AUFTRAGSVERARBEITUNGSVERTRAG
Der Auftragsverarbeitungsvertrag, klar verständlich.
v1.0 · Gültig ab Veröffentlichungsdatum
So geschrieben, dass Ihr Datenschutzbeauftragter ihn in einer Sitzung genehmigen kann. Jede Bestimmung, jeder Unterauftragsverarbeiter und jede Schutzmaßnahme vollständig dokumentiert. Das unterzeichnete PDF trägt denselben Inhalt.
PDF available on request — email dpo@sageio.net
UMFANG & ROLLEN
Wer macht was, mit wessen Daten.
Im Rahmen dieses DPA ist der Kunde der Verantwortliche und Sageio handelt als Auftragsverarbeiter im Auftrag des Kunden. Sageio verarbeitet personenbezogene Daten nur zur Erbringung der vertraglich vereinbarten Dienste – Echtzeit-Meeting-Übersetzung, Transkription und Zusammenfassung – und nur nach den dokumentierten Weisungen des Kunden. Dieser DPA ist Bestandteil des Abonnementvertrags zwischen Sageio und dem Kunden; im Konfliktfall hat der DPA in Angelegenheiten der Verarbeitung personenbezogener Daten Vorrang. Er gilt für alle Verarbeitungstätigkeiten, die im Zusammenhang mit der Sageio-Plattform durchgeführt werden.
VERARBEITETE DATEN
Was wir verarbeiten, und warum wir dürfen.
| Datenkategorie | Zweck der Verarbeitung | Rechtsgrundlage (GDPR Art. 6) | Aufbewahrung |
|---|---|---|---|
| Meeting-Audio | Sprache-zu-Text-Transkription und Übersetzung während des Meetings. | Art. 6(1)(b) – Vertragserfüllung. | Innerhalb von 24 Stunden nach Meeting-Ende gelöscht. Nicht für das Modelltraining verwendet. |
| Meeting-Transkripte & Übersetzungen | Speicherung und Abruf durch die Workspace-Mitglieder des Kunden. | Art. 6(1)(b) – Vertragserfüllung. | Vom Kunden konfigurierbar. Standard: 90 Tage. |
| Zusammenfassungen & Aufgaben | KI-generierte Meeting-Ergebnisse, abgeleitet aus dem Transkript. | Art. 6(1)(b) – Vertragserfüllung. | Vom Kunden konfigurierbar. Standard: 90 Tage, dem Transkript folgend. |
| Kontokennungen (Name, E-Mail, Rolle) | Authentifizierung, Workspace-Zugriff und Audit-Protokollierung. | Art. 6(1)(b) – Vertragserfüllung. | Dauer des Kontos plus 30 Tage nach Schließung. |
| Workspace- & Nutzungsmetadaten | Dienstbetrieb, Abrechnungsabgleich und Missbrauchsprävention. | Art. 6(1)(b) und Art. 6(1)(f) – berechtigtes Interesse an der Dienstintegrität. | 12 Monate ab Erzeugung. |
| Audit-Protokolle | Sicherheitsüberwachung und Überprüfung des Kundenzugriffs. | Art. 6(1)(f) – berechtigtes Interesse an der Sicherheit. | 12 Monate ab Erzeugung. |
| Abrechnungskennungen | Abonnementverwaltung. Kreditkartendaten werden von LemonSqueezy als Merchant of Record verarbeitet und nicht von Sageio gespeichert. | Art. 6(1)(b) – Vertragserfüllung. | Dauer des Kontos plus 7 Jahre für Steuerunterlagen. |
UNTERAUFTRAGSVERARBEITER
Die vollständige Kette der Verwahrung.
| Unterauftragsverarbeiter | Zweck | Verarbeitungsort |
|---|---|---|
| Amazon Web Services | Cloud-Hosting, Objektspeicher, Verwaltung von Verschlüsselungsschlüsseln. | Vom Kunden gewählte Region (Standard: Asien-Pazifik). EU und USA bei Enterprise-Tarifen. |
| Neon | Verwaltete PostgreSQL-Datenbank für Anwendungsdaten. | An die primäre AWS-Region des Kunden angepasste Region. |
| Vercel | Hosting für die Marketing-Website und die kundenseitige Webanwendung. | Globales Edge-Netzwerk. Ursprung: vom Kunden gewählte Region. |
| Clerk | Authentifizierung, Single Sign-on und Identitätsverwaltung. | Vereinigte Staaten. |
| Deepgram | Sprache-zu-Text-Transkription von Meeting-Audio. | Vereinigte Staaten. |
| Google (Gemini API) | KI-generierte Meeting-Zusammenfassungen und Aufgaben. | Vereinigte Staaten. Daten werden gemäß den Enterprise-API-Bedingungen nicht zum Training von Google-Modellen verwendet. |
| LemonSqueezy | Zahlungsabwicklung als Merchant of Record. Steuer-Compliance. | Vereinigte Staaten. |
SICHERHEITSMASSNAHMEN
Technik trifft auf Verpflichtung.
Sageio implementiert technische und organisatorische Maßnahmen, die dem Verarbeitungsrisiko angemessen sind, einschließlich Verschlüsselung bei der Übertragung (TLS 1.3) und im Ruhezustand (AES-256-GCM), rollenbasierter Zugriffskontrolle, Audit-Protokollierung, regelmäßiger Penetrationstests und eines dokumentierten Incident-Response-Prozesses. Der Produktionszugriff erfordert eine ausdrückliche geschäftliche Begründung, ist zeitlich begrenzt und wird protokolliert. Der vollständige Katalog der Maßnahmen, einschließlich des aktuellen Status des Compliance-Programms, wird auf der Sicherheits-Seite veröffentlicht und mit der Weiterentwicklung des Programms aktualisiert.
INTERNATIONALE ÜBERMITTLUNGEN
Grenzüberschreitende Daten, rechtmäßig übermittelt.
Wenn personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums, des Vereinigten Königreichs oder anderer Jurisdiktionen mit gleichwertigen Beschränkungen übermittelt werden, stützt sich Sageio auf die Standardvertragsklauseln der Europäischen Kommission (Modul Zwei: Verantwortlicher-zu-Auftragsverarbeiter) und, sofern zutreffend, auf das UK International Data Transfer Addendum. Für Übermittlungen in Jurisdiktionen, die von einem Angemessenheitsbeschluss erfasst sind, stützt sich Sageio auf diesen Beschluss. Unterauftragsverarbeiter sind durch vertragliche Weitergabe an gleichwertige Pflichten gebunden. Für jeden Unterauftragsverarbeiter, der personenbezogene Daten außerhalb der Jurisdiktion des Datenexporteurs verarbeitet, werden Transfer-Folgenabschätzungen durchgeführt.
RECHTE DER BETROFFENEN PERSONEN
Die Rechte Ihrer Nutzer, unsere Pflichten.
- Auskunftsrecht – Bestätigung und eine Kopie der verarbeiteten personenbezogenen Daten.
- Recht auf Berichtigung – Korrektur unrichtiger oder unvollständiger Daten.
- Recht auf Löschung – Löschung innerhalb von 30 Tagen nach einer gültigen Anfrage, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Recht auf Einschränkung – Beschränkung der Verarbeitung unter bestimmten Umständen.
- Recht auf Datenübertragbarkeit – Export in einem strukturierten, maschinenlesbaren Format.
- Widerspruchsrecht – einschließlich gegen eine Verarbeitung auf Grundlage berechtigten Interesses.
- Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde.
KONTAKT
Echte Menschen, benannte Postfächer.
- Data protection officer: dpo@sageio.net
- Security: security@sageio.net
Registriert in Taiwan. Eingetragene Gesellschaft: 好客網路股份有限公司 (Unified Business Number: 29041135). Postanschrift auf Anfrage an dpo@sageio.net verfügbar.
Versionsverlauf
- v1.0Gültig ab VeröffentlichungErstveröffentlichung.