrastruktur, einschließlich der folgenden Maßnahmen:

○ Getrennte Produktions- und Nichtproduktionsumgebungen; ○ Primäre Backend-Ressourcen werden hinter einem VPN bereitgestellt.

○ Die Dienste werden routinemäßig auf Sicherheitslücken überprüft.

○ Anwendungsgeheimnisse und Dienstkonten werden von einem Secrets Management Service verwaltet;

○ Netzwerksicherheitsrichtlinien und Firewalls sind für den Zugriff mit den geringsten Rechten anhand einer vorab festgelegten Gruppe zulässiger Datenverkehrsflüsse konfiguriert. Unzulässige Verkehrsflüsse werden blockiert; und ○ Dienstprotokolle werden auf Sicherheit und Verfügbarkeit überwacht.

System- und Workstation-Steuerung. MeetGeek verwendet branchenweit bewährte Verfahren zur Sicherung der Unternehmenssysteme von MeetGeek, einschließlich Laptops und lokaler Infrastruktur, darunter:

○ Endpunktverwaltung von Unternehmensarbeitsplätzen;

○ Endpunktverwaltung von Mobilgeräten;

○ Automatische Anwendung von Sicherheitskonfigurationen auf Arbeitsstationen;

○ Obligatorisches Patch-Management; und

○ Pflege geeigneter Sicherheitsprotokolle.

Datenzugriffskontrolle. MeetGeek verwendet branchenweit bewährte Verfahren, um zu verhindern, dass autorisierte Benutzer auf Daten zugreifen, die über ihre autorisierten Zugriffsrechte hinausgehen, und um das unbefugte Eingeben, Lesen, Kopieren, Entfernen, Ändern oder Offenlegen von Daten zu verhindern. Zu diesen Maßnahmen gehören die folgenden:

○ Der Zugang der Mitarbeiter zu den Diensten folgt dem Prinzip der geringsten Privilegien. Nur Mitarbeiter, deren berufliche Funktion darin besteht, die Bereitstellung von Diensten zu unterstützen, werden für die Serviceumgebung zugelassen; und

○ Kundendaten, die an die Dienste übermittelt werden, werden nur gemäß den Bedingungen des DPA, der Vereinbarung und aller anderen geltenden vertraglichen Vereinbarungen mit dem Kunden verwendet.

Offenlegungskontrolle. MeetGeek wendet branchenweit bewährte Verfahren an, um den unbefugten Zugriff, die Änderung oder das Löschen von Daten während der Übertragung zu verhindern und alle Übertragungen zu sichern und zu protokollieren. Zu diesen Maßnahmen gehören:

○ Verschlüsselung ruhender Daten in Produktionsdatenspeichern mithilfe starker Verschlüsselungsalgorithmen;

○ Verschlüsselung von Daten während der Übertragung;

○ Audit-Trail für alle Datenzugriffsanfragen für Produktionsdatenspeicher;

○ Vollständige Festplattenverschlüsselung auf allen Unternehmensarbeitsplätzen erforderlich;

○ Geräteverwaltungskontrollen, die auf allen Unternehmensarbeitsplätzen erforderlich sind; ○ Einschränkungen bei der Verwendung tragbarer oder austauschbarer Medien; und ○ Kundendaten können auf Anfrage gelöscht werden.

Verfügbarkeitskontrolle. MeetGeek verwendet branchenweit bewährte Verfahren zur Aufrechterhaltung der Funktionalität der Dienste durch versehentliche oder böswillige Absicht, darunter:

○ Sicherstellung, dass Systeme im Falle einer Unterbrechung wiederhergestellt werden können;

○ Sicherstellen, dass die Systeme funktionieren und Fehler gemeldet werden; und

○ Lösungen für Anti-Malware und Eindringlingserkennung/-prävention, die in unserer gesamten Umgebung umfassend implementiert sind

Kontrolle der Segregation. MeetGeek verwendet branchenweit bewährte Verfahren für die getrennte Verarbeitung von Daten, die für verschiedene Zwecke gesammelt wurden, darunter:

○ Logische Trennung von Kundendaten;

○ Beschränkung des Zugriffs auf Daten, die für verschiedene Zwecke gespeichert wurden, je nach Rollen und Verantwortlichkeiten der Mitarbeiter;

○ Trennung der Funktionen des Geschäftsinformationssystems; und

○ Trennung von Test- und Produktionsinformationssystemumgebungen.

Risikomanagement. MeetGeek unterhält branchenweit bewährte Verfahren zur Erkennung und Verwaltung von Cybersicherheitsrisiken, darunter:

○ Bedrohungsmodellierung zur Dokumentation und Sortierung von Sicherheitsrisikoquellen zur Priorisierung und Behebung;  

○ Penetrationstests werden für die Dienste mindestens einmal jährlich durchgeführt, und alle identifizierten Abhilfemaßnahmen werden so schnell wie möglich nach einem Zeitplan behoben, der dem damit verbundenen Risiko entspricht. Auf Anfrage stellt MeetGeek eine Zusammenfassung der durchgeführten Tests zur Verfügung und gibt an, ob die festgestellten Probleme behoben wurden;  

○ Jährliche Beauftragung eines qualifizierten, unabhängigen externen Auditors zur regelmäßigen Überprüfung der Sicherheitspraktiken von MeetGeek anhand anerkannter Prüfungsstandards, einschließlich SOC 2 Type II-Zertifizierungsaudits. Auf begründete Anfrage stellt MeetGeek eine Zusammenfassung der Einzelheiten zur Verfügung; und

○ Ein Schwachstellen-Management-Programm, das die schnelle Behebung von Sicherheitslücken sicherstellen soll, die sich auf die Dienste auswirken.

Personal. MeetGeek verwendet branchenweit bewährte Verfahren für die Überprüfung, Schulung und Verwaltung von Personal in Sicherheitsfragen, darunter:

○ Zuverlässigkeitsüberprüfungen von Mitarbeitern, die Zugriff auf Kundendaten haben oder andere Aspekte der Dienste unterstützen, sofern dies gesetzlich zulässig ist;

○ Jährliche Sicherheitsschulungen für Mitarbeiter und gegebenenfalls ergänzende Sicherheitsschulungen.

Physische Zugangskontrolle. MeetGeek verwendet branchenweit bewährte Verfahren zur Verhinderung des unbefugten physischen Zugriffs auf MeetGeek-Einrichtungen, darunter:

○ Physische Barrierekontrollen einschließlich verschlossener Türen und Tore;

○ 24-Stunden-Sicherheitspersonal vor Ort;

○ 24-Stunden-Videoüberwachungs- und Alarmanlagen, einschließlich Videoüberwachung der öffentlichen Bereiche sowie der Ein- und Ausgangspunkte der Einrichtungen;

○ Zutrittskontrollsysteme, für die MeetGeek-Mitarbeiter biometrische Daten oder einen Lichtbildausweis und eine PIN für den Zutritt zu allen MeetGeek-Einrichtungen benötigen;

○ Protokolle zur Identifizierung, Anmeldung und Begleitung von Besuchern; und ○ Protokollierung von Anlagenausgängen und -eingängen.

Risikomanagement durch Dritte. MeetGeek wendet branchenweit bewährte Verfahren für den Umgang mit Sicherheitsrisiken Dritter an, auch in Bezug auf Unterauftragsverarbeiter oder Subunternehmer, denen MeetGeek Kundendaten zur Verfügung stellt, einschließlich der folgenden Maßnahmen:

○ Schriftliche Verträge, die sicherstellen sollen, dass sich jeder Vertreter verpflichtet, angemessene und angemessene Sicherheitsvorkehrungen zum Schutz der Kundendaten zu treffen; und

○ Sicherheitsbewertungen von Anbietern: Alle Drittanbieter werden einem formellen Lieferantenbewertungsprozess unterzogen, der vom Sicherheitsteam von MeetGeek durchgeführt wird.

Reaktion auf Sicherheitsvorfälle. MeetGeek unterhält einen Plan zur Reaktion auf Sicherheitsvorfälle, um auf Ereignisse zu reagieren und diese zu lösen, die die Vertraulichkeit, Verfügbarkeit oder Integrität der Dienste oder Kundendaten gefährden, einschließlich der folgenden:

○ MeetGeek aggregiert Systemprotokolle aus Sicherheitsgründen und allgemeiner Beobachtbarkeit aus einer Reihe von Systemen, um die Erkennung und Reaktion zu erleichtern; und

○ Wenn MeetGeek feststellt, dass eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird MeetGeek den Kunden gemäß der DPA benachrichtigen.

Sicherheitsbewertungen. MeetGeek führt regelmäßig Sicherheits- und Schwachstellentests durch, um zu beurteilen, ob wichtige Kontrollen ordnungsgemäß implementiert wurden und im Vergleich zu den Branchensicherheitsstandards und deren Richtlinien und Verfahren wirksam sind, und um die kontinuierliche Einhaltung der gesetzlichen, behördlichen oder vertraglichen Verpflichtungen in Bezug auf die Sicherheit der Kundendaten sowie die Wartung und Struktur der Informationssysteme von MeetGeek sicherzustellen.