Auftragsdatenverarbeitungsvertrag MEETYOO Go

Allgemeine Bestimmungen über die Vereinbarung zur Auftragsverarbeitung 
MEETYOO Go
gemäß Art. 28 Abs 3 Datenschutzgrundverordnung (DSGVO)

Als PDF speichern

§1 Vertragsschluss

Gemäß den nachstehenden Bedingungen kommt ein Vertrag über eine Auftragsverarbeitung zwischen meetyoo (meetyoo conferencing GmbH, Friedrichstrasse 200, 10117 Berlin als Auftragsverarbeiter) und jedem Unternehmen, das MEETYOO Go-Dienste des Auftragsnehmers in Anspruch nimmt (im Folgenden „Auftraggeber“), zustande.

§2 Anwendungsbereich und Verantwortlichkeit

meetyoo verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).

(1) Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Auf die weiteren Begriffsbestimmungen in Art. 4 Nr. 2 DSGVO wird verwiesen.

(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

§3 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

(1) Gegenstand dieses Vertrages über die Verarbeitung von Daten im Auftrag ist die Bereitstellung des Dienstes MEETYOO Go im Rahmen des mit meetyoo vereinbarten Umfangs, gemäß des zugrundliegenden Hauptvertrages

(2) Die Laufzeit dieser Vereinbarung richtet sich nach den Bestimmungen des zugrundeliegenden Hauptvertrages.

(3) Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen der Auftragsdatenverarbeitung im Sinne des Art. 28. Abs. 3 Datenschutzgrundverordnung (DSGVO), die meetyoo gegenüber dem Auftraggeber erbringt. Die Vereinbarung gilt somit bis auf Weiteres auch für weitere Aufträge.

(4) Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Datenverarbeitung:

a) Datenarten/Datenkategorien: 

Nutzer des Event-Portals von MEETYOO Go (Accountinhaber/ Administratoren)

    •    Kontaktdaten (Name, e-Mai-Adresse, Mobilfunknr.)

    •    IP-Adresse, Logfiles, Cookies (Session ID), Password

    •    Vertragsdaten

    •    Zahlungsdaten

Teilnehmer des virtuellen Events 

    •    Kontaktdaten (Name, Firma, e-Mai-Adresse)

    •    IP-Adresse, Logfiles, Password

    •    Vertragsdaten (Online Registrierung)

    •    Statistische (anonymisierte) Verhaltensdaten

    •    Videobild  /Chatinhalte

b) Kreis der von der Datenverarbeitung Betroffenen

(1) Nutzer des Event-Portals MEETYOO Go (Account Inhaber / Administrator) 

(2) Teilnehmer des virtuellen Events (z.B. Kunden, Mitarbeiter, Interessenten)
 

c) Art und Zweck der Datenverarbeitung:

Type of data processing

Any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, filing, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction (Art. 4 No. 2 GDPR).

Art der Datenverarbeitung

    •    Abrechnung

    •    Zugangsdatenverwaltung

    •    Bereitstellung von Reports für den Auftraggeber

    •    Kundenlogin

    •    Dateiaustausch/-ablage

    •    Chat

    •    On-Demand Webcast (Online Videoaufzeichnung)

    •    Webcam-/Videoübertragung

§4 Rechte und Pflichten des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der Datenerhebung, -verarbeitung, -nutzung sowie zur Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich und somit Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO.

(2) Der Auftraggeber ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen können ausschließlich in Textform erfolgen. Etwaige Vergütungen von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim meetyoo entstehen, werden gesondert verhandelt.

(3) Der Auftraggeber informiert meetyoo unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch meetyoo festgestellt werden.

(4) Der Auftraggeber ist für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der Daten des Auftraggebers sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Sollten Dritte gegen meetyoo aufgrund der Erhebung, Verarbeitung oder Nutzung von Auftraggeberdaten Ansprüche geltend machen, wird der Auftraggeber meetyoo von allen solchen Ansprüchen auf erstes Anfordern freistellen.

(5) Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann in Absprache mit meetyoo regelmäßig von der Einhaltung der von meetyoo getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen. 

(6) Im Falle einer Informationspflicht gemäß Art. 33, 34 DSGVO, §15a TMG ist der Auftraggeber für deren Einhaltung verantwortlich.

§5 Pflichten von meetyoo

(1) Datenverarbeitung

a) meetyoo ist verpflichtet, personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den Weisungen des Auftraggebers zu verarbeiten. Eine hiervon abweichende Verarbeitung von Daten ist meetyoo untersagt. meetyoo ist verpflichtet, die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke zu verarbeiten. 

b) Kopien oder Duplikate dürfen nicht erstellt werden, es sei denn, dies ist Gegenstand des Auftrags, dies ist zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich oder der Auftraggeber hat hierzu seine ausdrückliche schriftliche Einwilligung erteilt.

(2) Berichtigung, Löschung und Sperrung von Daten

a) meetyoo hat auf Weisung des Auftraggebers die personenbezogenen Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden, zu berichtigen, zu löschen oder zu sperren. Das Gleiche gilt, wenn diese Vereinbarung eine Berichtigung, Löschung oder Sperrung von Daten vorsieht. 

b) Soweit sich ein Betroffener unmittelbar an meetyoo zwecks Berichtigung, Löschung oder Sperrung seiner Daten wendet, ist meetyoo verpflichtet, dieses Ersuchen unverzüglich nach Erhalt an den Auftraggeber weiterzuleiten.

c) meetyoo unterstützt den Auftraggeber nach Möglichkeit bei Anträgen Betroffener bzgl. Auskunft, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch.

(3) Kontrollpflichten

a) meetyoo verpflichtet sich, durch geeignete Kontrollen sicherzustellen, dass die im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Vertrages und/oder den entsprechenden Weisungen verarbeitet werden.  

b) meetyoo bestätigt, dass sie gem. Art. 37 DSGVO einen externen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht. Datenschutzbeauftragter ist: 

Deutsche Datenschutz Consult GmbH (externer Datenschutzbeauftragter)
Stresemannstr. 29, 22769 Hamburg
Internet: ddsc.de
E-Mail: dpo [at] meetyoo.com

(4) Informationspflichten

a) meetyoo wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung ihrer Meinung nach gegen gesetzliche Vorschriften verstößt. meetyoo ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

b) meetyoo ist verpflichtet, den Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen vom Auftraggeber, der im Zuge der Verarbeitung von Daten durch sie oder andere mit der Verarbeitung betraute Personen erfolgt ist, unverzüglich mitzuteilen.

(5) Ort der Datenverarbeitung

Die Erhebung, Verarbeitung und Nutzung der Daten des Auftraggebers findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Unabhängig davon, dass eine Erhebung, Verarbeitung oder Nutzung von Auftraggeber-Daten außerhalb des EWR möglicherweise nicht der Privilegierung des Art. 28 DSGVO unterfällt, ist es meetyoo gestattet, Auftraggeberdaten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn sie den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen in geeigneter Form sowie Garantien gemäß Art. 44 ff. DSGVO geprüft hat.

(6) Löschung der personenbezogenen Daten nach Auftragsbeendigung

Nach Beendigung des Vertrages ist meetyoo verpflichtet, sämtliche in ihren Besitz gelangten personenbezogene Daten, Unterlagen und erstellten Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutz- und datensicherheitskonform und gemäß Weisungen des Auftraggebers zu löschen oder dem Auftraggeber auszuhändigen. Ausgenommen sind personenbezogene Daten bei denen für meetyoo eine Verpflichtung zur Speicherung nach dem Unionsrecht oder dem Recht der Mitgliedstasten besteht.

(7) Aufzeichnungen

meetyoo führt gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten, die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt werden. Dieses Verzeichnis ist schriftlich, auch in elektronischer Form, zu führen und der Aufsichtsbehörde auf Verlangen vorzulegen.

§6 Data protection control

(1) meetyoo weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten durch ein zertifiziertes Informationssicherheitsmanagement gemäß ISO 27001 nach. Das aktuelle Zertifikat kann unter folgendem Link eingesehen werden: 
https://www.certipedia.com/quality_marks/9105037096?locale=de 

(2) meetyoo räumt dem Auftraggeber das Recht ein, sich zu den üblichen Geschäftszeiten persönlich von der Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst überzeugen. Der Auftraggeber wird dabei auf die betrieblichen Abläufe von meetyoo Rücksicht nehmen und Kontrollen mindestens zehn Tage vorher anmelden.

(3) meetyoo wird den Auftraggeber bei der Durchführung von Kontrollen unterstützen und an der vollständigen und zügigen Abwicklung mitwirken. Ggf. aufgrund einer Kontrolle anfallenden Kosten trägt der Auftraggeber.

(4) meetyoo ist auf schriftliche Anforderung hin dem Auftraggeber gegenüber innerhalb einer angemessenen Frist zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle erforderlich ist.  

(5) meetyoo hat eventuelle Kontrollmaßnahmen der Datenschutzaufsichtsbehörde zu dulden und wird den Auftraggeber, soweit personenbezogenen Daten vom Auftraggeber durch eine Kontrollmaßnahme betroffen sind, unverzüglich nach Kenntniserlangung über die Durchführung der Kontrollmaßnahme informieren.

§7 Unterauftragsverhältnisse

(1) Die Beauftragung von Unterauftragnehmern zur Auftragserfüllung ist nur mit schriftlicher Zustimmung des Auftraggebers zulässig. meetyoo versichert, dass sie den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von ihr getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt hat

(2) Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Subunternehmer durchgeführt:

MEETYOO GO Services

Name/Fima:                                           Amazon Web Services EMEA SARL
Funktion/Tätigkeit:                                 Provision of server capacities at the Frankfurt/Backup Paris site
Sitz [Stadt, Land]:                                  Luxembourg, Luxembourg
Zertifizierung:                                        Privacy Shield, ISO 9001, ISO 27001, ISO 27017, ISO 27018

Name/Firma:                                         Stripe Payments Europe Ltd.
Funktion/Tätigkeit:                                Zahlungsabwicklung
Sitz [Stadt, Land]:                                 Dublin, Irland
Zertifizierung:                                        PCI-DSS, SOC 1/2

3) Der Auftraggeber stimmt zu, dass meetyoo Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert meetyoo den Auftraggeber. Der Auftraggeber kann der Änderung, innerhalb einer Frist von zehn Tagen, aus wichtigem Grund gegenüber meetyoo widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben.

(4) Keiner Zustimmung bedarf die Einschaltung von Unterauftragnehmern, bei denen der Unterauftragnehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Auftraggeberdaten nicht ausgeschlossen werden kann (Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen etc.). meetyoo wird mit solchen Unterauftragnehmern branchenübliche Geheimhaltungsvereinbarungen treffen.

(5) Die Vereinbarung zur Unterauftragsdatenverarbeitung muss ein adäquates Schutzniveau aufweisen, welches demjenigen dieses Vertrags vergleichbar ist. meetyoo wird die Einhaltung der Pflichten des Unterauftragnehmers regelmäßig überprüfen. meetyoo hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 Abs. 1 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat.

(6) Die Übergabe von Daten an den Unterauftragnehmer ist dann zulässig, wenn der Unterauftragnehmer die Verpflicht-ung nach Art. 28 DSGVO erfüllt hat.

(7) Die Verpflichtung des Unterauftragnehmers muss schriftlich erfolgen. Dem Auftraggeber ist die schriftliche Verpflichtung auf Anfrage zu übermitteln.

(8) Der Auftraggeber bevollmächtigt meetyoo hiermit, in Vertretung des Auftraggebers mit einem Unterauftragnehmer, der Auftraggeberdaten außerhalb des EWR verarbeitet oder nutzt, einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern zu schließen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 49 DSGVO im erforderlichen Maße mitzuwirken.

§8 Datengeheimnis und Vertraulichkeit

(1) meetyoo ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung des Datengeheimnisses im Sinne des Art. 5 und Art. 29 DSGVO bzw. zur Wahrung der Vertraulichkeit über Daten verpflichtet.

(2) meetyoo verpflichtet sich bei der Erfüllung des Auftrags nur Mitarbeiter einzusetzen, die auf das Datengeheimnis bzw. zur Vertraulichkeit im Sinne des Art. 5 und Art. 29 DSGVO verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrages fort.
 

§9 Technische und organisatorische Maßnahmen

(1) meetyoo ist gemäß ISO 27001 zertifiziert. Das aktuelle Zertifikat können Sie unter folgendem Link einsehen: https://www.certipedia.com/quality_marks/9105037096?locale=de 

(2) Die technischen und organisatorischen Maßnahmen sind auf der meetyoo Webseite Anlage 1 TOM beschrieben und werden als verbindlich festgelegt. Sie entsprechen den Anforderungen gemäß Art. 32 DSGVO. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses angepasst werden. 

(3) Innerhalb des Informationssicherheitsmanagements versichert meetyoo, seinen Pflichten gemäß Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. 

(4) meetyoo teilt dem Auftraggeber unverzüglich Störungen, Verstöße von meetyoo oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in dieser Vereinbarung getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. meetyoo sichert zu, den Auftraggeber bei seinen Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen.

§10 Ansprechpartner

(1) Bei anfallenden Datenschutzfragen im Rahmen des Vertrages steht Ihnen folgender Ansprechpartner gerne zur Verfügung:

Rico Hengstmann, Compliance, meetyoo conferencing GmbH, Friedrichstr. 200, 10117 Berlin, 
Telefon 030 – 868 710 400, datenschutz [at] meetyoo.de   

§11 Sonstiges

(1) Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.

(2) Änderungen und Ergänzungen dieser Vereinbarung müssen schriftlich erfolgen und bedürfen der ausdrücklichen Angabe, dass damit die vorliegenden Bestimmungen geändert und/oder ergänzt werden. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Sollte eine Bestimmung dieser Vereinbarung unwirksam oder nicht durchsetzbar sein oder werden, so bleiben die übrigen Bestimmungen dieser Vereinbarung hiervon unberührt. Die unwirksame oder nicht durchsetzbare Bestimmung ist durch eine wirksame und durchsetzbare Bestimmung zu ersetzen, welche dem Zweck der ersetzenden Bestimmung am nächsten kommt.

(4) Bezüglich der Haftungsbegrenzung von meetyoo, der Rechtswahl und des Gerichtstandes wird auf den zugrundliegenden Dienstvertrag mit meetyoo verwiesen.

Anlage 1: Technische und organisatorische Maßnahmen bei meetyoo