Datenverarbeitung Vereinbarung

1. Einführung

This Data Processing Agreement ("DPA") supplements the Terms of Service and Privacy Policy of Mewayz Global, Corp. ("Mewayz", "we", "us", or "our"). This DPA applies when Mewayz processes Personal Data on behalf of the Customer in the course of providing the Mewayz platform services.

This DPA establishes the Controller-Processor relationship between the Customer and Mewayz in accordance with the General Data Protection Regulation (GDPR) (EU) 2016/679 and other applicable data protection legislation.

Durch die Nutzung der Mewayz-Dienste erklärt sich der Kunde mit den Bedingungen dieser DPA einverstanden. Diese DPA wird wirksam ab dem Datum, an dem der Kunde unsere Allgemeinen Geschäftsbedingungen akzeptiert oder mit der Nutzung unserer Dienste beginnt.

2. Definitionen

Die folgenden Definitionen gelten für diesen DV gemäß Artikel 4 der DSGVO:

• Controller — Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
• Prozessor — Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
• Unterauftragsverarbeiter — Jeder Dritte, der vom Auftragsverarbeiter beauftragt wird, bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen zu unterstützen.
• Persönliche Daten — Any information relating to an identified or identifiable natural person ("Data Subject"). An identifiable natural person is one who can be identified, directly or indirectly, by reference to an identifier.
• Wird verarbeitet — Jeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, ob mit oder ohne automatisierte Mittel, wie Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Veränderung, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich, Kombination, Einschränkung, Löschung oder Vernichtung.
• Betroffener — Eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.

3. Umfang & Rollen

Gemäß dieser DPA handelt der Kunde als Verantwortlicher (Controller) und Mewayz als Auftragsverarbeiter (Processor) in Bezug auf die über die Mewayz-Plattform verarbeiteten personenbezogenen Daten.

Mewayz verarbeitet personenbezogene Daten nur nach dokumentierten Anweisungen des Verantwortlichen, einschließlich bezüglich der Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, es sei denn, das nach dem Prozessorrecht anwendbare Unionsrecht oder das Recht der Mitgliedstaaten verlangt dies.

Mewayz informiert den Verantwortlichen unverzüglich, wenn es seiner Meinung nach eine Anweisung gegen die anwendbare Datenschutzgesetzgebung verstößt.

4. Datenverarbeitungsdetails

Die nachfolgende Beschreibung erläutert Art, Zweck und Umfang der von Mewayz durchgeführten Datenverarbeitungsaktivitäten:

Kategorien personenbezogener Daten:

• Kontodaten — Name, E-Mail-Adresse, Telefonnummer, Firmenname, Berufsbezeichnung, Anmeldedaten.
• Kontaktdaten — Contact information of the Customer's end users, clients, or leads stored within the Mewayz platform.
• Nutzungsdaten — Plattform-Interaktionsprotokolle, Feature-Nutzungsanalysen, IP-Adressen, Browser- und Geräteinformationen.
• Inhaltsdaten — الملفات، المستندات، الرسائل، الملاحظات، وأي محتوى آخر تم تحميله أو إنشاؤه من قبل العميل داخل المنصة.

Kategorien betroffener Personen:

• The Customer's end users and platform users
• The Customer's employees and team members
• The Customer's contacts, clients, and leads

Zweck der Verarbeitung:

Providing, maintaining, and improving the Mewayz platform services as described in the Terms of Service, including CRM, project management, invoicing, helpdesk, and all other modules available within the platform.

5. Sicherheitsmaßnahmen

Mewayz setzt angemessene technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich:

• Verschlüsselung im Ruhezustand — Alle auf unseren Servern gespeicherten personenbezogenen Daten werden nach AES-256-Verschlüsselungsstandards verschlüsselt.
• Verschlüsselung während der Übertragung — Alle zwischen dem Kunden und Mewayz übertragenen Daten werden mit TLS 1.2 oder höheren Verschlüsselungsprotokollen geschützt.
• Zugangskontrollen — Strenge rollenbasierte Zugriffskontrollen stellen sicher, dass nur autorisiertes Personal auf Personenbezogene Daten zugreifen kann. Mehrfaktor-Authentifizierung ist für alle administrativen Zugriffe verpflichtend.
• Regelmäßige Sicherheitsüberprüfungen — Wir führen regelmäßige Sicherheitsbewertungen, Schwachstellenanalysen und Code-Überprüfungen durch, um potenzielle Sicherheitsrisiken zu identifizieren und zu beheben.
• Verfahren zur Reaktion auf Vorfälle — Wir unterhalten dokumentierte Verfahren für den Incident-Response-Prozess, die Identifizierung, Eindämmung, Beseitigung, Wiederherstellung und Nachbearbeitung umfassen.
• Backup & Wiederherstellung — Регулярные автоматические резервные копии выполняются и безопасно хранятся. Процедуры восстановления периодически тестируются для обеспечения целостности и доступности данных.

6. Unterauftragsverarbeiter

Mewayz nutzt die folgenden Unterauftragsverarbeiter, um bei der Erbringung unserer Dienstleistungen zu helfen. Jeder Unterauftragsverarbeiter wurde auf die Einhaltung der anwendbaren Datenschutzanforderungen überprüft:

• Stripe, Inc. — Zahlungsabwicklung. Standort: Vereinigte Staaten. Verarbeitete Daten: Zahlungs- und Abrechnungsinformationen.
• Cloudflare, Inc. — Content Delivery Network (CDN) und Sicherheitsdienste. Standort: Vereinigte Staaten (globales Edge-Netzwerk). Verarbeitete Daten: Verkehrsdaten, IP-Adressen.
• Hetzner Online GmbH — Server-Hosting und Infrastruktur. Standort: Europäische Union / Vereinigte Staaten. Verarbeitete Daten: Alle Plattformdaten, wie auf Servern gespeichert.

Mewayz benachrichtigt den Kunden vor der Hinzufügung oder dem Austausch eines Unterauftragsverarbeiters und gibt dem Kunden die Möglichkeit, diesen Änderungen zu widersprechen. Wenn der Kunde berechtigte Einwände erhebt, wird Mewayz angemessene Anstrengungen unternehmen, eine alternative Lösung anzubieten, oder der Kunde kann die betroffenen Dienste kündigen.

Mewayz verpflichtet jeden Unterauftragsverarbeiter vertraglich auf Datenschutzverpflichtungen, die nicht weniger streng sind als die in diesem AVV festgelegten.

7. Rechte der Betroffenen

Mewayz unterstützt den Verantwortlichen bei der Erfüllung seiner Verpflichtungen, Anfragen von betroffenen Personen nachzukommen, die ihre Rechte gemäß DSGVO geltend machen, einschließlich:

• Recht auf Auskunft (Artikel 15) — Das Recht auf Bestätigung und Zugang zu ihren personenbezogenen Daten.
• Recht auf Berichtigung (Artikel 16) — Das Recht, ungenaue personenbezogene Daten berichtigen zu lassen.
• Recht auf Löschung (Artikel 17) — Das Recht, unter bestimmten Umständen die Löschung personenbezogener Daten zu verlangen.
• Recht auf Einschränkung (Artikel 18) — Das Recht, die Verarbeitung personenbezogener Daten einzuschränken.
• Recht auf Datenübertragbarkeit (Artikel 20) — Das Recht, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Mewayz benachrichtigt den Verantwortlichen unverzüglich nach Erhalt einer Anfrage einer betroffenen Person und antwortet auf solche Anfragen nicht direkt, es sei denn, der Verantwortliche hat dies genehmigt.

8. Datenpannenbenachrichtigung

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Mewayz den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 72 Stunden, nachdem die Verletzung bekannt geworden ist, gemäß GDPR Artikel 33 benachrichtigen.

Die Benachrichtigung soll enthalten:

• Eine Beschreibung der Art der Datenschutzverletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Datensubjekte und Datensätze.
• Der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können.
• Eine Beschreibung der voraussichtlichen Folgen der Datenschutzverletzung.
• Eine Beschreibung der ergriffenen oder geplanten Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.

Mewayz wird mit dem Verantwortlichen zusammenarbeiten und angemessene kommerzielle Schritte unternehmen, um bei der Untersuchung, Minderung und Behebung eines solchen Verstoßes zu helfen.

9. Datenübermittlungen

Wenn personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR übermittelt werden, die nicht als sicher eingestuft wurden, stellt Mewayz angemessene Schutzmaßnahmen sicher, darunter:

• Standardvertragsklauseln (SCCs) gemäß dem Beschluss der Europäischen Kommission für EU-US und andere internationale Datenübermittlungen.
• Zusätzliche technische und organisatorische Maßnahmen zur Ergänzung der SCCs, falls erforderlich, basierend auf Übertragungsfolgenabschätzungen.

Mewayz informiert den Verantwortlichen über alle Änderungen an den Datenübermittlungsmechanismen und stellt sicher, dass jede Übermittlung der anwendbaren Datenschutzgesetzgebung entspricht.

10. Datenspeicherung & Löschung

Bei Beendigung oder Ablauf der Vereinbarung zwischen dem Kunden und Mewayz wird Mewayz auf Wahl des Verantwortlichen:

• Löschen Sie alle im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen nach Erhalt einer schriftlichen Aufforderung; oder
• Übermitteln Sie alle personenbezogenen Daten innerhalb von 30 Tagen nach Erhalt einer schriftlichen Anfrage in einem strukturierten, gängigen und maschinenlesbaren Format an den Verantwortlichen.

Mewayz löscht vorhandene Kopien personenbezogener Daten, es sei denn, das Recht der Europäischen Union oder der Mitgliedstaaten verlangt die Speicherung der personenbezogenen Daten. Auf Anfrage stellt Mewayz eine schriftliche Bestätigung der Datenlöschung zur Verfügung.

11. Audits

Mewayz stellt dem Verantwortlichen alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung der in diesem AVV und in Artikel 28 der DSGVO festgelegten Verpflichtungen nachzuweisen.

The Controller, or an independent third-party auditor mandated by the Controller, may conduct audits to verify Mewayz's compliance with this DPA, subject to the following conditions:

• Der für die Verarbeitung Verantwortliche stellt eine angemessene schriftliche Vorankündigung von mindestens 30 Tagen zur Verfügung, bevor eine Überprüfung durchgeführt wird.
• Audits shall be conducted during normal business hours and shall not unreasonably interfere with Mewayz's operations.
• Der für die Verarbeitung Verantwortliche trägt die Kosten einer Überprüfung, es sei denn, die Überprüfung ergibt ein wesentliches Nichteinhalten der Vereinbarungen durch Mewayz.
• Prüfergebnisse und alle gewonnenen Informationen werden vertraulich behandelt.

12. Kontakt

لأي استفسارات بشأن اتفاقية معالجة البيانات هذه أو استفسارات حماية البيانات، يرجى الاتصال بنا:

• Unternehmen: Mewayz Global, Corp.
• Adresse: 131 Continental Dr, Suite 305, Newark, DE 19713, USA
• Datenschutz-E-Mail: [email protected]
• EIN: 38-4374855
• Website: https://mewayz.com