1. Parteien und Rollen
Fur Customer Data, die uber die Meeting-Bot-API erfasst werden, ist der Kunde Verantwortlicher und meetbot Auftragsverarbeiter. Fur Konto-, Abrechnungs-, Missbrauchsschutz- und Produktanalyse-Daten handelt meetbot als eigenstandiger Verantwortlicher gemaess Datenschutzerklarung.
2. Verarbeitungsanweisungen
meetbot verarbeitet Customer Data nur, um angegebene Meetings beizutreten, angeforderte Medien und Metadaten zu erfassen, Ausgaben in den konfigurierten Speicher hochzuladen, signierte Webhooks zu liefern, Support zu leisten, den Dienst zu sichern und rechtliche Pflichten zu erfullen.
3. Sicherheitsmassnahmen
Produktion lauft standardmassig in Hetzner Falkenstein, Secrets liegen ausserhalb des Quellcodes, API-Tokens werden gehasht, Webhook-Signaturen nutzen HMAC-SHA256, Admin-Zugriff ist auf benannte Operatoren begrenzt und Sentry nutzt die EU-Region mit PII-Scrubbing.
5. Internationale Ubermittlungen
Bot und Control Plane bleiben standardmassig im EWR. Bei Subprozessoren mit US-Mutter oder US-Verarbeitungspfad stutzt sich meetbot auf die Standardvertragsklauseln der EU-Kommission und eine erganzende Transfer-Folgenprufung.
6. Sicherheitsvorfalle
meetbot benachrichtigt betroffene Kunden ohne unangemessene Verzogerung nach Bestatigung einer Datenschutzverletzung mit Customer Data und teilt bekannten Umfang, Abhilfe und Folgedetails.
7. Betroffenenanfragen
Wenn eine betroffene Person meetbot zu Customer Data kontaktiert, leiten wir die Anfrage, soweit rechtlich erlaubt, an den Kunden weiter. Wir unterstutzen angemessen bei Auskunft, Export, Berichtigung, Einschrankung, Widerspruch und Loschung.
8. Ruckgabe und Loschung
Meeting-Ausgaben werden in den kundengesteuerten Bucket geschrieben. Temporarer Bot-Speicher wird standardmassig nach Upload-Abschluss geloscht. Konto-Loschung ist im Dashboard und via DELETE /api/v1/consumers/me verfugbar; gesetzlich erforderliche Rechnungsdaten bleiben erhalten.
9. Audit-Unterstutzung
Bis SOC 2 abgeschlossen ist, stellt meetbot Sicherheitsdokumentation, Subprozessor-Details, Architekturhinweise und angemessene schriftliche Antworten auf Auditfragen unter NDA oder gleichwertiger Vertraulichkeit bereit.
10. Signatur und Kontakt
Zum Unterzeichnen dieses DPA, fur Redlines oder zur Anlage an ein Enterprise Order Form schreiben Sie von einer Kontoinhaber-Adresse an legal@meetbot.dev. Datenschutz: privacy@meetbot.dev.
4. Subprozessoren
Die folgende Liste ist der operative Subprozessor-Anhang. Wir informieren Kontoinhaber mindestens 30 Tage vor Aufnahme eines neuen Subprozessors, der die Verarbeitung von Customer Data wesentlich verandert.
| subprozessor | zweck | rechtsraum |
|---|---|---|
| Hetzner Online GmbH | Primary hosting (compute, Postgres, optional storage) | Germany |
| Stripe Payments Europe Ltd / Stripe Inc. | Payments, invoicing, customer-portal billing | Ireland (EU entity) + United States (parent) — SCCs in DPA |
| Cloudflare, Inc. | CDN, TLS termination, inbound email worker | United States — SCCs in DPA |
| Functional Software Inc. (Sentry) | Error tracking | Sentry EU region (Frankfurt, DE) selected; parent US — SCCs in DPA |
| PostHog Inc. (planned) | Product analytics on the marketing site (not live yet) | PostHog EU region (Frankfurt, DE); parent US — SCCs in DPA |
| Anthropic PBC | LLM inference for sample apps that use Claude (e.g. action-items-bot) | United States — SCCs in DPA; BAA path TBD; we do not route customer recordings to Anthropic for our own product |