Auftragsdatenverarbeitungsvertrag MEETYOO Pro & Show
Allgemeine Bestimmungen über die Vereinbarung zur Auftragsverarbeitung
gemäß Art. 28 Abs 3 Datenschutzgrundverordnung (DSGVO)
(Stand 1.6.2022)
§1 Vertragsschluss
Gemäß den nachstehenden Bedingungen kommt ein Vertrag über eine Auftragsverarbeitung zwischen meetyoo (meetyoo conferencing GmbH, Friedrichstrasse 200, 10117 Berlin als Auftragsverarbeiter) und jedem Unternehmen, das Dienstleistungen des Auftragsnehmers in Anspruch nimmt (im Folgenden „Auftraggeber“), zustande.
§2 Anwendungsbereich und Verantwortlichkeit
meetyoo verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).
(1) Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Auf die weiteren Begriffsbestimmungen in Art. 4 Nr. 2 DSGVO wird verwiesen.
(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
§3 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
(1) Gegenstand dieses Vertrages über die Verarbeitung von Daten im Auftrag ist die Bereitstellung internet- und telefonbasierter Präsentations- und Konferenzmedien im Rahmen des mit meetyoo vereinbarten Umfangs, gemäß des zugrundliegenden Hauptvertrages.
(2) Die Laufzeit dieser Vereinbarung richtet sich nach den Bestimmungen des zugrundeliegenden Hauptvertrages.
(3) Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen der Auftragsdatenverarbeitung im Sinne des Art. 28. Abs. 3 Datenschutzgrundverordnung (DSGVO), die meetyoo gegenüber dem Auftraggeber erbringt. Die Vereinbarung gilt somit bis auf Weiteres auch für weitere Aufträge.
(4) Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Datenverarbeitung:
a) Datenarten/Datenkategorien:
Allgemein
• Personendaten
• Kontaktdaten
• Vertragsdaten
• Zahlungsdaten
• Verhaltensdaten
• Nutzungsdaten aus Telemediendiensten oder Telekommunikationsdiensten
• Arbeitgeber
• Sprachdaten
Webservices
• Bildschirminformationen
• Videobild
• IP-Adresse
• Chatinhalte
• Abbild (Sprecherfotos)
b) Kreis der von der Datenverarbeitung Betroffenen:
• Kunden
• Auftraggeber
• Interessenten
• Beschäftigte
• Bewerber
• Lieferanten
• Dienstleister
• Geschäftspartner
• Aktionäre
• Konferenzteilnehmer
Der Kreis der durch den Umgang mit den personenbezogenen Daten im Rahmen des zugrundeliegenden Vertrages Betroffenen hängt davon ab, für welchen Personenkreis der Auftraggeber die meetyoo Services in Anspruch nimmt.
c) Art und Zweck der Datenverarbeitung:
Allgemein
• Abrechnung
• Zugangsdatenverwaltung
• Reports für den Auftraggeber
• Kundenlogin
• Nutzung des Telemedien-/Telekommunikationsservice
• Dateiaustausch/-ablage
Telephone Services
• internationale Festnetz und Mobileinwahl
• Dial-Out Option, Anrufen von Konferenzteilnehmern auf Anfrage
• Konferenzaufzeichnung (Sprachaufzeichnung)
• Sprachübertragung (Telefonkonferenz)
Webservices
• Chat
• OnDemand Webcast (Online Videoaufzeichnung)
• Webcam-/Videoübertragung
§4 Rechte und Pflichten des Auftraggebers
(1) Für die Beurteilung der Zulässigkeit der Datenerhebung, -verarbeitung, -nutzung sowie zur Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich und somit Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO.
(2) Der Auftraggeber ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen können ausschließlich in Textform erfolgen. Etwaige Vergütungen von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim meetyoo entstehen, werden gesondert verhandelt.
(3) Der Auftraggeber informiert meetyoo unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch meetyoo festgestellt werden.
(4) Der Auftraggeber ist für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der Daten des Auftraggebers sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Sollten Dritte gegen meetyoo aufgrund der Erhebung, Verarbeitung oder Nutzung von Auftraggeberdaten Ansprüche geltend machen, wird der Auftraggeber meetyoo von allen solchen Ansprüchen auf erstes Anfordern freistellen.
(5) Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann in Absprache mit meetyoo regelmäßig von der Einhaltung der von meetyoo getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen. Ggf. aufgrund einer Kontrolle anfallenden Kosten trägt der Auftraggeber.
(6) Im Falle einer Informationspflicht gemäß Art. 33, 34 DSGVO, §15a TMG oder § 165 TKG, ist der Auftraggeber für deren Einhaltung verantwortlich.
§5 Pflichten von meetyoo
(1) Datenverarbeitung
a) meetyoo ist verpflichtet, personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den Weisungen des Auftraggebers zu verarbeiten. Eine hiervon abweichende Verarbeitung von Daten ist meetyoo untersagt. meetyoo ist verpflichtet, die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke zu verarbeiten.
b) Kopien oder Duplikate dürfen nicht erstellt werden, es sei denn, dies ist Gegenstand des Auftrags, dies ist zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich oder der Auftraggeber hat hierzu seine ausdrückliche schriftliche Einwilligung erteilt.
(2) Berichtigung und Löschung von Daten, Einschränkung der Verarbeitung, Betroffenen Anfragen.
a) meetyoo hat auf Weisung des Auftraggebers die personenbezogenen Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden, zu berichtigen, zu löschen oder - die Verarbeitung einzuschränken. Das Gleiche gilt, wenn diese Vereinbarung eine Berichtigung, Löschung von Daten oder eine Einschränkung ver Verarbeitung vorsieht.
b) Soweit sich ein Betroffener unmittelbar an meetyoo zwecks Berichtigung, Löschung oder zwecks Einschränkung der Verarbeitung seiner Daten wendet, ist meetyoo verpflichtet, dieses Ersuchen unverzüglich nach Erhalt an den Auftraggeber weiterzuleiten.
c) meetyoo unterstützt den Auftraggeber nach Möglichkeit bei Anträgen Betroffener bzgl. Auskunft, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch.
(3) Unterstützung bei Datenschutzverletzungen, weitere Unterstützungsleistungen
meetyoo teilt dem Auftraggeber unverzüglich Störungen, Verstöße von meetyoo oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in dieser Vereinbarung getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. meetyoo sichert zu, den Auftraggeber bei seinen Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen.
(4) Kontrollpflichten
a) meetyoo verpflichtet sich, durch geeignete Kontrollen sicherzustellen, dass die im Auftrag erhobenen, verarbeiteten oder genutzten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Vertrages und/oder den entsprechenden Weisungen verarbeitet werden.
b) meetyoo bestätigt, dass sie gem. Art. 37 DSGVO einen externen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht. Datenschutzbeauftragter ist:
Deutsche Datenschutz Consult GmbH (externer Datenschutzbeauftragter)
Stresemannstr. 29, 22769 Hamburg
Internet: ddsc.de
E-Mail: dpo [at] meetyoo.com
(5) Informationspflichten
a) meetyoo wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung ihrer Meinung nach gegen gesetzliche Vorschriften verstößt. meetyoo ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
b) meetyoo ist verpflichtet, den Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen vom Auftraggeber, der im Zuge der Verarbeitung von Daten durch sie oder andere mit der Verarbeitung betraute Personen erfolgt ist, unverzüglich mitzuteilen.
(6) Ort der Datenverarbeitung
Die Erhebung, Verarbeitung und Nutzung der Daten des Auftraggebers findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. meetyoo ist es gestattet, die vertragsgegenständlichen Daten auch außerhalb des EWR zu verarbeiten soweit die Anforderungen gemäß 44 ff. DSGVO eingehalten werden.
Löschung der personenbezogenen Daten nach Auftragsbeendigung
Nach Beendigung des Vertrages ist meetyoo verpflichtet, sämtliche in ihren Besitz gelangten personenbezogene Daten, Unterlagen und erstellten Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutz- und datensicherheitskonform und gemäß Weisungen des Auftraggebers zu löschen oder dem Auftraggeber auszuhändigen. Ausgenommen sind personenbezogene Daten bei denen für meetyoo eine Verpflichtung zur Speicherung nach dem Unionsrecht oder dem Recht der Mitgliedstasten besteht.
§6 Datenschutzkontrolle
(1) meetyoo weist dem Auftraggeber die Einhaltung der zugesicherten Maßnahmen in Bezug auf das Informationssicherheitsmanagement eine Zertifizierung gemäß ISO 27001 nach. Das aktuelle Zertifikat kann unter folgendem Link eingesehen werden: https://www.certipedia.com/quality_marks/9105037096?locale=de
(2) meetyoo räumt dem Auftraggeber das Recht ein, sich zu den üblichen Geschäftszeiten persönlich von der Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst überzeugen. Der Auftraggeber wird dabei auf die betrieblichen Abläufe von meetyoo Rücksicht nehmen und Kontrollen mindestens zehn Tage vorher anmelden.
(3) meetyoo wird den Auftraggeber bei der Durchführung von Kontrollen unterstützen und an der vollständigen und zügigen Abwicklung mitwirken. Ggf. aufgrund einer Kontrolle anfallenden Kosten trägt der Auftraggeber.
(4) meetyoo ist auf schriftliche Anforderung hin dem Auftraggeber gegenüber innerhalb einer angemessenen Frist zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle erforderlich ist.
(5) meetyoo hat eventuelle Kontrollmaßnahmen der Datenschutzaufsichtsbehörde zu dulden und wird den Auftraggeber, soweit personenbezogenen Daten vom Auftraggeber durch eine Kontrollmaßnahme betroffen sind, unverzüglich nach Kenntniserlangung über die Durchführung der Kontrollmaßnahme informieren.
§7 Unterauftragsverhältnisse
(1) Die Beauftragung von Unterauftragnehmern zur Auftragserfüllung ist nur mit schriftlicher Zustimmung des Auftraggebers zulässig. meetyoo versichert, dass sie den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von ihr getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt hat.
(2) Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Subunternehmer durchgeführt:
a) Web Service:
Name/Company: Amazon Web Services EMEA SARL
Function/activity: Provision of server capacities in Frankfurt
Headquarters [City, Country]: Luxembourg, Luxembourg
Certification: Abgeschlossene EU-Standardvertragsklauseln, ISO 9001, ISO 27001, ISO 27017, ISO 27018
b) Telefonkonferenzservice:
Name/Company: Plusnet GmbH
Function/activity: Einwahlnummern Bereitstellung (Carrier)
Headquarters [City, Country]: Berlin, Germany
(3) Der Auftraggeber stimmt zu, dass meetyoo Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert meetyoo den Auftraggeber. Der Auftraggeber kann der Änderung, innerhalb einer Frist von zehn Tagen, aus wichtigem Grund gegenüber meetyoo widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben.
(4) Keiner Zustimmung bedarf die Einschaltung von Unterauftragnehmern, bei denen der Unterauftragnehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Auftraggeberdaten nicht ausgeschlossen werden kann (Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen etc.) meetyoo wird mit solchen Unterauftragnehmern branchenübliche Geheimhaltungsvereinbarungen treffen.
(5) Die Vereinbarung zur Unterauftragsdatenverarbeitung muss ein adäquates Schutzniveau aufweisen, welches demjenigen dieses Vertrags vergleichbar ist. meetyoo wird die Einhaltung der Pflichten des Unterauftragnehmers regelmäßig überprüfen. meetyoo hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 Abs. 1 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat.
(6) Die Übergabe von Daten an den Unterauftragnehmer ist dann zulässig, wenn mit diesem ein Auftragsverarbeitungsvertrag abgeschlossen wurde, der die Anforderungen von Art. 28 DSGVO erfüllt. Kommt es durch den Einsatz des Unterauftragnehmers zu einer Verarbeitung von auftragsgegenständlichen personenbezogenen Daten in Drittländern, stellt meetyoo sicher, dass mit diesem Unterauftragnehmer soweit erforderlich Garantien nach Art. 44 ff. DSGVO vereinbart wurden.
(7) Die Verpflichtung des Unterauftragnehmers muss schriftlich erfolgen. Dem Auftraggeber ist die schriftliche Verpflichtung auf Anfrage zu übermitteln.
§8 Datengeheimnis und Vertraulichkeit
(1) meetyoo ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung des Datengeheimnisses im Sinne des Art. 5 und Art. 29 DSGVO bzw. zur Wahrung der Vertraulichkeit über Daten verpflichtet.
(2) meetyoo verpflichtet sich bei der Erfüllung des Auftrags nur Mitarbeiter einzusetzen, die auf das Datengeheimnis bzw. zur Vertraulichkeit im Sinne des Art. 5 und Art. 29 DSGVO verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrages fort.
§9 Technische und organisatorische Maßnahmen
(1) meetyoo ist gemäß ISO 27001 zertifiziert. Das aktuelle Zertifikat können Sie unter folgendem Link einsehen: https://www.certipedia.com/quality_marks/9105037096?locale=de
(2) Die technischen und organisatorischen Maßnahmen sind auf der meetyoo Webseite Anlage 1 TOM beschrieben und werden als verbindlich festgelegt. Sie entsprechen den Anforderungen gemäß Art. 32 DSGVO. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses angepasst werden.
(3) Innerhalb des Informationssicherheitsmanagements versichert meetyoo, seinen Pflichten gemäß Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
§10 Ansprechpartner
(1) Bei anfallenden Datenschutzfragen im Rahmen des Vertrages steht Ihnen folgender Ansprechpartner gerne zur Verfügung:
Rico Hengstmann, Compliance
meetyoo conferencing GmbH, Friedrichstr. 200, 10117 Berlin, Telefon 030 – 868 710 400, datenschutz [at] meetyoo.de
§11 Sonstiges
(1) Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.
(2) Änderungen und Ergänzungen dieser Vereinbarung müssen schriftlich erfolgen und bedürfen der ausdrücklichen Angabe, dass damit die vorliegenden Bestimmungen geändert und/oder ergänzt werden. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Sollte eine Bestimmung dieser Vereinbarung unwirksam oder nicht durchsetzbar sein oder werden, so bleiben die übrigen Bestimmungen dieser Vereinbarung hiervon unberührt. Die unwirksame oder nicht durchsetzbare Bestimmung ist durch eine wirksame und durchsetzbare Bestimmung zu ersetzen, welche dem Zweck der ersetzenden Bestimmung am nächsten kommt.
(4) Bezüglich der Haftungsbegrenzung von meetyoo, der Rechtswahl und des Gerichtstandes wird auf den zugrundliegenden Dienstvertrag mit meetyoo verwiesen.
Anlage 1: Technische und organisatorische Maßnahmen bei meetyoo