DATENVERARBEITUNGSVERTRAG

(Überarbeitet am 3. Juni 2024)

Standardvertragsklauseln gemäß Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 (DSGVO) für
die Zwecke der Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter

zwischen
[Ihr Unternehmen]
[Adresse einfügen]
[Postleitzahl und Ort einfügen]
[Land einfügen]
- im Folgenden "der für die Verarbeitung Verantwortliche" -


und
Meedio ApS
CVR.: 41 52 70 72
Europaplads 2, 7.
8000 Aarhus C
Dänemark
- nachstehend "der Datenverarbeiter" -
-, die jeweils eine "Partei" sind und zusammen die "Parteien" bilden.

HABEN die folgenden Standardvertragsklauseln (die Klauseln) vereinbart, um
mit der DSGVO in Einklang zu bringen und den Schutz der Privatsphäre und der Grundrechte und
Freiheiten natürlicher Personen zu gewährleisten.

1. Präambel

1.1 Diese Regeln legen die Rechte und Pflichten des Auftragsverarbeiters fest, wenn er
Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen durchführt.


1.2 Diese Bestimmungen dienen der Einhaltung von Artikel 28 Absatz 3 der
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April
2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und
zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) durch die Parteien.


1.3 Im Rahmen der Bereitstellung der MEEDIO-Anwendung verarbeitet der Datenverarbeiter
personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen nach Maßgabe dieser Bestimmungen.


1.4 Die Bestimmungen haben Vorrang vor entsprechenden Bestimmungen in anderen Vereinbarungen
zwischen den Parteien.


1.5 Es gibt vier Anhänge zu diesen Bestimmungen, und die Anhänge sind integraler Bestandteil der Bestimmungen von
.


1.6 Anhang A enthält Einzelheiten über die Verarbeitung personenbezogener Daten, einschließlich der Zwecke und
Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien der betroffenen Personen und
der Dauer der Verarbeitung.


1.7 Anhang B enthält die Bedingungen des für die Verarbeitung Verantwortlichen für den Einsatz von Unterauftragsverarbeitern
und eine Liste der Unterauftragsverarbeiter, deren Einsatz vom für die Verarbeitung Verantwortlichen genehmigt wurde.


1.8 Anhang C enthält die Anweisungen des für die Verarbeitung Verantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter
, eine Beschreibung der Mindestsicherheitsmaßnahmen, die der Auftragsverarbeiter
zu ergreifen hat, sowie die Art und Weise, wie der Auftragsverarbeiter und etwaige Unterauftragsverarbeiter überwacht werden.


1.9 Anhang D enthält Bestimmungen für andere Tätigkeiten, die nicht von den Bestimmungen erfasst werden.


1.10 Die Bestimmungen und ihre Anhänge werden in schriftlicher Form, einschließlich elektronischer Form, von
beiden Parteien aufbewahrt.


1.11 Diese Regeln entbinden den Auftragsverarbeiter nicht von Verpflichtungen, die ihm durch die Datenschutz-Grundverordnung
oder andere Rechtsvorschriften auferlegt werden.

2. Rechte und Pflichten des für die Verarbeitung Verantwortlichen

2.1 Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten
in Übereinstimmung mit der DSGVO (siehe Artikel 24 der DSGVO), den Datenschutzbestimmungen
anderer nationaler Rechtsvorschriften der EU oder der Mitgliedstaaten und diesen Regeln erfolgt.


2.2 Der für die Verarbeitung Verantwortliche hat das Recht und die Pflicht zu entscheiden, für welche(n) Zweck(e) und mit welchen Mitteln
personenbezogene Daten verarbeitet werden dürfen.


2.3 Der für die Verarbeitung Verantwortliche ist u. a. dafür verantwortlich, dass eine Verarbeitungsgrundlage für
die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter durchführen soll, vorhanden ist.

3. Der Prozessor verarbeitet die Anweisungen

3.1 Der Auftragsverarbeiter darf personenbezogene Daten nur auf der Grundlage einer dokumentierten Weisung
des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, er ist aufgrund von Rechtsvorschriften der EU oder der Mitgliedstaaten, denen der
Auftragsverarbeiter unterliegt, hierzu verpflichtet. Diese Weisungen sind in den Anhängen A und C aufgeführt.
Der für die Verarbeitung Verantwortliche kann auch während der Verarbeitung personenbezogener Daten
nachträgliche Weisungen erteilen, die jedoch stets dokumentiert und schriftlich,
auch elektronisch, zusammen mit diesen Regeln aufbewahrt werden müssen.


3.2 Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Anweisung
gegen diese Verordnung oder gegen Datenschutzbestimmungen anderer Rechtsvorschriften der Union oder der Mitgliedstaaten
verstößt.

4. Datenschutz

4.1 Der Auftragsverarbeiter gewährt den Zugang zu personenbezogenen Daten, die im Auftrag des
für die Verarbeitung Verantwortlichen verarbeitet werden, nur den Personen, die den Weisungsbefugnissen des Auftragsverarbeiters unterliegen, die
zur Vertraulichkeit verpflichtet haben oder die einer angemessenen gesetzlichen
Vertraulichkeitsverpflichtung unterliegen, und nur im erforderlichen Umfang. Die Liste der Personen,
denen Zugang gewährt wurde, wird laufend überprüft. Auf der Grundlage dieser Überprüfung kann
der Zugang zu personenbezogenen Daten gesperrt werden, wenn der Zugang nicht mehr erforderlich ist, und die
personenbezogenen Daten sind dann für diese Personen nicht mehr zugänglich.


4.2 Der Auftragsverarbeiter muss in der Lage sein, auf Verlangen des für die Verarbeitung Verantwortlichen nachzuweisen, dass die betreffenden
Personen, die den Weisungsbefugnissen des Auftragsverarbeiters unterliegen,
der vorgenannten Verpflichtung zur Wahrung des Berufsgeheimnisses unterworfen sind.

5. Sicherheit der Behandlung

5.1 Artikel 32 der Datenschutzverordnung besagt, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter
unter Berücksichtigung des Stands der Technik,
der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für
die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein den jeweiligen Risiken angemessenes
Schutzniveau zu gewährleisten.
Der für die Verarbeitung Verantwortliche bewertet die von der Verarbeitung ausgehenden Risiken für die Rechte und Freiheiten natürlicher Personen
und ergreift Maßnahmen, um diesen Risiken zu begegnen. Je nach ihrer
Relevanz kann dies Folgendes umfassen:


(a) Pseudonymisierung und Verschlüsselung von personenbezogenen Daten


(b) Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und
Ausfallsicherheit von Verarbeitungssystemen und -diensten zu gewährleisten


(c) Die Fähigkeit, die Verfügbarkeit von und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen


(d) Ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der
Sicherheit der Verarbeitung.


5.2 Gemäß Artikel 32 der Verordnung muss der Auftragsverarbeiter - unabhängig von dem für die Verarbeitung Verantwortlichen -
die von der Verarbeitung ausgehenden Risiken für die Rechte natürlicher Personen bewerten und
Maßnahmen zur Behebung dieser Risiken ergreifen. Für die Zwecke dieser Bewertung muss der für die Verarbeitung Verantwortliche
dem Auftragsverarbeiter die erforderlichen Informationen zur Verfügung stellen, damit dieser solche Risiken ermitteln und
bewerten kann.


5.3 Darüber hinaus unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtung
gemäß Artikel 32 der Verordnung, indem er dem für die Verarbeitung Verantwortlichen unter anderem
die erforderlichen Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen
zur Verfügung stellt, die der für die Verarbeitung Verantwortliche bereits gemäß Artikel 32 der Verordnung ergriffen hat, sowie alle
sonstigen Informationen, die der für die Verarbeitung Verantwortliche benötigt, um seiner Verpflichtung
gemäß Artikel 32 der Verordnung nachzukommen.
Erfordert die Bewältigung der festgestellten Risiken nach Einschätzung des für die Verarbeitung Verantwortlichen die
Durchführung zusätzlicher Maßnahmen zu den vom
Auftragsverarbeiter bereits getroffenen Maßnahmen, so legt der für die Verarbeitung Verantwortliche die zusätzlich zu treffenden Maßnahmen in
Anhang C fest.

6. Einsatz von Unterauftragsverarbeitern

6.1 Der Auftragsverarbeiter muss die in Artikel 28 Absätze 2 und 4 der Datenschutzverordnung
genannten Bedingungen erfüllen, um einen anderen Auftragsverarbeiter (einen Unterauftragsverarbeiter) hinzuziehen zu können.


6.2 Der Auftragsverarbeiter darf daher für die Zwecke dieser
Bestimmungen keinen Unterauftragsverarbeiter ohne die vorherige allgemeine schriftliche Zustimmung des für die Verarbeitung Verantwortlichen einsetzen.
Der Auftragsverarbeiter verfügt über die allgemeine Zustimmung des für die Verarbeitung Verantwortlichen zum Einsatz von Unterauftragsverarbeitern.
Der Auftragsverarbeiter teilt dem für die Verarbeitung Verantwortlichen geplante Änderungen hinsichtlich der
Hinzufügung oder des Austauschs von Unterauftragsverarbeitern mit einer Frist von mindestens 14 Tagen schriftlich mit, so dass
der für die Verarbeitung Verantwortliche die Möglichkeit hat, vor dem Einsatz des/der betreffenden
Unterauftragsverarbeiter(s) Einwände gegen diese Änderungen zu erheben. Längere Meldefristen für die Meldung spezifischer
Verarbeitungen können in Anhang B festgelegt werden. Die Liste der von dem für die Verarbeitung Verantwortlichen bereits zugelassenen
Unterauftragsverarbeiter ist in Anhang B enthalten.



6.3 Bedient sich der Auftragsverarbeiter zur Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des für die Verarbeitung Verantwortlichen eines Unterauftragsverarbeiters, so hat der Auftragsverarbeiter dem Unterauftragsverarbeiter durch einen Vertrag oder ein anderes Rechtsdokument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten die gleichen Datenschutzpflichten aufzuerlegen, wie sie in diesen Bestimmungen festgelegt sind, wobei er insbesondere die erforderlichen Garantien dafür bietet, dass der Unterauftragsverarbeiter die technischen und organisatorischen Maßnahmen so umsetzt, dass die Verarbeitung den Anforderungen dieser Bestimmungen und der DSGVO entspricht.Der Auftragsverarbeiter ist daher dafür verantwortlich zu verlangen, dass der Unterauftragsverarbeiter zumindest die Verpflichtungen des Auftragsverarbeiters nach diesen Bestimmungen und der DSGVO einhält.







6.4 Kopien der Unterauftragsverarbeiter-Vereinbarung(en) und etwaige spätere Änderungen daran
werden auf Antrag des für die Verarbeitung Verantwortlichen dem für die Verarbeitung Verantwortlichen übermittelt, der damit
die Möglichkeit hat, sicherzustellen, dass dem Unterauftragsverarbeiter gleichwertige Datenschutzverpflichtungen auferlegt werden, die sich aus diesen
Bestimmungen ergeben. Bestimmungen über Geschäftsbedingungen, die
den datenschutzrechtlichen Inhalt der Vereinbarung mit dem Unterauftragsverarbeiter nicht berühren, werden dem für die Verarbeitung Verantwortlichen nicht übermittelt
.


6.5 Es ist nicht möglich, Dritte zu bevorzugen, da die Daten verschlüsselt und anonymisiert sind und
daher zusätzliche Informationen über die Nutzer erfordern würde, um die Möglichkeit des
Zugriffs auf diese Daten zu gewährleisten, was das Sicherheitsniveau der Lösung beeinträchtigt. Im Falle des Konkurses
des Datenverarbeiters werden die Daten automatisch gelöscht.


6.6 Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, so haftet der Datenverarbeiter
gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters.
Die Rechte der betroffenen Personen gemäß der Datenschutzverordnung
, insbesondere Artikel 79 und 82, gegenüber dem für die Verarbeitung Verantwortlichen und dem
Auftragsverarbeiter, einschließlich des Unterauftragsverarbeiters, bleiben davon unberührt.

7. Übermittlung an Drittländer oder internationale Organisationen

7.1 Eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen darf
vom Auftragsverarbeiter nur auf der Grundlage einer entsprechenden dokumentierten Anweisung des für die Verarbeitung Verantwortlichen
erfolgen und muss stets im Einklang mit Kapitel V der Datenschutzverordnung
erfolgen.


7.2 Ist die Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen,
die der Auftragsverarbeiter nicht auf Weisung des für die Verarbeitung Verantwortlichen vornimmt, nach
Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, vorgeschrieben, so unterrichtet der Auftragsverarbeiter
den für die Verarbeitung Verantwortlichen vor der Verarbeitung über dieses rechtliche Erfordernis, es sei denn, dieses Recht verbietet
eine solche Unterrichtung aus Gründen wichtiger öffentlicher Interessen.


7.3 Ohne eine dokumentierte Anweisung des für die Verarbeitung Verantwortlichen kann der Prozessor also nicht im Rahmen von
diese Bestimmungen einhalten:


(a) Übermittlung personenbezogener Daten an einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter in einem Drittland oder an eine
internationale Organisation


(b) die Verarbeitung personenbezogener Daten einem Unterauftragsverarbeiter in einem Drittland anvertrauen


(c) Verarbeitung der personenbezogenen Daten in einem Drittland


7.4 Die Anweisungen des für die Verarbeitung Verantwortlichen bezüglich der Übermittlung personenbezogener Daten in ein Drittland,
einschließlich der Übermittlungsgrundlage, falls vorhanden, in Kapitel V der Datenschutzverordnung auf
, auf die sich die Übermittlung stützt, sind in Anhang C.6 dargelegt.


7.5 Diese Bestimmungen sind nicht mit Standardvertragsklauseln im Sinne von
Artikel 46 (2) (c) und (d) der Datenschutzverordnung zu verwechseln und diese
Bestimmungen können keine Grundlage für die Übermittlung personenbezogener Daten im Sinne von
Kapitel V der Datenschutzverordnung darstellen.

8. Unterstützung des Kontrolleurs

8.1 Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen soweit möglich und unter Berücksichtigung der Art der
Verarbeitung durch geeignete technische und organisatorische Maßnahmen bei der
Einhaltung der Verpflichtung des für die Verarbeitung Verantwortlichen zur Beantwortung von Anträgen auf Ausübung der Rechte
betroffener Personen gemäß Kapitel III der Datenschutzverordnung.
Dies bedeutet, dass der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen so weit wie möglich bei der
Einhaltung unterstützt:


(a) Die Informationspflicht bei der Erhebung personenbezogener Daten bei
der betroffenen Person


(b) Die Informationspflicht, wenn die personenbezogenen Daten nicht
bei der betroffenen Person erhoben wurden


(c) Das Recht auf Zugang


(d) Das Recht auf Berichtigung


(e) Das Recht auf Löschung ("Recht auf Vergessenwerden")


(f) Das Recht auf Einschränkung der Verarbeitung


(g) Informationspflicht im Zusammenhang mit der Berichtigung oder
Löschung von personenbezogenen Daten oder der Einschränkung der Verarbeitung


(h) Das Recht auf Datenübertragbarkeit


(i) Das Recht auf Widerspruch


(j) Das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten
Verarbeitung, einschließlich Profiling, beruht


8.2 Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Ziffer
6.3 zu unterstützen, muss der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden
Informationen weiter unterstützen:



(a) Die Verpflichtung des für die Verarbeitung Verantwortlichen, die Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem er davon Kenntnis erlangt hat, der zuständigen Aufsichtsbehörde, dem Datenschutzbeauftragten, zu melden, es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten ein Risiko für die Rechte oder Freiheiten von natürlichen Personen darstellt



(b) Die Verpflichtung des für die Verarbeitung Verantwortlichen, die betroffene Person unverzüglich von einer Verletzung des Schutzes personenbezogener Daten
zu benachrichtigen, wenn die Verletzung wahrscheinlich ein hohes Risiko für
die Rechte und Freiheiten natürlicher Personen zur Folge hat


(c) Die Verpflichtung des für die Verarbeitung Verantwortlichen, vor der Verarbeitung eine Analyse
der Auswirkungen der geplanten Verarbeitungstätigkeiten auf den Schutz personenbezogener Daten
durchzuführen (eine Folgenabschätzung)


(d) Die Verpflichtung des für die Verarbeitung Verantwortlichen, die zuständige Aufsichtsbehörde,
die Datenschutzbehörde, vor der Verarbeitung zu konsultieren, wenn eine Datenschutz-Folgenabschätzung
ergibt, dass die Verarbeitung ein hohes Risiko zur Folge hätte,
wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift.


8.3 Die Parteien legen in Anhang C die erforderlichen technischen und organisatorischen
Maßnahmen fest, mit denen der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unterstützt, sowie den Umfang und die Tragweite dieser Unterstützung
. Dies gilt für die Verpflichtungen, die sich aus den Ziffern 9.1 und 9.2 ergeben.

9. Meldung von Verletzungen des Schutzes personenbezogener Daten

9.1 Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen unverzüglich, nachdem er festgestellt hat, dass
eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat.


9.2 Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen nach Möglichkeit innerhalb von 24 Stunden, nachdem der für die Verarbeitung Verantwortliche
von der Verletzung Kenntnis erlangt hat, damit der für die Verarbeitung Verantwortliche seiner
Verpflichtung zur Benachrichtigung der zuständigen Aufsichtsbehörde über die Verletzung des Schutzes personenbezogener Daten gemäß
Artikel 33 der DSGVO nachkommen kann.


9.3 Gemäß Bestimmung 9.2.a unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Meldung des Verstoßes an die zuständige Aufsichtsbehörde
. Dies bedeutet, dass der Auftragsverarbeiter
bei der Bereitstellung der folgenden Informationen behilflich sein muss, die gemäß Artikel 33 Absatz 3 in die Meldung der Verletzung durch den für die Verarbeitung Verantwortlichen an die zuständige Aufsichtsbehörde aufgenommen werden müssen
:


(a) die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der
Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der
Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze


(b) Die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten


(c) Die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen beabsichtigt, um die Verletzung des Schutzes personenbezogener Daten
zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung der
möglichen nachteiligen Auswirkungen.


9.4 Die Parteien legen in Anhang C fest, welche Informationen der Auftragsverarbeiter
dem für die Verarbeitung Verantwortlichen zur Verfügung stellen muss, um ihn bei der Meldung einer Verletzung des Schutzes personenbezogener Daten
an die zuständige Aufsichtsbehörde zu unterstützen.

10. Löschung und Rückgabe von Daten

10.1 Nach Beendigung der Verarbeitung personenbezogener Daten ist der Datenverarbeiter
verpflichtet, alle personenbezogenen Daten, die im Auftrag des für die Verarbeitung Verantwortlichen
verarbeitet wurden, zu löschen und dem für die Verarbeitung Verantwortlichen zu bestätigen, dass die Daten gelöscht wurden, es sei denn, das nationale Recht der EU oder des Mitgliedstaats
sieht die Aufbewahrung der personenbezogenen Daten vor.
Der Datenverarbeiter verpflichtet sich, die personenbezogenen Daten nur für den/die Zweck(e), für den Zeitraum
und unter den Bedingungen zu verarbeiten, die in diesen Regeln festgelegt sind.

11. Audit, einschließlich Inspektion

11.1 Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um
die Einhaltung von Artikel 28 der Datenschutzverordnung und dieser
Regeln nachzuweisen, und gestattet Audits, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen
oder einen anderen von dem für die Verarbeitung Verantwortlichen beauftragten Prüfer und trägt zu diesen bei.


11.2 Die Verfahren für die Audits des für die Verarbeitung Verantwortlichen, einschließlich der Inspektionen, beim Auftragsverarbeiter und bei
Unterauftragsverarbeitern sind in den Anhängen C.7. und C.8. beschrieben.


11.3 Der Auftragsverarbeiter ist verpflichtet, Aufsichtsbehörden, die nach geltendem Recht Zugang zu den Einrichtungen des
für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters haben, oder im Namen der Aufsichtsbehörde handelnden Vertretern
nach ordnungsgemäßer Identifizierung Zugang zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren.

12. Einigung der Parteien über sonstige Fragen

12.1 Die Parteien können im Zusammenhang mit der Dienstleistung weitere Bestimmungen über die
Verarbeitung personenbezogener Daten, wie z.B. die Haftung, vereinbaren, solange diese anderen Bestimmungen
nicht direkt oder indirekt im Widerspruch zu den Bestimmungen stehen oder die Grundrechte
und Freiheiten der betroffenen Person, wie sie sich aus der DSGVO ergeben, beeinträchtigen.

13. Inkrafttreten und Beendigung

13.1 Die Bestimmungen treten an dem Tag in Kraft, an dem sie von beiden Parteien unterzeichnet werden.


13.2 Jede Partei kann verlangen, dass die Bestimmungen neu ausgehandelt werden, wenn Gesetzesänderungen oder
Unangemessenheit der Bestimmungen dies erfordern.


13.3 Die Bestimmungen bleiben für die Dauer der Dienstleistung im Zusammenhang mit der
Verarbeitung personenbezogener Daten in Kraft. Während dieses Zeitraums können die Bedingungen nicht gekündigt
werden, es sei denn, die Parteien vereinbaren andere Bestimmungen für die Erbringung der Dienstleistung der Verarbeitung personenbezogener Daten
.


13.4 Wenn die Erbringung der Dienstleistungen zur Verarbeitung personenbezogener Daten beendet wird und die personenbezogenen
Daten gemäß Klausel 11.1 und
Anhang C.4 gelöscht oder an den für die Verarbeitung Verantwortlichen zurückgegeben wurden, können die Klauseln von beiden Parteien durch schriftliche Mitteilung gekündigt werden.

14. Unterschrift

Im Namen des für die Verarbeitung Verantwortlichen:
Name: [Geben Sie Ihren Namen ein]
Position: [Geben Sie Ihre Position an]
Telefon: [Ihre Telefonnummer einfügen]
E-Mail: [Geben Sie Ihre E-Mail-Adresse ein]
Unterschrift:


Im Namen des Datenverarbeiters:
Name: Runi Hammer
Funktion: CEO
Telefon: (+45) 42 80 81 00
E-Mail runi@meedio.me
Unterschrift:

Kontakte beim für die Verarbeitung Verantwortlichen und beim Auftragsverarbeiter
Die Parteien können einander über die unten aufgeführten Kontaktpersonen kontaktieren.
Die Parteien sind verpflichtet, sich gegenseitig über Änderungen bei den Kontaktpersonen zu informieren.
Name: [Einfügen]
Position: [Einfügen]
Telefon: [Einfügen]
E-Mail: [Einfügen]


Name: Runi Hammer
Position: CEO
Telefon: (+45) 42 80 81 00
E-Mail: runi@meedio.me

ANHANG A:
INFORMATIONEN ZUR VERARBEITUNG

A.1 Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen

(a) Der Zweck der Verarbeitung besteht darin, dem für die Verarbeitung Verantwortlichen und seinen Nutzern den Dienst
vertragsgemäß zur Verfügung zu stellen.


(b) Meedio ist eine Videokommunikations- und Messaging-Plattform, die als eigenständige Lösung
oder integriert in Software von Drittanbietern genutzt werden kann und es den Nutzern der Software von Drittanbietern
(z. B. Mitarbeitern einer Organisation) ermöglicht, Videokonferenzen, -konsultationen oder
Messaging mit anderen Mitarbeitern, Bürgern, Patienten usw. direkt in der Software von Drittanbietern
oder in den Anwendungen von Meedio (einschließlich Webbrowsern) durchzuführen.


(c) Als eigenständige Lösung meldet sich ein Meedio-Nutzer über eine Website (oder
mobile Anwendung oder Desktop-Client) bei seinem Konto an. Hier kann der Nutzer auf verschiedene
Meedio-Dienste zugreifen, zum Beispiel Meetings, Messenger, Konsultationen, Räume, Boards und
Warteschlangen. Videokonferenzen werden erstellt, indem ein Link (dynamisch oder stationär) erstellt und
an einen oder mehrere Teilnehmer gesendet wird. Die Teilnehmer können auf den Link klicken und an einem
Videomeeting teilnehmen. Die Meedio-Plattform öffnet sich im Browser des Computers und/oder des
Mobiltelefons der Nutzer. Zunächst sehen die Nutzer einen Bildschirm vor dem Meeting, auf dem sie
Video und Audio ein- und ausschalten, ihren Namen eingeben und ihren eigenen Video-Feed sehen können. Nachdem die Nutzer von
auf "join meeting" geklickt haben, werden sie vom Pre-Meeting-Bildschirm zum eigentlichen
Video-Meeting weitergeleitet.


(d) Bei der Integration in Software von Drittanbietern funktioniert Meedio auf die gleiche Weise wie die eigenständige Lösung
, ist aber in die Software des Drittanbieters eingebettet. Dies kann zum Beispiel
über die öffentliche API von Meedio erfolgen.


(e) Die Videokonferenzen sind Ende-zu-Ende-verschlüsselt und laufen auf Meedios eigener WebRTC-Cloud
Infrastruktur. In der Videokonferenz können die Teilnehmer auf eine Vielzahl von Funktionen zugreifen, die
zum Beispiel Messaging, Einladen von Nutzern, Stummschalten, Ausschalten des Videos und mehr sein können. Es ist
möglich, mehrere dieser Funktionen ein- und wieder auszuschalten, je nach der Anpassung
der jeweiligen Lösung.


(f) Der Messenger erfordert eine Anmeldung von allen Benutzern. Er kann als eigenständige Anwendung oder integriert in
genutzt werden. Über den Messenger können Chats ausgetauscht, Gruppen erstellt und Dateien
geteilt werden. Alle Nachrichten sind Ende-zu-Ende verschlüsselt.


(g) Die Meedio-Sprechstunde für Mediziner und der Telematik-Infrastruktur
Messenger für den deutschen Gesundheitsmarkt sind spezielle Anwendungsfälle der Meedio-Produkte
.

A.2 Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen
bezieht sich hauptsächlich auf (Art der Verarbeitung)

(a) Im Zusammenhang mit der Bereitstellung des Dienstes werden Nutzerdaten verwendet:
Zur Einrichtung von Videokonferenzen
Zur Erstellung von Konten und Bereitstellung von Anmeldedaten
Zur Bereitstellung und Wartung unseres Dienstes
Zur Benachrichtigung von Nutzern über Änderungen an unserem Dienst
Zur Bereitstellung von Kundensupport
Zur Sammlung von Analysen oder wertvollen Informationen, damit wir unseren Dienst verbessern können
Zur Verfolgung von Aktivitäten und Überwachung der Nutzung unseres Dienstes
Zur Erkennung, Verhinderung und Behebung technischer Probleme
Zur Erkennung, Verhinderung und Behebung von betrügerischer Nutzung und anderen illegalen Aktivitäten

A.3 Die Verarbeitung umfasst die folgenden Arten personenbezogener Daten der betroffenen Personen

(a) Dies sind allgemeine personenbezogene Daten, die unter Artikel 6 der Verordnung fallen:
Name
E-Mail
IP-Adresse
Cookies
Nutzungsdaten

A.4 Die Verarbeitung betrifft folgende Kategorien von betroffenen Personen

(a) Benutzer des Kunden

A.5 Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen kann
nach dem Inkrafttreten dieser Regeln beginnen. Die Dauer der Verarbeitung ist wie folgt

(a) Die Verarbeitung wird fortgesetzt, bis die Zusammenarbeit beendet wird oder der Nutzer unter
die Löschung beantragt.

ANHANG B: UNTERAUFTRAGSVERARBEITER

B.1. Zugelassene Unterauftragsverarbeiter

(a) Zum Zeitpunkt des Inkrafttretens der Regelung hat der für die Verarbeitung Verantwortliche den Einsatz der folgenden
Unterauftragsverarbeiter genehmigt:
NAME ADRESSE BESCHREIBUNG DER VERARBEITUNG
Hetzner
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen, Deutschland
Tel.: +49 (0)9831 505-0
E-Mail: info@hetzner.com
Data Center Park Nürnberg, Deutschland,
Data Center Park, Falkenstein,
Deutschland
- Rechenzentrum
- Benutzerdaten
- Protokolle
- Verbindungsaufbau
SendInBlue - Zwei-Faktor-Authentifizierung


(b) Bei Inkrafttreten der Vorschriften hat der für die Verarbeitung Verantwortliche den Einsatz der oben
genannten Unterauftragsverarbeiter für die beschriebene Verarbeitungstätigkeit genehmigt.


(c) Der Auftragsverarbeiter darf ohne die schriftliche Zustimmung des für die Verarbeitung Verantwortlichen weder einen
Unterauftragsverarbeiter für eine andere als die beschriebene und vereinbarte Verarbeitung einsetzen noch einen anderen
Unterauftragsverarbeiter für diese Verarbeitung einsetzen.

ANHANG C: ANWEISUNGEN FÜR DIE
VERARBEITUNG PERSONENBEZOGENER DATEN

C.1 Gegenstand der Verarbeitung/des Auftrags

(a) Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen erfolgt unter
durch den Auftragsverarbeiter wie folgt:


(b) Bereitstellung eines Demosystems, das die Nutzer für Demositzungen nutzen können, und Speicherung der Nutzer, die
einrichten möchten.

C.2 Sicherheit der Verarbeitung

(a) Das Sicherheitsniveau muss die große Menge an Daten widerspiegeln, die unter Artikel 6 der Verordnung
fallen, zu denen auch "allgemeine Daten" gehören; daher sollte ein mittleres Sicherheitsniveau festgelegt werden
.


(b) Der Datenverarbeiter ist dann berechtigt und verpflichtet, über die technischen und
organisatorischen Sicherheitsmaßnahmen zu entscheiden, die zu ergreifen sind, um das
erforderliche (und vereinbarte) Sicherheitsniveau herzustellen.


(c) Der Auftragsverarbeiter muss jedoch in jedem Fall und mindestens die folgenden, mit dem für die Verarbeitung Verantwortlichen vereinbarten
Maßnahmen umsetzen:
Alle Daten sind durch ein Passwort mit Zwei-Faktor-Autorisierung gesichert. Darüber hinaus werden alle Informationen
verschlüsselt, einschließlich der über gesicherte Verbindungen übermittelten Daten.
Alle Anwendungen werden nach den Grundsätzen des "Privacy by Design" entwickelt und alle
Unterauftragnehmer werden nach den besten Datenschutzpraktiken ausgewählt.

C.3 Unterstützung des für die Verarbeitung Verantwortlichen

(a) Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen im Rahmen seiner Möglichkeiten - in dem nachstehend beschriebenen Umfang und Ausmaß -
gemäß den Ziffern 9.1 und 9.2, indem er
folgende technische und organisatorische Maßnahmen ergreift:
Der für die Verarbeitung Verantwortliche kann sich jederzeit an den Auftragsverarbeiter wenden, der bei der Erfüllung der Pflichten des für die Verarbeitung Verantwortlichen
behilflich ist oder in der Anwendung
auf die Möglichkeit hinweist, die Aufgabe selbst auszuführen, was unentgeltlich erfolgt.

C.4 Aufbewahrungsfrist/letzte Routine

a) Die Daten werden aufbewahrt, bis der für die Verarbeitung Verantwortliche die Löschung verlangt und das System eine automatische Löschfunktion (
) anbietet.

C.5 Ort der Verarbeitung

(a) Die Verarbeitung der unter die Bestimmungen fallenden personenbezogenen Daten darf ohne
vorherige schriftliche Zustimmung des für die Verarbeitung Verantwortlichen nur an folgenden Orten erfolgen:
Hetzner Data Center Park Nürnberg, Deutschland,
Hetzner Data Center Park, Falkenstein, Deutschland

C.6 Anweisung zur Übermittlung personenbezogener Daten an Drittländer

(a) Der für die Verarbeitung Verantwortliche genehmigt die nachstehend beschriebene Verarbeitung in Drittländern:
Es wird keine Datenverarbeitung in Drittländern durchgeführt.

C.7 Verfahren für Audits des für die Verarbeitung Verantwortlichen, einschließlich Inspektionen, der Verarbeitung personenbezogener
Daten, die dem Auftragsverarbeiter anvertraut wurden

(a) Der Auftragsverarbeiter legt auf Verlangen des für die Verarbeitung Verantwortlichen jährlich eine Selbstauskunft
über die Einhaltung der DSGVO, der Datenschutzbestimmungen
anderer EU-Rechtsvorschriften oder des nationalen Rechts der Mitgliedstaaten und dieser Vorschriften durch den Auftragsverarbeiter vor.


(b) Auf der Grundlage der Ergebnisse der Erklärungen ist der für die Verarbeitung Verantwortliche berechtigt, die
Durchführung zusätzlicher Maßnahmen zu verlangen, um die Einhaltung der DSGVO, der
Datenschutzbestimmungen anderer Rechtsvorschriften der Union oder des nationalen Rechts der Mitgliedstaaten und
dieser Vorschriften zu gewährleisten. Der Auftragsverarbeiter hat das Recht, den Zeitaufwand und die entstandenen Kosten in Rechnung zu stellen.


c) Darüber hinaus hat der für die Verarbeitung Verantwortliche oder ein Vertreter des für die Verarbeitung Verantwortlichen das Recht,
die Räumlichkeiten, von denen aus der Auftragsverarbeiter
die Verarbeitung personenbezogener Daten vornimmt, einschließlich der physischen Räumlichkeiten und Systeme
, die für die oder im Zusammenhang mit der Verarbeitung genutzt werden, zu inspizieren, auch physisch. Solche Inspektionen können
immer dann durchgeführt werden, wenn der für die Verarbeitung Verantwortliche dies für notwendig erachtet.


(d) Alle Kosten, die dem für die Verarbeitung Verantwortlichen bei der Durchführung einer physischen Inspektion entstehen, werden von dem für die Verarbeitung Verantwortlichen
getragen. Der Auftragsverarbeiter hat das Recht, den Zeitaufwand und die Kosten
für die Durchführung einer Kontrolle in Rechnung zu stellen.

C.8 Verfahren für Audits, einschließlich Inspektionen, der Verarbeitung personenbezogener Daten
, die Unterauftragsverarbeitern anvertraut werden

(a) Der Auftragsverarbeiter kontrolliert die Unterauftragsverarbeiter regelmäßig anhand von anerkannten
Erklärungen und legt auf Verlangen des für die Verarbeitung Verantwortlichen Erklärungen der
aktuellen Unterauftragsverarbeiter über die Einhaltung der DSGVO, der Datenschutzbestimmungen
anderer EU-Rechtsvorschriften oder der nationalen Rechtsvorschriften der Mitgliedstaaten und dieser Vorschriften vor. Dies erfolgt auf
Kosten des Auftragsverarbeiters.


(b) Auf der Grundlage der Ergebnisse der Erklärungen ist der Datenverarbeiter berechtigt,
die Durchführung weiterer Maßnahmen zu verlangen, um die Einhaltung der Datenschutz-Grundverordnung, der
Datenschutzbestimmungen anderer Rechtsvorschriften der Union oder des nationalen Rechts der Mitgliedstaaten und dieser
Regeln sicherzustellen.


(c) Darüber hinaus hat der Auftragsverarbeiter oder ein Vertreter des Auftragsverarbeiters das Recht,
die Räumlichkeiten, von denen aus der Unterauftragsverarbeiter
die Verarbeitung personenbezogener Daten vornimmt, einschließlich der physischen Räumlichkeiten und
der für die oder im Zusammenhang mit der Verarbeitung verwendeten Systeme, zu inspizieren, auch physisch. Solche Inspektionen können
immer dann durchgeführt werden, wenn der Auftragsverarbeiter (oder der für die Verarbeitung Verantwortliche) dies für notwendig erachtet.


(d) Die Dokumentation solcher Inspektionen wird dem für die Verarbeitung Verantwortlichen zur Information
unverzüglich zur Verfügung gestellt. Der für die Verarbeitung Verantwortliche kann den Rahmen und/oder die Methodik der Inspektion
anfechten und in diesem Fall eine neue Inspektion in einem
anderen Rahmen und/oder mit einer anderen Methodik verlangen.


(e) Der für die Verarbeitung Verantwortliche kann - falls er dies für erforderlich hält - eine
physische Kontrolle des Unterauftragsverarbeiters veranlassen und daran teilnehmen. Dies kann der Fall sein, wenn der für die Verarbeitung Verantwortliche
der Ansicht ist, dass die Inspektion des Unterauftragsverarbeiters durch den Auftragsverarbeiter dem
für die Verarbeitung Verantwortlichen keine hinreichende Gewähr dafür bietet, dass die Verarbeitung durch den Unterauftragsverarbeiter
im Einklang mit der Datenschutzverordnung, den Datenschutzbestimmungen
anderer nationaler Rechtsvorschriften der EU oder der Mitgliedstaaten und diesen Regeln erfolgt.


(f) Die Teilnahme des für die Verarbeitung Verantwortlichen an einer Inspektion des Unterauftragsverarbeiters berührt nicht
die Tatsache, dass der Auftragsverarbeiter in vollem Umfang dafür verantwortlich bleibt, dass der Unterauftragsverarbeiter
die Datenschutz-Grundverordnung, andere EU- oder nationale Datenschutzvorschriften und diese
Regeln einhält.