Try For Free

Datenverarbeitungsvertrag

Zuletzt aktualisiert: 27.10.2025

 

1. Präambel

Dieser Zusatz zur Datenverarbeitung („DPA“) ist Bestandteil der Dienstleistungsvereinbarung zwischen nuwacom (oder „Auftragsverarbeiter“) und dem Kunden (oder „Verantwortlicher“).

Bei der Erbringung der Dienstleistungen im Rahmen der Vereinbarung kann nuwacom personenbezogene Daten im Auftrag des Kunden in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeiten.

Im Falle eines Widerspruchs zwischen dieser DPA und der Vereinbarung hat diese DPA Vorrang.

 

2. Definitionen

„Anwendbares Datenschutzrecht“ bezieht sich auf (i) die Europäische Datenschutz-Grundverordnung 2016/679 (DSGVO) und alle anwendbaren nationalen Datenschutzgesetze, insbesondere das luxemburgische Gesetz vom 1. August 2018 über die Organisation der Nationalen Kommission für den Datenschutz und die Umsetzung der Verordnung (EU) 2016/679,  (ii) das britische Datenschutzgesetz von 2018 („UK GDPR“) oder (iii) das Schweizer Bundesgesetz über den Datenschutz von 1992 („Swiss DPA“).
„Autorisierte Unterauftragsverarbeiter“ bezeichnet Verarbeiter, die vom Verarbeiter zur Unterstützung bei der Erfüllung seiner Verpflichtungen beauftragt werden. Zu den Unterauftragsverarbeitern können auch Dritte oder verbundene Unternehmen des Auftragsverarbeiters gehören.

„Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die vom (Unter-)Auftragsverarbeiter übermittelt, gespeichert oder verarbeitet werden.

„Anweisungen“ bezeichnet die schriftlichen Anweisungen des Verantwortlichen an den Auftragsverarbeiter zur Verarbeitung personenbezogener Daten, in denen festgelegt ist, wie personenbezogene Daten zu verarbeiten sind, einschließlich der Übermittlung, der Art der Verarbeitung, der Dauer, des Zwecks, der Art der personenbezogenen Daten und der Kategorien der betroffenen Personen. Die Anweisungen müssen den geltenden Datenschutzgesetzen, insbesondere der DSGVO, entsprechen und schriftlich oder in einem dokumentierten elektronischen Format erteilt werden. Änderungen oder Ergänzungen dieser Anweisungen bedürfen ebenfalls einer dokumentierten Form.

„Sensible Daten“ sind personenbezogene Daten, die durch besondere Rechtsvorschriften geschützt sind und einer besonderen Behandlung bedürfen, wie beispielsweise „besondere Datenkategorien“, „sensible Daten“ oder andere im Wesentlichen ähnliche Begriffe gemäß den geltenden Datenschutzgesetzen, darunter unter anderem: biometrische Daten oder Gesundheitsdaten; Informationen, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten.

„Servicevereinbarung“ bezeichnet alle relevanten Vereinbarungen und/oder Bedingungen, die für die Parteien im Zusammenhang mit den nuwacom-Diensten gelten, einschließlich, soweit zutreffend, der nuwacom-Nutzungsbedingungen, des Rahmenvertrags über Dienstleistungen, des Serviceplans und/oder des Arbeitsauftrags, je nachdem, welche zwischen den Parteien gelten.

„Aufsichtsbehörde“ bezeichnet eine unabhängige Behörde, die für die Überwachung der Anwendung des Datenschutzrechts zuständig ist.

 

Verantwortlicher, betroffene Person, Auftragsverarbeiter und Verarbeitung sind im Sinne der DSGVO zu verstehen.

 

3. Anwendungsbereich

    1. Die Vereinbarung gilt für die Erhebung, Verarbeitung und Löschung aller personenbezogenen Daten, die Gegenstand der Dienstleistungsvereinbarung sind oder im Rahmen ihrer Umsetzung anfallen oder dem Auftragsverarbeiter bekannt werden.
    2. Der Gegenstand und die Dauer der Datenverarbeitung sowie der Umfang, die Art und der Zweck der beabsichtigten Datenverarbeitung werden durch den Dienstleistungsvertrag und Anhang 1 festgelegt.
    3. Sofern vom Kunden aktiviert, können die Dienste Besprechungen über den nuwacom-Agenten aufzeichnen, transkribieren und zusammenfassen. Aufzeichnungen, Transkripte und Zusammenfassungen von Besprechungen stellen Kundendaten dar und werden von nuwacom ausschließlich im Auftrag des Kunden zum Zweck der Erstellung von Besprechungszusammenfassungen, Nachverfolgungen und damit verbundenen Analysen verarbeitet. Der Kunde bestimmt, welche Besprechungen aufgezeichnet werden, und ist allein verantwortlich für die Festlegung der rechtlichen Grundlage für solche Aufzeichnungen, die Einholung erforderlicher Mitteilungen oder Einwilligungen von Teilnehmern und die Konfiguration, an welchen Besprechungen der nuwacom-Agent teilnehmen darf. Wenn vom Kunden aktiviert, können die Dienste Audio- und Videodaten von Besprechungen aufzeichnen und vorübergehend oder dauerhaft speichern, um Funktionen wie Transkription, Zusammenfassung, Wiedergabe und damit verbundene Notizfunktionen zu ermöglichen. nuwacom ergreift geeignete technische und organisatorische Maßnahmen zum Schutz der Vertraulichkeit und Integrität solcher Aufzeichnungen, einschließlich Verschlüsselung während der Übertragung und Speicherung, Zugriffskontrolle und sicherer Löschung.

4. Verantwortung und Befugnis zur Erteilung von Anweisungen

    1. Die Parteien stellen die Einhaltung der geltenden Datenschutzgesetze sicher. Die Parteien verstehen und vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten der Kunde der Verantwortliche und der Auftragnehmer der Auftragsverarbeiter ist. Der Verantwortliche kann jederzeit die Offenlegung, Berichtigung, Anpassung, Löschung oder Einschränkung der Verarbeitung der Daten verlangen.
    2. Um den Schutz der Rechte der betroffenen Personen zu gewährleisten, leitet der Auftragsverarbeiter Anfragen an den Verantwortlichen weiter und leistet angemessene und technisch machbare Hilfe.
    3. Übersteigt diese Unterstützung den üblichen und angemessenen Aufwand, kann der Auftragsverarbeiter dem Verantwortlichen die entstandenen Kosten in Rechnung stellen.
    4. Zur Vermeidung von Zweifeln: Die Anweisungen des Kunden zur Verarbeitung personenbezogener Daten müssen den geltenden Datenschutzgesetzen entsprechen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten sowie für die Art und Weise, wie er diese personenbezogenen Daten erworben hat. Soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist, muss der Kunde die Funktionen zur Einwilligungsverwaltung der Dienste, einschließlich der Funktion zur doppelten Einwilligung, konfigurieren und nutzen, um die rechtmäßige Aufzeichnung, Verarbeitung und Nutzung von Audio- oder anderen Kommunikationsdaten sicherzustellen. Ohne Einschränkung stellt der Kunde den betroffenen Personen alle erforderlichen Informationen zur Verfügung, einschließlich einer Beschreibung der Dienste, und holt alle erforderlichen Genehmigungen und Einwilligungen oder andere geltende rechtmäßige Gründe für die Verarbeitung personenbezogener Daten gemäß dieser DPA und/oder den geltenden Datenschutzgesetzen ein und hält nuwacom schadlos gegenüber allen Ansprüchen, Schäden oder Geldstrafen, die sich aus der Nichtbeschaffung oder Verwendung der personenbezogenen Daten ohne rechtmäßige Einwilligung oder legitimen Geschäftszweck oder unter Verstoß gegen geltende Datenschutzgesetze ergeben. nuwacom wird den Kunden informieren, wenn nach Ansicht von nuwacom eine Anweisung gegen eine Bestimmung der geltenden Datenschutzgesetze verstößt, und ist nicht verpflichtet, dieser Anweisung nachzukommen, bis die Angelegenheit zwischen den Parteien in gutem Glauben geklärt ist.
    5. Der Auftragsverarbeiter darf Daten nur im Rahmen der Weisungen des Verantwortlichen verarbeiten, es sei denn, das Recht der Union oder des Mitgliedsstaats, dem der Auftragsverarbeiter unterliegt, verpflichtet den Auftragsverarbeiter zu etwas anderem (z. B. Ermittlungen durch Strafverfolgungs- oder Staatssicherheitsbehörden); In diesem Fall muss der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese gesetzlichen Anforderungen informieren, es sei denn, das betreffende Recht verbietet eine solche Benachrichtigung aus Gründen eines wichtigen öffentlichen Interesses (Art. 28 Abs. 3 Nr. 2 Buchstabe a DSGVO).
    6. Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich informieren, wenn er der Ansicht ist, dass eine Anweisung gegen Datenschutzbestimmungen verstößt.
    7. Der Auftragsverarbeiter darf die Daten nicht für andere Zwecke verwenden und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate dürfen nicht ohne Wissen des Verantwortlichen erstellt werden, außer für notwendige Sicherungskopien.
    8. Sofern nicht anders genehmigt, erfolgt die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen ausschließlich innerhalb des Hoheitsgebiets der Europäischen Union. Eine Verarbeitung in einem Land außerhalb des in Satz 1 genannten Gebiets ist nur zulässig, wenn sichergestellt ist, dass das durch die DSGVO garantierte Schutzniveau unter Berücksichtigung der Anforderungen von Kapitel V der DSGVO nicht beeinträchtigt wird.
    9. Der Auftragsverarbeiter stellt sicher, dass natürliche Personen, die seiner Aufsicht unterstehen und Zugang zu Daten haben, diese Daten nur auf Anweisung des Verantwortlichen verarbeiten. Der Verantwortliche erteilt dem Auftragsverarbeiter die Zustimmung zur Verarbeitung der Daten außerhalb der Räumlichkeiten des Auftragsverarbeiters (z. B. Homeoffice, mobiles Arbeiten) auf Grundlage der unter http://trust.nuwacom.ai  festgelegten Verarbeitungssituation.

 

5. Einhaltung der zwingenden gesetzlichen Verpflichtungen durch den Auftragsverarbeiter

    1. Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen, und legt dem Verantwortlichen auf Anfrage einen entsprechenden Nachweis vor. Dies umfasst auch die Informationen über die Verpflichtungen, Anweisungen zu befolgen und den Zweck einzuhalten, für den die Daten in dieser Datenverarbeitungsbeziehung erhoben wurden.
    2. Der Auftragsverarbeiter stellt dem Verantwortlichen die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Grundsätze der ordnungsgemäßen Datenverarbeitung nachzuweisen, einschließlich der Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Diese Informationen können durch Zertifizierungen, Konformitätsberichte oder andere angemessene Unterlagen bereitgestellt werden, die unter http://trust.nuwacom.ai verfügbar sind.
    3. Der Auftragsverarbeiter benennt einen Datenschutzbeauftragten, der die entsprechenden Aufgaben gemäß den gesetzlichen Bestimmungen wahrnimmt. Die Kontaktdaten des Datenschutzbeauftragten lauten heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu.

6. Sicherstellung der technischen und organisatorischen Maßnahmen

    1. Die Parteien vereinbaren, dass der Auftragsverarbeiter die im Trust Center unter http://trust.nuwacom.ai und in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen umsetzt.
    2. Diese Maßnahmen gelten als integraler Bestandteil dieser Vereinbarung und können vom Auftragsverarbeiter von Zeit zu Zeit aktualisiert werden, um dem technischen Fortschritt Rechnung zu tragen, sofern diese Aktualisierungen das allgemeine Sicherheitsniveau nicht beeinträchtigen.
    3. Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Der Verarbeiter kann alternative angemessene Maßnahmen ergreifen, sofern diese Aktualisierungen das allgemeine Sicherheitsniveau der Dienste nicht beeinträchtigen.
    4. Der Verarbeiter kann von Zeit zu Zeit externe Prüfer einsetzen, um die Angemessenheit seiner Sicherheitsmaßnahmen zur Verarbeitung personenbezogener Daten zu überprüfen (jeweils eine „Prüfung“). Die Audits werden mindestens einmal jährlich auf Kosten des Verarbeiters von einem unabhängigen, vom Verarbeiter nach eigenem Ermessen ausgewählten Wirtschaftsprüfer durchgeführt, der einen vertraulichen Prüfungsbericht (ein „Prüfungsbericht“) vorlegt. Auf schriftliche Anfrage des Verantwortlichen (maximal einmal pro Jahr) stellt der Auftragsverarbeiter dem Verantwortlichen eine Kopie des aktuellen Auditberichts zur Verfügung. Der Verantwortliche stimmt zu, dass der Prüfbericht alle durch die geltenden Datenschutzgesetze gewährten Prüfungsrechte erfüllt. Wenn ein Auditbericht nicht die erforderlichen Informationen enthält oder der Verantwortliche auf ein Audit einer Aufsichtsbehörde reagieren muss, für das der Auditbericht nicht ausreicht, muss der Verantwortliche den Auftragsverarbeiter mindestens zehn (10) Werktage im Voraus benachrichtigen, und die Parteien müssen einen gemeinsam vereinbarten Auditplan erstellen, der Folgendes umfasst: (a) die Ernennung eines unabhängigen externen Auditors; (b) die erforderliche Zugangszeit während der Geschäftszeiten; (c) die Abrechnung gegenüber dem Verantwortlichen zu den dann geltenden Sätzen des Auftragsverarbeiters; (d) die Durchführung höchstens einmal jährlich; und (f) die Beschränkung der Ergebnisse auf Daten, die für den Verantwortlichen relevant sind. Alle gemäß dieser Klausel offengelegten Informationen sind als vertrauliche Informationen zu behandeln. Die Übermittlung personenbezogener Daten in ein Drittland (außerhalb des EWR) kann unter den in Artikel 44 ff. der DSGVO festgelegten Bedingungen erfolgen.

 

7. Übermittlung personenbezogener Daten

 

  1. Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen verarbeiten, einschließlich in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dies ist gemäß den geltenden Datenschutzgesetzen, denen der Auftragsverarbeiter unterliegt, erforderlich. Für die Zwecke dieser Vereinbarung dient diese DPA als eine Reihe von dokumentierten Anweisungen des Verantwortlichen an den Auftragsverarbeiter.
  2. Der Verantwortliche ermächtigt den Auftragsverarbeiter, personenbezogene Daten an seine autorisierten Unterauftragsverarbeiter zu übermitteln, einschließlich Übermittlungen in Länder außerhalb des Landes des Verantwortlichen.
  3. Vor der Übermittlung personenbezogener Daten in ein anderes Land als das, in dem sie ursprünglich erhoben wurden, ergreift der Datenverarbeiter angemessene Maßnahmen zur Einhaltung der geltenden Datenschutzgesetze, einschließlich der Umsetzung geeigneter Schutzmaßnahmen, sofern erforderlich.
  4. Eingeschränkte Übermittlungen außerhalb des EWR und der Schweiz: Ist der Kunde für die Verarbeitung der durch die DSGVO geschützten personenbezogenen Daten verantwortlich, gilt (i) Modul 2 der EU-Standardvertragsklauseln zwischen dem Kunden als „Datenexporteur” und nuwacom als „Datenimporteur” auf folgender Grundlage: (ii) In Klausel 7 gilt die optionale Andockklausel. (iii) In Klausel 9 gilt Option 2, und die Frist für die vorherige Ankündigung von Änderungen des Unterauftragsverarbeiters beträgt fünfzehn (15) Tage. (iv) In Klausel 11 findet die optionale Formulierung keine Anwendung. (v) In Klausel 17 findet Option 1 Anwendung, und die EU-SCC unterliegen luxemburgischem Recht. (vi) In Klausel 18(b) sind Streitigkeiten vor den Gerichten Luxemburgs zu klären. (vii) Für Anhang 1 sind die Adressen, Kontaktdaten usw. der Parteien in den Definitionen der Parteien in dieser DPA beschrieben; die benannte Kontaktperson für den Auftragsverarbeiter ist in dieser DPA beschrieben; die Beschreibung der Übermittlung ist in Anhang 1 dieser DPA enthalten, die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU-SCCs definiert; (viii) Anhang 2 der EU-Standardvertragsklauseln gilt als Bestandteil von Anhang 2 dieser DPA. (xi) Anhang 3 der EU-Standardvertragsklauseln enthält die Liste der autorisierten Unterauftragsverarbeiter. Ist der Kunde ein Verantwortlicher für personenbezogene Daten, die durch das Schweizer Datenschutzgesetz geschützt sind, gilt Modul 2 der EU-SCC zwischen dem Kunden als „Datenexporteur” und nuwacom als „Datenimporteur” auf der vorstehenden Grundlage und zusätzlich: (i) In Klausel 13 ist die zuständige Aufsichtsbehörde die Eidgenössische Datenschutz- und Informationskommission. (ii) darf der Begriff „Mitgliedsstaat“ nicht so ausgelegt werden, dass betroffene Personen in der Schweiz davon ausgeschlossen sind, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort gemäß Klausel 18(c) durchzusetzen, (iii) alle Verweise auf die DSGVO in diesem Nachtrag gelten auch als Verweise auf das Schweizer Datenschutzgesetz, und (iv) die EU-SCC schützen auch die personenbezogenen Daten juristischer Personen, bis ein überarbeitetes Schweizer Datenschutzgesetz in Kraft tritt.
  5. Eingeschränkte Überweisungen außerhalb des Vereinigten Königreichs:
    1. In Bezug auf personenbezogene Daten, die der britischen DSGVO unterliegen, vereinbaren die Parteien (i) sich auf die geltenden EU-SCCs zu stützen, wie sie in Abschnitt 7.4 ausgefüllt und durch den britischen Nachtrag geändert wurden, (ii) die Angaben gelten als gemäß Abschnitt 7.4 ausgefüllt, (iii) die britischen SCCs werden durch diesen Verweis aufgenommen und bilden einen integralen Bestandteil dieser DPA, und dass (iv) der Datenverantwortliche als „Datenexporteur” und der Datenverarbeiter als „Datenimporteur” gelten.
    2. Die geltenden EU-SCCS werden wie folgt geändert (i) Tabelle 1 des britischen Nachtrags ist wie folgt auszufüllen: „Startdatum: Wie in der Dienstleistungsvereinbarung festgelegt, Angaben zu den Parteien: wie in dieser DPA und in der Dienstleistungsvereinbarung festgelegt; und Hauptansprechpartner: Siehe diese DPA und/oder die Dienstleistungsvereinbarung”; (ii) Tabelle 2 des britischen Nachtrags bezieht sich auf die EU-SCC, wie sie in dieser DPA definiert sind, mit den in Abschnitt 7.4 beschriebenen Details und geltenden Klauseln; (iii) Tabelle 3 des britischen Nachtrags ist wie folgt auszufüllen: „Die Anhangsinformationen sind die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-SCCs (mit Ausnahme der Parteien) bereitgestellt werden müssen und die für diesen Nachtrag in Anhang 1A: Liste der Parteien: wie in der DPA definiert, Anhang 1B: Beschreibung der Übermittlung: wie in Anhang 1 und anderen Abschnitten der DPA dargelegt, Anhang II: Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit: wie in Anhang 2 der DPA dargelegt, Anhang III: Liste der Unterauftragsverarbeiter: Autorisierte Unterauftragsverarbeiter, und (iv) in Tabelle 4 des britischen Nachtrags kann jede Partei den britischen Nachtrag gemäß seinen Bestimmungen kündigen, und das jeweilige Kästchen für jede Partei gilt als angekreuzt.
    3. Verpflichtende Klauseln: Die verpflichtenden Klauseln des genehmigten Nachtrags, d. h. die Vorlage Nachtrag B.1.0, die von der ICO herausgegeben und dem Parlament gemäß § 119A der britischen DSGVO am 2. Februar 2022 vorgelegt wurde, in der gemäß Abschnitt 18 dieser verpflichtenden Klauseln überarbeiteten Fassung.

     

     

    8. Meldung von Verstößen durch den Auftragsverarbeiter

    Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich benachrichtigen, sobald er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat. Dies gilt insbesondere für die Meldepflicht gemäß Art. 33 Abs. 2 DSGVO sowie für die entsprechenden Pflichten des Verantwortlichen gemäß Art. 33 und Art. 34 DSGVO. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 33 und 34 DSGVO bei Bedarf in angemessener Weise zu unterstützen. Der Auftragsverarbeiter darf Mitteilungen gemäß Art. 33 oder 34 DSGVO nur im Auftrag des Verantwortlichen nach vorheriger Weisung vornehmen es sei denn, dies ist gesetzlich vorgeschrieben..

    9. Löschung und Rückgabe von Daten

    Die zur Verfügung gestellten Datenträger und Datensätze bleiben Eigentum des Verantwortlichen.

    1. 30 Tage nach Beendigung oder Ablauf des Dienstleistungsvertrags löscht der Auftragsverarbeiter alle Kundendaten, Dokumente, Verarbeitungs- und Nutzungsergebnisse sowie Datensätze (einschließlich aller Kopien oder Reproduktionen davon), die ihm im Zusammenhang mit dem Vertragsverhältnis in den Besitz gelangt sind, in Übereinstimmung mit den geltenden Datenschutzgesetzen. Ein Löschungsprotokoll kann vom Verantwortlichen schriftlich angefordert werden. Datensätze können über die bereitgestellten Exportschnittstellen an den Verantwortlichen zurückgegeben werden, der die Daten entsprechend sichern kann. Der Verantwortliche stellt sicher, dass die Datensätze vor Ablauf der Aufbewahrungsfrist gegebenenfalls gesichert werden, da aufgrund implementierter automatisierter Löschprozesse ein späterer Zugriff nicht mehr möglich ist. Sicherungskopien (Backups) werden, sofern vorhanden, gemäß den geltenden Datenschutzgesetzen spätestens 90 Tage nach Beendigung des Dienstleistungsvertrags gelöscht.
    2. Der Auftragsverarbeiter kann Unterlagen, die als Nachweis für die ordnungsgemäße und vertragsgemäße Datenverarbeitung dienen, gemäß den geltenden Aufbewahrungsfristen auch über das Ende des Dienstleistungsvertrags hinaus aufbewahren.

    10. Unterauftragsverarbeiter

      1. Der Auftragsverarbeiter kann weitere Auftragsverarbeiter (Unterauftragsverarbeiter) beauftragen. Die grundlegenden Anforderungen für die Rechtmäßigkeit der Verarbeitung bleiben davon unberührt. Die aktuelle Liste der autorisierten Unterauftragsverarbeiter ist unter http://trust.nuwacom.ai verfügbar. Der Verantwortliche stimmt ihrer Einstellung zu. Der Kunde kann innerhalb von fünfzehn (15) Tagen nach Erhalt dieser Mitteilung aus berechtigten Gründen im Zusammenhang mit dem Datenschutz Widerspruch einlegen. Wenn der Kunde Einwände erhebt, werden die Parteien in gutem Glauben Gespräche führen, um die Einwände auszuräumen. Dienstleistungen von Dritten, die die Vertragserfüllung unterstützen, wie beispielsweise Telekommunikationsdienstleistungen, gelten nicht als Unterauftragsleistungen im Sinne dieser Bestimmung. Der Auftragsverarbeiter ist jedoch verpflichtet, angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen und Kontrollmaßnahmen zu ergreifen, um den Schutz und die Sicherheit der Daten des Verantwortlichen auch bei der Inanspruchnahme ausgelagerter Nebendienstleistungen zu gewährleisten.
      2. Wenn der Auftragsverarbeiter einen neuen Unterauftragsverarbeiter beauftragt, muss der Auftragsverarbeiter sicherstellen, dass seine vertraglichen Vereinbarungen mit dem Unterauftragsverarbeiter so gestaltet sind, dass das Datenschutzniveau mindestens dem der Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter entspricht und dass alle vertraglichen und gesetzlichen Anforderungen erfüllt sind. Dies ist besonders wichtig im Hinblick auf die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, um ein zufriedenstellendes Maß an Verarbeitungssicherheit zu gewährleisten.
      3. Informationen zu den Kategorien der vom Auftragsverarbeiter beauftragten Unterauftragsverarbeiter und zur Art ihrer Datenschutzverpflichtungen finden Sie unter http://trust.nuwacom.ai. Diese Informationen stellen das Zugriffsrecht des Verantwortlichen gemäß dieser Vereinbarung dar. Der Auftragsverarbeiter kann auf schriftliche Anfrage zusätzliche Informationen über die Pflichten der Unterauftragsverarbeiter bereitstellen, wenn dies erforderlich ist, um die Einhaltung der geltenden Gesetze nachzuweisen.
      4. Wenn der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommt, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung dieser Verpflichtungen durch den Unterauftragsverarbeiter.

     

    11. Schlussbestimmungen

      1. Diese Vereinbarung kann vom Auftragsverarbeiter von Zeit zu Zeit aktualisiert werden. Aktualisierungen werden dem Verantwortlichen über das Trust Center oder andere geeignete Mittel mitgeteilt. Die fortgesetzte Nutzung der Dienste nach Ablauf von 30 Tagen gilt als Zustimmung zu der aktualisierten Vereinbarung.
      2. Die Anweisungen des Verantwortlichen beschränken sich auf die innerhalb der Dienste verfügbaren Konfigurationsoptionen. Solche Anweisungen gelten als vom Verantwortlichen über seine autorisierten Kontoverwalter erteilt.
      3. Diese Vereinbarung unterliegt luxemburgischem Recht. Gerichtsstand ist Luxemburg-Stadt.
      4. Jedes Zurückbehaltungsrecht des Auftragsverarbeiters in Bezug auf personenbezogene Daten, die im Auftrag des Verantwortlichen verarbeitet werden, und die damit verbundenen Datenträger, sofern diese Eigentum des Verantwortlichen sind, ist ausgeschlossen.
      5. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein, so bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. Die ungültige oder nicht durchsetzbare Bestimmung wird durch eine gültige und durchsetzbare Bestimmung ersetzt, die dem von den Parteien mit der ungültigen oder nicht durchsetzbaren Bestimmung verfolgten Zweck am nächsten kommt. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich die Vereinbarung als unvollständig erweist.

     

     Anhang 1: Verarbeitungsvorgänge

     

    1. WIE WIR PERSONENBEZOGENE DATEN ERHEBEN

     

    nuwacom erhebt personenbezogene Daten auf folgende Weise: (i) über die nuwacom-Plattform; (ii) über die Kommunikation mit Kunden; (iii) über KI-Dienstleister und (iv) über Plattformintegrationen.

     

    1. BESCHREIBUNG UND ART DER VERARBEITUNGSTÄTIGKEITEN UND DIENSTLEISTUNGEN

     

    Allgemeine Merkmale: Zu den Dienstleistungen gehört die Bereitstellung eines KI-gestützten Tools zur Datenextraktion und Informationsverarbeitung, mit dem Benutzer ihre eigenen Dokumente (Verträge, Berichte, Mitteilungen usw.) hochladen oder verknüpfen und strukturierte Erkenntnisse oder Antworten abrufen können.

    nuwacom-Agent: Bereitstellung automatisierter Funktionen für die Erstellung von Besprechungsnotizen, Transkriptionen und Zusammenfassungen innerhalb der nuwacom-Plattform, ausschließlich im Auftrag des Kunden, sowie Speicherung dieser Zusammenfassungen und Transkripte im Arbeitsbereich des Kunden, damit dieser sie anzeigen, bearbeiten oder löschen kann.

     

    1. KATEGORIEN VON BETROFFENEN PERSONEN
    • Mitarbeiter des Verantwortlichen
    • Dritte, die vom Verantwortlichen autorisiert wurden (z. B. verbundene Unternehmen, Dienstleister, Berater oder Agenturen) oder deren Daten in den Inhalten enthalten sind.
    • nuwacom-Agent: Meeting-Teilnehmer

     

    1. HÄUFIGKEIT DER VERARBEITUNG

    Kontinuierlich

     

    1. KATEGORIEN DER VERARBEITETEN PERSONENBEZOGENEN DATEN UND SPEZIFISCHE ANGABEN ZUR VERARBEITUNG

     

    • Berufliche Kontakt- oder Profildaten (z. B. Vor- und Nachname, E-Mail-Adresse, Position, Abteilung, Standort sowie weitere erforderliche oder freiwillige Profilinformationen)
    •  Anmeldedaten (E-Mail-Adresse, Passwort oder vom Verantwortlichen über das SSO-Verfahren (Ansprüche) übermittelte Daten)
    • Inhalt (andere personenbezogene Daten, die dem Auftragsverarbeiter von Nutzern des Verantwortlichen übermittelt werden oder in den Daten des Verantwortlichen enthalten sind)
    • Nutzungsdaten (z. B. IP-Adresse, Geräteeigenschaften, Zugriffszeiten, Benutzer-ID)

     

    nuwacom-Agenten-Meeting-Aufzeichnungs- und Notizfunktion:

    • Der Kunde und die autorisierten Nutzer bestimmen die Identität der Personen, die an den von den Diensten analysierten Gesprächen und Inhalten beteiligt sind, sowie die Art und Beschaffenheit der personenbezogenen Daten (sofern vorhanden), die in solchen Gesprächen ausgetauscht oder in solchen Inhalten enthalten sind. nuwacom hat keine Kontrolle über die Identität der betroffenen Personen, deren personenbezogene Daten im Auftrag des Kunden verarbeitet werden, und über die Arten der verarbeiteten personenbezogenen Daten. Die Dienste sind nicht für die Verarbeitung sensibler Daten vorgesehen. Nach Wahl des Kunden können die Dienste auch zur Erfassung von Sprachidentifikatoren in Bezug auf autorisierte Benutzer verwendet werden, um Sprecher zu identifizieren und Anrufe zu katalogisieren.
    • Aufbewahrung und Löschung. Sofern vom Kunden nicht anders angegeben, werden Aufzeichnungen und zugehörige Transkripte nur so lange aufbewahrt, wie es für die Erbringung der Dienstleistungen erforderlich ist oder vom Kunden konfiguriert wurde. Wenn der Kunde eine Aufzeichnung löscht oder das entsprechende Konto kündigt, wird nuwacom die Aufzeichnung innerhalb von dreißig (30) Tagen dauerhaft und unwiderruflich aus den aktiven Systemen löschen und aus den Backups entfernen.

     

     Anhang 2: Technische und organisatorische Maßnahmen.

    Die technischen und organisatorischen Maßnahmen von nuwacom finden Sie unter http://trust.nuwacom.ai.

    Download Data Processing Agreement