English-speaking audience: For your convenience, you can find a translation of the text after the German text. However, please note that the German text is the legally binding one.

Nutzungsbedingungen

1. Präambel

  1. Die TAWNY GmbH, Schellingstr. 45, 80799 München (im Folgenden "Plattformbetreiber") stellt unter tawny.ai und den zugehörigen Subdomains (u.a. platform.tawny.ai, docs.tawny.ai, usw.) eine Software-as-a-Service Plattform (im Folgenden Plattform) im Bereich Emotionserkennung bereit.

  2. Registrierte Nutzer (im Folgenden zusammengefasst "Nutzer") können auf der Plattform Videos hochladen. Personen in dem Video werden dann unmittelbar hinsichtlich der menschlichen Emotionen, Verhaltensweisen und weiterer affektiver Zustände analysiert.

  3. Der Plattformbetreiber hat das Ermessen über den Inhalt, das Erscheinungsbild, die Gestaltung, die Funktionsweise und alle anderen Merkmale der Plattform. Dies umfasst das Recht den Inhalt, das Erscheinungsbild, die Gestaltung, die Funktionsweise sowie andere Merkmale der Plattform sowie einzelner Elemente, Aspekte, Teile oder Features jederzeit umzugestalten, zu modifizieren, zu beseitigen oder zu verändern, bzw. den Zugang hierzu einzuschränken.

  4. Die vorliegenden Nutzungsbedingungen regeln die Nutzung der Plattform durch die Nutzer und damit das Rechtsverhältnis zwischen dem Plattformbetreiber und den Nutzern. Sie sind für das Rechtsverhältnis zwischen Plattformbetreiber und Nutzer einzig maßgebend, soweit nicht einzelvertraglich etwas anderes vereinbart ist. Abweichende Regelungen in diesem Sinne bedürfen der Schriftform.

2. Änderungsvorbehalt

  1. Der Plattformbetreiber ist berechtigt, diese Nutzungsbedingungen mit einer angemessenen Ankündigungsfrist zu ändern.

  2. Der Plattformbetreiber hat dieses Recht nur, wenn die Änderung unter Berücksichtigung der Interessen des Plattformbetreibers für den Nutzer zumutbar ist.

  3. Der Plattformbetreiber teilt dem Nutzer die Änderungen spätestens 6 Wochen vor dem Wirksamwerden in Textform mit.

  4. Ist der Nutzer mit den Änderungen nicht einverstanden, so kann er diesen widersprechen. Der Plattformbetreiber weist den Nutzer in der Änderungsmitteilung sowohl auf sein Widerspruchsrecht hin, als auch darauf, dass die Änderung als genehmigt gilt, wenn er nicht innerhalb einer Frist von 1 Monat ab Zugang der Änderungsmitteilung in Schriftform widerspricht.

3. Leistungen des Plattformbetreibers

  1. Der Plattformbetreiber stellt in dem nachfolgend beschriebenen Umfang die technischen Voraussetzungen für die Nutzung der Plattform bereit.

  2. Jeder registrierte Nutzer kann auf der Plattform Videos von Personen (im Folgenden "Nutzerinhalte") hochladen und dort analysieren lassen.

4. Registrierung

  1. Zur Einrichtung eines Nutzerkontos ist eine Registrierung erforderlich. Hierzu hat der Nutzer die vorgegebenen Pflichtfelder (im Folgenden "Nutzerdaten") vollständig und wahrheitsgemäß auszufüllen, eine gültige eMail-Adresse zu hinterlegen und zur Sicherung seines Nutzerkontos ein Passwort einzurichten.

  2. Hauptnutzer ist derjenige Nutzer, der als sogenannter Subscriber ein Nutzerkonto eingerichtet hat. Jeder Hauptnutzer kann weitere Nutzer (sog. Collaborator) zur Teilnahme an seinem Nutzerkonto einladen. Diese Nutzer müssen sich ebenfalls auf der Plattform anmelden und haben dann Zugriff auf die Nutzerinhalte und Auswertungen des Hauptnutzers. Der Hauptnutzer kann diesen Nutzern die jeweiligen Zugriffsrechte jederzeit wieder entziehen.

  3. Die Registrierung kann nur abgeschlossen und übermittelt werden, wenn der Nutzer diese Nutzungsbedingungen akzeptiert.

  4. Mit Abschluss dieser erstmaligen Registrierung auf der Plattform gibt der Nutzer ein verbindliches Angebot auf Abschluss eines Vertrages zur Nutzung der Plattform ab. Angebote von Nutzern werden auf Richtigkeit und Plausibilität geprüft.

  5. Nach der Registrierung erhält der Nutzer eine Bestätigungs-eMail an seine angegebene eMail-Adresse. Der Versand dieser Bestätigungs-eMail stellt die Annahme des Angebots auf Abschluss eines Vertrages zur Nutzung der Plattform dar.

  6. Der Plattformbetreiber ist berechtigt, das Angebot eines Nutzers auf Abschluss eines Vertrages zur Nutzung der Plattform aus beliebigen Gründen abzulehnen, insbesondere wenn der Nutzer nicht der von der Plattform avisierten Zielgruppe entspricht. Ein Anspruch auf Abschluss eines Vertrages zur Nutzung der Plattform besteht nicht.

5. Nutzungsentgelt und Zahlungsbedingungen

  1. Für die Nutzung der Plattform stellt der Plattformbetreiber dem jeweiligen Hauptnutzer das vereinbarte Entgelt in Rechnung, welches sich nach der jeweils aktuellen Preisliste richtet, die öffentlich auf der Plattform zugänglich ist.

  2. Alle aufgelisteten Preise verstehen sich zuzüglich der am Tag der Rechnungsstellung geltenden gesetzlichen Umsatzsteuer.

  3. Bei monatlichem Nutzungsentgelt wird dieses jeweils im voraus am Anfang des jeweiligen Abrechnungszeitraums fällig.

  4. Zur Abrechnung versendet der Plattformbetreiber eine entsprechende Rechnung über den Zahlungsdiensteanbieter Paddle an die vom Nutzer angegebene E-Mail-Adresse.

  5. Sofern kein anderes Zahlungsverfahren vereinbart wurde, muss der Rechnungsbetrag spätestens 14 Tage nach Rechnungsstellung auf dem Konto des Plattformbetreibers gutgeschrieben sein.

6. Informationen für Verbraucher

  1. Dem Nutzer, der Verbraucher ist, steht das nachfolgende Widerrufsrecht zu.

Widerrufsbelehrung

Widerrufsrecht

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen. Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag des Vertragsabschlusses. Um Ihr Widerrufsrecht auszuüben, müssen Sie uns, TAWNY GmbH, Schellingstr. 45, 80799 München, Mail: widerruf@tawny.ai mittels einer eindeutigen Erklärung (z. B. ein mit der Post versandter Brief oder E-Mail) über Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie können dafür das beigefügte Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist. Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden (§ 355 Abs. 1 Satz 5 BGB).

Widerrufsfolgen

Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus ergeben, dass Sie eine andere Art der Lieferung als die von uns angebotene, günstigste Standardlieferung gewählt haben), unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag zurückzuzahlen, an dem die Mitteilung über Ihren Widerruf dieses Vertrags bei uns eingegangen ist. Für diese Rückzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der ursprünglichen Transaktion eingesetzt haben, es sei denn, mit Ihnen wurde ausdrücklich etwas anderes vereinbart; in keinem Fall werden Ihnen wegen dieser Rückzahlung Entgelte berechnet.

  1. Der Nutzer, der Verbraucher ist, kann für seinen Widerruf das folgende Muster-Widerrufsformular verwenden.

Muster-Widerrufsformular

(Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus und senden Sie es zurück.)

  • TAWNY GmbH, Schellingstr. 45, 80799 München, E-Mail: widerruf@tawny.ai
  • Hiermit widerrufe(n) ich/wir* den von mir/uns* abgeschlossenen Vertrag über die Erbringung der folgenden Dienstleistung
  • Bestellt am*/Erhalten am*: ____________________
  • Name des/der Verbraucher(s): ____________________
  • Anschrift des/der Verbraucher(s): ____________________
  • Unterschrift des/der Verbraucher(s): ____________________
  • Datum: ____________________

*Unzutreffendes streichen.

7. Plichten des Nutzers

  1. Jeder Nutzer ist verpflichtet,

    1. vollständige und wahrheitsgemäße Angaben zu seiner Person und seinem Unternehmen zu machen.
    2. Änderungen in den Daten unverzüglich mitzuteilen. Bis zur Änderung der persönlichen Angaben oder Angaben zum Nutzer gelten die auf der Plattform hinterlegten Angaben des Nutzers gegenüber dem Plattformbetreiber als richtig und vollständig.
    3. das zur Sicherung des Nutzerkontos eingerichtete Passwort geheim zu halten.
    4. die Nutzung des eigenen Nutzerkontos durch Dritte zu verhindern.
    5. jede missbräuchliche Nutzung des eigenen Nutzerkontos unverzüglich dem Plattformbetreiber anzuzeigen.
  2. Jeder Nutzer ist für die Sicherheit seines Nutzerkontos selbst verantwortlich.

  3. Informationen, Marken, Markennamen, Kennzeichnungen und sonstige Inhalte der Plattform dürfen ohne vorherige schriftliche Genehmigung des Plattformbetreibers weder verändert, kopiert, vervielfältigt, verkauft, vermietet, genutzt, ergänzt noch auf sonstige Weise verwertet werden.

8. Inhaltliche Verantwortlichkeit und Freistellung

  1. Der Plattformbetreiber prüft nicht, ob die Nutzerinhalte gesetzliche Vorgaben oder Rechte Dritter verletzen. Jeder Nutzer ist für die Zulässigkeit des Hochladens und der Analyse der Videos verantwortlich. Dies gilt insbesondere dafür, dass die Verarbeitung auf der Plattform den datenschutzrechtlichen Anforderungen genügt und keine Rechte Dritter verletzen.

  2. Der Nutzer ist selbst dafür verantwortlich, Datenschutzrechte Dritter (z.B. der Personen in den Videos) zu wahren (z.B. eine Einwilligung der Personen zur Datenverarbeitung einzuholen. Der Nutzer stellt den Plattformbetreiber hiermit von allen Ansprüchen frei, die Dritte wegen einer Verletzung etwaiger Datenschutzrechte oder ihrer sonstigen Rechte durch die von dem Nutzer eingestellten Inhalte gegen den Plattformbetreiber geltend machen könnten.

  3. Der Plattformbetreiber ist berechtigt, die Nutzerinhalte auf der Plattform vorläufig oder dauerhaft zu sperren, zu löschen oder sie so zu verändern, dass sie Rechte Dritter nicht mehr verletzen oder geforderte Unterlassungserklärungen abzugeben, wenn der Plattformbetreiber wegen eines Inhaltes, den ein Nutzer auf der Plattform eingestellt hat, von Dritten auf Unterlassung in Anspruch genommen wird.

9. Vertragsdauer und Kündigung

  1. Der Nutzungsvertrag wird für die jeweils vom Nutzer ausgewählte Laufzeit geschlossen.

  2. Der Nutzungsvertrag verlängert sich um die jeweils vereinbarte Vertragslaufzeit, wenn nicht eine der Parteien den Nutzungsvertrag mit einer Frist von einem Monat zum jeweiligen Vertragslaufzeitende kündigt.

  3. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund ist insbesondere anzunehmen bei technischen Manipulationen des Nutzers an der Plattform oder den Funktionen oder sonstigen Verstößen gegen diese Nutzungsbedingungen oder gesetzliche Regelungen.

  4. Jede Kündigung bedarf der Text- oder Schriftform.

10. Haftung

  1. Bei Vorsatz und grober Fahrlässigkeit, sowie beim Fehlen einer garantierten Eigenschaft haftet der Plattformbetreiber unbeschränkt.

  2. Bei leichter Fahrlässigkeit haftet der Plattformbetreiber im Falle einer Verletzung des Lebens, des Körpers und der Gesundheit unbeschränkt. Im Übrigen haftet der Plattformbetreiber bei leichter Fahrlässigkeit nur, sofern eine Pflicht verletzt wird, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht, deren Verletzung die Erreichung des Vertragszweckes gefährdet und auf deren Einhaltung der Nutzer regelmäßig vertrauen kann (Kardinalspflicht). Bei Verletzung einer Kardinalspflicht ist die Haftung auf den vertragstypisch vorhersehbaren Schaden begrenzt.

  3. Die Haftung auf Grund des Produkthaftungsgesetzes und anderer zwingender gesetzlicher Regelungen bleibt unberührt.

  4. Die vorstehenden Absätze 1-3 gelten entsprechend für die gesetzlichen Vertreter oder Erfüllungsgehilfen des Plattformbetreibers.

11. Datenschutz

  1. Die Nutzerdaten werden von dem Plattformbetreiber ausschließlich zu den in diesen Nutzungsbedingungen beschriebenen Zwecken unter Beachtung der einschlägigen datenschutzrechtlichen Bestimmungen gespeichert und verarbeitet. Insbesondere werden ohne eine entsprechende Einwilligung keine personenbezogenen Daten an Dritte weitergegeben. Weitergehende Informationen zu der Verarbeitung personenbezogener Daten können dem Datenschutzhinweis entnommen werden.

  2. Die Parteien verpflichten sich zur Einhaltung des gesetzlichen Datenschutzes gemäß der Datenschutzgrundverordnung (DSGVO). Der Plattformbetreiber speichert und verarbeitet die Nutzerinhalte entsprechend der unten stehenden "Anlage zur Auftragsverarbeitung" im Auftrag des Nutzers.

  3. Mit dem Hochladen der Nutzerinhalte räumt der Nutzer dem Pattformbetreiber das nicht ausschließliche, auf die Laufzeit des Nutzungsvertrages beschränkte Recht ein, die Nutzerinhalte zur Bereitstellung und Verbesserung der Plattform und der verwendeten Technologie zu analysieren. Zudem räumt der Nutzer dem Plattformbetreiber das nicht ausschließliche, zeitlich unbeschränkte Recht ein, die hieraus gewonnene Analysedaten und -ergebnisse für die vorgenannten Zwecke in anonymisierter Form zu verarbeiten. Das Recht zur Verarbeitung der Nutzerinhalte selbst erlischt gleichzeitig mit der Kündigung bzw. der Nutzung der Plattform.

12. Anwendbares Recht und Gerichtsstand

  1. Für die Nutzung der Plattform gilt deutsches Recht unter Ausschluss des internationalen Privatrechts und des ins deutsche Recht übernommenen UN-Kaufrechts.

  2. Gerichtsstand für Kaufleute im Sinne des Handelsgesetzbuches (HGB) ist der Sitz des Plattformbetreibers.

  3. Änderungen oder Ergänzungen dieser Vertragsbedingungen, sowie etwaige Nebenabreden hierzu bedürfen der Schriftform, soweit nicht vorstehend ausdrücklich etwas anderes geregelt ist. Das gleiche gilt für einen Verzicht auf das Schriftformerfordernis.

  4. Sollten einzelne oder mehrere Bestimmungen dieser Vertragsbedingungen ganz oder teilweise unwirksam sein oder werden, so wird hiervon die Wirksamkeit aller sonstigen Bestimmungen oder Vereinbarungen im Zweifel nicht berührt. Anstelle der unwirksamen Bestimmungen soll vielmehr eine Regelung gelten, die in rechtlich zulässiger Weise dem wirtschaftlichen Sinn und Zweck der unwirksamen Bestimmung möglichst nahe kommt.

Stand: 25.06.2020

Anlage zur Auftragsverarbeitung

1. Anwendungsbereich

Bei der Erbringung der Leistungen gemäß den Nutzungsbedingungen verarbeitet der Plattformbetreiber personenbezogene Daten, die der Nutzer zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Nutzer als Verantwortlicher im datenschutzrechtlichen Sinn fungiert ("Nutzerinhalte"). Diese Anlage spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Nutzerinhalte zur Erbringung der Leistungen nach den Nutzungsbedingungen.

2. Umfang der Beauftragung / Weisungsbefugnisse des Nutzers

  1. Der Plattformbetreiber wird die Nutzerinhalte ausschließlich im Auftrag und gemäß den Weisungen des Nutzers verarbeiten, sofern der Plattformbetreiber nicht gesetzlich dazu verpflichtet ist. In letzterem Fall teilt der Plattformbetreiber dem Nutzer diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

  2. Die Verarbeitung von Nutzerinhalte durch den Plattformbetreiber erfolgt ausschließlich in der Art, dem Umfang und zu dem Zweck wie in den Nutzungsbedingungen spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen.
    Art der personenbezogenen Daten: Videos von Personen
    Kategorien betroffener Personen: Personen, die vom Nutzer per Einwilligung zur Teilnahme rekrutiert werden; Personen, bei denen der Nutzer ein nachweisbares Nutzungsrecht für das Video besitzt

  3. Die Dauer der Verarbeitung entspricht der Laufzeit der Nutzungsbedingungen.

  4. Der Nutzer behält sich das Recht zur Erteilung von Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Nutzerinhalte vor.

3. Anforderungen an Personal

  1. Der Plattformbetreiber hat alle Personen, die Nutzerinhalte verarbeiten, bezüglich der Verarbeitung von Nutzerinhalte zur Vertraulichkeit verpflichtet.

  2. Der Plattformbetreiber stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Nutzerinhalten haben, diese nur auf seine Anweisung verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

4. Sicherheit der Verarbeitung

  1. Der Plattformbetreiber ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Nutzerinhalte sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Nutzerinhalte zu gewährleisten.

  2. Der Plattformbetreiber hat vor dem Beginn der Verarbeitung der Nutzerinhalte insbesondere die im Anhang "Technische und organisatorische Maßnahmen" zu dieser Anlage spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während des Hauptvertrags aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Nutzerinhalten im Einklang mit diesen Maßnahmen durchgeführt wird.

5. Inanspruchnahme weiterer Auftragsverarbeiter

  1. Der Nutzer genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter durch den Plattformbetreiber. Die gegenwärtig vom Plattformbetreiber eingesetzten, bereits genehmigten weiteren Auftragsverarbeiter sind:
Name und Adresse des Subunternehmers Beschreibung der Tätigkeiten für den Auftragnehmer
Hetzner Online AG, Stuttgarter Str. 1, 91710 Gunzenhausen Bereitstellung von Computing-Services (Hosting, Datenverarbeitung, Speicher)
HYVE AG, Schellingstr. 45, 80799 München Bereitstellung von Computing-Services (Hosting, Datenverarbeitung, Speicher)
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Bereitstellung von Computing-Services (Hosting, Datenverarbeitung, Speicher)
  1. Der Plattformbetreiber wird den Nutzer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren. Der Nutzer ist berechtigt, gegen jede beabsichtigte Änderung Einspruch zu erheben. Erhebt der Nutzer Einspruch, ist dem Plattformbetreiber die beabsichtigte Änderung untersagt. Im Falle zugelassener Änderungen wird der Plattformbetreiber die Liste der Unterbeauftragten entsprechend aktualisieren und dem Nutzer unverlangt zur Verfügung stellen.

  2. Der Plattformbetreiber wird jedem weiteren Auftragsverarbeiter vertraglich dieselben Datenschutzpflichten auferlegen, die in dieser Anlage Auftragsverarbeitung in Bezug auf den Plattformbetreiber festgelegt sind.

  3. Der Plattformbetreiber wird vor jeder Beauftragung sowie regelmäßig während der Beauftragung überprüfen, dass die weiteren Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergriffen haben und diese so durchgeführt werden, dass die Verarbeitung der Nutzerinhalte gemäß dieser Anlage Auftragsverarbeitung erfolgt.

6. Rechte der betroffenen Personen

  1. Der Plattformbetreiber wird den Nutzer im Rahmen des Zumutbaren mit technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

  2. Der Plattformbetreiber wird insbesondere:

    1. den Nutzer unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Nutzerinhalte unmittelbar an den Plattformbetreiber wenden sollte;
    2. dem Nutzer auf Anfrage alle bei ihm vorhandenen Informationen über die Verarbeitung von Nutzerinhalte geben, die der Nutzer zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Nutzer nicht selbst verfügt.

7. Sonstige Unterstützungspflichten des Plattformbetreibers

  1. Der Plattformbetreiber meldet dem Nutzer, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Nutzerinhalten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Nutzerinhalten führen. Die Meldung enthält nach Möglichkeit eine Beschreibung:

    1. der Art der Verletzung des Schutzes der Nutzerinhalte, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    2. der wahrscheinlichen Folgen der Verletzung des Schutzes der Nutzerinhalte;
    3. der von dem Plattformbetreiber ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Nutzerinhalte und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  2. Für den Fall, dass der Nutzer verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird der Plattformbetreiber den Nutzer auf dessen Anfrage unterstützen, diese Pflichten einzuhalten.

  3. Der Plattformbetreiber wird den Nutzer im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

8. Datenlöschung und -zurückgabe

Der Nutzer kann Nutzerinhalte, die vom Nutzer erstellt oder auf die Plattform geladen wurden, selbständig über die Funktionen der Plattform wieder (unwiderruflich) löschen. Der Plattformbetreiber wird auf die Weisung des Nutzers hin mit Beendigung der Nutzung der Plattform alle Nutzerinhalte entweder vollständig und unwiderruflich löschen oder an den Nutzer zurückgeben, sofern nicht gesetzlich eine Verpflichtung des Plattformbetreibers zur weiteren Speicherung der Nutzerinhalte besteht.

9. Nachweise und Überprüfungen

  1. Der Plattformbetreiber hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Nutzerinhalte mit dieser Anlage Auftragsverarbeitung festgelegten Umfangs der Verarbeitung der Nutzerinhalte, sowie den Weisungen des Nutzers in Einklang steht.

  2. Der Plattformbetreiber wird die Umsetzung der Pflichten nach dieser Anlage Auftragsverarbeitung in geeigneter Weise dokumentieren und dem Nutzer entsprechende Nachweise auf dessen Anfrage vorlegen. Der Plattformbetreiber wird insbesondere dokumentieren:

    1. alle Vertraulichkeitsverpflichtungen von Personen, die Nutzerinhalte verarbeiten;
    2. alle sich in seinem Einwirkungsbereich ereignenden Verletzungen des Schutzes von Nutzerinhalten einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und von ihm ergriffene Abhilfemaßnahmen;
    3. alle Verträge über die Inanspruchnahme weiterer Auftragsverarbeiter und alle Prüfungen weiterer Auftragsverarbeiter im Sinne von Ziffer 5.;
    4. alle auf Weisung des Nutzers erfolgten Löschungen von Nutzerinhalten.
  3. Der Nutzer ist berechtigt, den Plattformbetreiber vor dem Beginn der Verarbeitung von Nutzerinhalte und regelmäßig während der Nutzung bezüglich der Einhaltung der Regelungen dieser Anlage Auftragsverarbeitung, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anhang A, selbst oder durch einen von ihm beauftragten Prüfer zu überprüfen; einschließlich durch rechtzeitig angekündigte Inspektionen. Der Plattformbetreiber ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei, unter anderem durch:

    1. die Gewährung der notwendigen Zugangs- und Zugriffsrechte und
    2. der Bereitstellung aller notwendigen Informationen.

10. Haftung und Schadensersatz

Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

Anhang "Technische und organisatorische Maßnahmen zur Datensicherheit"

Für die TAWNY-Plattform sind nachfolgende technische und organisatorische Maßnahmen (TOM) zur Datensicherheit i. S. d. Art. 32 DSGVO getroffen worden. Die Schutzmaßnahmen für die Datenverarbeitung in Kundenprojekten über die TAWNY-Plattform werden zusätzlich zu denen für die interne IT-Infrastruktur angewendet. Sie gelten für alle Tätigkeiten, bei denen Mitarbeiter von TAWNY oder beauftragte Dritte (Auftragsverarbeiter) personenbezogene oder sensible Daten des Auftraggebers verarbeiten.

Technische Basis:

Die von TAWNY erbrachten Services werden über zwei Rechenzentrumsinfrastrukturen bereitgestellt:

Google Cloud Platform

Ein Teil der von TAWNY erbrachten Services wird geobasiert innerhalb der EU auf der Google Cloud Platform (GCP) gehostet. Betreiber ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (im Folgenden "Google").

Die GCP Rechenzentrums- und Netzwerkarchitektur erfüllt sehr hohe Anforderungen, die als Voraussetzung für den sicheren Betrieb von TAWNY notwendig sind: Hierdurch werden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie rasche Wiederherstellbarkeit gewährleistet. Die GCP ist unter anderem nach ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701, SOC 1-3, PCI DSS und CSA STAR zertifiziert. Dies sind international anerkannte Standards für IT-Betrieb sowie Informations- und Datensicherheit.

Hetzner Online AG

Ein Teil der von TAWNY erbrachten Services wird in einem sicheren Rechenzentrum innerhalb von Deutschland (Nürnberg, Falkenstein) gehostet. Betreiber ist die Hetzner Online AG, Stuttgarter Str. 1, 91710 Gunzenhausen (im Folgenden "Hetzner").

Hetzner Online ist nach DIN ISO/IEC 27001 zertifiziert. Der international anerkannte Standard für Informationssicherheit bescheinigt der Hetzner Online GmbH und der Hetzner Finland Oy, dass ein geeignetes Informationssicherheits-Managementsystem, kurz ISMS, implementiert wurde und gelebt wird. Das ISMS findet an den Standorten Nürnberg und Falkenstein sowie Helsinki unter dem Scope "Der Anwendungsbereich des Informationssicherheits-Managementsystems umfasst die Infrastruktur, den Betrieb und den Kundensupport der Rechenzentren." seine Anwendung. Das entsprechende Zertifizierungs-Verfahren wurde durch die FOX Certification GmbH durchgeführt.

Das Zertifikat weist ein adäquates Sicherheitsmanagement, die Sicherheit der Daten, die Vertraulichkeit der Informationen und die Verfügbarkeit der IT-Systeme nach. Es bestätigt zudem, dass die Sicherheitsstandards kontinuierlich verbessert und nachhaltig kontrolliert werden.

1. Pseudonymisierung

Pseudonymisierung wird zurzeit nicht angewendet. Die Anwendung von Pseudonymisierungsverfahren obliegt dem Auftraggeber.

2. Vertraulichkeit

Zutrittskontrolle - Kein unbefugter Zutritt zu Datenverarbeitungsanlagen

Die physische Sicherheit des jeweiligen Rechenzentrums wird durch die Betreiber Google und Hetzner bereitgestellt.

Zugangskontrolle - Keine unbefugte Systembenutzung

Die Kontrolle des Zugangs zu Datenverarbeitungsanlagen mit Kundenprojekten ist durch folgende Maßnahmen sichergestellt.

Technische Maßnahmen:

  • Der Zugriff auf die TAWNY-Plattform ist nur mit einem passwortgeschützten Benutzeraccount möglich.
  • Der Zugriff auf die Administrationstools der Backendsysteme ist nur über speziell mit 2-Faktor-Authentifizierung abgesicherte Adminstratoraccounts möglich.
  • Der Zugriff auf die unterliegende Serverinfrastruktur ist nur per SSH mit Public/Private-Key-Authentifizierung (mit per Passphrase zusätzlich verschlüsselten Keys) möglich.
  • Die Zugangsprotokollierung auf die Systeme von Google und Hetzner erfolgt über die Protokollierungsfunktionen des jeweiligen Anbieters.
  • Die Zugangsprotokollierung auf Linux-Servern erfolgt über das lokale Syslog.

Organisatorische Maßnahmen:

  • Die Erstellung eines Benutzeraccounts auf der TAWNY-Plattform erfordert die Validierung der verwendeten E-Mail-Adresse.
  • Administratorenrechte sind einigen wenigen Kern-Entwicklern des Auftragnehmers vorbehalten, deren Accounts speziell mit 2-Faktor-Authentifizierung und/oder Public/Private-Key-Authentifizierung (mit per Passphrase zusätzlich verschlüsselten Keys) abgesichert sind.
  • Der Kreis dieser Administratoren wird so klein wie möglich gehalten.
  • Die Adminstratoren sind speziell instruiert, wie mit diesen Zugriffsmöglichkeiten umzugehen ist, und sind selbstverständlich zur Vertraulichkeit verpflichtet.

Zugriffskontrolle – Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems

Der kontrollierte Zugriff auf personenbezogene Daten nach dem „Need-to-Know“ Prinzip ist durch folgende Maßnahmen sichergestellt:

Technische Maßnahmen:

  • Der Zugriff auf ein Projekt auf der TAWNY-Plattform (und die darin enthaltenen Daten) ist nur mit einem passwortgeschützten Benutzeraccount möglich, der die entsprechenden Berechtigungen besitzen muss. Die Durchsetzung dieser Regeln ist über die Mechanismen der unterliegenden Datenbanken und Storage-Server sichergestellt.
  • Der Zugriff auf Daten des Auftraggebers direkt über die Administrationstools der Backendsysteme ist nur über speziell mit 2-Faktor-Authentifizierung abgesicherte Adminstratoraccounts möglich.
  • Der Zugriff auf Daten des Auftraggebers direkt über die unterliegende Serverinfrastruktur ist nur per SSH mit Public/Private-Key-Authentifizierung möglich.

Organisatorische Maßnahmen:

  • Die grundsätzliche Organisationseinheit für Kundendaten auf der TAWNY-Plattform ist ein "Plattform-Projekt". Der Auftraggeber kann beliebig viele solcher Projekte anlegen und die nachfolgenden Maßnahmen individuell pro Projekt festlegen.
  • Der Verwaltung der Zugriffsrechte auf ein Plattform-Projekt und die darin enthaltenen Daten liegt im Verantwortungsbereich des Projektinhabers, d.h. des Auftraggebers.
  • Im Grundzustand hat nur der Projektinhaber selbst mit seinem Benutzeraccount Zugriff auf das Projekt.
  • Der Projektinhaber kann weiteren Benutzeraccounts explizit die Freigabe auf ein Projekt (und damit die darin enthaltenen Daten) erteilen und auch wieder entziehen.
  • Auch TAWNY-Mitarbeitern, die evtl. zu Supportzwecken Zugriff auf das Projekt erhalten sollen, muss explizit vom Projektinhaber über den gleichen Mechanismus die Freigabe für das Projekt erteilt werden.
  • Über die Backendsysteme und die Serverinfrastruktur ist grundsätzlich ein Zugriff auf die Daten des Auftraggebers unter Umgehung der vorher beschriebenen Regeln möglich. Die hierfür notwendigen Administratorenrechte sind jedoch einigen wenigen Kern-Entwicklern des Auftragnehmers vorbehalten, deren Accounts speziell mit 2-Faktor-Authentifizierung und/oder Public/Private-Key-Authentifizierung (mit per Passphrase zusätzlich verschlüsselten Keys) abgesichert sind.
  • Der Kreis dieser Administratoren wird so klein wie möglich gehalten.
  • Die Adminstratoren sind speziell instruiert, wie mit diesen Zugriffsmöglichkeiten umzugehen ist, und sind selbstverständlich zur Vertraulichkeit verpflichtet.

Weitergabekontrolle

Die Vertraulichkeit der personenbezogenen Daten bei der elektronischen Übertragung oder während ihres Transports ist durch folgende Maßnahmen sichergestellt:

Technische Maßnahmen

  • Die elektronische Übertragung der Daten findet ausschließlich verschlüsselt nach dem Stand der Technik statt (SSL, SSH, etc.)

Organisatorische Maßnahmen

  • Der Transport von Daten auf physischen Datenträgern (USB-Stick, externe Festplatte, etc.) ist nur in Ausnahmefällen erlaubt.
  • Beim Transport von Daten auf physischen Datenträgern (USB-Stick, externe Festplatten) werden die Daten vorher verschlüsselt.

3. Integrität

Maßnahmen, um die Integrität der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Technische Maßnahmen:

  • Die Änderung von Daten in einem Plattform-Projekt ist nur mit einem passwortgeschützten Benutzeraccount möglich, der die entsprechenden Berechtigungen besitzen muss.
  • Wesentliche Aktivitäten innerhalb von Plattform-Projekten werden automatisch protokolliert (inkl. Art der Aktion, Zeitstempel und ausführender Benutzer).
  • Die Änderung von Daten des Auftraggebers direkt über die Administrationstools der Backendsysteme ist nur über speziell mit 2-Faktor-Authentifizierung abgesicherte Adminstratoraccounts möglich.
  • Die Änderung von Daten des Auftraggebers direkt über die unterliegende Serverinfrastruktur ist nur per SSH mit Public/Private-Key-Authentifizierung möglich.

Organisatorische Maßnahmen:

  • Administratorenrechte sind einigen wenigen Kern-Entwicklern des Auftragnehmers vorbehalten, deren Accounts speziell mit 2-Faktor-Authentifizierung und/oder Public/Private-Key-Authentifizierung (mit per Passphrase zusätzlich verschlüsselten Keys) abgesichert sind.
  • Der Kreis dieser Administratoren wird so klein wie möglich gehalten.
  • Administratoren protokollieren etwaige Änderungen an Daten des Auftraggebers, die über die Adminstratorzugriffsrechte durchgeführt wurden.
  • Automatisierte Änderungen an Daten des Auftraggebers (z.B. im Rahmen des Ausrollens einer neuen Plattform-Software-Version) werden vorher auf Test- und Staging-Umgebungen getestet, um die Erhaltung der Integrität der Daten zu prüfen.

4. Verfügbarkeit und Belastbarkeit

Maßnahmen, um die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

Technische Maßnahmen:

  • Die verwendeten Rechenzentren erfüllen internationale Standards (z.B. ISO/IEC 27001, weitere siehe Auflistung oben).
  • Die Daten der TAWNY-Plattform werden in Multi-Region-Buckets georedundant gespeichert.
  • Die TAWNY-Plattform nutzt die Möglichkeiten der automatischen Skalierung von Ressourcen in den Rechenzentren, um auch bei Lastspitzen die Verfügbarkeit aufrecht zu erhalten.
  • Die TAWNY-Plattform wird auf virtualisierten Systemen betrieben, um möglichst unabhängig von darunterliegender Hardware / Hardware-Fehlern zu sein.
  • Backups werden automatisiert und regelmäßig erstellt.

Organisatorische Maßnahmen:

  • Reaktionszeiten bei Störungen basieren auf den Arbeitszeiten des TAWNY-Plattform-Supportteams (Mo-Fr 9-18 Uhr) sowie den Verfügbarkeiten des technischen Supports von Google und Hetzner.

5. Rasche Wiederherstellbarkeit

Maßnahmen, um die Verfügbarkeit der personenbezogenen Daten und den Zugang zu diesen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Technische Maßnahmen:

  • Die Datenbanken der TAWNNY-Plattform können automatisiert aus Backups wiederhergestellt werden.
  • Die Plattform-Software oder bestimmte Teile davon können in anderer Umgebung (z.B. neue Cloud-Instanzen) automatisiert neu deployed werden.

Organisatorische Maßnahmen:

  • Prozess, Verantwortliche und Meldewege sind festgelegt.

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

  • Regelmäßige Überprüfung der technischen Maßnahmen und möglicher Verbesserungen dieser auf Basis des Stands der Technik im Rahmen der Weiterentwicklung der TAWNY-Plattform.
  • Peer-Review von Konzepten und Implementierungen der technischen Maßnahmen innerhalb des Entwicklerteams.
  • Regelmäßige Bewertung der Maßnahmen mit externem Datenschutzbeauftragten.

7. Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO)

  • Verzeichnis von Verarbeitungstätigkeiten i. S. d. Art. 30 Abs. 2 DSGVO vorhanden.
  • Die weisungsgemäße Verarbeitung personenbezogener Daten erfolgt beim Auftragnehmer durch eine Leistungsvereinbarung mit einem klar definierten Umfang für Art und Zweck der beabsichtigten Verarbeitung. Dies ist im Vertrag über Auftragsdatenverarbeitung nach Art. 28 DSGVO dokumentiert.

Stand: 25.06.2020

Terms of Usage

For your convenience, this is a translation of the German text. However, please note that the German text is the legally binding one.

1. Preamble

  1. TAWNY GmbH, Schellingstr. 45, 80799 München (hereinafter "platform operator") provides a Software-as-a-Service platform under tawny.ai and the respective subdomains (e.g., platform.tawny.ai, docs.tawny.ai, etc.) (hereinafter "platform") in the area of emotion recognition.

  2. Registered users (hereinafter referred to as "users") can upload videos on the platform. Persons in the video are then immediately analysed with regard to human emotions, behaviour and other affective states.

  3. The platform operator has the discretionary power over the content, appearance, design, functionality and all other features of the platform. This includes the right to redesign, modify, remove or change the content, appearance, design, functionality and other features of the platform as well as individual elements, aspects, parts or features at any time, or to restrict access to them.

  4. These Terms of Usage regulate the use of the platform by the users and thus the legal relationship between the platform operator and the users. They are solely determining for the legal relationship between the platform operator and users, unless otherwise agreed in individual contracts. Deviating regulations in this sense must be in writing.

2. Reservation of Change

  1. The platform operator is entitled to change these Terms of Usage with a reasonable period of notice.

  2. The platform operator only has this right if the change is reasonable for the user, taking into account the interests of the platform operator.

  3. The platform operator shall notify the user of the changes in text form at least 6 weeks before they take effect.

  4. If the user does not agree with the changes, he can object to them. In the notification of change, the platform operator shall inform the user both of his right to object and of the fact that the change shall be deemed approved if he does not object in writing within a period of 1 month from receipt of the notification of change.

3. Services of the Platform Operator

  1. The platform operator provides the technical requirements for the use of the platform to the extent described below.

  2. Every registered user can upload videos of persons (hereinafter referred to as "user content") to the Platform and have them analysed there.

4. Registration

  1. Registration is required to create a user account. For this purpose, the user must fill out the mandatory fields provided (hereinafter referred to as "user data") completely and truthfully, provide a valid e-mail address and set up a password to secure his user account.

  2. The main user is the user who has set up a user account as a so-called subscriber. Each main user can invite further users (so-called collaborator) to participate in his user account. These users also have to register on the platform and then have access to the user content and evaluations of the main user. The main user can revoke the respective access rights of these users at any time.

  3. Registration can only be completed and transmitted if the user accepts these Terms of Use.

  4. By completing this initial registration on the platform, the user makes a binding offer to conclude a contract for the use of the platform. Offers from users are checked for correctness and plausibility.

  5. After registration, the user will receive a confirmation email to his specified email address. The sending of this confirmation email represents the acceptance of the offer to conclude a contract for the use of the platform.

  6. The platform operator is entitled to reject a user's offer to conclude a contract for the use of the platform for any reason, especially if the user does not correspond to the target group notified by the platform. There is no right to conclude a contract for the use of the platform.

5. User Fee and Terms of Payment

  1. For the use of the platform, the platform operator shall invoice the respective main user for the agreed fee, which is based on the respective current price list that is publicly accessible on the platform.

  2. All listed prices are subject to the statutory value added tax applicable on the day of invoicing.

  3. In the case of monthly usage fees, this is due in advance at the beginning of the respective billing period.

  4. For invoicing purposes, the platform operator shall send a corresponding invoice via the payment service provider Paddle to the e-mail address given during registration.

  5. Unless another payment method has been agreed, the invoice amount must be credited to the platform operator's account no later than 14 days after the invoice is issued.

6. Information for Consumers

  1. The user, who is a consumer, has the following right of withdrawal.

Withdrawal Policy

Right of Withdrawal You have the right to withdraw this contract within fourteen days without giving reasons. The withdrawal period is fourteen days from the date of conclusion of the contract. To exercise your right of withdrawal, you must inform us TAWNY GmbH, Schellingstr. 45, 80799 München, Mail: widerruf@tawny.ai by means of a clear statement (e.g. a letter or e-mail sent by post) of your decision to withdraw this contract. You can use the attached model withdrawal form for this purpose, but this is not mandatory. In order to comply with the withdrawal period, it is sufficient to send the notification of the exercise of the right of withdrawal before the end of the withdrawal period (§ 355 (1) sentence 5 BGB).

Consequences of Withdrawal If you withdraw this Agreement, we shall reimburse you for all payments we have received from you, including delivery charges (other than any additional charges arising from your choosing a different method of delivery from the cheapest standard delivery offered by us), immediately and no later than fourteen days from the date on which we receive notice of your withdrawal of this Agreement. For this refund, we will use the same means of payment that you used for the original transaction, unless expressly agreed otherwise with you; in no event will you be charged for this refund.

  1. The user who is a consumer may use the following model withdrawal form for his revocation.

Model Withdrawal Form

(If you want to withdraw the contract, please fill out this form and send it back.)

– TAWNY GmbH, Schellingstr. 45, 80799 München, E-Mail: widerruf@tawny.ai
– I/we* hereby withdraw the contract concluded by me/us* for the provision of the following service
– Ordered on*/received on*: ____________________
– Name of the consumer(s): ____________________
– Adress oft he consumer(s): ____________________
– Signature oft he consumer(s): ____________________
– Date: ____________________

*Delete as applicable.

7. Obligations oft he User

  1. Every user is obliged,

    1. provide complete and truthful information about himself and his company.
    2. to notify any changes in the data without delay. Until changes are made to the personal details or details of the user, the user's details deposited on the platform are deemed to be correct and complete vis-à-vis the platform operator.
    3. to keep the password set up to secure the user account secret.
    4. to prevent the use of the user account by third parties
    5. to notify the platform operator immediately of any misuse of the user's own user account.
  2. Each user is responsible for the security of his user account.

  3. Information, trademarks, brand names, labels and other contents of the platform may not be changed, copied, reproduced, sold, rented, used, supplemented or otherwise exploited without the prior written consent of the platform operator.

8. Responsibility for Content and Indemnification

  1. The platform operator does not check whether the user content violates legal requirements or the rights of third parties. Each user is responsible for the permissibility of uploading and analyzing the videos. This applies in particular to the fact that processing on the platform complies with data protection requirements and does not infringe the rights of third parties.

  2. The User is responsible for protecting the data protection rights of third parties (e.g. the persons in the videos) (e.g. obtaining the consent of the persons for data processing). The user hereby indemnifies the platform operator from all claims that third parties could assert against the platform operator due to a violation of any data protection rights or their other rights by the contents posted by the user.

  3. The platform operator is entitled to temporarily or permanently block, delete or modify the user content on the platform in such a way that it no longer infringes the rights of third parties or to issue required cease and desist declarations if a claim is made against the platform operator by third parties for injunctive relief because of content which a user has posted on the platform.

9. Duration of Contract and Termination

  1. The contract of use is concluded for the term selected by the user.

  2. The user contract is automatically extended by the respective agreed contract period unless one of the parties terminates the user contract with a notice period of one month to the end of the respective contract period

  3. The right to extraordinary termination for good cause remains unaffected. Good cause is to be assumed in particular in the event of technical manipulations by the User on the platform or the functions or other violations of these Terms of Use or statutory regulations.

  4. Any termination must be made in writing or in text form.

10. Liability

  1. In the event of intent and gross negligence, as well as in the absence of a guaranteed feature, the platform operator is liable without limitation.

  2. In the case of slight negligence, the platform operator is liable without limitation in the event of injury to life, body and health. Otherwise, the platform operator shall only be liable for slight negligence if an obligation is violated, the fulfilment of which is essential for the proper execution of the contract, the violation of which endangers the achievement of the purpose of the contract and on the observance of which the user can regularly rely (cardinal obligation). In the event of a breach of a cardinal obligation, liability shall be limited to the foreseeable damage typical for the contract.

  3. Liability based on the Product Liability Act and other mandatory legal regulations remains unaffected.

  4. The above paragraphs 1-3 apply accordingly to the legal representatives or vicarious agents of the platform operator.

11. Data Protection

  1. The user data will be stored and processed by the platform operator exclusively for the purposes described in these terms of use and in compliance with the relevant data protection regulations. In particular, no personal data will be passed on to third parties without appropriate consent. Further information on the processing of personal data can be found in the data protection notice.

  2. The parties undertake to comply with the statutory data protection in accordance with the General Data Protection Regulation (GDPR). The platform operator stores and processes the user content in accordance with the "Annex to the Contract Processing" below on behalf of the user.

  3. By uploading the user content, the user grants the platform operator the non-exclusive right, limited to the term of the User Agreement, to analyze the user content for the purpose of providing and improving the platform and the technology used. In addition, the user grants the platform operator the non-exclusive right, unlimited in time, to process the analysis data and results obtained therefrom in anonymized form for the aforementioned purposes. The right to process the user content itself expires simultaneously with the termination or use of the platform.

12. Applicable Law and Place of Jurisdiction

  1. The use of the platform shall be governed by German law to the exclusion of international private law and the UN Convention on Contracts for the International Sale of Goods, which has been incorporated into German law.

  2. Place of jurisdiction for merchants within the meaning of the German Commercial Code (HGB) is the registered office of the platform operator.

  3. Amendments or supplements to these contractual terms and conditions, as well as any ancillary agreements in this regard must be made in writing, unless otherwise expressly regulated above. The same applies to a waiver of the written form requirement.

  4. Should individual or several provisions of these contractual terms and conditions be or become invalid in whole or in part, the validity of all other provisions or agreements shall not be affected in case of doubt. Instead of the ineffective provisions, a provision shall apply which comes as close as possible to the economic sense and purpose of the ineffective provision in a legally permissible manner.

Status: 25.06.2020

Annex to the Contract Processing

For your convenience, this is a translation of the German text. However, please note that the German text is the legally binding one.

1. Scope of Application

When providing the services in accordance with the Terms of Usage, the platform operator processes personal data which the user has provided for the purpose of providing the services and in respect of which the user acts as the person responsible in the sense of data protection law ("user content"). This Annex specifies the data protection obligations and rights of the Parties in connection with the processing of User Content for the purpose of providing the Services in accordance with the Terms of Use.

2. Scope of the User's Order/Instructions

  1. The platform operator will process the user content exclusively on behalf of and in accordance with the user's instructions, unless the platform operator is legally obliged to do so. In the latter case, the platform operator shall notify the user of these legal requirements prior to processing, unless the relevant law prohibits such notification due to an important public interest.

  2. The processing of user content by the platform operator is carried out exclusively in the manner, to the extent and for the purpose specified in the terms of use; the processing relates exclusively to the types of personal data and categories of data subjects specified therein.
    Types of personal data: Videos of persons
    Categories of data subjects: Persons recruited by the user by consent to participate; persons for whom the user has a verifiable right to use the video

  3. The duration of the processing shall correspond to the duration of the Terms of Usage.

  4. The User reserves the right to issue instructions on the nature, scope, purposes and means of processing User Content.

3. Personnel Requirements

  1. The platform operator must obligate all persons who process user content to maintain confidentiality with regard to the processing of user content.

  2. The platform operator shall ensure that natural persons under its control who have access to user content only process such user content on its instructions, unless they are obliged to do so under Union or national law.

4. Processing Security

  1. The platform operator shall take all appropriate technical and organisational measures that are necessary, taking into account the state of the art, the implementation costs and the nature, scope, circumstances and purposes of the processing of the user content and the varying degrees of probability and severity of the risk to the rights and freedoms of the data subjects, to ensure a level of protection for the user content that is commensurate with the risk.

  2. The platform operator shall in particular take the technical and organizational measures specified in the Annex "Technische und organisatorische Maßnahmen" to this Annex before the processing of the user content begins and maintain them during the main contract and ensure that the processing of user content is carried out in accordance with these measures.

5. Use of other Contract Processors

  1. The user hereby approves in a general manner the use of further order processors by the platform operator. The further processors currently employed by the platform operator and already approved are
Name and address of the subcontractor Description of the activities for the subcontractor
Hetzner Online AG, Stuttgarter Str. 1, 91710 Gunzenhausen Provision of computing services (hosting, data processing, storage)
HYVE AG, Schellingstr. 45, 80799 München Provision of computing services (hosting, data processing, storage)
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Provision of computing services (hosting, data processing, storage)
  1. The platform operator shall inform the user of any intended change with regard to the involvement or replacement of further order processors. The user is entitled to object to any intended change. If the user raises an objection, the platform operator is prohibited from making the intended change. In the event of approved changes, the platform operator will update the list of subcontractors accordingly and make it available to the user unsolicited.

  2. The platform operator shall contractually impose the same data protection obligations on each further subcontractor as those set out in this Annex Order Processing in relation to the platform operator.

  3. The platform operator shall check before each assignment and regularly during the assignment that the further processors have taken appropriate technical and organisational measures and that these are carried out in such a way that the processing of the user content is carried out in accordance with this Annex.

6. Rights of the Data Subjects

  1. The platform operator will support the user within the scope of what is reasonable by technical and organisational measures in order to comply with his obligation to reply to requests to exercise the rights of data subjects to which he is entitled.

  2. The platform operator will in particular

    1. inform the user immediately if a person concerned should contact the platform operator directly with an application to exercise his rights with regard to user content;
    2. upon request, provide the user with all information available to him on the processing of user content which the user needs to answer the request of a data subject and which the user does not have at his disposal.

7. Other Support Obligations of the Platform Operator

  1. The platform operator shall notify the user immediately after becoming aware of any violation of the protection of user content, in particular incidents leading to the destruction, loss, modification or unauthorised disclosure of or access to user content. If possible, the notification shall contain a description:

    1. the nature of the violation of the protection of the User Content, if possible with details of the categories and the approximate number of persons affected, the categories affected and the approximate number of personal data records affected
    2. the probable consequences of the violation of the protection of the user content;
    3. the measures taken or proposed by the platform operator to remedy the violation of the protection of the User Content and, where appropriate, measures to mitigate its possible adverse effects.
  2. In the event that the user is obliged to inform the supervisory authorities and/or affected parties in accordance with Art. 33, 34 GDPR, the platform operator will support the user in complying with these obligations upon the user's request.

  3. The platform operator will support the user within the bounds of reasonableness in any data protection impact assessments that he may be required to carry out and, if necessary, in subsequent consultations with the supervisory authorities in accordance with Art. 35, 36 GDPR.

8. Data Deletion and Return

The user can irrevocably delete user content which has been created or uploaded by the user themselves through the features offered by the platform. Upon the user's instruction, the platform operator shall either delete all user Content completely and irrevocably upon termination of the use of the platform or return it to the user, unless the platform operator is legally obliged to continue storing the user content.

9. Evidence and Verifications

  1. The platform operator shall ensure and regularly check that the processing of the user content is in accordance with the scope of the processing of the user content as defined in this Annex Order Processing as well as the user's instructions.

  2. The platform operator shall document the implementation of the obligations under this Annex Order Processing in a suitable manner and shall provide the user with corresponding evidence upon request. The platform operator shall in particular document

    1. all confidentiality obligations of persons who process user content
    2. all violations of the protection of User Content occurring within his sphere of influence, including all facts related thereto, their effects and any remedial measures taken by him;
    3. all contracts for the use of further processors and all audits of further processors within the meaning of Section 5;
    4. all deletions of User Content carried out on the instructions of the User.
  3. The user is entitled to inspect the platform operator before the start of the processing of user content and regularly during use with regard to compliance with the provisions of this Annex Order Processing, in particular the implementation of the technical and organisational measures in accordance with Annex A, either himself or through an auditor appointed by him; including inspections announced in good time. The platform operator shall enable such inspections and shall contribute to such inspections by taking all appropriate and reasonable measures, including

    1. granting the necessary access and access rights; and
    2. the provision of all necessary information.

10. Liability and compensation

The client and contractor are liable to the persons concerned in accordance with the provisions of Art. 82 DSGVO.

Status: 25.06.2020