English: This Data Processing Agreement ("DPA") is entered into between:The Customer (as defined in the Pilot Terms and Conditions) hereinafter referred to as the "Controller" - and Beam GmbH hereinafter referred to as the "Processor" - (collectively the "Parties")

This DPA forms an integral part of the "Beam GmbH - Mira Pilot Terms and Conditions" (the "Main Agreement") between the Parties.

Deutsch: Diese Vereinbarung zur Auftragsverarbeitung („AVV“) wird geschlossen zwischen: Der Kunde (wie in den Pilot-Nutzungsbedingungen definiert) im Folgenden „Verantwortlicher“ genannt – und Beam GmbH im Folgenden „Auftragsverarbeiter“ genannt – (gemeinsam die „Parteien“).

Diese AVV ist integraler Bestandteil der „Beam GmbH – Mira Pilot-Nutzungsbedingungen“ (die „Hauptvereinbarung“) zwischen den Parteien.

1. Subject Matter and Scope (1) This DPA specifies the data protection obligations of the Parties arising from the Processor's processing of personal data on behalf of the Controller in the context of the services provided under the Main Agreement (the "Services"). (2) The Processor shall process personal data for the Controller in accordance with the terms of this DPA and the Controller's documented instructions. (3) The primary location for the processing of personal data by the Processor is within the European Economic Area (EEA).

1. Gegenstand und Umfang (1) Diese AVV legt die datenschutzrechtlichen Pflichten der Parteien fest, die sich aus der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der im Hauptvertrag beschriebenen Leistungen („Dienste“) ergeben. (2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Verantwortlichen ausschließlich gemäß den Bestimmungen dieser AVV und den dokumentierten Weisungen des Verantwortlichen. (3) Der primäre Ort der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter liegt im Europäischen Wirtschaftsraum (EWR).

2. Nature and Purpose of Processing, Type of Personal Data, and Categories of Data Subjects (1) Nature and Purpose: The Processor will process personal data for the purpose of providing the Mira software platform as a service. This includes capturing, storing, structuring, analyzing, and providing access to knowledge-based content (including video and other media) uploaded by the Controller's authorized users. The processing is carried out to enable the Controller to evaluate the Software for its internal business purposes. (2) Duration: The processing of personal data will be for the duration of the Pilot Period as defined in the Main Agreement. (3) Categories of Data Subjects: * Employees, contractors, and other authorized users such as customers of the Controller who access the Software. * Individuals (typically employees of the Controller) who are filmed, recorded, or otherwise featured in the content uploaded to the Software by the Controller's users. (4) Types of Personal Data: * User Account Data: Name, email address, user ID, login credentials. * Content Data: Personal data contained within any files uploaded to the Software, which may include: * Video and audio recordings (image, likeness, voice). * Names, job titles, and other personal identifiers mentioned in the content. * Usage Data: Technical data related to the use of the Software, such as IP addresses, device information, and activity logs.

2. Art und Zweck der Verarbeitung, Art der Daten und Kategorien betroffener Personen (1) Art und Zweck: Der Auftragsverarbeiter verarbeitet personenbezogene Daten zum Zweck der Bereitstellung der Mira-Softwareplattform als Dienstleistung. Dies umfasst das Erfassen, Speichern, Strukturieren, Analysieren und Zugänglichmachen von wissensbasierten Inhalten (einschließlich Video und anderer Medien), die von autorisierten Nutzern des Verantwortlichen hochgeladen werden. Die Verarbeitung erfolgt, um dem Verantwortlichen die Evaluierung der Software für interne Geschäftszwecke zu ermöglichen. (2) Dauer: Die Verarbeitung personenbezogener Daten erfolgt für die Dauer der Pilotphase, wie in der Hauptvereinbarung definiert. (3) Kategorien betroffener Personen: * Mitarbeiter, Auftragnehmer und andere autorisierte Nutzer, wie z. B. Kunden des Verantwortlichen, die auf die Software zugreifen. * Personen (typischerweise Mitarbeiter des Verantwortlichen), die in von den Nutzern des Verantwortlichen hochgeladenen Inhalten gefilmt, aufgezeichnet oder anderweitig dargestellt werden. (4) Arten personenbezogener Daten: * Nutzerdaten: Name, E-Mail-Adresse, Benutzer-ID, Zugangsdaten. * Inhaltsdaten: Personenbezogene Daten, die in hochgeladenen Dateien enthalten sind, einschließlich: * Video- und Audioaufnahmen (Bild, Stimme, Abbild). * Namen, Berufsbezeichnungen und sonstige personenbezogene Angaben, die im Inhalt genannt werden. * Nutzungsdaten: Technische Daten im Zusammenhang mit der Nutzung der Software, wie IP-Adressen, Geräteinformationen und Aktivitätsprotokolle.

3. Obligations of the Processor (1) Instructions: The Processor shall process personal data only on documented instructions from the Controller, including with regard to transfers of personal data to a third country, unless required to do so by Union or Member State law to which the Processor is subject. (2) Confidentiality: The Processor shall ensure that all persons authorized to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality. (3) Security: The Processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk, as detailed in Appendix 1 (Technical and Organizational Measures). (4) Sub-processing: The Controller provides a general authorization for the Processor to engage other processors ("Sub-processors") as listed in Appendix 2. The Processor shall inform the Controller of any intended changes concerning the addition or replacement of Sub-processors, thereby giving the Controller the opportunity to object to such changes. The Processor shall impose on its Sub-processors the same data protection obligations as set out in this DPA. (5) Data Subject Rights: The Processor shall, taking into account the nature of the processing, assist the Controller by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the Controller's obligation to respond to requests for exercising the data subject's rights. (6) Assistance to Controller: The Processor shall assist the Controller in ensuring compliance with its obligations pursuant to Articles 32 to 36 of the GDPR, taking into account the nature of processing and the information available to the Processor. (7) Personal Data Breach Notification: The Processor shall notify the Controller without undue delay after becoming aware of a personal data breach affecting the Controller's personal data. The notification shall at least describe the nature of the breach, the likely consequences, and the measures taken or proposed to be taken by the Processor to address the breach. (8) Data Deletion and Return: At the end of the provision of services, the Processor shall, at the choice of the Controller, delete all personal data uploaded by the Controller, and delete existing copies unless Union or Member State law requires storage of the personal data. (9) Audits: The Processor shall make available to the Controller all information necessary to demonstrate compliance with the obligations laid down in this DPA and allow for and contribute to audits, including inspections, conducted by the Controller or another auditor mandated by the Controller. The Controller shall bear all costs and expenses related to any audit or inspection it chooses to conduct.

3. Pflichten des Auftragsverarbeiters (1) Weisungen: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, auch im Hinblick auf Übermittlungen personenbezogener Daten in ein Drittland, sofern er nicht aufgrund von Unionsrecht oder dem Recht eines Mitgliedstaates dazu verpflichtet ist. (2) Vertraulichkeit: Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. (3) Sicherheit: Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau sicherzustellen, wie in Anhang 1 (Technische und organisatorische Maßnahmen) beschrieben. (4) Unterauftragsverarbeiter: Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Beauftragung weiterer Auftragsverarbeiter („Unterauftragsverarbeiter“) gemäß Anhang 2. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen, sodass der Verantwortliche die Möglichkeit erhält, Einwände zu erheben. Der Auftragsverarbeiter verpflichtet seine Unterauftragsverarbeiter zu denselben Datenschutzpflichten wie in dieser AVV. (5) Betroffenenrechte: Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Pflicht, Anfragen zur Wahrnehmung der Rechte der betroffenen Personen zu beantworten. (6) Unterstützung: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Art. 32 bis 36 DSGVO, soweit dies unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen möglich ist. (7) Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jede Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft. Die Meldung enthält mindestens eine Beschreibung der Art der Verletzung, deren wahrscheinliche Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung. (8) Löschung und Rückgabe: Nach Beendigung der Leistungserbringung löscht der Auftragsverarbeiter auf Weisung des Verantwortlichen sämtliche personenbezogenen Daten und Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. (9) Audits: Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung dieser AVV nachzuweisen, und ermöglicht Audits einschließlich Inspektionen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer. Sämtliche Kosten solcher Prüfungen trägt der Verantwortliche.

4. Obligations of the Controller (1) The Controller is solely responsible for the lawfulness of the data processing and for safeguarding the rights of data subjects. (2) The Controller is responsible for providing all necessary notices and obtaining all necessary consents from data subjects (e.g., employees being filmed) for the processing of their personal data via the Software. (3) The Controller shall provide the Processor with clear and lawful instructions for the processing of personal data.

4. Pflichten des Verantwortlichen (1) Der Verantwortliche ist allein für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und für die Wahrung der Rechte der betroffenen Personen verantwortlich. (2) Der Verantwortliche ist verpflichtet, alle erforderlichen Informationen bereitzustellen und sämtliche erforderlichen Einwilligungen von betroffenen Personen (z. B. Mitarbeitern, die gefilmt werden) für die Verarbeitung ihrer personenbezogenen Daten über die Software einzuholen. (3) Der Verantwortliche erteilt dem Auftragsverarbeiter klare und rechtmäßige Weisungen zur Verarbeitung personenbezogener Daten.

5. Liability (1) The liability of the Parties for damages resulting from a breach of this DPA shall be determined in accordance with Article 82 of the GDPR. (2) The Processor's liability under this DPA shall be limited to the value of the services provided under the Main Agreement. This limitation shall not apply in cases of damages to life, body, or health, or in cases of the Processor's gross negligence or willful misconduct.

5. Haftung (1) Die Haftung der Parteien für Schäden aufgrund eines Verstoßes gegen diese AVV bestimmt sich nach Art. 82 DSGVO. (2) Die Haftung des Auftragsverarbeiters im Rahmen dieser AVV ist auf den Wert der im Hauptvertrag erbrachten Leistungen begrenzt. Diese Begrenzung gilt nicht bei Schäden an Leben, Körper oder Gesundheit oder bei grober Fahrlässigkeit oder Vorsatz des Auftragsverarbeiters.

6. Final Provisions (1) In case of any conflict, the provisions of this DPA shall take precedence over the provisions of the Main Agreement. (2) This DPA is governed by the laws of the Federal Republic of Germany. The exclusive place of jurisdiction is Berlin, Germany. (3) This DPA is available in both German and English. In the event of discrepancies or inconsistencies, the English version shall prevail.

6. Schlussbestimmungen (1) Im Falle von Widersprüchen gehen die Regelungen dieser AVV den Bestimmungen der Hauptvereinbarung vor. (2) Diese AVV unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist Berlin, Deutschland. (3) Diese AVV liegt in deutscher und englischer Sprache vor. Im Falle von Abweichungen oder Widersprüchen hat die englische Fassung Vorrang.

Appendix 1: Technical and Organizational Measures (TOMs) The Processor has implemented the following measures to protect the personal data processed on behalf of the Controller, in line with GDPR requirements: - Confidentiality (Art. 32 para. 1 lit. b GDPR): To ensure confidentiality, access to systems is protected and managed via a role-based concept. All data is encrypted in transit (e.g., using TLS) and at rest. - Integrity (Art. 32 para. 1 lit. b GDPR): To ensure integrity, the Controller's data is logically segregated from other customers' data, and all changes to the production environment are logged and controlled. - Availability and Resilience (Art. 32 para. 1 lit. b GDPR): To ensure availability, regular data backups are performed, and systems are monitored for performance and resilience. - Regular Testing and Evaluation (Art. 32 para. 1 lit. d GDPR): To ensure ongoing security, the Processor conducts regular reviews of its security measures and maintains an internal process for managing data breaches.

Anhang 1: Technische und organisatorische Maßnahmen (TOMs) Der Auftragsverarbeiter hat die folgenden Maßnahmen gemäß Art. 32 DSGVO implementiert: - Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO): Zugriff auf Systeme ist rollenbasiert geregelt. Alle Daten werden während der Übertragung (z. B. via TLS) und im Ruhezustand verschlüsselt. - Integrität (Art. 32 Abs. 1 lit. b DSGVO): Die Daten des Verantwortlichen sind logisch von denen anderer Kunden getrennt, Änderungen an der Produktionsumgebung werden protokolliert und kontrolliert. - Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO): Regelmäßige Backups und Monitoring gewährleisten Verfügbarkeit und Systemstabilität. - Regelmäßige Tests und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO): Der Auftragsverarbeiter führt regelmäßige Überprüfungen seiner Sicherheitsmaßnahmen durch und betreibt ein internes Verfahren zum Umgang mit Datenschutzverletzungen.

Appendix 2: Sub-processors The Controller agrees that the Processor may engage the following Sub-processors to process personal data: - Amazon Web Services EMEA SARL: Used for cloud hosting, storage, and backend infrastructure. Country of Processing: Germany (Frankfurt). - Logto, Inc.: Used for Identity and Access Management (User Authentication). Country of Processing: Germany (Frankfurt). - OpenAI, L.L.C.: Used for AI-powered speech-to-text and text generation. Country of Processing: USA. - Sentry (Functional Software, Inc.): Used for error monitoring and performance analysis. Country of Processing: USA. - Cloudflare, Inc.: Used for Content Delivery Network (CDN) and security services. Country of Processing: USA.

Anhang 2: Unterauftragsverarbeiter Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter die folgenden Unterauftragsverarbeiter einsetzen darf: - Amazon Web Services EMEA SARL – Cloud-Hosting, Speicherung, Infrastruktur (Deutschland, Frankfurt). - Logto, Inc. – Identity & Access Management (Benutzerauthentifizierung) (Deutschland, Frankfurt). - OpenAI, L.L.C. – KI-gestützte Sprach- und Textverarbeitung (USA). - Sentry (Functional Software, Inc.) – Fehler- und Performance-Monitoring (USA). - Cloudflare, Inc. – Content Delivery Network (CDN) und Sicherheitsdienste (USA).

Status / Stand: August 2025