Datenverarbeitungs- Vereinbarung

1. Definitionen

1.1. Vereinbarung bezeichnet die allgemeinen Geschäftsbedingungen, die zwischen Ihnen als "Kunde" und uns als dem Lizenzgeber (wie im Vertrag definiert) abgeschlossen werden.

1.2. Datenschutzgesetze

  • Die Datenschutz-Grundverordnung der EU (2016/679) (DSGVO)

  • Die DSGVO, wie sie in Abschnitt 3(10) (erweitert durch Abschnitt 205(4)) des DPA 2018 (UK-DSGVO) definiert ist

  • Das Datenschutzgesetz des Vereinigten Königreichs 2018 (DPA 2018)

  • Kalifornisches Datenschutzgesetz für Verbraucher, Cal. Civ. Code § 1798.100 et seq., und seine Durchführungsverordnungen, geändert durch das kalifornische Gesetz über Datenschutzrechte

  • Virginia Consumer Data Protection Act

  • Colorado Datenschutzgesetz

  • Illinois Biometric Information Privacy Act (BIPA)

  • Kanadisches Gesetz über den Schutz persönlicher Daten und elektronische Dokumente (PIPEDA)

  • Brasilianisches Gesetz über den Schutz personenbezogener Daten (LGPD)

  • Australisches Datenschutzgesetz 1988 (Cth)

  • Singapur Gesetz über den Schutz persönlicher Daten (PDPA)

  • Japanisches Gesetz über den Schutz persönlicher Informationen (APPI)

  • Indisches Gesetz über den digitalen Datenschutz

1.3. Controller, Betroffene Person, Personenbezogene Daten, Datenpanne, Auftragsverarbeiter, Verarbeitung/Prozess/Verarbeitet und Aufsichtsbehörde sind wie im DSGVO definiert.

1.4. Bestimmungen zum Datenverkehr bezeichnet die standardmäßigen vertraglichen Klauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der DSGVO, die von der Europäischen Kommission unter dem Beschluss der Kommission (EU) 2021/914 2021 (EU SCCs) und dem internationalen Übertragungszusatz des Vereinigten Königreichs zu den EU SCCs (UK Addendum) angenommen wurden.

1.5. FADP bedeutet das Schweizer Bundesgesetz über den Datenschutz.

1.6. Dienstleistungen bezeichnet die KI-gestützten Video-Interviewdienste, die wir Ihnen gemäß der Vereinbarung bereitstellen.

1.7. Biometrische Daten bezeichnen persönliche Daten, die aus spezifischer technischer Verarbeitung in Bezug auf physische, physiologische oder Verhaltensmerkmale resultieren, die eine eindeutige Identifizierung ermöglichen, einschließlich Gesichtserkennungsdaten und Sprachmustern.

2. Beschreibung der Verarbeitung

2.1. Die Parteien erkennen an, dass diese Vereinbarung zur Datenverarbeitung (DPA) nur für die personenbezogenen Daten gilt, die wir gemäß den Anweisungen unseres Kunden verarbeiten, und im Zusammenhang mit einer solchen Verarbeitung:

2.1.1.Rollen: Wir agieren als der Auftragsverarbeiter des Kunden bei der Bereitstellung der Dienstleistungen;

2.1.2. Kategorien personenbezogener Daten: Bei der Bereitstellung von Dienstleistungen für den Kunden umfassen die Kategorien personenbezogener Daten, die wir verarbeiten:

  • Kundendaten wie im Vertrag definiert (einschließlich Name, Telefonnummer, E-Mail-Adresse)

  • Videoaufnahmen und Audioaufnahmen von Interviews

  • Biometrische Daten einschließlich Gesichtszüge und Stimmmuster

  • Interviewantworten und -transkripte

  • Bewertungsergebnisse und Analysen

  • Andere persönliche Daten, die von Personen bereitgestellt werden, die sich bei Ihnen um eine Stelle bewerben

  • Besondere Kategorien von personenbezogenen Daten (sofern zutreffend), wie das Alter, Gesundheit, Behinderungsstatus, rassische oder ethnische Herkunft der betroffenen Personen (nur wenn mit ausdrücklicher Zustimmung erhoben)

2.1.3. Kategorien von betroffenen Personen: Bei der Erbringung von Dienstleistungen für Sie sind die Kategorien von betroffenen Personen, deren personenbezogene Daten wir verarbeiten, Mitarbeiter oder Einzelpersonen, die sich um eine Anstellung bei Ihnen bewerben (Kandidaten); und

2.1.4. Natur und Zwecke der Verarbeitung: Die Verarbeitung erfolgt, um es uns zu ermöglichen, Ihnen während der Laufzeit des Vertrags die Dienstleistungen bereitzustellen, und zwar um:

i. Führen Sie KI-gestützte Video-Interviews mit Kandidaten durch

ii. Aufzeichnen, speichern und analysieren Sie Video-Interview-Sitzungen

iii. Verarbeiten Sie biometrische Daten zur Identitätsverifizierung und Bewertungszwecken (falls zutreffend und genehmigt)

iv. Wenden Sie KI-Algorithmen an, um Kommunikationsfähigkeiten, Verhaltensmerkmale und Eignung zu bewerten

v. Erstellen Sie Bewertungswerte, Berichte und Empfehlungen für Einstellungsentscheidungen

vi. Sammeln Sie die Antworten der Kandidaten zu Ihren Fragen zur Vielfalt und Inklusion (sofern vorhanden)

vii. Stellen Sie Analysen zu Abschlussquote von Interviews, Kandidatenerfahrungen und Bewertungsmetriken bereit

viii. Ermöglichen Sie Barrierefreiheitsanpassungen für Kandidaten nach Bedarf

2.2. Während der Laufzeit des Vertrages erwarten beide Parteien, dass sie personenbezogene Daten austauschen, die als unabhängige Verantwortliche in Bezug auf ihre Mitarbeiter erforderlich sind, um Angelegenheiten wie Kontoverwaltung und technischen Support zu regeln. Jede Partei wird solche personenbezogenen Daten gemäß ihrer eigenen Datenschutzerklärung verarbeiten. Unsere Datenschutzerklärung ist verfügbar unter: https://welocity.ai/privacy-policy/.

2.3. Sie stimmen hiermit zu, dass wir Kundendaten verarbeiten, um diese anonym zu machen, damit wir diese anonymisierten Daten (die keine personenbezogenen Daten mehr enthalten) für Zwecke der Entwicklung und Verbesserung unserer Dienstleistungen verwenden können, einschließlich:

i. Verwendung von anonymisierten Interviewdaten zur Verbesserung unserer KI-Modelle und zur Reduzierung von Vorurteilen

ii. Testen auf Fairness und Nichtdiskriminierung in unseren Algorithmen, wie es die geltenden KI-Vorschriften verlangen

iii. Ausbildung unserer KI-Algorithmen zur Verbesserung der Bewertungsgenauigkeit

iv. Beitrag zur wissenschaftlichen Forschung über Rekrutierungs- und Bewertungmethoden

3. Ihre Verpflichtungen

3.1. Sie behalten die Kontrolle über die personenbezogenen Daten, die wir in Ihrem Auftrag verarbeiten, und sind weiterhin verantwortlich für die Erfüllung Ihrer Verpflichtungen gemäß den geltenden Datenschutzgesetzen, einschließlich:

  • Bereitstellung der erforderlichen Hinweise an die Kandidaten über die Videoaufnahme und die KI-Analyse

  • Einholung der ausdrücklichen Zustimmung zur Sammlung von biometrischen Daten, wo erforderlich

  • Sicherstellung der Einhaltung von Arbeits- und Antidiskriminierungsgesetzen

  • Bereitstellung von Barrierefreiheitshilfen nach Bedarf

3.2. Sie garantieren und versichern, dass unsere erwartete Verwendung der personenbezogenen Daten, wie in dieser Vereinbarung dargelegt, den Datenschutzgesetzen entspricht.

4. Unsere Verpflichtungen

4.1. Wir werden die personenbezogenen Daten nur insoweit und auf solche Weise verarbeiten, wie es zur Bereitstellung der Dienstleistungen gemäß dieser Vereinbarung und Ihren Anweisungen erforderlich ist. Wir werden Sie umgehend benachrichtigen, wenn wir der Meinung sind, dass Ihre Anweisung nicht den Datenschutzgesetzen entsprechen würde.

4.2. Wir werden die Vertraulichkeit aller persönlichen Daten wahren und werden persönliche Daten nicht an Dritte weitergeben, es sei denn, Sie sind autorisiert oder dies ist in dieser Vereinbarung vorgesehen oder es ist gesetzlich vorgeschrieben.

4.3. Wir werden Sie angemessen unterstützen, um Ihren Compliance-Verpflichtungen gemäß der Datenschutzgesetzgebung nachzukommen, einschließlich in Bezug auf die Rechte der betroffenen Personen, Datenschutz-Folgenabschätzungen und die Meldung an Aufsichtsbehörden.

4.4. Wir werden keine Kundendaten verkaufen, für kontextübergreifende Verhaltenswerbung teilen oder anderweitig an Dritte weitergeben, es sei denn, dies ist gemäß Absatz 8 gestattet. Wir werden Kundendaten nicht mit personenbezogenen Daten aus anderen Quellen kombinieren, es sei denn, dies ist durch die Datenschutzgesetzgebung gestattet.

4.5. Spezifische Verpflichtungen zu biometrischen Daten: Wo biometrische Daten verarbeitet werden, werden wir:

  • Holen Sie sich die ausdrückliche Zustimmung, wo dies nach den geltenden Gesetzen erforderlich ist

  • Ergreifen Sie verbesserte Sicherheitsmaßnahmen für biometrische Daten

  • Begrenzen Sie die Aufbewahrungsfristen, wie es die Gesetze wie BIPA vorschreiben

  • Zerstören Sie biometrische Daten dauerhaft, wenn sie nicht mehr notwendig sind

  • Verkaufen, vermieten, handeln oder profitieren Sie nicht von biometrischen Daten

5. Sicherheit

5.1. Wir werden sicherstellen, dass alle unsere Mitarbeiter und Auftragnehmer über die vertrauliche Natur der personenbezogenen Daten informiert sind und an Vertraulichkeitsverpflichtungen gebunden sind.

5.2. Wir werden stets angemessene technische und organisatorische Maßnahmen gegen unbefugte oder rechtswidrige Verarbeitung ergreifen, einschließlich:

  • Verschlüsselung von personenbezogenen Daten während der Übertragung und im Ruhezustand

  • Pseudonymisierung von personenbezogenen Daten, wo angemessen

  • Zugangskontrollen und Authentifizierungsmechanismen

  • Regelmäßige Sicherheitsbewertungen und Penetrationstests

  • Sichere Löschverfahren für Videoaufzeichnungen und biometrische Daten

  • Auditprotokollierung und Überwachungssysteme

5.3. Wir werden Maßnahmen ergreifen, um ein angemessenes Sicherheitsniveau entsprechend dem Risiko sicherzustellen, einschließlich:

  • ISO 27001 oder SOC 2-Konformität (wo zutreffend)

  • Regelmäßige Sicherheitssch Schulungen für das Personal

  • Notfallreaktionsverfahren

  • Pläne für die Geschäftskontinuität und die Wiederherstellung nach Katastrophen

  • Regelmäßige Tests von Sicherheitsmaßnahmen

6. Datenschutzverletzung

6.1. Ohne unangemessene Verzögerung und in jedem Fall innerhalb von 24 Stunden werden wir Sie benachrichtigen, wenn wir von einer Verletzung personenbezogener Daten in Bezug auf die Kundendaten erfahren.

6.2. Wir werden Ihnen alle relevanten Informationen über den Verstoß zur Verfügung stellen, einschließlich:

  • Art der Verletzung

  • Kategorien und ungefähre Anzahl der betroffenen Personen

  • Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Daten

  • Wahrscheinliche Folgen der Verletzung

  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung

6.3. Wir werden mit Ihnen zusammenarbeiten, um den Verstoß zu untersuchen und zu mindern, und die erforderlichen Benachrichtigungen an die Aufsichtsbehörden oder Betroffenen koordinieren.

6.4. Wir werden alle Datenschutzverletzungen dokumentieren, einschließlich der Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen.

7. grenzüberschreitende Übertragungen personenbezogener Daten

7.1. Wenn eine angemessene Schutzmaßnahme für den internationalen Transfer von personenbezogenen Daten gemäß geltendem Datenschutzrecht erforderlich ist, werden die Bestimmungen zum Datentransfer in diesen DPA wie im Anhang zu internationalen Übertragungen dargelegt.

7.2. For transfers subject to the Swiss FADP, the Data Transfer Provisions shall apply with the modifications specified for Swiss transfers.

7.3. Wir erkennen an, dass personenbezogene Daten übermittelt und verarbeitet werden können in:

  • Vereinigte Staaten (primäres Rechenzentrum)

  • Standorte von Cloud-Dienstanbietern weltweit

  • Standorte von Subunternehmern wie aufgeführt

8. Unterauftragnehmer

8.1. Wir dürfen nur einen Dritten (Unterauftragsverarbeiter) autorisieren, um die personenbezogenen Daten zu verarbeiten, wenn:

8.1.1. Ihnen wird eine angemessene Vorankündigung über Änderungen an unseren Unterauftragnehmern gegeben, mit der Möglichkeit, innerhalb von zehn (10) Tagen Widerspruch einzulegen;

8.1.2. Wir schließen einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter ab, der gleichwertige Datenschutzverpflichtungen enthält;

8.1.3. Wir behalten die Kontrolle über alle personenbezogenen Daten, die dem Unterauftragsverarbeiter anvertraut werden.

8.2. Sie ermächtigen uns, die unter https://welocity.ai/subprocessors/ aufgeführten Subprozessoren zu verwenden, einschließlich:

  • Cloud-Hosting-Anbieter (AWS, Google Cloud, Azure)

  • Video-Streaming- und Speicher-Dienste

  • AI/ML-Verarbeitungsdienste

  • Analytik-Anbieter

  • Technischer Supportanbieter

8.3. Wir bleiben voll verantwortlich für die Leistung eines Subprozessors.

9. Beschwerden, Anfragen von Betroffenen und Rechte Dritter

9.1. Wir werden Ihnen auf Ihre Kosten bei der Beantwortung von:

  • Anfragen zu den Rechten der betroffenen Person

  • Anfragen zur Berichtigung, Löschung oder Einschränkung der Verarbeitung

  • Anfragen zur Datenübertragbarkeit

  • Einwendungen gegen die Verarbeitung

  • Rechte im Zusammenhang mit automatisierten Entscheidungen

9.2. Wenn wir eine Anfrage von einer betroffenen Person direkt erhalten, werden wir Sie umgehend informieren und die betroffene Person anweisen, Sie zu kontaktieren.

9.3. Wir werden vollständig kooperieren, um auf Beschwerden, Mitteilungen oder Kommunikationen von Aufsichtsbehörden zu reagieren.

10. Datenrückgabe und Zerstörung

10.1. Auf Anfrage stellen wir Ihnen eine Kopie oder Zugang zu den personenbezogenen Daten des Kunden in einem allgemein zugänglichen elektronischen Format zur Verfügung.

10.2. Bei Beendigung der Dienstleistungen werden wir umgehend und sicher:

  • Alle persönlichen Daten einschließlich Videoaufnahmen löschen

  • Alle biometrischen Daten dauerhaft vernichten

  • Auf Anfrage einen Löschnachweis bereitstellen

10.3. Diese Anforderung gilt nicht für Daten, die wir aus rechtlichen oder regulatorischen Gründen aufbewahren müssen.

11. Aufzeichnungen

11.1. Wir werden detaillierte, genaue und aktuelle schriftliche Aufzeichnungen über alle im Auftrag von Ihnen durchgeführten Verarbeitungstätigkeiten führen.

12. Prüfung

12.1. Höchstens einmal pro 12-Monats-Zeitraum werden wir relevante Informationen aus unseren Compliance-Prüfungen bereitstellen, um die Einhaltung dieser DPA nachzuweisen.

12.2. Wir werden alle Informationen zur Verfügung stellen, die vernünftigerweise notwendig sind, um die Einhaltung der Datenschutzgesetze nachzuweisen.

12.3. Sie können Ihre Prüfungsrechte durch Aufsichtsbehörden ausüben, wie es das Datenschutzrecht vorsieht.

Anhang für internationale Überweisungen

Teil A: Standardvertragsklauseln

Soweit eine eingeschränkte Übertragung personenbezogener Daten gemäß der DSGVO erfolgt, gilt dieser Teil A:

(i) Modul Eins der Standardvertragsklauseln, wenn Sie (Verantwortlicher) an uns (Verantwortlicher) übertragen

(ii) Modul Zwei der Standardvertragsklauseln, wenn Sie (Verantwortlicher) an uns (Auftragsverarbeiter) übertragen

13.3 DIE GESAMTE HAFTUNG BEGRIFFEN KANN DIE IN DEN VORHERGEHENDEN 12 MONATEN BEZAHLTEN GEBÜHREN NICHT ÜBERSTEIGEN.

Zusätzliche Klauseln

Biometrische Datenübertragungen: Besondere Sicherheitsvorkehrungen gelten für internationale Übertragungen von biometrischen Daten, einschließlich verbesserter Verschlüsselung und Zugriffskontrollen.

Überprüfung der Auswirkungen der Übertragung: Der Datenexporteur erkennt an, dass der Datenimporteur die für die Überprüfung der Auswirkungen der Übertragung erforderlichen Informationen bereitgestellt hat.

Geltendes Recht: Für EU-Standardvertragsklauseln - Gesetze von Irland; Für das britische Zusatzabkommen - Gesetze von England und Wales

Anhang 1 - Liste der Parteien

Datenexporteur

  • Name: Kunde

  • Adresse: Wie im Vertrag festgelegt

  • Rolle: Verantwortlicher

Datenimporteur

  • Name: Netconnect Global INC (d/b/a welocity.ai)

  • Address: 415 Mission Street, San Francisco, CA 94105, USA

  • Role: Verarbeiter (für Dienstleistungen) / Verantwortlicher (für anonymisierte Daten)

Beschreibung der Übertragung

Kategorien von betroffenen Personen: Stellenbewerber und Mitarbeiter

Kategorien personenbezogener Daten:

  • Identitätsdaten (Name, E-Mail, Telefon)

  • Video- und Audioaufzeichnungen

  • Biometrische Daten (Gesichtszüge, Sprachmuster)

  • Interviewantworten und Bewertungen

  • Besondere Kategorien (falls angegeben): Alter, Gesundheit, Ethnie

Sensible Daten: Biometrische Daten und alle speziellen Kategorien, die freiwillig bereitgestellt werden

Häufigkeit: Kontinuierlich während der Bereitstellung der Dienstleistung

Natur und Zweck: KI-gestützte Video-Interview- und Bewertungservices

Aufbewahrungsdauer: Wie im Vertrag angegeben, maximal 3 Jahre für biometrische Daten

Sicherheitsmaßnahmen: Wie in Abschnitt 5 dieser DPA beschrieben

Teil B: UK-Zusatz

Für UK-GDPR-Übertragungen gilt der UK-Anhang mit:

Startdatum: Wirksamkeitsdatum des Vertrags

Tabellen 1: Parteien gemäß Anhang 1

Tabelle 2: Module 1 und 2 der EU-Standardvertragsklauseln

Tabelle 3: Anhangsinformationen wie in Anhang 1

Tabelle 4: Kündigungsrechte, wenn wesentliche Änderungen des UK-Zusatzes die Kosten oder Risiken erheblich erhöhen

Klassifikation: Öffentlich

Version: 1.0

Datum: [Date]

Version: 1.0

Netconnect Global GmbH

415 Mission Street

San Francisco, CA 94105

Vereinigte Staaten